Страница 1 из 2

Надежность PDC под Unix

Добавлено: 2007-09-25 11:01:17
princseps
Я хочу перенести контроллеры домена на FreeBSD. Материала по этому поводу достаточно много (например, http://www.lissyara.su/?id=1329). Однако хотелось бы знать, насколько надежной будет такая система. Если есть опыт эксплуатации у кого-нибудь, напишите, много и проблем по сравнению с AD?

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 11:19:08
matperez
Присоединяюсь к вопросу! Попутно добавлю свой: как быть с политиками безопасности?

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 11:42:17
Dolphin_BSD
Помниться на где то читал на формумах годика полтора назад, что в FreeBSD 5.4 были с этим проблемы.
Матов было нормально ! :!:
Хотелось бы действительно узнать мнение того кто использует такую систему ... :?:

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 12:59:53
serge
Поднимал и до сих пор работает PDC под FreeBSD. Уже больше года. Как грится, полет нормальный. Отличия от винды есть, но принцип тот же. Если не использовать специфические опции AD, то все тож самое.
Все опции которые венда раздает через AD и политики, на самбе решаются через скрипты логина занесением изменений в реестр.
З.Ы. Вчера обновлял самбу. В установочном конфиге появилась галочка Active Directory. Хочу почитать че ет такое.
По слухам 4 ветка самбы догнала по возможностям AD.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 13:12:06
princseps
А ставили один контроллер или два? Я вот не нашел ничего по поводу установки двух контроллеров, а хотелось бы - для надежности

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 13:44:51
serge
Один. За весь период работы проблемы возникали только из-за меня самого. Т.к. один раз решил обновиться по среди рабочего дня, без тестирования новой версии на тестовом сервере. Пропала русская кодировка, пришлось экстренно возвращаться назад, в итоге около часа домен был недоступен.
А так, если не трогать, то жалоб нет.
Резервное копирование еженедельно всех доков, профилей пользователей и настроек системы провожу на другой hdd (домен на райде).
С другой стороны, ниче не мешает поставить рядом еще 1 машину и на ней поднять резервный контроллер. Если есть необходимость.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 13:51:16
princseps
А не подкините ли ссылочку на инфу по том, как два контроллера рядом поставить? И еще вопрос: с AD мигрировали или с нуля поднимали?

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 15:30:13
serge
Ссылочку не подкину... нету)) Да и не делал резервный домен никада.
Поднимал с нуля. Мигрировать с AD с то время не знал как, но чето подсказывает что наверное такого решения то и нет.
З.Ы. Из удобства домена на самбе могу сказать возможность шарится руту по пользовательским хомякам. Винда админа в хомяки не пускает. Иногда бывает нужно, например када у одного сотрудника нужно вытащить документ и передать на исполнение другому, а пароля и самого сотрудника нету на месте.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 17:50:49
Alex Keda
из плюсов контроллера на BSD - лёгкость архивирования и восстановления.
собсно, сколько времени займёт раскатать архив dump на ЛЮБУЮ свободную тачку?
несколько минут, если машина только контроллер домена, а не засрана доками.
вот это - время простоя.
и второй - не очень оказывается нужен.
при желании, можно сделать какуюнить волшебную загрузочную флжшку, которая ,бутится,ишет на заданной шаре последний архив и раскатывает его не спрашивая (или спрашивая) на машину и ребутится.
восстановление можно доверить дауну способному воткнуть флэшку и ннажать кнопку питания.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 19:28:16
princeps
Так, у нас набирается два плюса *nix против одного минуса (неполная функциональность по сравнению с AD) :) . Кстати, долгие часы, проведенные в надежде восстановить упавшие репликацию\политики\DNS и пляски с бубном при настройке репликации после восстановления из резервной копии ntbackup'ом тоже утвердили меня в мысли, что вместо двух контроллеров рациональней использовать какой-нибудь Acronis True Image или Norton Ghost, чтоб в случае чего раскатывать заранее сделанный образ.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 20:47:22
serge
Ну так ставишь самбу? :wink:

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 20:50:47
princeps
Я все равно решил это делать :) Кстати совсем забыли о главном преимуществе: она бесплатна. Для малых\средних организаций, я думаю, этобудет решающий фактор. Кстати, два PDC наверное можно сделать при помощи кластера с использованием Heartbit+DRBD, примерно так, как описано вот здесь: http://www.samag.ru/cgi-bin/go.pl?q=art ... .2006;a=02. Не уверен, но мне кажется, это будет проще и надежнее, чем репликация в AD. А миграцию из Active Directory можно сделать с помощью выгрузки в файл LDIF. Правда пока я еще не знаю, как в таком случае быть с паролями.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 20:54:50
f0s
кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 20:58:39
serge
К сведению. В 3.0.26 самбе появилась в установочном конфигу опция:

Код: Выделить всё

[ ] CLUSTER      With experimental cluster support 
Не разбирался еще с этим, но интересно.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:02:11
serge
f0s писал(а):кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)
Как я понимаю лдап можно вынести вообще на отдельную машину. Т.е. не зависимо от контроллеров. И обслуживать лдап будет сколько угодно машин, которые к нему подключаться. И сответственно хранить данные в одном экземпляре для всех.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:09:31
torki
Нууу, незнаю ребята. Как-то наблюдал такое кино, предприятие компов штук 250 (фирма серьезная, круглые сутки отгружаю готовую продукцию ). Серверов 3 или 4, пара под БД(1с, db2), 1 для документооборота незнаю что за хрень, и один под виндой(AD, PDC, DNS, DHCP)и еще через него в инет выпускали. И в одно прекрасное утро этот сервант просто СДОХ!!! :shock:. А сервант не простой (фуджик-сименс) на гарантии, вскрывать нельзя!
Утром приходите на работу, включаете комп, логин пароль? А ДУДКИ а все учетки на сдохшем сервере!!! Вообшем история закончилась очень плохо. Поимели ИТ отдел без вазелина пудлично. А что сейчас на этой фирме? Чего НЕТ (AD, PDC, DHCP), остался только DNS, даже IP заводят вручную, вот так вот. Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине. :D Все очень просто,
если компов 10-20 то можно и всю эту хрень использовать, ну а если больше? То должно быть по проще, в любом случае выбор за вами. :D

