Перевод сети на домен
 

В организации до 100 компьютеров; 30 из них в головном офисе, остальные - по 10 региональным центрам. Компы разные - от Р2 до Р4: ОС - 98, 2000, ХР.
Все компы соединены простой локалькой (центры - через тарелок канопи), в головном стоит база на Аксессе. Сеть кишит вирусами, работает нестабильно.
Готовится новая база.
Надо "перестроить" сеть на доменную, с Сервером 2003, АД и пр. Работу остановить нелзя (максимум на 1 день).

Какие будут советы и предостережения? На что можно наткнуться/споткнуться?

Планы у меня такие: делаем обход с инвентаризацией во всех офисах, осмотры и т д., готовим дистрибютивы соответствующие и аппаратуру если надо (не везде CD будут работать, и от USB не у всех поддержка будет), потом второй обход - отключаем офис от сети, переустановливаем все (98 ликвидируем, ХР оставляем), ставим касперского триал, подключаем к сети, уходим в другой офис. Параллельно работают 3 группы, успеваем за день.
Потом надо приготовить сервер, заранее создать юзеры, группы, полисы и все такое, поднять сервера и ввести все компы в домен, поставить корпоративный антивир (кстати, насколько правильно решение в пользу касперского? хотя изменить ничего не могу - куплен уже оказывается) и админовские штучки, удалить триалы и т д. Это уже надо сделать незаметно - больше останавливать не дают.
Такие дела. Если у ког есть такой опыт, какие бывали неожиданности?

Могу как альтернативу предложить собрать сервер для начала, на нем поставить АД+RIS. Создать образ винды(с драйверами и автоматической установкой, типа штоб не вводить всякую муть в начале), далее на сервере создать пакеты ПО, которые необходимо поставить на все компы(офис, каспера и тд). Настроить установку этого ПО с помощью групповыйх политик.
Результат - приходит человек к компу, залогинивается на RIS при загрузке по сети, вводит имя машины и идет к следующей машине. ИМХО, КПД обновления парка компов возрастет в разы и можно задействовать меньшее число человеческих ресурсов:)

Вот если c группами еще туда-сюда, то пользователей мы потом начали добавлять непосредственно при включении ПК в домен. От имени администратора домена. (Может неопытные были, может что. Win2k server, до сих пор работает) Заморочку от и до не помню, но что были грабли - факт. Сетку похандрит маленько и отпустит ;)
maxo, продумай политику переподключение принтеров! Ибо грабли те еще. Спорный вопрос включать их в AD или нет. Сетевые НР (у нас их, HP, подавляющее большинство, сетевых и нет)- отдельная песня, но и с ними можно побороться. Если будут терминальные подключения, то очень внимательно отнесись к проблеме драйверов для 64х битных систем. (Драйвер принтера придется устанавливать в терминальной сессии, а она 64х битна) Если я правильно помню, необходимо на 2003 сервере для ПК прописать какой-то адрес (сейчас точно не вспомню, надо справку читать) при инвентаризации это необходимо учесть. Тогда ПК можно будет управлять и устанавливать ОС по сети. + в нагрузку DHCP сервер и маршурутизацию на узлах связи.
Сеть с единым IP пространством? Или же все-таки фрагментирована на подсети с доступом через (прозрачный?!) шлюз?
(вот сердцем чую- бред написал, ну а вдруг бывает)
Я к чему - DHCP запрос дойдет ли до сервера? Ситуацию проверить и уточнить.
50/50. Просто поставь в нагрузку еще чего-нибудь. (двойной брандмауэр, двойной антивир. ) Я не знаю с чем он дружит, надо на форум оф.сайта залезть. Глянь на emsisoft Сразу же пробумать политику доступа приложений в сеть. Оставлять это на усмотрение пользователей нельзя. Т.к. они разрешат все, лишь бы не мешало.

Продумай backup документов пользователей. А то от форматитрования еще никто не уходил ;), и общее дисковое пространство сервера, подключаемое какой-либо буквой. (Это на будующее) Кстати лучше писать через \\server\share нежели \\IP\share
-------------------
Лучше день потерять, потом за 5 минут долететь отладить, протестировать, потом все настроить. Т.к. придется работать конвеерно, и времени на отладку никто не даст.

