Job / Praca

    Windows Server + GPO + LogIN/OFF Script + XCOPY Incremental Backup

    W du?ym przedsi?biorstwie zadbanie o backup serwerów i stacji roboczych to do?? istotne przedsi?wzi?cie. U?ytkownicy raczej nie s? ?wiadomi, ?e powinni robi? kopie tego co wa?ne. Po czym wnosz?? Po prawie 4 latach pracy jako Admin w du?ej korpo, na palcach jednej r?ki mog? policzy? osoby które zapyta?y si?, jak lub gdzie maj? zgrywa? swoje dane lub poprosi?y o kupno np dysku USB. Zatem dbamy. Serwery opisz? kiedy indziej – rsync, tar, certyfikaty do ssh, mt – raczej s? znane i stosowane, dodatkowo mo?na zastosowa? bonding do zwi?kszenia transferu, ale o tym jak ju? pisa?em – kiedy indziej.

    Dzisiaj prosty sposób na u?ycie polityk Windows Serwera do kopiowania plików u?ytkowników na zdalny storage w mieszanym ?rodowisku Windows 7 i Windows XP.

    Co to b?dzie robi?o:
    – rozpoznaje jakiego u?ywamy Windowsa :)
    – rozpoznaje czy katalog z nazw? u?ytkownika jest ju? stworzony , je?li nie – tworzy.
    – w katalogach u?ytkownika dzieli na podkatalogi „dokumenty” i „pulpit” aby nie by?o ba?aganu.
    – wy??cza potwierdzenia kopiowania plików na istniej?ce pliki
    – kopiuje tak?e pliki ukryte
    – po pierwszym kopiowaniu nadpisuje tylko te które si? zmieni?y lub dodaje nowe.

    Skrypt BAT wygl?da tak:

    IF EXIST %userprofile%\Documents GOTO BackupWin7

    :BackupWinXP

    IF EXIST \\storage\data\%username% GOTO TylkoKopia
    mkdir \\storage\data\%username%
    xcopy /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d
    xcopy /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d
    :TylkoKopia
    xcopy /Y "c:\Documents and Settings\%username%\Moje Dokumenty" \\storage\data\%username%\dokumenty /e /i /h /d
    xcopy /Y "c:\Documents and Settings\%username%\Pulpit" \\storage\data\%username%\pulpit /e /i /h /d
    Goto EOF

    :BackupWin7
    IF EXIST \\storage\data\%username% GOTO TylkoKopia7
    mkdir \\storage\data\%username%
    xcopy /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d
    xcopy /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d
    :TylkoKopia7
    xcopy /Y "c:\Users\%username%\Documents" \\storage\data\%username%\dokumenty /e /i /h /d
    xcopy /Y "c:\Users\%username%\Desktop" \\storage\data\%username%\pulpit /e /i /h /d
    Goto EOF

    :EOF

    Zdalna lokalizacja to oczywi?cie storage – trzeba dopisa? swój serwer lub IP gdzie ma si? kopiowa?, lub dopisa? do swojego DNS’a IP do maszyny która b?dzie nazywa? si? storage.

    /Y – wy??cza promptowanie o potwierdzenie nadpisania pliku
    /D – bez podania czasu dzia?a jak incremental backup

    Pierwszy IF EXIST na podstawie katalogu Documents sprawdza czy u?ywamy Windows XP czy 7. Nast?pnie w odpowiednich blokach IF EXIST sprawdza czy jest na serwerze storage katalog z nazw? u?ytkownika, je?li nie ma tworzy j? i zaczyna kopiowanie. Je?li jest, po prostu zaczyna kopiowanie.

    Skrypt nale?y zapisa? na serwerze w miejscu dla login lub logoff skryptów (odpowiedni katalog otworzy si? przy dodawaniu skryptu do GPO).

