Как защитить AD от сбоя?

Question

[Шамиль]

Работаю на двух работах (в гос и частной компании), в частной - я сисадмин, в гос - просто админ программ.
Недавно решил поднять на второй работе контроллер домена, на что мне сисадмины с 1й работы начали пугать - мол это очень опасно, что контроллер домена часто дает сбои.
Собственно вопрос к тем, у кого он стоит -
а как часто у вас дает сбой контроллер ? и что Вы предпринимаете для того, чтоб защититься от сбоев ?
ну и хотелось бы услышать рекомендации, какие требования нужны для сервера. на котором буду это все поднимать (число пользователей ~50)

Answer 1

[Пума Тайланд]

Для этого подымается второй контроллер домена который слейвом для первого, умер первый все работает от второго автоматом .
Вот странные люди конечно, как они живут со сто машинами без контроллера домена если он т ак часто умирает и падает.
КОнтроллер домена на моей жизни падал пару раз и то по железу чисто.

Comments

[Шамиль]

в гос конторе порядка тысячи машин. и падал контроллер когда работал в слейве. сейчас у них 1н контроллер, и они часто снимают бэкап (обычно через акронис)

[Пума Тайланд]

Шамиль: если слейв упал какая разница, пусть себе упал все равно все сидят на мастере.
Ну есть откровенные дураки у которых тысячи машин и один контроллер домена, то слушать бы я из не стал, был бы из руководителем выгнал бы ссанными тряпками и ещё бы в черный список повесил бы , чтобы ни куда их не нанимали.

Answer 2

[Константин]

опасно поднимать второй контроллер домена?Может быть они и бэкапы боятся делать?
Ставьте read-only, либо простой вторичный контроллер. И делайте бэкап AD
У меня контроллер крутится на win2008R2 под ESXi 5.5 и вторичный в доп.офисе в режиме read-only.

Answer 3

[Евгений Ферапонтов]

Гоните в шею таких админов. MS настоятельно рекомендует содержать домен AD минимум на двух контроллерах домена. Это даже не Best Practice, а здравый смысл. Как раз один КД иметь не рекомендуется, т.к. при сбое дисковой системы, например, домен восстановить скорее всего не удастся.
"Из коробки" два КД будут работать абсолютно без проблем в ваших условиях (50 пользователей) хоть в виртуалках поверх двухъядерного атома с 4 гб оперативной.
Ну а теперь о сбоях: занимался как-то внедрением AD DS в одной конторе (~60 машин, ~100 пользователей). Денег на контроллер домена не давали, т.к. не понимали, зачем оно вообще нужно. Из полумертвых комплектующих были собраны два КД (одноядерный Sempron + 1гб озу + рейд 1 на чипсете из двух древних как кости мамонта жестких дисков) и отправлены в пилотный запуск. Все работало хорошо, пока падение шкафа не "потратило" один КД. Из-за ужаса от произошедшего не сразу догадался принудительно исключить мертвый КД из домена, в связи с чем получил мертвый домен с поломанной репликацией, FSMO ролями и прочими ништяками. Но даже несмотря на это еще полгода он исправно выполнял свои функции: добавлял учетки, раздавал политики и т.д., пока наконец не выделили денег на нормальный сервер под AD.
tl;dr: два контроллера домена -- это хорошо и необходимо. Следуйте инструкциям от MS (особенно в случае сбоя) и все будет окей.

Comments

[Шамиль]

благодарю. постараюсь выбить денег на машинку с i5 процессором.
а видеокарта такой машине будет нужна ?

[tartarelin]

Шамиль: зачем?

[Шамиль]

tartarelin: да, ступил =) просто в голове были мысли по поводу vsphere Сервера