cancer’s blog

Od razu uprzedzam – jeżeli kiedykolwiek przyjdzie Wam do gÅ‚owy reinstalacja głównego kontrolera domeny na Windows Serverze 2003 to dobrze siÄ™ zastanówcie. Niech to bÄ™dzie ostateczna ostateczność.

Prolog:
W firmie w której pracujÄ™, Windows Server jest jednym z ważniejszych serwerów. Jego głównym zadaniem jest rola kontrolera domeny. Dodatkowo obsÅ‚uguje SymfoniÄ™, MSSQL, pliki uzytkowników, VPNa, serwer wydruków i kilka(naÅ›cie) mniejszych lecz równie ważnych usÅ‚ug. JakiÅ› czas temu wychwalaÅ‚em jednÄ… z tych usÅ‚ug jakÄ… jest WSUS. PamiÄ™tajcie, że zawsze jednak bardziej stojÄ™ po stronie *NIXów wiÄ™c pochwaÅ‚a Microsftu na tym blogu to duża rzecz ;) W prologu także należy siÄ™ pochwaÅ‚a dla MS i caÅ‚ej sprawy domenowej. W skrócie (jeÅ›li wszystko dziaÅ‚a jak należy) to użytkownik ma swój login i hasÅ‚o, administrator przypisuje mu prawa i wÅ‚aÅ›ciwie user musi pamiÄ™tać tylko swoje hasÅ‚o. JeÅ›li oprócz logowania do komputera ma uprawnienia do logowania do VPNa – robi to tym samym hasÅ‚em, a Cisco PIX przy pomocy Radiusa autoryzuje go w sprawdzajÄ…c w Active Directory czy powinien. Tak samo dziaÅ‚a dostÄ™p do plików, drukarek itd. SÅ‚owem wszystko co da siÄ™ ożenić z Active Directory jest zarzÄ…dzane z jednego miejsca. Dołóżmy do tego zarzÄ…dzanie stacjami roboczymi, wprowadzanie polityk i uaktualnieÅ„ i dostajemy caÅ‚kiem fajny produkt. Gorzej jeÅ›li coÅ› nie dziaÅ‚a, a najgorzej jeÅ›li nie dziaÅ‚a i nie wiadomo dlaczego oraz jak temu zaradzić. Tak też siÄ™ staÅ‚o. PomijajÄ…c już problem z samym serwerem a dokÅ‚adnie z uwalonym dyskiem od jednego RAIDA, który udaÅ‚o siÄ™ rozwiÄ…zać w 2h. Otóż, nasz przeÅ›wietny serwer po uruchomieniu dziaÅ‚a sobie kilka godzin, lub kilka minut. Po pewnym nieokreÅ›lonym czasie uzytkownicy traca do niego dostÄ™p i np nie mogÄ… zapisać już otwartych plików, przestajÄ… dziaÅ‚ać drukarki. Zdalny dostÄ™p jest, ale po podaniu usera i hasÅ‚a zostaje niebieski ekran i oczekiwanie w nieskoÅ„czoność (zarówno zdalnie jak i lokalnie na konsoli). CTRL+ALT+DEL nic nie daje. Wszystko jest w dowolny sposób wymiaszane w kolejnoÅ›ci i w czasie. Po tygodniu zgÅ‚ebiania problemu i kilkunastu restartach dziennie zapadÅ‚a decyzja o reinstalacji.

