понедельник, 2 мая 2011 г.

root’инные вопросы

Как я уже давненько писал, с осень прошлого года в дополнение к моим обычным обязанностям появились обязанности системного администратора. Связано это было с тем, что оба человека выполнявших роли предыдущих системных администраторов ушли на вольные хлеба. Если быть более точным то один ушел совсем, второй не совсем, но его текущая работа дает возможность появляться только по субботам, и то не по всем. Путем голосования и жребьевки были выбраны/назначены люди которые должны были вместе с паролями и привилегиями получить еще и обязанности.

Все трое новоиспеченных администраторов имели некоторый опыт, но скорее как “универсальные компьютерщики”, которые чем только в своей жизни не занимались. При этом все трое находились в состоянии “ожидания схваток” по диссертации. Справедливости ради стоит сказать, что первоначально админство не сильно мешало диссертации потому, как предыдущие Админы настроили систему достаточно хорошо.  Вмешательство было либо вообще не нужным, либо минимальным. Так как опыта, времени и знаний по текущему состоянию вопроса было маловато, то было принято решение в стиле: “работает – пусть работает, ничего не трогай”. Это было правильное решение, но оно не помогло. Причиной этому можно назвать следующие пункты:

1. Основной компьютерный парк очень сильно устарел (речь идет даже не столько о моральном устаревании, сколько о том, что компьютеры склонны к выходу из строя). Добавкой +100 к старости послужило еще и то, что пару лет назад в корпусе был пожар (не мы начали, но мы достаточно хорошо пострадали) и бОльшая часть техники пережила эти страшные для себя времена. От копоти до сих пор не все отмыто.

2. Система настраивалась давно, когда у нас было существенно меньше студентов, ВЦ и просто компьютеров.

Структура приблизительно следующая:

Есть три территориально разнесенных сегмента сети. Два разнесены между разными этажами одного учебного корпуса, и один сегмент вообще в другом конце “кампуса”. Этот удаленный сегмент является учебно-исследовательским классом (16 машин, выполняющих двойную роль – днем учат студентов, ночью отрабатывают кластерный режим). При учете текущего состояния институтской сети, было принято решение, что пока это полностью обособленный сегмент сети, обмен данных с ним происходит либо посредством интернета, либо “флопинетом” (естественно в его более современном варианте типа флешнет). Не смотря на то, что этот класс входит в ту же институтскую сеть, проще именно так.

Два вторых сегмента являются взаимосвязанными. Есть общий вход, он контролируется ветераном труда Intel Pentium 133. Настраивался он настолько давно, что сами админы достаточно долго вспоминали атрибуты доступа к пингвиненку. Не смотря на свой почтенный возраст и иногда проявляющиеся старческие болезни, с работой Шлюза Пень полностью справляется. Единственная проблема состоит в том, что он кроме прочего является первичным сервером DNS. Почему проблема? Ну не то, чтобы совсем проблема, просто навыков не хватает для работы с голым пингвином, да еще и если логина пароля не знаешь Подмигивающая рожица.

Дальше собственно шел сервер домена на Win 2003 Serv. Ну и вся остальная сеть разбитая на сегменты хабами. Проблема случилась тогда, когда полетело железо на сервере. Первоначально посчитали, что проблемы с БП, заменили и вроде все заработало. Заодно сделали бекап, и как оказалось правильно, потому как через три недели сервак умер и больше не завелся. Развернули образ на более новой машине, но пошли немерянные глюки, связанные со многими мелкими несуразицами вроде отсутствия дров под 2003 винду. Немного поковырявшись мы ее обновили до 2008, часть глюков ушла, но не вся. За время админства проблемы со здоровьем проявились еще у десятка маши не так чтобы очень хорошо и сервер работает с глюками, в связи с чем все настойчивее звучало мнение о необходимости изменений.

После некоторых раздумий было принято решение поднимать рядом новый сервер домена с нуля, а потом просто перенести данные пользователей. это связано еще и с тем, что за то время, когда разрабатывалась общая структура домена, групп пользователей и всего прочего, этого всего было гораздо меньше, а следовательно сейчас либо надо долго достраивать то, что уже есть, либо потратить +/- столько же времени на создание новой структуры с нуля.