    W zale?no?ci od potrzeb podczepiamy skrypt na logowanie lub wylogowywanie. Przy wylogowywaniu backup nast?puje zaraz po zako?czeniu pracy. Je?li u?ytkownik u?ywa komputera stacjonarnego to jest to najlepsza opcja, wy??cza komputer, idzie do domu, komputer kopiuje to co trzeba i si? wy??cza. Gorzej je?li to laptop i u?ytkownik chce go zabra? i musi czeka?, wtedy lepiej da? skrypt jako login. Skrypt odpali si? jednocze?nie z logowaniem i b?dzie dzia?a? w tle umo?liwiaj?c prac?. Mo?na doda? @echo off na pocz?tku aby nie by?o widoczne stado lataj?cych plików :)

    Implementacja na Windows Serwer:

    1. gpmc.msc
    2. Wybieramy odpowiednie OU
    3. Prawy klawisz na OU – Create And Link GPO Here…
    4. Nadajemy nazw?
    5. Prawym klawiszem na nazwie
    6. Edit
    7. Wybieramy User Configuration
    8. Wybieramy Windows Settings
    9. Wybieramy Scripts(Login/Logoff)
    10. Dwa razy klikamy na wybranym skrypcie (login lub logoff)
    11. W Logon lub Logoff Properties Wybieramy Add..
    12. Wybieramy Browse.. i wybieramy skrypt do wykonania. (Je?li go nie ma to w?a?nie w tej lokalizacji ma si? znale?? – trzeba go tam wkopiowa?).
    13. OK i zamykamy edycj? GPO.
    14. W shellu uaktualniamy polityki – gpupdate /force

    Próbujemy si? wylogowa? lub zalogowa?, efektem powinny by? katalogi u?ytkowników na zdalnym storageu.

    root@storage:/data/samba# ll
    razem 44
    drwxrwxrwx 10 root root 4096 2012-01-17 14:12 ./
    drwxr-xr-x 7 root root 4096 2012-01-12 21:42 ../
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:08 user1/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user2/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 12:59 user3/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:56 user4/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:05 user5/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:49 user6/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 13:06 user7/
    drwxr-xr-x 4 nobody nogroup 4096 2012-01-17 14:12 user8/

    Po ci??kim dniu pracy, je?li storage wyposa?ony jest w streamer mo?na ca?y katalog /data/samba nagra? jako gotowy dzienny backup.
    Do skryptu oczywi?cie mo?na dopisa? dodatkowe katalogi w/g potrzeb.
    Raz na jaki? czas (np. miesi?c)warto skasowa? ca?? zawarto?? backupu, aby wykona? si? pe?en backup, poniewa? skrypt nie kasuje plików które by?y lokalnie, ale ju? ich nie ma.

    © odwiedź stronÄ™ http://maciejewski.org po wiÄ™cej fajnych postów!

    Job / Praca

    Najci??sze 34 godziny ostatnich miesi?cy.

    Od razu uprzedzam – je?eli kiedykolwiek przyjdzie Wam do g?owy reinstalacja g?ównego kontrolera domeny na Windows Serverze 2003 to dobrze si? zastanówcie. Niech to b?dzie ostateczna ostateczno??.

    Prolog:
    W firmie w której pracuj?, Windows Server jest jednym z wa?niejszych serwerów. Jego g?ównym zadaniem jest rola kontrolera domeny. Dodatkowo obs?uguje Symfoni?, MSSQL, pliki uzytkowników, VPNa, serwer wydruków i kilka(na?cie) mniejszych lecz równie wa?nych us?ug. Jaki? czas temu wychwala?em jedn? z tych us?ug jak? jest WSUS. Pami?tajcie, ?e zawsze jednak bardziej stoj? po stronie *NIXów wi?c pochwa?a Microsftu na tym blogu to du?a rzecz ;) W prologu tak?e nale?y si? pochwa?a dla MS i ca?ej sprawy domenowej. W skrócie (je?li wszystko dzia?a jak nale?y) to u?ytkownik ma swój login i has?o, administrator przypisuje mu prawa i w?a?ciwie user musi pami?ta? tylko swoje has?o. Je?li oprócz logowania do komputera ma uprawnienia do logowania do VPNa – robi to tym samym has?em, a Cisco PIX przy pomocy Radiusa autoryzuje go w sprawdzaj?c w Active Directory czy powinien. Tak samo dzia?a dost?p do plików, drukarek itd. S?owem wszystko co da si? o?eni? z Active Directory jest zarz?dzane z jednego miejsca. Do?ó?my do tego zarz?dzanie stacjami roboczymi, wprowadzanie polityk i uaktualnie? i dostajemy ca?kiem fajny produkt. Gorzej je?li co? nie dzia?a, a najgorzej je?li nie dzia?a i nie wiadomo dlaczego oraz jak temu zaradzi?. Tak te? si? sta?o. Pomijaj?c ju? problem z samym serwerem a dok?adnie z uwalonym dyskiem od jednego RAIDA, który uda?o si? rozwi?za? w 2h. Otó?, nasz prze?wietny serwer po uruchomieniu dzia?a sobie kilka godzin, lub kilka minut. Po pewnym nieokre?lonym czasie uzytkownicy traca do niego dost?p i np nie mog? zapisa? ju? otwartych plików, przestaj? dzia?a? drukarki. Zdalny dost?p jest, ale po podaniu usera i has?a zostaje niebieski ekran i oczekiwanie w niesko?czono?? (zarówno zdalnie jak i lokalnie na konsoli). CTRL+ALT+DEL nic nie daje. Wszystko jest w dowolny sposób wymiaszane w kolejno?ci i w czasie. Po tygodniu zg?ebiania problemu i kilkunastu restartach dziennie zapad?a decyzja o reinstalacji.

