Подключение нового сервера

[Reken]

Здравствуйте, подскажите пожалуйста...
Есть сетка из 15 компов + сервак с ОС Server 2012 R2. Задача следующая, заменить сервак на более новый. Делать это буду так:
1) Введу в домен новый сервак, на котором так же установленна server 2012 r2
2) Произойдет автоматическая репликация AD и DNS (между старым и новым серваком), сделаю новый КД сервером глобального каталога
3) Передам роли FSMO со старого на новый сервак
4) Выключу старый сервак, и посмотрю, справляется ли новый сервак с доменом... Если всё хорошо, включаю старый сервак, понижаю на нем роли до простого рядового, вывожу из домена, а после вообще убираю из сетки...

Такой вопрос, всё вышеперечисленное можно делать в рабочее время пользователей? Вроде бы работа домена будет не затронута? Репликация и передача ролей FSMO не повлияет же на работу пользователей домена? Как работали так и будут работать, ничего не заметят?(если конечно домен без ошибок реплицируется и т.д.)
P.S На старом серваке присутствует роль DHCP, но по сути она не нужна, все ip вручную прописываются на компах... Да и настроена эта роль неправильно, раздает адреса не из моего диапазона... В общем решил я вовсе не подымать на новом серваке роль DHCP. Вроде бы это не повлияет на работу сети? Всё равно все адреса вручную прописываются...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

А что помимо АД на нем есть? А так..., я бы на новом esx поднял либо hyper-v, что нравится, а там в виртуалку и засунул бы виндовый сервак, а старый бы под бэкапы пустил... А dhcp надо было просто настроить, гемора меньше и администрируешь из одного кармана, то бишь места..., очень давно пару раз сталкивался со своей забывчивостью, а потом на ушах стоял..., а так настроил и нет проблем...

[Reken]

Помимо AD, на старом серваке сетевые программы... Но их можно с легкостью перекинуть на новый сервак (конечно с некоторыми придется повозиться, но не суть). Мне главное что бы домен работал, когда я буду репликацию делать и FSMO передавать... Но как я понимаю, домен должен работать, репликация и FSMO не должны повлиять на работу домена...Старый сервак ещё выполняет роль DNS сервера для локальной сети, но после репликации новый сервак будет выполнять роль DNS сервера, единственное у клиентских компов нужно будет IP нового сервера прописать, взамен старого...
А почему Вы советуете в виртуалке запускать сервак? Проще восстановить будет, если сервер сломается? По этой причине?
В принципе же, DHCP можно и после настроить? Его отсутствие ни как не отразится на работе сети и домена? По сути он только для удобства администрирования (когда 100 компов в домене, там явно необходим DHCP)...

[FreeBSP]

После того как промоутишь новый сервак до АД, он пропишется в днс, реплицирует на себя АД(файлы и саму директоррю), и наверное днс тоже на себя реплицирует, если сейчас днс в АД хранится. И начнет выполнять свои прямый КД-шные обязанности. Старый серв при этом продолжит работать и обслуживать клиентов.
Выключишь старый - начнут сыпаться ошибки в клиентов что не могут что то сделать со старым кд, но это не критично.
ФСМО - это просто роли, которые должен делать кто то один. вся инфа, которой мастеры фсмо оперируют хранится в АД. Так что в их переносе ничего страшного нет. Назначешь новому серваку и он сходу начинает
Все вышеперечисленое делается налету и пользователей не затрагивает.

А виртуалка - имхо для разграничения и более рационального пользования ресурсов, плюс удобство миграции и масштабирования. КД -инфраструктурная машина, и на ней ничгео кроме собственно КД и пары смежных служб быть не должно. и летает оно на одном ядре проца и гиге оперативки почти при любых нагрузках. Можно спокойно КД в КОРЕ поднять и вообще на него не ходить, а админить через админ-тулс с рабочей тачки.
Главная трудность при переезде - днс в твоем случае переписать ручками по клиентам, или дхцп таки назначить. Отсутсвие дхцп в статической сети - пофиг. Притуши службу как нибудь и через время посмотри на ошибки, поймешь что не так может пойти..

