Получая не мало вопросов по плавному переносу данных в другой домен, я решил написать краткую инструкцию. Опишу свой опыт переноса данных из одного домена в другой с сохранением работоспособности пользователей и сети.
Итак, вводная...
Было это уже лет 5 назад.
Был у нас домен... Хороший был... На базе Windows 2003 Std Rus.
В один прекрасный момент к нам в сеть пролез вирус (который антивирус стал ловить чуть позже, чем мы поймали) (Антивирус не называю специально, поскольку антивирус хороший и антирекламу ему устраивать не собираюсь).
Была резервная копия системного раздела, сделанная средствами Windows... Нам она не помогла...
Итогом этой атаки явилось следующее: на контроллере домена (единственный) полетел антивирус (не восстанавливался и не удалялся никак, а сервер грузил как взрослый), слетели разрешения на папки SysVol, некоторые ветки системного реестра и консоли (все консоли mmc были не доступны). Было довольно грустно. Радовало только одно - несмотря на недоступность консолей, была доступна командная строка и доступ к данным получить можно было, так же контроллер домена исправно исполнял свои функции.
Я пытался создать дополнительный контроллер домена в старом домене, но было тоже грустно - консоли так же были не доступны. Попытки восстановления разрешений не дали нужного результата.
В итоге было принято решение создать новый домен и перенести всё туда... Переезжать решили на Windows 2008R2.
Задача свелась к следующему:
Итак, вводная...
Было это уже лет 5 назад.
Был у нас домен... Хороший был... На базе Windows 2003 Std Rus.
В один прекрасный момент к нам в сеть пролез вирус (который антивирус стал ловить чуть позже, чем мы поймали) (Антивирус не называю специально, поскольку антивирус хороший и антирекламу ему устраивать не собираюсь).
Была резервная копия системного раздела, сделанная средствами Windows... Нам она не помогла...
Итогом этой атаки явилось следующее: на контроллере домена (единственный) полетел антивирус (не восстанавливался и не удалялся никак, а сервер грузил как взрослый), слетели разрешения на папки SysVol, некоторые ветки системного реестра и консоли (все консоли mmc были не доступны). Было довольно грустно. Радовало только одно - несмотря на недоступность консолей, была доступна командная строка и доступ к данным получить можно было, так же контроллер домена исправно исполнял свои функции.
Я пытался создать дополнительный контроллер домена в старом домене, но было тоже грустно - консоли так же были не доступны. Попытки восстановления разрешений не дали нужного результата.
В итоге было принято решение создать новый домен и перенести всё туда... Переезжать решили на Windows 2008R2.
Задача свелась к следующему:
- Создать новый домен на новом контроллере (старый контроллер домена был уже не молод).
- Создать там структуру OU, GPO и т. д.
- Перенастроить разрешения на сетевые папки.
- Обеспечить плавность перехода, чтобы пользователи могли работать (к тому времени у нас их было >100, кстати, компьютеров тоже).
Итак, я приступил...
- Создал на новом сервере новый домен (серверу назначил адрес, который уже не предполагалось менять).
- Установил все самые последние обновления для системы.
- На сервере создал структуру OU.
- Создал учетные записи пользователей (попутно полностью их актуализировал - не создавал учетные записи уволенных сотрудников, а в тех, которые создавал, указывал подробную информацию о пользователях - в общем, использовал момент с пользой для дела)
- Создал необходимые GPO.
- Подготовил DHCP-сервер - область и все параметры.
- Поскольку в сети на тот момент уже работал DHCP на старом контроллере домена, DHCP на новом контроллере домена активировать не стал, только перенес резервации, созданные для сетевых устройств (принтеры, сканеры).
- Создал доверительные отношения со старым доменом (этим я обеспечил работоспособность пользователей из нового домена с ресурсами старого и наоборот).
- Для исключения ошибок в работе (наблюдались иногда проблемы на станциях с Windows XP), я создал в новом домене GPO, где указал параметры DNS - серверы, домен и т. д.
- Файловые серверы перевели в новый домен и создали разрешения для пользователей нового домена.
- Все ресурсы файловых серверов я сразу размещал в DFS.
- Самым трудоемким и противным оказалось переносить профили пользователей на их рабочих станциях в новы домен - пришлось побегать и попереносить вручную. Тут пригодилась утилитка http://www.forensit.com/domain-migration.html
- После завершения всех манипуляций была сделана полная резервная копия системного раздела контроллера домена.
В общем как-то так.
Благодаря этой ситуации мы решили не мало проблем, попутно с решением основных - оптимизировали учетные записи пользователей, оптимизировали разрешения на сетевых ресурсах и т. п.
Эта статья написана в дополнение к статье http://inkvizitor-windows.blogspot.ru/2012/07/blog-post_5658.html?showComment=1398435260790#c67089564925609487
Получая не мало вопросов по плавному переносу данных в другой домен, я решил написать краткую инструкцию. Опишу свой опыт переноса данных из одного домена в другой с сохранением работоспособности пользователей и сети.
