Как добавить в файловый сервер пользователей из домена?

Question

[Pavel Valeo]

При попытке переноса домена с esxi на другой сервер он перестал подавать признаки жизни. Домен был интегрирован на файловый сервер (сам файл-сервер не был введен в домен, но каким-то образом пользователи оттуда использовались).

Собственно вопрос - есть ли варианты привязать новый контроллер домена к файловому серверу без ввода его в домен?

Comments

[Pavel Valeo]

Файл сервер и контроллер домена это разные виртуалки, но находятся в одной подсети 10.1.х.0/24

[Ziptar]

сам файл-сервер не был введен в домен, но каким-то образом пользователи оттуда использовались

Собственно вопрос - есть ли варианты привязать новый контроллер домена к файловому серверу без ввода его в домен?

LDAP аутентификация/клиент

[Pavel Valeo]

Ziptar, спасибо за отклик. Можно немного подробнее? LDAP сервер разворачивается на машине с AD, а клиент на файл-сервере? Какой софт для этого используется? Может быть есть какая-то статья с подробным описанием функционала?

[Ziptar]

LDAP сервер разворачивается на машине с AD

Не помню, и может от версии winserver зависеть. На 2012r2 LDAP это отдельный компонент, но я, опять же, не помню надо ли его добавлять отдельно, или он вместе с AD ставится.

Какой софт для этого используется?

От ОС зависит, но, подозреваю, на вашем файловом сервере уже есть всё, что нужно.

[Pavel Valeo]

Ziptar, спасибо. Проблема лишь в том что файл сервер на 2003 Винде и очень древний...

[Pavel Valeo]

Ziptar, а если сервер завести в домен то в принципе проблемы не будет существовать как их подружить, да?

[Ziptar]

Pavel Valeo, понятия не имею можно ли вообще подключить винду в качестве LDAP-клиента (без ввода в домен), а тем более заставить её аутентифицировать пользователей на smb-шарах с данными доменных пользователей. Но, по крайней мере, ничего другого, кроме лдап, в голову не приходит.

[Ziptar]

Pavel Valeo, гипотетически не должно, но на winsrv2003, тем более доставшийся в наследство, я бы лучше лишний раз даже не дышал.

[Pavel Valeo]

Ziptar, ну вообще и там и там винда. Smb шара я так понимаю это же линуксовый протокол? Или я ошибаюсь?

[Pavel Valeo]

Ziptar, она на виртуалке, как вариант склонировать .vmdk и уже потом ее мучить

[Ziptar]

Pavel Valeo, smb это проприетарный протокол мелкомягких. В анамнезе (CIFS) там поинтереснее история, но тем не менее.

[Роман Безруков]

Pavel Valeo,

сам файл-сервер не был введен в домен, но каким-то образом пользователи оттуда использовались

например, есть один или несколько локальных пользователей на файловом сервере, пароли которых известны всем - и ваши доменные пользователи подключают диски, используя логин/пароль этих пользователей
по-хорошему - поднимаете новый файловый сервер, добавляете в домен и переносите на него все данные со старого, для этого используете File Server Migration Tool (FSMT)

[Pavel Valeo]

Роман Безруков, к сожалению это невозможно по техническим причинам. Файл сервер весит чуть меньше терабайта, единственный жёсткий диск на 1Тб этом древнем железе выдеден под него. Как вариант разворачивать его на обычной vmware ws?

[Роман Безруков]

Pavel Valeo, разворачивайте виртуалку, и алга!

[MVV]

добавляете в домен

Роман Безруков, есть ощущение, что автору вопроса такие советы лучше не давать: ему с локальными пользователями на файл-сервере жить будет явно удобнее, а домен - это ненужная сложность.

[Pavel Valeo]

MVV, нет, как раз таки от локальных пользователец хочетсч уйти, они играют роль временной затычки чтобы могла работать контора

Answer 1

[MVV]

По вопросу имею сказать
1. Домен почти наверняка чинится. Как чинить - зависит от того, как переносили контроллер, и как выглядит сейчас сломавшийся. Если будет информация (здесь в Вопроснице, лучше - другим вопросом) готов посодействовать.
Самое простое - если переносили миграцией виртуалки и старая виртуалка на ESXI жива: запустить ее и перенсти по уму: поднять второй КД на новом месте (железо или другая виртуалка), убедиться что среплицировались и AD, и SYSVOL (готов подсказать в деталях, как именно) и штатно понизить исходный КД. Потом по желанию - переименовать новый в старый (некоторым это зачем-то надо).
2. Если все совсем плохо то можно создать нужных локальных пользователей (и локальные группы) на файл-сервере, и позаменять старые SID в списках разрешений на SID этих пользователей (и групп) утилитой subinacl,exe. Примерная форма команды -

subinacl /subdirectories "Z:\*.*" /replace=S-1-5-1-2-3-4-5=SERVER\user

. Когда-то, когда ADMT ещё не было, это было практически штатным способом мигрировать файл-сервер в другой домен, была даже статья с описанием процедуры в MS Knowledge Base (к сожалению, не пережила инноваций). Однако в интернетах ещё можно нарыть кое-каких примеров
Но вот соответствие пользователей и SID без живого КД посмотреть, увы, негде, придется применить творческий подход.
Как-то так.