Co się działo po tej decyzji:
MuszÄ™ przyznać, że byÅ‚a to pierwsza reinstalacja w mojej karierze tego typu, czyli z peÅ‚nym zachowaniem wszystkiego. Przez caÅ‚y piÄ…tek i poniedziaÅ‚ek zrobiÅ‚em listÄ™ rzeczy do zbackupowania oraz innych spraw o których należy pamiÄ™tać. Lista uruchomionych usÅ‚ug, zainstalowanego oprogramowania itd. Po analizie wyszÅ‚o mi, że jak zaczniemy o 18 w poniedziaÅ‚ek to na 7 we wtorek wszystko powinno Å›migać i zostanÄ… tylko jakieÅ› drobiazgi do wyeliminowania. W miÄ™dzyczasie postawiÅ‚em drugi tymczasowy serwer 2003, dodaÅ‚em go jako kolejny kontroler domeny aby zreplikowaÅ‚ siÄ™ Active Directory oraz ustaliÅ‚em na nim DFS aby zreplikowaÅ‚y siÄ™ dane ze wszystkich dysków. Replikacja AD poszÅ‚a sprawnie, dane przesyÅ‚aÅ‚y siÄ™ po gigabicie od piatku rana do okoÅ‚o 18 w piatek. ByÅ‚o tego okoÅ‚o 400GB tak wiÄ™c caÅ‚kiem sprawnie jak na maszynÄ™ obciążonÄ… innymi zadaniami i co jakiÅ› czas resetowanÄ…. Po caÅ‚kowitej synchronizacji sprawdziÅ‚em wydajność replikacji DFS przez tworzenie plików i katalogów na starym serwerze i patrzeniu jak szybko pojawiÄ… siÄ™ na nowym. WypadÅ‚o to nieźle ponieważ dla pojedynczych plików czas pomiÄ™dzy przeÅ‚Ä…czeniem siÄ™ miÄ™dzy zdalnymi pulpitami wystarczyÅ‚ aby plik znalazÅ‚ siÄ™ w odpowiednim miejscu. Po godzinie 18 sprawdziliÅ›my jeszcze czy wszystko siÄ™ zreplikowaÅ‚o oraz dla pewnoÅ›ci wykonaliÅ›my peÅ‚en backup na taÅ›mÄ™ 400GB. PeÅ‚en backup w nocy wykonuje siÄ™ okoÅ‚o 3h, tym razem wykonywaÅ‚ siÄ™ okoÅ‚o 4 i pół. Z perspektywy mogÄ™ powiedzieć, że byÅ‚ on caÅ‚kowicie nieprzydatny, a dane zgrane przez DFS w zupeÅ‚noÅ›ci wystarczyÅ‚y. Przed taÅ›mÄ… jeszcze backup wszystkich baz MSSQL także zabraÅ‚ prawie dwie godziny. Koniec koÅ„ców przed 24 mogliÅ›my zacząć faktycznÄ… reinstalacjÄ™. Aby byÅ‚o super, zdecydowaÅ‚em siÄ™ także na update BIOSu DELLa oraz jego kontrolera SCSI. Kontroler wymagaÅ‚ update’u ponieważ Openmange Server meldowaÅ‚ o niezgodnoÅ›ci oprogramowania. Update z dyskietek skoÅ„czyÅ‚ siÄ™ miganiem diody od bÅ‚Ä™du na obudowie Della. OkazaÅ‚o siÄ™ także, że jest wersja Windowsowa do aktualizacji biosów. NależaÅ‚o uruchomić zatem serwer jeszcze kilka razy (a minuty lecÄ…). Windowsowy update poszedÅ‚ bez problemu, natomiast byÅ‚ dość czasochÅ‚onny. Na koniec jeszcze dcpromo aby obniżyć rangÄ™ serwera i przetransferować kontrolÄ™ na serwer tymczasowy. PoszÅ‚o to także bez problemu natomiast zrobiÅ‚o sie grubo po północy. Po zalogowaniu siÄ™ i upewnieniu, że serwer zostaÅ‚ już tylko czÅ‚onkiem domeny, nadszedÅ‚ upragniony czas reinstalacji. Instalacja odbyÅ‚a siÄ™ bezproblemowo, instalator wykryÅ‚ PERC’a bez problemu wiÄ™c tu mamy do przodu, ale czas na przebudowe raidów znowu nas spowolniÅ‚. Szczęśliwie po zalogowaniu trzeba byÅ‚o dograć tylko sterownik karty sieciowej i streamera. Aby mieć dobrÄ… bazÄ™ wyjÅ›ciowÄ… zainstalowaliÅ›my wszystkie poprawki Å‚Ä…cznie z Service Packiem 2 dla 2003. Nie muszÄ™ mówić, że znowu czas potrzebny do instalacji wszystkiego okazaÅ‚ siÄ™ o wiele dÅ‚uższy niż zakÅ‚adaliÅ›my. W koÅ„cu przyszedÅ‚ czas na dcpromo i dodanie nowego serwera do istniejÄ…cej domeny na serwerze