Вот, а на вторую виртуалку сетевые прогки, которыми ты пользуешься и которым на кд быть в общем то совсем не надо

[Reken]

Запустил второй сервак, репликация успешно прошла, роли фсмо перекинул на новый сервак. Почему то во время всего этого процесса, вся сеть и программы у пользователей тормозили... Но теперь всё нормально, из-за чего были зависания так и не понял, ну это и не важно...
По поводу DHCP, я так понял что отсутствие этой роли ничем не помешает...На крайний случай, её можно заново поставить и настроить, на новом серваке.

[snorlov]

Не забудь роль глобального каталога перенести...

[Reken]

Не забудь роль глобального каталога перенести...

Это Вы про галочку? В разделе Active Directory сайты и службы, далее сайты/имя сайта/серверы/новый сервер в области сведений поставить галочку "Глобальный каталог"? Я это уже сделал...

Переспрошу лучше. На новый сервак я уже почти всё перекинул... В принципе можно выводить из обращения старый сервер. У меня вопрос про DNS настройки на серверах. IP адрес старого сервера 192.168.0.30 , IP нового сервера 192.168.0.33 . Получается в настройках DNS на серверах нужно указать так:

Код: Выделить всё

У старого сервака:
Адрес DNS сервера: 192.168.0.30
Альтернативный DNS: 192.168.0.33

У нового сервака:
Адрес DNS сервера: 192.168.0.33
Альтернативный DNS: 192.168.0.30

Я правильно понимаю?

[snorlov]

Поскольку у вас днс в ад это не принципиально, с другой стороны, конечно лучше, если контроллер ходит сам к себе, а необходимые для работы ад зоны реплицируются средствами самого ад, вот тут кстати и срабатывает централизованное управление ip через dhcp, вы там меняете два раза параметр, вместо того, чтобы бегать по компам дважды, первый раз добавляя новый днс, вторый - удаляя старый...

[FreeBSP]

Позвольте спросить, а кд в сетке один?

[Reken]

На данный момент 2 КД (старый сервер и новый сервер, реплицируются между собой...)
В скором времени останется 1 КД, т.к. старый сервер понижу до рядового, и вовсе выведу из домена...

P.S. Вроде бы я всё правильно сделал... Ввел в домен новый сервак, всё на него передал, после чего выведу старый из обращения...

[snorlov]

После понижения до рядового, рекомендую проверить днс на кд что в "волшебных зонах микрософта" никакого упоминания о старом серваке не было, да и про обратную зону не забудь...

[FreeBSP]

https://habrahabr.ru/post/309132/
почитайте на досуге

Отправлено спустя 1 секунду:
https://habrahabr.ru/post/309132/
почитайте на досуге

[Reken]

Вся локальная сеть у меня смотрит в ИНЕТ через шлюз на FreeBSD 9.3 (по некоторым причинам до сих пор еще не обновил до 10.3)
На днях на шлюзе появилась на экране ошибка, следующего вида:

Код: Выделить всё

root@freebsd:~ # Feb 27 10:59:21 freebsd named[699]: /usr/src/lib/bind/isc/../../../contrib/bind9/lib/isc/unix/socket.c:1915: unexpected error:
Feb 27 10:59:21 freebsd named[699]: internal_send: 192.168.0.33#58236: Network is down

192.168.0.33 это как раз IP нового сервака, на который я перенес домен...
Помогите пожалуйста понять, из-за чего возникла ошибка, и на что она указывает?

[snorlov]

У вас на фришке локальная с сервера берется или как...

[Reken]

У вас на фришке локальная с сервера берется или как...

К сожалению, не совсем понял Вашего вопроса...Напишу что знаю...
FreeBSD у меня не введена в домен Windows Server 2012 R2
Все компы в локальной сети в качестве DNS используют только КД (WinSrv 2012)
У FreeBSD указан DNS провайдера
named на FreeBSD вроде бы и не нужен... Но у меня применяется squid, он как то "завязан" на файле named.conf
named.conf:

Код: Выделить всё

listen-on       { 127.0.0.1; 192.168.0.4; };       # IP-адреса интерфейсов сервера, на котором будет запущена служба named

        forwarders {
                127.0.0.1; IPПРОВАЙДЕРА; 8.8.8.8;     # Включаем форвардинг с прокси сервера
        };

zone "domen.local" {
        type master;
        file "/etc/namedb/master/domen.local";              # Моя зона (Без этого файла, squid не выпускает пользователей в ИНЕТ)
};

Так же в squid на FreeBSD указаны (вручную), все IP адреса локальной сети, в файле good_ip.txt

P.S. Может когда обновлю FreeBSD до 10.3 , можно будет работать без named на FreeBSD...

