Что делать если AD умер?

Question

[Сергей]

Не сталкивался сам с такой ситуацией, но иногда приходит в плохом сне. Действия по разворачивания парка одиноких обездоленных компов в новый AD?) Плюс интересно кто чем бекапит это дело и где про это вообще можно почитать

Уточню. Мне всегда было проще бекапить виртуалки. =)

Answer 1

[TheShestov]

Скажу то, что наилучший бекап КД - это еще один КД, дальше по цепочке. Позволяют ресурсы - разворачивайте еще. Для примера: никогда не держу 1 КД и всегда на разных "носителях" (подразумевая или другую физ.машину или другую вирт. машину, на другом носителе)
На данный момент: на ~60 рабочих станций - имею 3 контроллера домена. Из-за сложности в авторизации, в процессе запуска всей инфраструктуры (например после выключения питания у всего оборудования) - планирую поднять 4 КД.
Теперь представьте: у вас навернулось "ВСЁ", как вы говорите. В таком случае - восстанавливать - не из чего.
Насколько помню - восстановление КД, даже из снапшота виртуальной машины - катострафическая проблема и то с условием, что есть еще живые КД в сети. Поэтому снапшоты на вирт. машинах для КД - не используют. Ибо бесполезно.
Относительно "иного бекапа" - используйте софтверные решения, которые позволяют копировать данные каталога, но они опять-же помогут только в том случае, если у вас есть живой каталог, в который можно развернуть какую-то "пачку архивированных данных".
Бредни про домен с "аналогичными параметрами, учетными данными и прочее" - остались позади в прошлом. Извращенный вариант, который можно было использовать не более чем как костыль. Ныне это не работает и работать никак не должно. Каждая учетная запись, будь то пользовательская или учетка машины - это уникальный id - а не текстовые данные "логин-пароль", поэтому ничего "идентичного" создать нельзя.
Рекомендую аккуратно! поглядеть что из себя представляет все это добро в ADSI редакторе (adsiedit) и ГЛАВНОЕ! знакомьтесь ближе с механизмом работы AD, если вы хотите с этим работать на "ты". Попробуйте начать с MVA Microsoft. бесплатно, информативно.
И пейте седативное на ночь, чтобы ужасы не снились :)

Answer 2

[Alejandro Esquire]

Welcome to workgroup, son!!! =)

Comments

[ТыжСисАдмин]

Это вышая мера садизма :)

[Сергей]

встречный тупой вопрос. к вам пришла 1000 свежеиспеченных компов. на ней даже оси нету. подскажите пж, если не в лом, каким образом их все при установке ввести сразу в домен?) или вы по старинке будете каждый комп ручками пропихивать на регистрацию?)

[Александр Черных]

есть софтина newsid почитай как пользоваться

[ldv]

Сергей: если пир установке, то wds так может

[Константин]

ldv: wds святая штука. Весь прогресс идет от лени :)

[Aliaksandr Kazakou]

А как же MDT?

Answer 3

[Александр Черных]

давно когда-то, когда еще вин2003 был в моде у меня накрылся КД. пользовательские тачки входили в домен, авторизация пользователей в домене итд. Так вот, я ставил КД с нуля. Пользователь со своего компа при первом входе логинился несколько долго, но все прошло на ура. Раб стол, доки - все оказалось на месте. Ну а второй КД, таки да, нужен

Comments

[Сергей]

не совсем понял. был развернут тот же самый домен с нуля и он давал саморегистрироваться пользователям?

[Александр Черных]

да. в АД база пользователей забивалась вручную. файлы с настройками днс подкинул ему просто. Та у меня выхода небыло тогда...

[Сергей]

меня интересует момент связанный с входом пользователя в домен. допустим такого пользователя там нету. я не могу по какой-то причине забить 100 новых юзверей. пользователь вводит свои учетные данные и обращается к домену. типо "привет я вася пупкин пароль такой-то". можно ли дать кратковременно возможность на регистрацию любого юзверя на контроллере (если его там нет). возможно путем сторонних решений

[Александр Черных]

я забивал всех. на самом деле забить 100 не так долго. в группы их потом можно засунуть. сторонних решений не знаю. кароче, за ночь все делается :-) так на то и АД, что ты должен там представиться, и ссответственно получить права на ресурсы

[Илья Т.]

Какая-то странная история. Ну допустим вы пользователей с теми же паролями завели. А учетки ПК? А права на файловые, например, шары которые по сидам назначаются?

[NRinat]

Александр Черных: Очень сомнительно, что пользователи могли логиниться на новый контроллер))) Такое ощущение, что Вы что-то важное забыли нам дорассказать.

[TheShestov]

NRinat: так как это рассказано - то это не сомнительно, а нереально! Т.к. новый контроллер домена - знать не знает о всех тех машинах, которые на него пытались ломаться. Не говоря уже про пользователей. Бред полнейший.

[Александр Черных]

Собрал сегодня стенд для проверки своего же случая N-летней давности
на сервере установил win2003 std, поднял днс, поднял АД – домен test, завел пользователя user1
взял тачку с winxp sp3, ввел ее в домен test

моделирую падение КД
выключил winxp

переинсталировал сервер с нуля поднял днс, поднял АД – домен test, завел пользователя user1. Пароли administrator и user1 теже самые

включаю winxp логинюсь под доменнім user1, получаю ошибку
вход в систему не возможен

на winxp логинюсь под доменным administrator, захожу, вижу свой раб стол, папки \\server\netlogon \\server\sysvol доступны, разлогиниваюсь

на winxp логинюсь под доменным user1, захожу, вижу свой раб стол, папки \\server\netlogon \\server\sysvol доступны, разлогиниваюсь

на сервере в active directory users and computers-computers компа с именем winxp нет. И быть не могло-это ясно

на winxp логинюсь под локальным администратором, помним, что winxp в домене, которого нет, вернее есть КД с таким же именем. Делаю панель управления-система-индентификация. Прохожу этот квест. Перегружаюсь

на winxp логинюсь под доменным user1, захожу, вижу новый раб стол. В c:\documents and settings 2 профиля user1 и user1.test.
на сервере в active directory users and computers-computers компа с именем winxp появился

насчет имен шар, принтеров-в реестре можно найти эти ветки и импортировать их в новый реестр на серваке. Права-да придется раздавать по новой

[NRinat]

Александр Черных: Ну все правильно. Вы просто создали новый домен, идентификацией вы ввели комп в домен. У вас теперь все новое. Всю вашу инфрастуктуру нужно будет прицеплять к новому домену.

Вы же написали:"Пользователь со своего компа при первом входе логинился несколько долго, но все прошло на ура." -- этого не может быть, что в своем тесте вы и подтвердили. Но после введения в домен компа, все заработало. Но только это уже новый домен, ничего не имеющий со старым общего, кроме имени.
Все сиды, гиды и т.д новые )

[Александр Черных]

я хотел сказать, что не регистрируя комп а АД, user1 войдет на свой комп и спокойно будет пользоваться ресурсами которые выдает сервер, потому что пара логин/пароль совпадает, хотя комп и не есть членом домена. -- я об этом говорил. а что что после идентификации user1 получит новое окружение-так это тоже ясно....