zapasowym. I tu zonk. Po wskazaniu domeny oraz podania hasÅ‚a i usera, który ma prawa aby doÅ‚Ä…czyć kontroler komunikat – nie można znaleźć domeny. No tak, nie ma serwera DNS na zapasowym, szybko postawiony DNS nie rozwiÄ…zaÅ‚ problemu. Zaczęło robić siÄ™ nerwowo, jest już poważna noc a wÅ‚aÅ›ciwie wczeÅ›nie rano (koÅ‚o 3-4) a tu nawet AD nie chce dziaÅ‚ać… W czasie rozwiÄ…zywania problemów z DNSem zaczeliÅ›my zgrywać przez sieć dane uzytkowników, o dziwo w drugÄ… stronÄ™ szÅ‚o to strasznie wolno. Po półtorej godzieni udaÅ‚o siÄ™ ruszyć DNS na tyle, że nowy kontroler w koÅ„cu znalazÅ‚ zapasowy serwer. OkazaÅ‚o siÄ™, że w głównej mierze odpowiedzialny za to byÅ‚ Windows Firewall. Dziwne o tyle, że nie powinien siÄ™ wÅ‚Ä…czyć ponieważ tak byÅ‚o ustawione GPO, dodatkowo komunikaty od dcpromo wskazywaÅ‚y na coÅ› zupeÅ‚nie innego. Nic to jednak, system zalogowany do domeny jako kontroler domeny! Yaaay! No to teraz dcpromo na zapasowym aby obniżyć go do czÅ‚onka z kontrolera. PoszÅ‚o to sprawnie lecz… caÅ‚a konfiguracja zreplikowaÅ‚a siÄ™ nie wiedzieć czemu na serwer oddalony o 35 km od Poznania – do SzamotuÅ‚, po vpnie, na Å‚Ä…czu 128 kbs. Tak wiem, lame trochÄ™ :) trzeba byÅ‚o odÅ‚Ä…czyć kabelek, lub chociaż zrestartować SzamotuÅ‚y, albo skasować poÅ‚Ä…czenie w Sites and Services. No trudno, staÅ‚o siÄ™, odkrÄ™cÄ™ później. Rzecz w tym, że teraz dostÄ™p do usÅ‚ug katalogowych odbywa siÄ™ przeraźliwie wolno i przez przysÅ‚owiowe “do Warszawy przez Szczecin” czy jak to leciaÅ‚o. Kolejne minuty lecÄ…, kolejne usÅ‚ugi sÄ… doinstalowywane. DHCP, DNS. Tak wiÄ™c godzina 6:40 wybiÅ‚a, pojawiajÄ… siÄ™ pierwsze koleżanki ksiÄ™gowe, my mamy AD z zespoÅ‚em Downa lub Autystyczne, ledwo dziaÅ‚ajÄ…ce DHCP oraz okoÅ‚o 70% plików użytkowników. JesteÅ›my po prostu zajebiÅ›ci! W przeciÄ…gu najbliższej godziny udaÅ‚o siÄ™ przywrócić DHCP i DNS aby dziaÅ‚aÅ‚o Å‚adnie po AD. Userzy mogÄ… już siÄ™ logować. Wspinamy siÄ™ na wyżyny naszej wiedzy i nawet skróty do udziałów dziaÅ‚ajÄ… bez modyfikacji. 70% danych jest wystarczajÄ…ce aby ksiÄ™gowość pracowaÅ‚a, w tle dogrywamy inteligentnie resztÄ™ – ważne katalogi najpierw, nieważne później. W trakcie walki z Szamotulskim serwerem, który skutecznie odmawia dcpromo ponieważ nie widzi Poznania (chociaż caÅ‚y czas siÄ™ z nim replikuje debil!) doinstalowujÄ™ kolejne usÅ‚ugi, File Server, Print Server etc. O godzinie 9 mamy już prawie dziaÅ‚ajÄ…ce drukarki (również prawie bez zmian na kilkudziesiÄ™ciu klientch, dobra nasza!). HR w miÄ™dzyczasie zaczyna ukÅ‚adać sobie papiery na półkach z braku dostÄ™pu do Symfonii. Ja w tym czasie dwa razy instalujÄ™ MS SQL’a ponieważ ten przeÅ›wietny program w poÅ‚Ä…czeniu z SymfoniÄ… musi mieć locale ustawione na polski gdyż inaczej nie da rady zainstalować bazy Symfonii. OczywiÅ›cie potzrebne sÄ… service packi itp. Gdy w koÅ„cu Enterprise Manager rusza, i można restorować bazy jest już chyba po 12, zaczyna dawać o sobie znać kryzys niewyspania. Zaczynam siÄ™ poważnie wkurzać na AD i SzamotuÅ‚y, kontakt ze znajomym MVP (Hi nixtone ! ;) owocuje garÅ›ciÄ… przydatnych linków odnoÅ›nie rół serwera. Udaje siÄ™ przetransferować rÄ™cznie 2 z 