Ты наверно имел в виду што на DHCP сервере нужно указывать 2 дополнительных параметра 066 и 067, один(первый) указывает ip RIS сервера, второй - загружаемый файл. Больше ничево не надо.
Да, это реально самая нужная вещь! Сам маялся, пока толком не реализовал эту бяку.
Я все таки подозреваю, што сеть маршрутизируемая, а у DHCP есть такая штука как DHCP Relay - поэтому все эти 100 машин загоняй в одну сетку(ну грубо 10,10,0,0) и разделяй на подсети по офисам.
Насчет обхода - "больная тема". Ноги админов надо беречь!!! Пусть лучше обход сделает программа, типа checkcfg
Ну если канал широкий, то все нармуль будет ;)

Вот, кстати LXA85 затронул тему про принтеры, у меня мысля родилась - пусть они сами подключаются к пользователю! Нафиг самому ходить и подключать? Если этот момент интересен, то у меня есть наработки в этой области, совместно с HLT - последний пост

Одни благодарности, ребята, немножко воспрянул духом, ато только и слышал со всех сторон, что "не сделаешь, будут проблемы и т д".

Теперь если по порядку - начну с обхода. В первую очередь делаем это, с среды по пятницу. Вообще у меня выделяется 3 этапа:

• Инвентаризация
  Переустановка
  Переход на домен

Ноги админов беречь не получится, поскольку надо посмотреть все вживую - и проводку, состояние аккумуляторов в упсах, сидюк может и стоит, но как работает и т д. тут целая поема у меня что надо делать на местах. К тому-же надо с юзерами поговорит, опросники готовлю, вобщем от этого не уйти.
Все это я буду документировать, потом анализировать - что было и как, какие были трудности и неожиданности, какие работы может зря провели, какие - упустили, и все это выложу если совесть не потеряю к тому времени.

Про backup хорошо напомнили. Кстати бэкапит юзеров я делаю с помощью Неро - странно, но это система, где все через не то место, не содает никаких проблем и делает "вкусно" все.

Принт-сервер не делаю пока, тут чуть ли не к каждой машине принтер подключен (кроме головного офиса).

с этим RIS-ом чую надо разобраться, раньше не встречал. Может кинете ссылку? хоть и я поищу, но лучше если есть наготове испробованная (все мы падки до готовых)))

дело в том, что машин редко двух одинаковых встретишь тут. С другой стороны, та поголовная переустановка пройдет раньше чем сервер будет, кажется, и ни о каких ГП речи нет. Есть смысл в таком случае делать Ваш вариант (все-так заманчив очень)?

Сервер, как сказал, пока не маячит, так что все вопросы по АД и т п пока отложени, но готовиться начну как только инвентаризацию закончу.

Терминальных подключений не будет, 64х битных систем - тем более.

Сеть - единая, одноранговая, 169.254.1.ХХХ. Плюс альтернативный 192.168.1.ХХХ - это для интернета, не на всех машинах он подается. Так вот был решен этот вопрос :). Но по моему это так и оставлю с определенными изменениями - хоть и выглядит дико, но работает. Ясно, что DHCP отпадает сам с собой, вообще я его не ярый, но так, умеренный противник.
Одну машину тут выделил - интернет пущу через него, завтра (по плану) Траффик инспектор ставлю и разберусь что это дасть.

По моему ТИ и тут поможет, у Вас есть опыт его использования?

да, сеть нормальный, и тарелки работают на ура. Есть правда проблемы, но в основном чисто технические, всех их поправим в пределах инвентаризации, и сеть где надо подправим, так что этап переустановки сеть всретит в хорошем состоянии.

Вот такие вопросы на первом этапе (выделил болдом). Потом вдох, и дальше :)

Бес проблемм: рас; два; три(для интереса).
Если никак насчет RIS, но автоматизация привлекает, можно сделать так.
В принципе в 2 словах развертывать RIS просто - установить все по дефолту, залить на сервер образ винды, добавить в DHCP сервер параметры 066 - имя RIS сервера и 067 - путь к файлу загрузки(типа \OSChooser\I386\startrom.com).

Есть, вот зуб даю, есть смысл - ибо сэкономишь в разы меньше времени на установку.

Да, но ведь пока нет сервера. Можно конечно на какой-нить поставить как сервер и попробовать, но тут не до проб - нет никакой страховки. Офис нелзя остановить, так что переустановку лучше я сделаю дедовским методом, заодну и практиканты опыту наберутся, а потом буду потихоньку к этим пилотажам подкрадываться, со след. недели.

