Версия для печати темы

Автор: Ivan96H Jun 14 2023, 13:14

Всех приветствую.

Требую помощи знающих, сам раньше с серверами не работал и не имел желания, но пришлось.
Есть сервер под управлением Windows Server 2008 R2 Standart c графическим интерфейсом. На нем поднят домен, назовем его: old-domain.ua. Так же есть пользователи Active Directory (+-60 человек), примерно 90% из них локально подключены в одну сеть с сервером, остальные при настройке ПК были подключены к серверу, подвязаны к домену и залогинены в соответствии своих учетных записей, позже ПК были отданны в офисы за пределами локальной сети и никакой физической связи с сервером не имеют на данный момент. На сколько мне известно, было это сделано с целью, да бы простой сотрудник не мог самостоятельно устанавливать какой-либо софт, а сделать это мог только администратор сервера или человек с такими же правами. Спустя годы работы, возникли некоторые проблемы с сервером, такие как устаревшее железо и ПО, так же через костыли работает система RDP и сейчас она вообще перестала себя адекватно вести (RDP Wrapper не помог), да и в целом, хотелось бы привести в порядок учётки пользователей с правильными именами, что бы система работала более гибко, безопасно.

Был запущен сервер Windows Server 2022, который имеет домен: new-domain.ua. На него нужно перенести пользователей.

Вопрос заключаеться в том, как перенести всех пользователей на новый домен, так, что бы все их настройки, файлы и т.д. сохранились в том виде, в котором есть сейчас? То есть, что бы локально у пользователя ничего не поменялось.

Проводил такой тест: запускал рядом 2 сервера с разными доменами, создавал на обоих пользователя с одинаковым именем и паролем, подвязывал ПК к первому домену, делал на нем некоторые изменения, потом менял домен на второй, но данные не сохранялись.

Автор: Tiger Jun 14 2023, 13:34

Если мы говорим о совершенно новом домене то в любом случае необходимо будет ПК выводить из старого домена и заводить в новый. AD это не просто логин и пароль, это политики, ключи безопасности, hardware id и т.д.

Можно развернуть Windows Server 2022 и согласно офф гайду мигрировать текущий домен, роли и политики на него. После миграции вывести из эксплуатации старый 2008.
https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-guide-active-directory-migration-from-windows/ba-p/2888117

Естественно перед всеми манипуляциями делаем бэкап полный бэкап домен контроллера.

Автор: Ivan96H Jun 14 2023, 13:42

То есть, даже по офф гайду миграция происходит болезненно для пользователей? Я имею ввиду сохранение локальных настроек.

Автор: Tiger Jun 14 2023, 14:40

Миграция на новый домен - да. Обновление домена - очень болезненно для администраторов, но ползователи (при правильном планировании и внедрении) даже не заметят.
И что имеется ввиду под "сохранение локальных настроек"?

Автор: Ivan96H Jun 14 2023, 14:53

Обновление не рассматриваю, так как не достаточно опыта работы с серверами. Спасибо за информацию!



Есть на рабочем столе папка "фото", заставка с котиком и в браузере сохраненные пароли от сайтов. При смене домена, все это улетит где-то в C:\Users\user1, а на новом домене будет пустой рабочий стол, без папки "фото", котиков и так далее. Мне важно было узнать, можно ли все оставить как есть и переехать на новый сервак. Если такой возможности не предусмотрено, то скорее всего лезть туда я не буду.

Автор: Dr.Sydorenko Jun 14 2023, 14:56

згоден - простіше мігрувати на новий сервер в межах одного домену, після чого підвищити версію домену. тут маніпуляції проводяться лише на серверах
перехід на новий домен без маніпуляцій на локальних машинах начебто неможливий

Автор: Ivan96H Jun 14 2023, 14:58

В такому випадку в процесі міграції перейдуть і криві налаштування попередніх адмінів. Чи можливо я помиляюсь?

Автор: Dr.Sydorenko Jun 14 2023, 15:06

ну то може простіше підправити налаштування?