    Co si? dzia?o po tej decyzji:
    Musz? przyzna?, ?e by?a to pierwsza reinstalacja w mojej karierze tego typu, czyli z pe?nym zachowaniem wszystkiego. Przez ca?y pi?tek i poniedzia?ek zrobi?em list? rzeczy do zbackupowania oraz innych spraw o których nale?y pami?ta?. Lista uruchomionych us?ug, zainstalowanego oprogramowania itd. Po analizie wysz?o mi, ?e jak zaczniemy o 18 w poniedzia?ek to na 7 we wtorek wszystko powinno ?miga? i zostan? tylko jakie? drobiazgi do wyeliminowania. W mi?dzyczasie postawi?em drugi tymczasowy serwer 2003, doda?em go jako kolejny kontroler domeny aby zreplikowa? si? Active Directory oraz ustali?em na nim DFS aby zreplikowa?y si? dane ze wszystkich dysków. Replikacja AD posz?a sprawnie, dane przesy?a?y si? po gigabicie od piatku rana do oko?o 18 w piatek. By?o tego oko?o 400GB tak wi?c ca?kiem sprawnie jak na maszyn? obci??on? innymi zadaniami i co jaki? czas resetowan?. Po ca?kowitej synchronizacji sprawdzi?em wydajno?? replikacji DFS przez tworzenie plików i katalogów na starym serwerze i patrzeniu jak szybko pojawi? si? na nowym. Wypad?o to nie?le poniewa? dla pojedynczych plików czas pomi?dzy prze??czeniem si? mi?dzy zdalnymi pulpitami wystarczy? aby plik znalaz? si? w odpowiednim miejscu. Po godzinie 18 sprawdzili?my jeszcze czy wszystko si? zreplikowa?o oraz dla pewno?ci wykonali?my pe?en backup na ta?m? 400GB. Pe?en backup w nocy wykonuje si? oko?o 3h, tym razem wykonywa? si? oko?o 4 i pó?. Z perspektywy mog? powiedzie?, ?e by? on ca?kowicie nieprzydatny, a dane zgrane przez DFS w zupe?no?ci wystarczy?y. Przed ta?m? jeszcze backup wszystkich baz MSSQL tak?e zabra? prawie dwie godziny. Koniec ko?ców przed 24 mogli?my zacz?? faktyczn? reinstalacj?. Aby by?o super, zdecydowa?em si? tak?e na update BIOSu DELLa oraz jego kontrolera SCSI. Kontroler wymaga? update’u poniewa? Openmange Server meldowa? o niezgodno?ci oprogramowania. Update z dyskietek sko?czy? si? miganiem diody od b??du na obudowie Della. Okaza?o si? tak?e, ?e jest wersja Windowsowa do aktualizacji biosów. Nale?a?o uruchomi? zatem serwer jeszcze kilka razy (a minuty lec?). Windowsowy update poszed? bez problemu, natomiast by? do?? czasoch?onny. Na koniec jeszcze dcpromo aby obni?y? rang? serwera i przetransferowa? kontrol? na serwer tymczasowy. Posz?o to tak?e bez problemu natomiast zrobi?o sie grubo po pó?nocy. Po zalogowaniu si? i upewnieniu, ?e serwer zosta? ju? tylko cz?onkiem domeny, nadszed? upragniony czas reinstalacji. Instalacja odby?a si? bezproblemowo, instalator wykry? PERC’a bez problemu wi?c tu mamy do przodu, ale czas na przebudowe raidów znowu nas spowolni?. Szcz??liwie po zalogowaniu trzeba by?o dogra? tylko sterownik karty sieciowej i streamera. Aby mie? dobr? baz? wyj?ciow? zainstalowali?my wszystkie poprawki ??cznie z Service Packiem 2 dla 2003. Nie musz? mówi?, ?e znowu czas potrzebny do instalacji wszystkiego okaza? si? o wiele d?u?szy ni? zak?adali?my. W ko?cu przyszed? czas na dcpromo i dodanie nowego serwera do istniej?cej domeny na serwerze zapasowym. I tu zonk. Po wskazaniu domeny oraz podania has?a i usera, który ma prawa aby do??czy? kontroler komunikat – nie mo?na znale?? domeny. No tak, nie ma serwera DNS na zapasowym, szybko postawiony DNS nie rozwi?za? problemu. Zacz??o robi? si? nerwowo, jest ju? powa?na noc a w?a?ciwie wcze?nie rano (ko?o 3-4) a tu nawet AD nie chce dzia?a?… W czasie rozwi?zywania problemów z DNSem zaczeli?my zgrywa? przez sie? dane uzytkowników, o dziwo w drug? stron? sz?o to strasznie wolno. Po pó?torej godzieni uda?o si? ruszy? DNS na tyle, ?e nowy kontroler w ko?cu znalaz? zapasowy serwer. Okaza?o si?, ?e w g?