Ссылки посмотрел, нахожусь в эйфории :)
Поскорее бы закончить инвенту.

Да, если нет полигона для тестов, то лучше идти по протоптаной дороге - как гворится медленно но верно, товарисчи ;)
запасайтесь пивом :)

Я поднимал домен в несколько приемов. Времени ушло примерно месяц. Все упирается в эксплуатируемые задачи. Мне выделили поддомен (контора довольно-таки большая). + интернет подается через проки/шлюз на freebsd. Названия доменов (интернетовский и windows) не совпадают. А у тебя могут и совпадать.
Шаг номер один - поднятие контроллера. Прописываем туда всех пользователей и группы.
Дальше вводим в домен остальные серверы. Если не устанавливать им роль контроллеров домена, то ресурсы будут доступны как по-новому, так и как прежде. Т.е. после ввода серверов в домен формируем доступ к ресурсам уже на уровне домена, оставляя старый доступ (порезать можно потом).
После чего уже можно подключать рабочие станции. Я заранее озаботился тем, чтобы перевести всех на 2000-й и ХР. К моменту поднятия домена 98-й у меня уже не было. Подключение станций как раз затянулость на месяц.
И еще, крайне желательно поставить второй контроллер домена.

ЗЫ. меня было около десятка серверов и немногим больше полсотни станций

Полигон будет, если первые два этапа пройдут гладко. Если сеть поправится, потом даже какие=то промахи простят (или посчитают что так надо))), а если с самого начала напартачить - конечно не то.
потому пока лишнее не беру - сеть все равно мне доделивать, на полпути не оставлю.

Траффик Инспектором не пользовались?

Совпадут

Серверов больше одного не будет. Соответственно и контроллеров (сначала по крайней мере), а вообще желательно конечно. Можно на один сервер поставить два контроллера, но смысла как-то не вижу пока, если увижу - сделаю. Может есть соображения (в случае не-датацентра)?

Честно говоря не представляю что так долго, повторюсь: теперь конечно условия другие, но месяц думаю не понадобится. Не пугайте меня :)

Тут не совсем понял - доступ чего к чему?

не, не люблю продукты типа all-in-one. Все должно быть в меру.

У меня была задача - поднять домен "на горячую", перерывы в работе не допускались. Главное было обеспечить бесперебойный доступ к серверным ресурсам (шарам, базам данных, почте). Т.е. на время перехода на серверах оставались локальные группы и пользователи наравне с доменными.И это без резервирования домен контроллера?

А вы знаете что стандартный DC выполняет до 6 ролей (т.е по сути это 6 процессов-контроллеров)?

Контроллер объектов домена
Контроллер схемы
Контроллер именования доменов
Контроллер относительных идентификаторов
Контроллер-эмулятор PDC
Контроллер инфраструктуры
+
DNS
DHCP

А каталог AD-состоит из трех независимых разделов (т.е. по сути это три базы)?
Раздел именования домена
Раздел именования конфигурации
Раздел именования схемы (индивидуален для каждого леса)
=============================================================
Это я к чему.
Развертывание AD для одного офиса из 100 компьютеров и сети из 10 офисов, по 10 компьютеров в каждом - это РАЗНЫЕ задачи, хотя число Workstation в обоих случаях идентичны.

Да, еще пара моментов, которые отняли некоторое количество времени.
Штатное средство копирования локальных профилей (локального пользователя на доменного) работает с нюансами. Не переносятся почтовые базы и профили подключения оутглюков. После входа доменным пользователем (для создания базового профиля) перед копированием нужного профиля ХР приходится перезагружать.

Аппаратные all-in-one я тоже не люблю (как нож+кусачка+отвертка..., так и принтер+сканер+утюг), но с программными такое не испытываю.

У меня задача поскромнее - как сказал выше, работает единственная база на аксессе, пермишны ее-же средствами, и никаких особых профилей и документов, так что трудностей не будет. Единственное что меня напрягало - это как будет вести себя сеть, где часть машин в домене, остальные - локал. Похоже, что и тут не возникали проблемы, нерешаемые по крайней мере. Правильно я понял? Если КД так или иначе разрешит локальному гостью пользоваться серверными ресурсами, то больше мне ничего и не надо. Это было одним из моих основных проблем, потому и очень важно мне это знать от тех, кто это проходил.

