Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Маркет
Зарубежные сервисы
Темы
AI
Сервисы
Маркетинг
Деньги
Личный опыт
Инвестиции
Крипто
Путешествия
Образование
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения

Мы используем
рекомендации.

sysa

миграция

Да, ты прав, в конкурсном задании (Модуль Д) действительно есть четкая таблица ролей и связей. Я внимательно изучил документ и теперь готов расписать тебе пошаговый алгоритм миграции с учетом конкретных имен хостов и их ролей.
Вот твой план действий «по минутам», чтобы ничего не забыть.
### 1. Подготовка и Время (LIN-DC1)
Все хосты должны брать время у LIN-DC1.
1. **На LIN-DC1**: Установи chrony. В файле /etc/chrony.conf добавь allow 192.168.0.0/16 (или твою сеть), чтобы остальные могли к нему подключаться.
2. **На всех остальных**: Настрой их как клиентов LIN-DC1.
* *Важно:* На самом LIN-DC1 в /etc/resolv.conf временно пропиши DNS старого WIN-DC, чтобы Линукс нашел домен semifinal.irpo.
### 2. Захват домена (Takeover)
Это самый критичный этап. Мы делаем LIN-DC1 полноценным хозяином домена.
1. **Ввод LIN-DC1**:
```bash
samba-tool domain join semifinal.irpo DC -U"Administrator" --realm=SEMIFINAL.IRPO

```
*После этого база данных AD реплицируется на Альт.*
2. **Передача ролей FSMO**:
```bash
samba-tool fsmo seize --role=all

```
*Теперь LIN-DC1 — главный (PDC).*
3. **Вывод WIN-DC**: Выключаешь Windows-сервер. **Обязательно** удали все упоминания о нем из базы (через samba-tool domain demote --offline или вручную в DNS/LDAP), чтобы домен не искал "мертвый" сервер.
### 3. Отказоустойчивость (LIN-DC2)
1. **Ввод LIN-DC2**: Присоединяешь его как дополнительный контроллер (samba-tool domain join...).
2. **Репликация SYSVOL**: Настрой двунаправленную синхронизацию папки /var/lib/samba/sysvol. На чемпионате проще всего использовать связку rsync + lsyncd или csync2. Без этого GPO (групповые политики) не будут одинаковыми на обоих серверах.
3. **DNS и DHCP**: Настрой LIN-DC2 как DHCP-сервер. Важное требование: DHCP должен автоматически обновлять DNS-записи клиентов.
### 4. Групповые политики и Объекты
1. **Объекты**: Создай подразделение LinOU. Перемести туда компьютер LIN-CLI1. Создай пользователей LinUser1/2 и группу LinUsers.
2. **Политика IrpoStyle**: Через gpui (на ADM) или RSAT (на WIN-CLI1) создай политику.
* Путь: *Конфигурация пользователя -> Административные шаблоны -> Панель управления -> Персонализация*.
* Включи: «Принудительное использование определенного стиля» (укажи путь к темной теме).
* Включи: «Запрет смены темы».
3. **Политика ChromiumSSO**: Импортируй ADMX-шаблоны Chromium в SYSVOL. В политике настрой список разрешенных серверов для аутентификации: web.semifinal.irpo.
### 5. Инфраструктурные службы (LIN-SRV1)
1. **Файловые ресурсы**:
* Share: Анонимный доступ (guest ok = yes).
* UserDocs: Доступ для Domain Users.
* **Профили**: Хранилище в /opt. Настрой Samba так, чтобы пользователи Windows видели только свои папки.
2. **Автомонтирование (SSO)**: На Lin-Cli1 настрой pam_mount. В /etc/security/pam_mount.conf.xml добавь строку для монтирования UserDocs в ~/DomainDocs. Используй sec=krb5, чтобы пароль не спрашивался повторно.
### 6. Веб-сервис (Apache + Kerberos)
На LIN-SRV1 должен работать сайт web.semifinal.irpo с прозрачным входом.
1. Создай keytab файл на контроллере для службы HTTP/web.semifinal.irpo.
2. Перенеси его на LIN-SRV1.
3. В конфиге Apache используй mod_auth_gssapi и укажи путь к этому keytab.
### 7. Мониторинг и Резервное копирование
1. **Мониторинг (LIN-SRV2)**: Разверни Prometheus и Grafana. Установи node_exporter на DC1, DC2, SRV1. На дашборде выведи CPU, RAM и Disk.
2. **Кибер Бэкап**:
* Сервер управления — на LIN-SRV1.
* Агент и хранилище (/backup) — на ADM.
* Создай план DomDataBackUp для защиты профилей и UserDocs.
### 8. Администрирование
* **WIN-CLI1**: Установи RSAT для управления пользователями и DNS.
* **ADM**: Установи admc и gpui. Помни: **хост ADM нельзя вводить в домен!** Используй kinit для получения тикета перед запуском утилит.
**Твой главный чек-лист проверки:**
* [ ] nslookup находит все хосты в обе стороны (A и PTR записи).
* [ ] Роли FSMO на LIN-DC1.
* [ ] При входе на Lin-Cli1 папка DomainDocs монтируется сама.
* [ ] При открытии сайта web.semifinal.irpo логин происходит автоматически.
* [ ] WIN-DC выключен и его нет в списке контроллеров.
Теперь у тебя есть полная дорожная карта. Действуй по ней, и Модуль Д будет сдан на максимум!

habr.com
Samba DC в качестве второго контроллера в домене AD Windows 2012R2 и перемещаемые папки для клиентов на Windows и Linux
www.altlinux.org
ActiveDirectory/DC — ALT Linux Wiki

http://mik67.ru/модуль-д-миграция/

Начать дискуссию