3 ról. Kontroler Schematów niestety nie chce siÄ™ transferować. Cholerna Symfonia z SQLem jest tak powolna, że kilkuset megowe bazy restorujÄ… siÄ™ kilka godzin. Po jakimÅ› czasie Kontroler Schematu zgÅ‚asza siÄ™, że można go przetransferować. Go! Kontrolne dcpromo w SzamotuÅ‚ach – brak bÅ‚Ä™du, że to już ostatni kontroler domeny – mam ciÄ™! Tymczasowego serwera nie ma, wiÄ™c dcpromo na 100% zreplikuje i przetransferuje mi AD do Poznania. W miÄ™dzyczasie po instalacji softu do sieciowego skanowania do pdf na serwer, wymagany jest restart. Bardzo zÅ‚a decyzja, serwer wstaje bez problemu natomiast wisi okoÅ‚o godziny na “Preparing Network Connections”. W tle dokonuje siÄ™ transfer AD, kontrolera domeny, ról i co tam jeszcze. UsÅ‚ugi dziaÅ‚ajÄ…, użytkownicy nie narzekajÄ…, ale nie ma dostÄ™pu do serwera. Staje siÄ™ jasne, że nie wyjdziemy planowo o 16. Kiedy koÅ‚o 14:30 serwer w koÅ„cu wstaje, sieć dostaje niesamowitego kopa, nie czeka siÄ™ już kilka(naÅ›cie) sekund na zapisanie czegoÅ› na serwerze (poprzednio AD z SzamotuÅ‚ sprawdzaÅ‚o czy user z Poznania może zapisać w Poznaniu :). PozostaÅ‚o do zrobienia – VPN, skanowanie i Symfonia, to jest mission critical, pomniejsze sprawy mogÄ… poczekać. Skaner udaje siÄ™ uruchomić po 16:30, VPN prawie chodzi, ale ostatecznie zaczyna dziaÅ‚ać (znowu bardzo szybko, o wiele szybciej niż poprzednio) w Å›rodÄ™ rano.) Koniec restore baz kadrowych koÅ„czy siÄ™ po 18 we wtorek! Symfonia zaczyna dziaÅ‚ać okoÅ‚o 10 w Å›rodÄ™. Wychodzimy z firmy przed 19 we wtorek po 34 h non stop przy monitorach. Krótki sen i dokoÅ„czenie konfiguracji w Å›rodÄ™. Teraz jest czwartek i pozostaÅ‚a kosmetyka oraz kilka usÅ‚ug nie tak ważnych z punktu widzenia użytkowników.

Epilog.
Jak widzicie skoro mam czas na napisanie tego, to wszystko dobrze się kończy. Najważniejsze pytanie, czy warto? Teraz mogę powiedzieć, że tak. Serwer działa stabilnie, i wydajnie. Przywracanie go do stanu używalności obciązało go maksymalnie i ani razu nie odmówił działania ani się nie zawiesił. Wyeliminowany został także główny powód reinstalacji czyli niewiadome odmowy usług. Serwer działa także zauważalnie szybciej oraz ma sensowniej porozdzielaną przestrzeń dyskową. Istotne jest także to, że własnoręcznie zainstalowany system działa bardziej przewidywanie, a Administrator wie co w nim piszczy. Pozostaje tylko pytanie dlaczego nawet na potęznych maszynch Windows jest tak strasznie powolny. Odtwarzanie baz SQL to koszmar, Active Directory i jej transfer jest tak nieintuicyjny i czasochłonny jeśli nie jest w tej samej sieci a przy tym upierdliwy (robi się przy starcie systemu zamiast po starcie). Następnym razem (który mam nadzieję nie nastąpi) trzeba będzie lepiej oszacować czas aby nie wystawiać się na gniew użytkowników i zwierzchników. Ostatecznie jednak, pomijając jeden dzień bałaganu w firmie, wszystkim wyszło na dobre. Administratorzy mają spokój z serwerem i kilka spraw uporządkowanych, serwer działa odpowiednio szybko i stabilnie, użytkownicy nie tracą danych i nie mają przestojów przez brak połączenia. Mam nadzieję, że ludzie nad IT także to dostrzegają ;)

[donate]

Popularity: 9% [?]