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:12:31
serge
Есть книга по самбе: Samba3-ByExample.pdf
В 1 части в 6 главе рассматривается сеть с числом пользователей более 2000 человек. Вот ее интересно почитать. Там приводится схема домена с несколькими контроллерами и 2 (master и slave) ldap серверами.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:17:02
serge
torki писал(а):Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине. :D
Это конечно понятно. Но не всегда есть возможность(отсутствие железа) разнести сервисы по различным машинам. Но в любом случае, ОБЯЗАТЕЛЬНО, резервное копирование. И, как правильно, заметил Лис, под фрей проще сделать дамп всего раздела с настройками контроллера и при необходимости за 0,5-1 час его развернуть на новую машину, или hdd.
Честно сказать даж и не помню, можно ли средствами винды сделать нормальную резервную копию и потом с нее восстановиться:?

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:25:16
princeps
Средствами винды я делал и в итоге получалось, что после краха проще было развернуть все с нуля - меньше времени бы заняло. Но в одной конторе я видел, как ребята бэкапили AD все с помощью образов Adronis True Image. У них все специалисты были в другом городе, а сеть поддерживал, как сказал Лис, способный даун. И у него был мануал, как себя вести, если что-то пошло не так. Правда прецедентов восстановления из таких бэкапов я не наблюдал. Кстати, чем плох вариант дублирования контроллеров при помощи кластера, когда сеть видит их как один? В таком случае после выпадения одного второй возьмет на себя его функции незаметно для клиентов.

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 21:50:23
serge
Вот с кластерами хз... не работал. Но попробовать или хотяб почитать про это интересно.
Тут еще наверное нужно смотреть на цену вопроса. Настолько большая сеть? Критичен простой в 30 мин или час?
У меня, например, порядка 100 юзеров, в онлайне в домене не более 50 разом. Час простоя... ну пошумят конечно, но в итоге переживем 8)

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 22:03:16
princeps
Мне кажется, что вне зависимости от размера сети приятней, когда юзеры не замечают твоих косяков :) Так что если есть возможность поставить 2 компа под контроллеры домена, это нужно сделать. Это, кстати, настоятельно рекомендуют M$ в своих мануалах по развертыванию AD, особенно для сетей с количеством машин боле 50. Для 250 компьютеров уж тем более. Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 22:15:32
Alex Keda
serge писал(а):
torki писал(а):Личто я из этой истории извлек простой урок, проблемы мы сами сабе создаем и нельзя держать все яйца в одной корзине. :D
Это конечно понятно. Но не всегда есть возможность(отсутствие железа) разнести сервисы по различным машинам. Но в любом случае, ОБЯЗАТЕЛЬНО, резервное копирование. И, как правильно, заметил Лис, под фрей проще сделать дамп всего раздела с настройками контроллера и при необходимости за 0,5-1 час его развернуть на новую машину, или hdd.
Честно сказать даж и не помню, можно ли средствами винды сделать нормальную резервную копию и потом с нее восстановиться:?
на этих выходных выяснили неприятную вешь (в процессе зарабатывания моего радикулита) - весь терабайт архивов что делается по ночам - скорей всего бесполезен, потом как когда нас припёрло, достать мы из них ничего не смогли.
архивы делались лицензиозным симантеком, настраивали всё админы что были до нас.
решили, что на никстовых серверах будем юзать tar/dump/restore а с виндовыми будем думать...

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 22:16:09
Alex Keda
princeps писал(а):Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?
на ftp поройся. там много интересного

Re: Надежность PDC под Unix

Добавлено: 2007-09-25 22:58:52
serge
princeps писал(а):Мне кажется, что вне зависимости от размера сети приятней, когда юзеры не замечают твоих косяков :) Так что если есть возможность поставить 2 компа под контроллеры домена, это нужно сделать. Это, кстати, настоятельно рекомендуют M$ в своих мануалах по развертыванию AD, особенно для сетей с количеством машин боле 50. Для 250 компьютеров уж тем более. Кстати, serge, если можно, киньте ссылочку на эту волшебную книгу по самбе. У вас нет данных о других сетях с *nix'ами в качестве PDC?
Спорить не стану. Возможно и так. А может мелкософт просто зная свои продукты поэтому так и предлагает :)
Ссылка на html версию: http://us1.samba.org/samba/docs/man/Sam ... users.html

Re: Надежность PDC под Unix

Добавлено: 2007-09-26 8:11:35
f0s
serge писал(а):
f0s писал(а):кстати, а вот интересно, есть ли возможность сделдать BDC, ну вот к примеру если вдруг не будет доступен мой контроллер домена самбовский нынешний (к примеру его выключили по тех причинам), чтобы второй смог работать и пускал бы бюзеров в домен (я так понимаю в этом случае надо будет второй опенлдап на этой же (BDC) тачке поднимать и как-то данные синхронизировать?)
Как я понимаю лдап можно вынести вообще на отдельную машину. Т.е. не зависимо от контроллеров. И обслуживать лдап будет сколько угодно машин, которые к нему подключаться. И сответственно хранить данные в одном экземпляре для всех.
нет, ну понятно конечно на другую машину.. только разница-то. ну хорошо, к примеру тачка с лдапом выключена, нужен же какой-то резерв...