PS Советы в каментах - жуть! Ну, кроме тех, которые от Роман Безруков, те - норм.
PPS И ещё раз напоминаю - делайте бэкапы.

Comments

[Pavel Valeo]

Домен уже несколько человек пробовали реанимировать, но тщетно. Если бы он был живой на esxi я бы даже и не парился.

Если бы первый способ был возможен (

Случилось следующее:
- штатно был потушен сервер через систему
- произведена миграция в ovf формат
- скачан на локальный комп для миграции на другой сервак образ
- запущен сервер
После этого он доходит до окна загрузки винды (нет логина пользователя) и сваливается в ребут с бсодом и ошибкой 0xc000000a

Что делал:
- LiveCD со скандиском, nfc /scannow, другими прогонами на вирусы и другую тему результата не дали
- восстановление загрузочного сектора также не дало результата (gpt)
- безопасный, не безопасный, последний удачный конфиг - всё мимо

При загрузке в безопасном режиме тормозится на crcdisk.sys

Если у вас есть навык и возможность восстановить этот сервак я буду очень благодарен денежными средствами

[MVV]

Pavel Valeo, а ESXI с файлами VM на нем тоже уже куда-то делся, до того, как был запущен и проверен новый сервер?
Тогда можете попробовать поставить Windows на этот новый сервер поверх, с сохранением настроек.
Только (на всякий случай, напоминаю) резервную копию того, что есть сейчас (образ сервера или то, из чего его делали, ovf, к примеру) сделайте, если нет, и не стирайте пока, чтобы была возможность попробовать второй раз.

PS Помогаю только советами. Но советами помогаю бесплатно.

[Pavel Valeo]

MVV, а нет нет немножко меня не поняли, новый сервер я не запускал потому что его необходимо было перенести на другой сервак. Я запустил как раз тот самый сервер который на вмваре esxi вращался. Что там с ним случилось почему он отвалился от что там с ним случилось почему он отвалился от что там с ним случилось почему он отвалился от что там с ним случилось почему у него винда сдохла при отсутствии критических каких-то ошибок даже не представляю. Начал разворачивать с клонированный овф образ, в надежде что может быть он не битый но он оказался точно таким же

[Pavel Valeo]

MVV, а каким образом можно поставить прямо поверх? Затерев саму Винду? Я не написал, с того же диска винды пробовал загрузиться с которого устанавливали, даже пытался через него сбросить загрузочный сектор из винды думал может быть он полетел Но если он доходит до окошка с виндой значит вряд ли дело в загрузочном секторе. Ставил Винду параллельно в эту систему в надежде вытащить юзеров из active directory, сначала с этого же диска пробовал сделать обновление этой винде. Вывалила ошибку при установке

[Pavel Valeo]

Pavel Valeo, В общем на восстановление потрачено уже 4 дня и я решил разворачивать новый домен с переносом пользователей которых я уже создал. Теперь самая большая проблема каким образом эти юзеры будут заходить на файловый сервер (использовать локальных пользователей не хотелось бы потому что ну смысл если домен развернут?) Ну и собственно как этих юзеров из старого домена перетащить в новый

[MVV]

Тогда вы зря вообще писали про новый сервер.
А в таком раскладе, похоже, остается только новый домен и замена SID пользователей через subinacl

Ошибка у вас, судя по интернетам - мутная, редко встречающаяся, и причина ее неизвестна (как лечить, соответственно - тоже). Судя по имени драйвера, причина - в дисковой подсистеме, но точную ошибку никто не выловил.
И, кстати, на синем экране может быть имя процесса (из числа системных критических, потому что иначе синего экрана бы не было - сама по себе ошибка некритичная). Но вряд ли это поможет.

По пользователям: в Win2K8 появилась возможность смонтировать базу AD (ntds.dit+логи, БД там ESEшная) в офлайне и работать с ней: https://petri.com/active-directory-domain-services...
И я не вижу причин, почему нельзя попробовать сделать это с БД от Win2K3 - если, конечно, вы сможете вытащить этот файл.
Тогда с соответсвием старых пользователей и их SID вопрос был бы решен.

Удачи!

[Pavel Valeo]

MVV, спасибо за ответ. Буду пробовать) про бэкапы я согласен, но зараза так наложилось, что сервак рухнул именно в процессе бэкапа, а до меня особо этим как-то не озадачивались - действовали по старому админскому принципу работает-не лезь. И увы на мою смену выпала эта ошибка и все ее последствия)