[snorlov]

У FreeBSD указан DNS провайдера
named на FreeBSD вроде бы и не нужен... Но у меня применяется squid, он как то "завязан" на файле named.conf
Так же в squid на FreeBSD указаны (вручную), все IP адреса локальной сети, в файле good_ip.txt
P.S. Может когда обновлю FreeBSD до 10.3 , можно будет работать без named на FreeBSD...

Вот это бред, не завязан он на файл named.conf, он завязан на сервис dns, указанный в /etc/resolv.conf, либо в своем конфиге...
Вы вот что сделайте,
пустите dns контроллера AD в инет,
или пусть он разрешает все имена, и локальные и инетовские,
или в нем пропишите форвард запросов к зонам, которых у него нет, на dns провайдера гугла, кого хотите
после чего его адрес укажите на фре, после это можно будет писать в соответствующие файлы не ip. а имена станций... Кстати, а dhcp вы подняли или оставили как было, т.е. ip адреса станций прописаны ручками...

[Reken]

Вот это бред, не завязан он на файл named.conf, он завязан на сервис dns, указанный в /etc/resolv.conf, либо в своем конфиге...

Я когда следующие строки в named.conf убираю, в локальной сети ИНЕТ перестает работать...[/quote]

Код: Выделить всё

zone "domen.local" {
type master;
file "/etc/namedb/master/domen.local";
};

Вы вот что сделайте,
пустите dns контроллера AD в инет,
или пусть он разрешает все имена, и локальные и инетовские,
или в нем пропишите форвард запросов к зонам, которых у него нет, на dns провайдера гугла, кого хотите
после чего его адрес укажите на фре, после это можно будет писать в соответствующие файлы не ip. а имена станций...

Это нужно сделать только для того что бы в файлы можно было прописывать имена станций? Или ещё для чего то? Или так просто будет "правильнее"?

Кстати, а dhcp вы подняли или оставили как было, т.е. ip адреса станций прописаны ручками...

Пока что КД без роли DHCP. На всех устройствах в локалке, адреса указаны ручками...

[snorlov]

Reken,
Поищите что у вас в sqiud.conf, а именно, что в строке dns_nameservers, вполне возможно что там указана в качестве сервера dns сама фришка, тогда да, вам нужен на ней dns для работы squid'а, но ведь можно указать и другой dns...
Да вдобавок у вас там в squid наверное еще и прописано правило на допуск в инет локальной сети, а раз ее нет и суда нет...
Только не обижайтесь, но найдите книжечку про tcp/ip, почитайте теорию, а не как настроить, разложите по полочкам прочитанное, глядишь и все вопросы уйдут, т.е. вам не хватает базовых знаний...

[Reken]

Я представляю себе ЛВС так: (может конечно я ошибаюсь...)
FreeBSD смотрит в инет, для того что бы FreeBSD могла выходить в инет и обновляться в файле resolv.conf прописаны адреса DNS серверов провайдера (если я их закомментирую, следовательно FreeBSD не сможет преобразовывать IP в адреса, и в ИНЕТ не выйдет... )
Для удобства работы ЛВС на FreeBSD запущен squid, через который все пользователи ЛВС выходят в ИНЕТ... При этом на самой FreeBSD локальная зона нигде не указана, только что в файлах конфигурации squid...
В настройках squid у меня отсутствует запись типа dns_nameservers
Так же закомментировано следующее:
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

Как я понимаю локальная зона держится на КД. На котором запущена служба AD и DNS. Как я понимаю, DNS на КД отвечает за преобразование IP локальной сети в имена машин...