ównej mierze odpowiedzialny za to by? Windows Firewall. Dziwne o tyle, ?e nie powinien si? w??czy? poniewa? tak by?o ustawione GPO, dodatkowo komunikaty od dcpromo wskazywa?y na co? zupe?nie innego. Nic to jednak, system zalogowany do domeny jako kontroler domeny! Yaaay! No to teraz dcpromo na zapasowym aby obni?y? go do cz?onka z kontrolera. Posz?o to sprawnie lecz… ca?a konfiguracja zreplikowa?a si? nie wiedzie? czemu na serwer oddalony o 35 km od Poznania – do Szamotu?, po vpnie, na ??czu 128 kbs. Tak wiem, lame troch? :) trzeba by?o od??czy? kabelek, lub chocia? zrestartowa? Szamotu?y, albo skasowa? po??czenie w Sites and Services. No trudno, sta?o si?, odkr?c? pó?niej. Rzecz w tym, ?e teraz dost?p do us?ug katalogowych odbywa si? przera?liwie wolno i przez przys?owiowe „do Warszawy przez Szczecin” czy jak to lecia?o. Kolejne minuty lec?, kolejne us?ugi s? doinstalowywane. DHCP, DNS. Tak wi?c godzina 6:40 wybi?a, pojawiaj? si? pierwsze kole?anki ksi?gowe, my mamy AD z zespo?em Downa lub Autystyczne, ledwo dzia?aj?ce DHCP oraz oko?o 70% plików u?ytkowników. Jeste?my po prostu zajebi?ci! W przeci?gu najbli?szej godziny uda?o si? przywróci? DHCP i DNS aby dzia?a?o ?adnie po AD. Userzy mog? ju? si? logowa?. Wspinamy si? na wy?yny naszej wiedzy i nawet skróty do udzia?ów dzia?aj? bez modyfikacji. 70% danych jest wystarczaj?ce aby ksi?gowo?? pracowa?a, w tle dogrywamy inteligentnie reszt? – wa?ne katalogi najpierw, niewa?ne pó?niej. W trakcie walki z Szamotulskim serwerem, który skutecznie odmawia dcpromo poniewa? nie widzi Poznania (chocia? ca?y czas si? z nim replikuje debil!) doinstalowuj? kolejne us?ugi, File Server, Print Server etc. O godzinie 9 mamy ju? prawie dzia?aj?ce drukarki (równie? prawie bez zmian na kilkudziesi?ciu klientch, dobra nasza!). HR w mi?dzyczasie zaczyna uk?ada? sobie papiery na pó?kach z braku dost?pu do Symfonii. Ja w tym czasie dwa razy instaluj? MS SQL’a poniewa? ten prze?wietny program w po??czeniu z Symfoni? musi mie? locale ustawione na polski gdy? inaczej nie da rady zainstalowa? bazy Symfonii. Oczywi?cie potzrebne s? service packi itp. Gdy w ko?cu Enterprise Manager rusza, i mo?na restorowa? bazy jest ju? chyba po 12, zaczyna dawa? o sobie zna? kryzys niewyspania. Zaczynam si? powa?nie wkurza? na AD i Szamotu?y, kontakt ze znajomym MVP (Hi nixtone ! ;) owocuje gar?ci? przydatnych linków odno?nie ró? serwera. Udaje si? przetransferowa? r?cznie 2 z 3 ról. Kontroler Schematów niestety nie chce si? transferowa?. Cholerna Symfonia z SQLem jest tak powolna, ?e kilkuset megowe bazy restoruj? si? kilka godzin. Po jakim? czasie Kontroler Schematu zg?asza si?, ?e mo?na go przetransferowa?. Go! Kontrolne dcpromo w Szamotu?ach – brak b??du, ?e to ju? ostatni kontroler domeny – mam ci?! Tymczasowego serwera nie ma, wi?c dcpromo na 100% zreplikuje i przetransferuje mi AD do Poznania. W mi?dzyczasie po instalacji softu do sieciowego skanowania do pdf na serwer, wymagany jest restart. Bardzo z?a decyzja, serwer wstaje bez problemu natomiast wisi oko?o godziny na „Preparing Network Connections”. W tle dokonuje si? transfer AD, kontrolera domeny, ról i co tam jeszcze. Us?ugi dzia?aj?, u?ytkownicy nie narzekaj?, ale nie ma dost?pu do serwera. Staje si? jasne, ?e nie wyjdziemy planowo o 16. Kiedy ko?o 14:30 serwer w ko?cu wstaje, sie? dostaje niesamowitego kopa, nie czeka si? ju? kilka(na?cie) sekund na zapisanie czego? na serwerze (poprzednio AD z Szamotu? sprawdza?o czy user z Poznania mo?e zapisa? w Poznaniu :). Pozosta?o do zrobienia – VPN, skanowanie i Symfonia, to jest mission critical, pomniejsze sprawy mog? poczeka?. Skaner udaje si? uruchomi? po 16:30, VPN prawie chodzi, ale ostatecznie zaczyna dzia?a? (znowu bardzo szybko, o wiele szybciej ni? poprzednio) w ?rod? rano.) Koniec restore baz kadrowych ko?czy si? po 18 we wtorek! Symfonia zaczyna dzia?a? oko?o 10 w ?rod?. Wychodzimy z firmy przed 19 we wtorek po 34 h non stop przy monitorach. Krótki sen i doko?czenie konfiguracji w ?rod?. Teraz jest czwartek i pozosta?a kosmetyka oraz kilka us?ug nie tak wa?nych z punktu widzenia u?ytkowników.