Так как старое оборудование летит сейчас со страшной силой (например осталось всего ~10% рабочих бесперебойников), плюс очень много было проблем при вылете железа сервера (как обычно все вылетело, когда надо сдавать годовую отчетность), было принято решение сервера перенести в виртуальное пространство. То есть Есть реальная машина с Win Serv 2008 R2, на нем одна единственная служба – Hyper-V (пока с графической оболочкой, потом хотим уйти в чистый Hyper-V). На ГиперВи разворачивается система серверов на базе все той же 2008 R2, которые собственно и берут основную массу работы на себя. Плюсы данного решения состоят в том, что в таком варианте сервер домена не зависит от железа, ему не нужны драйвера и многое другое. В случае необходимости он тихо мирно переносится на любое другое железо, главное, чтобы там стоял Win 2008R2 c ХайперВью или аналогичное решение от M$. Еще одним плюсом является упрощение резервирования данных сервера. Минусы – снижается производительность, нужно больше памяти. Впрочем в нашем варианте плюсы перевесили и мы пошли играться.

Вот уже почти что третий месяц сервер живет в тестовом режиме, потому что мы измываемся над ним и компонентами. Сейчас уже создан тот вариант, который и будет сервером домена. С чем удалось разобраться?

Во первых это с WDS (Windows Deployment Services). По русски – Сервис развертывания Windows. В теории, и как оказалось на практике позволяет автоматизировать развертывание Win XP и Win 7 (как наиболее нас интересующих). Win XP –для старых машин, Win 7 64x – для тех что поновее. От Win 7 x86 мы пока отказались, потому как большинство старых машин живет на замечательном чипе nforce2, который не поддерживается семеркой. Заставить его работать можно, но не всегда и не очень хорошо. Кроме того у нас сейчас вообще под вопросом будет ли там и дальше жить Винда, или это станет ареолом обитания разных черно-белых птыц. Зоопарк разводить, конечно, не хочется, но предпосылки к этому есть.

Итак WDS – работает. Более того интеграция WDS с AD (Active Directory) и сервером DHCP позволяет  творить такие чудеса, как изменение имен и сетевых настроек в процессе инсталляции.

DHCP вообще мощная штука, ранее у нас была статическая раздача адресов, как наиболее простая и подходящая под наши условия. Сейчас же мы все таки решили перейти на DHCP, но с резервированием определенных адресов. Дело в том, что приходится иметь возможность достучаться до серверов лицензий и до других специфических машин. И чтобы не мудрить, проще чтобы у них были простые стабильные адреса. Все таки с ДНС именами извне не всегда удается работать.

Единственная проблема, которую так и не удалось решить это GUID/UUID машин. Это “МНОГАБУКАФ” записанные в Биосе. Из под винды их так и не удалось получить. Как не Гуглили, как не спрашивали Яндекс, ответа не нашли. Испробовали и разные утилиты – не получилось. Еще одной проблемой оказалось то, что этот самый уникальный идентификатор оказался не уникальным! Печальная рожица На нескольких машинах у нас совпали эти самые ГУИДЫ, или Гайды… Гады они в общем. Как такое могло случиться не совсем понятно, хотя и есть предположения.

Пришлось ходить и собирать ручками. Еще одной, условно проблемой, можно назвать два момента: для автоматизированного развертывания необходимо во первых для начала включить загрузку по сети, а во вторых вовремя ткнуть F12 на машине, на которой разворачивается винда. К сожалению на все время оставить загрузку из сети – не вариант, так как в этом случае запуск машин существенно удлиняется, а так как студенческие машины, после действия студентов приходится перезагружать и иногда не раз во время пары, то лишние 5 минут на каждую загрузку это не лучший вариант. Итого – остается подойти и включить загрузку. Нажатие на F12 тоже вполне объяснимо, хотя и не слишком радует.

Также до сих пор немного не разобрались с автоматическим файлом ответов. Пока что три вопроса машина при установке еще задает. Надеемся в дальнейшем долениться до полностью автоматической установки.

И собственно на этой неделе, наш новый домен пройдет боевое крещение. Он во первых переедет на постоянное железо, а во вторых получит первые машины и первых пользователей.

Комментариев нет:

Отправить комментарий

Related Posts Plugin for WordPress, Blogger...
Rambler's Top100