Содержание squid.conf

Код: Выделить всё

#
# Recommended minimum configuration:
#

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed

via off
request_header_access Pragma deny all #
request_header_access Cache-Control deny all
reply_header_access Pragma deny all
reply_header_access Cache-Control deny all
forwarded_for transparent

http_port 192.168.0.4:3128

#acl allowed_hosts src 192.168.0.0/24
#acl localnet src 127.0.0.1/32
#acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/24 # RFC1918 possible internal network
#acl localnet src       # RFC 4193 local private network range
#acl localnet src      # RFC 4291 link-local (directly plugged) machines
#dns_v4_first on

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#never_direct allow all
#acl bad_url dstdomain "/usr/local/etc/squid/bad_url.txt"

#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost
http_access allow localhost manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
#http_access allow localnet
http_access allow localhost

acl good_ip src "/usr/local/etc/squid/good_ip.txt"
http_access deny !good_ip

acl good_vip_ip src "/usr/local/etc/squid/good_vip_ip.txt"
http_access allow good_vip_ip

acl good_url url_regex "/usr/local/etc/squid/good_url.txt"
http_access deny !good_url

http_access allow good_ip

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
#visible_hostname root
coredump_dir /var/squid/cache

#
# Add any of your own refresh_pattern entries above these.
#

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

shutdown_lifetime 3 seconds

[snorlov]

раз dns_nameservers нет, то dns берется из resolv.conf, что у вас там...

[Reken]

раз dns_nameservers нет, то dns берется из resolv.conf, что у вас там...

nameserver XX.XX.XX.XX # Адрес DNS предоставленный провайдером
nameserver XX.XX.XX.XX # Второй адрес DNS предоставленный провайдером
nameserver 8.8.8.8

[snorlov]

контроллер ад у вас разрешает имена в инете, т.е. его dns запросы пропускает фришка? Если пропускает, то поставьте его ip первым в resolv.conf

[Reken]

Я сейчас посмотрел, в свойствах DNS на КД, в качестве DNS сервера для пересылки указан мой FreeBSD шлюз

его dns запросы пропускает фришка?

А вот как понять, пропускает или нет, пока не знаю...

Ошибка которая была на днях:

Код: Выделить всё

root@freebsd:~ # Feb 27 10:59:21 freebsd named[699]: /usr/src/lib/bind/isc/../../../contrib/bind9/lib/isc/unix/socket.c:1915: unexpected error:
Feb 27 10:59:21 freebsd named[699]: internal_send: 192.168.0.33#58236: Network is down

На что она указывает? 192.168.0.33 это как раз КД.

[FreeBSP]

по хорошему у должен днс сервер на кд разрешать все запросы внутренней сети. даже сам кд должен ходит за разрешением на днс сервер, крутящийся на нем же. а вот днс сервер уже ходит на днс провайдера, это в нем в свойствах днс сервера, вкладка forwardersю
и даже фришка может ходить на днс на кд, чтобы разрешать не-FQDN имена
а чтобы днс сервер мог разрешать всеимена, ему на фришке должно быть разрешено ходить на внешние днс сервера

на кд в консоли

Код: Выделить всё

nslookup
>server 8.8.8.8
>ya.ru

если ответи8.8.8.8, то пропускает

[Reken]

Подскажите пожалуйста, правильно ли я понимаю...
У меня в локальной сети роль DNS для локальных компов выполняет КД. Следовательно роль DNS на FreeBSD можно вообще убрать она там без надобности...
Но останавливает то, что в настройках DNS на КД, в качестве сервера для пересылки указан FreeBSD... Как лучше поступить?
1) Убрать на КД из списка серверов для пересылки FreeBSD, а вместо этого добавить адреса DNS серверов провайдера
2) В resolv.conf первым адресом поставить КД а потом уже DNS провайдера
3) Остановить на FreeBSD DNS... Как я понял, сама FreeBSD в инет сможет ходить, так как в resolv.conf указаны DNS адреса... А squid тоже должен будет пропускать компы в локальной сети в ИНЕТ, так как в том же resolv.conf будет первым указан КД...

FreeBSD пропускает запросы КД:

Код: Выделить всё

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

C:\Users\Администратор.domen>nslookup
TхЁтхЁ яю єьюыўрэш¦:  serversm.domen.local
Address:  192.168.0.33

> server
TхЁтхЁ:  serversm.domen.local
Address:  192.168.0.33

*** serversm.domen.local не удалось найти server: Non-existent domain

> 8.8.8.8
TхЁтхЁ:  serversm.domen.local
Address:  192.168.0.33

Lь :     google-public-dns-a.google.com
Address:  8.8.8.8