Ну для начала да. Второй сервер никто не даст :(. А на потом я присмотрел машину одну - если удастся ее приголубить, с нее можно будет сделать резервный КД, если нет, пожертвую (частично) собственные ресурсы. А что делать!

Замечу, что я говорил, что не вижу смысла делать на одной машине 2 контроллеров домена.

Это разные задачи, когда стоят разные задачи. В моем случае организационное и географическое деление на офисы никак не отразятся на архитектуру сети, разве что на ГП-ах.

----------
А теперь, что касается текущего положения дел - этап 1 закончен - инвентаризацию провели. Правда я простудился и все 3 дня кровать "инвентарил", но и участвовал виртуально. С понеделника начну анализировать что там ребята собрали по центрам. Если кому интересно, могу выложить план, порядок работ, формы (их 4, в т ч опрос пользователей), результаты обработки и сделанные выводы, разработанные на их основе требования и рекомендации к предприятию, программу тренингов и субъективную оценку общего эффекта. Все это может быть интересно тем, кто делает ИТ-аутсорсинг, и думаю не только тем.
Ну и о дальнейших делах буду сообщать конечно, Вы мне очень помогли и помогаете, может и это кому-то пригодится.

Нормально, точнее предсказуемо.
Главное проинструктировать админов сразу.

С одной стороны, желательно, сразу ввести в домен машины содержащие общие ресурсы, дабы на вопрос: "Какой же пароль. к данной шаре, доменный либо локальный?", ответ был только один.

С другой стороны, очень, очень стремно работать с одним контроллером в мультисайтовой среде (многоофисной).
Опять, же трафик вырастет, если не будет локальных DC.
И самое похабное, операции аутентификации не требуют большой полосы пропускания, но достаточно чувствительны к времени задержки, а т. к. сами тикеты kerberos тоже времязависимы, то если сервер предоставляющий ресурсы не может аутентифицировать операцию (именно операцию) на DC, то сообщения об ошибках будут выдаваться самые причудливые.

-------------------------------------------------------------------------------
Собственно эта тема многократно обсосана, что контроллеров должно быть как минимум два на сайт.
В случае применения exchange или инных продуктов backoffice необходимо наличие отдельной пары контроллеров схемы.

Вобще для контроллеров домена необходимы самые дохлые машины, но они должны заниматься только этим и ни чем инным.
Неужель в конторе не найдется двух задрипанных машин с 256МБ памяти и 1000 celeron?

Найдется, только тут на некоторые политические вопросы упырается, но решаемы все таки наверно будут.

за день всяко не поднимешь, очень много подвоных камней и проблем будет возникать, о которых даже ты не догадывался. Как будешь первый раз ставить - обязательно с ними сталкнешься. Самая первая проблема с которой сталкнешься: компьютер не будет видеть домена ну и тд и тп.

В связи с этим самое первое действие по решению проблемм - www.forum.oszone.net :biggrin:

Какой не будет видеть - который введен в домен или который еще нет?

Судя по всему, человек имеет в виду, что в сетевом окружении компьютера рабочей группы, будут отсутствовать станции введенные в домен, и для того чтобы добраться до них, нужно будет "пощелкать" в сетевом окружении.

Ну это не проблема, важно лишь чтоб ресурсы домена так или иначе видны были из группы. Да и ресурсы сначала будет только база на аксессе.

Хотя бы при вводе в домен станции будет выпадать информация типа "указанный домен не найден". Нужно правильно настроить фаервол(открыть порты, на которых работает домен) и указать в настройках протокола адреса ДНС серверов. А еще нужно время чтобы изменения в домене вступили в силу или опять надо знать волшебную команду gpupdate / force. Ну вот трудности с которыми я сам сталкивался, мучался жутко, пока не осилил.
И это только начало....
потом пойдут проблемы как дать пользователю права на локальной машине, ведь все подключающиеся пользователи домена имеют права пользователя на локальной машине...
Потом разветывание софта через ГПО.... Паковка перепаковка пакетов установки....

Главное, чтобы она была не на контроллере. А то придется цепляться к серверу через указание домен\юзер. Т.е. крайне желательно сразу прописать в домене всех пользователей и группы.

Этот момент можете уточнить?

Легко :)
При входе на сетевой ресурс доступный только доменным пользователям с компа, который не в домене, в ответ на приглашение авторизоваться, в поле "пользователь" надо вводить имя доменного пользователя в указанном формате, в поле "пароль" - доменный пароль указанного пользователя.