Итак, вводная...
Было это уже лет 5 назад.
Был у нас домен... Хороший был... На базе Windows 2003 Std Rus.
В один прекрасный момент к нам в сеть пролез вирус (который антивирус стал ловить чуть позже, чем мы поймали) (Антивирус не называю специально, поскольку антивирус хороший и антирекламу ему устраивать не собираюсь).
Была резервная копия системного раздела, сделанная средствами Windows... Нам она не помогла...
Итогом этой атаки явилось следующее: на контроллере домена (единственный) полетел антивирус (не восстанавливался и не удалялся никак, а сервер грузил как взрослый), слетели разрешения на папки SysVol, некоторые ветки системного реестра и консоли (все консоли mmc были не доступны). Было довольно грустно. Радовало только одно - несмотря на недоступность консолей, была доступна командная строка и доступ к данным получить можно было, так же контроллер домена исправно исполнял свои функции.
Я пытался создать дополнительный контроллер домена в старом домене, но было тоже грустно - консоли так же были не доступны. Попытки восстановления разрешений не дали нужного результата.
В итоге было принято решение создать новый домен и перенести всё туда... Переезжать решили на Windows 2008R2.
Задача свелась к следующему:
Итак, вводная...
Было это уже лет 5 назад.
Был у нас домен... Хороший был... На базе Windows 2003 Std Rus.
В один прекрасный момент к нам в сеть пролез вирус (который антивирус стал ловить чуть позже, чем мы поймали) (Антивирус не называю специально, поскольку антивирус хороший и антирекламу ему устраивать не собираюсь).
Была резервная копия системного раздела, сделанная средствами Windows... Нам она не помогла...
Итогом этой атаки явилось следующее: на контроллере домена (единственный) полетел антивирус (не восстанавливался и не удалялся никак, а сервер грузил как взрослый), слетели разрешения на папки SysVol, некоторые ветки системного реестра и консоли (все консоли mmc были не доступны). Было довольно грустно. Радовало только одно - несмотря на недоступность консолей, была доступна командная строка и доступ к данным получить можно было, так же контроллер домена исправно исполнял свои функции.
Я пытался создать дополнительный контроллер домена в старом домене, но было тоже грустно - консоли так же были не доступны. Попытки восстановления разрешений не дали нужного результата.
В итоге было принято решение создать новый домен и перенести всё туда... Переезжать решили на Windows 2008R2.
Задача свелась к следующему:
- Создать новый домен на новом контроллере (старый контроллер домена был уже не молод).
- Создать там структуру OU, GPO и т. д.
- Перенастроить разрешения на сетевые папки.
- Обеспечить плавность перехода, чтобы пользователи могли работать (к тому времени у нас их было >100, кстати, компьютеров тоже).
Итак, я приступил...
- Создал на новом сервере новый домен (серверу назначил адрес, который уже не предполагалось менять).
- Установил все самые последние обновления для системы.
- На сервере создал структуру OU.
- Создал учетные записи пользователей (попутно полностью их актуализировал - не создавал учетные записи уволенных сотрудников, а в тех, которые создавал, указывал подробную информацию о пользователях - в общем, использовал момент с пользой для дела)
- Создал необходимые GPO.
- Подготовил DHCP-сервер - область и все параметры.
- Поскольку в сети на тот момент уже работал DHCP на старом контроллере домена, DHCP на новом контроллере домена активировать не стал, только перенес резервации, созданные для сетевых устройств (принтеры, сканеры).
- Создал доверительные отношения со старым доменом (этим я обеспечил работоспособность пользователей из нового домена с ресурсами старого и наоборот).
- Для исключения ошибок в работе (наблюдались иногда проблемы на станциях с Windows XP), я создал в новом домене GPO, где указал параметры DNS - серверы, домен и т. д.
- Файловые серверы перевели в новый домен и создали разрешения для пользователей нового домена.
- Все ресурсы файловых серверов я сразу размещал в DFS.
- Самым трудоемким и противным оказалось переносить профили пользователей на их рабочих станциях в новы домен - пришлось побегать и попереносить вручную. Тут пригодилась утилитка http://www.forensit.com/domain-migration.html
- После завершения всех манипуляций была сделана полная резервная копия системного раздела контроллера домена.
В общем как-то так.
Благодаря этой ситуации мы решили не мало проблем, попутно с решением основных - оптимизировали учетные записи пользователей, оптимизировали разрешения на сетевых ресурсах и т. п.
Эта статья написана в дополнение к статье http://inkvizitor-windows.blogspot.ru/2012/07/blog-post_5658.html?showComment=1398435260790#c67089564925609487
0 коммент.:
Отправить комментарий