    Epilog.
    Jak widzicie skoro mam czas na napisanie tego, to wszystko dobrze si? ko?czy. Najwa?niejsze pytanie, czy warto? Teraz mog? powiedzie?, ?e tak. Serwer dzia?a stabilnie, i wydajnie. Przywracanie go do stanu u?ywalno?ci obci?za?o go maksymalnie i ani razu nie odmówi? dzia?ania ani si? nie zawiesi?. Wyeliminowany zosta? tak?e g?ówny powód reinstalacji czyli niewiadome odmowy us?ug. Serwer dzia?a tak?e zauwa?alnie szybciej oraz ma sensowniej porozdzielan? przestrze? dyskow?. Istotne jest tak?e to, ?e w?asnor?cznie zainstalowany system dzia?a bardziej przewidywanie, a Administrator wie co w nim piszczy. Pozostaje tylko pytanie dlaczego nawet na pot?znych maszynch Windows jest tak strasznie powolny. Odtwarzanie baz SQL to koszmar, Active Directory i jej transfer jest tak nieintuicyjny i czasoch?onny je?li nie jest w tej samej sieci a przy tym upierdliwy (robi si? przy starcie systemu zamiast po starcie). Nast?pnym razem (który mam nadziej? nie nast?pi) trzeba b?dzie lepiej oszacowa? czas aby nie wystawia? si? na gniew u?ytkowników i zwierzchników. Ostatecznie jednak, pomijaj?c jeden dzie? ba?aganu w firmie, wszystkim wysz?o na dobre. Administratorzy maj? spokój z serwerem i kilka spraw uporz?dkowanych, serwer dzia?a odpowiednio szybko i stabilnie, u?ytkownicy nie trac? danych i nie maj? przestojów przez brak po??czenia. Mam nadziej?, ?e ludzie nad IT tak?e to dostrzegaj? ;)





    [donate]

    Related Posts with Thumbnails

    © odwiedź stronÄ™ http://maciejewski.org po wiÄ™cej fajnych postów!

    Add your widget here