хоча я хз що у вас за ситуація, може там 5 машин і простіше шашкою все порубати і зробити з нуля

також не потрібно забувати, що деякий софт авторизується в AD і він несподівано може перестати хотіти працювати (хоча може у вас такого і немає)

логічно - профілі ж різні

Автор: Ivan96H Jun 14 2023, 15:20

Аби чогось не зламати. Тут швидше не криворукість, а відсутність досвіду роботи з сервером. Звісно, з точки зору ситуації, це найкращий варіант. Тоді зустрічне питання. Якщо є ПК, який зараз не в одній мережі з сервером, а я на сервері зміню ім'я, пароль користувача, створю підрозділ і перекину його туди, при під'єднанні до мережі сервера, ПК підтягне нові данні чи далі буде намагатися працювати з старими, які зберігаються локально? Тобто, в мене є юзер "user1" на сервері, ПК працював під цими данними, але сам ПК забрали, я зараз змінюю данні на сервері з "user1" на "SuperUser", створюю підрозділ "Super" і закидаю його туди. Завтра він зі своїм ПК приходить в офіс, підключається до сервера, що буде далі?

1. Він зайде під user1 як і раніше?
2. Він зайде під user1, але після ребута підтягне нові данні?
3. Він не зможе зайти під user1 і ПК попросить його ввести актуальні данні?




Під AD в мене знаходиться близько 60 користувачів.




Такого немає.

Автор: Tiger Jun 14 2023, 15:43

Если это тот же домен пароль и\или OU сменить можно.
К слову меня очень удивляет что до сих пор пользователи могут заходить под доменными учётками. У доменного ПК есть кэш, что бы можно было зайти если домен недоступен\сети нет, но он не "вечный". Было раньше что-то около 60 дней и ПК требует обязательной связи с AD.

Я бы рекомендовал нанять компанию на разовые работы по миграции. Очень много может вылезти нюансов.

Автор: Ivan96H Jun 14 2023, 15:55

По какой схеме на ПК юзера будет происходить смена данных авторизация пользователей при смене данных в AD?
Важный вопрос, так как планирую построить тунели к офисам для объединения их с основным сервером.




Около года на удаленных офисах пользователи работают, пока не запрашивало
При подключении к домену, скорее всего пользователь не просто входил в домен под данными из AD, а так же были привязаны учетные записи в настройках ПК локально (возможно ошибаюсь, если это работает не так).

Автор: Tiger Jun 14 2023, 16:05

Не совсем понял вопроса. Если домен доступен то при каждом логине он вытягивает все политики с домена. Сменил пароль, зашёл под новым паролем прилетели политики, в т.ч. смена OU.

Это так не работает.

Автор: Ivan96H Jun 14 2023, 16:16

Если с паролем и OU все более-менее ясно, то что будет если я сменю данные имени входа пользователя?

Автор: Tiger Jun 14 2023, 16:22

У него сменится логин
Короткое видео как это правильно сделать.

Автор: ao_mmm Jun 14 2023, 16:30

Доброго дня!
Не зрозуміло щодо функцій AD, що було налаштовано на старому домені? Які політики?
Поки бачу "проблему" перенесення ПРОФІЛІВ користувачів (зі збереженням робочого столу та документів).
Новий домен - при підключенні новий профіль. ТОбто потрібно перенести інформацію та налаштування між профілями.
Що ще?

Автор: Ivan96H Jun 14 2023, 16:43

Прошу прощения за тупость, уловил логику, когда начал писал этот ответ. Ведь нету разницы в том, что ПК юзера находиться за пределами сети сервера и ПК юзера, который просто выключен, в любом случае при подключении к локальной сети или просто включении ПК они получают новые данные. То есть, данные закреплены не за логином, а за какими-то уникальным ID каждой учетной записи, которые скрыты от глаз, верно?




Вітаю.
На скільки я бачу, був встановлений Windows Server 2008 R2, на ньому немає практично ніяких налаштувань, окрім AD і піднятого домену (можливо є інші налаштування, але я хз де їх дивитись). Політики теж навряд чи якісь є, налаштування робили адміни, які теж швидше за все не мали досвід роботи з Windows Server. Моя ціль заключалась в створенні нового серверу на WS 2022 з новим доменом, перенесення користувачів на новий сервер зі збереженням їх локальних данних, тобто, щоб цього переходу вони не відчули на своїх робочих ПК (в подальшому зміна імен, логінів, підрозділів, прав і так далі, але то вже на новому сервері).

Автор: ao_mmm Jun 14 2023, 16:55

Для перенесення профілів я б радив - UserProfileWizard.

Глянте відіо
https://www.youtube.com/watch?v=-YRqK_eLrQo
Все дуже просто.

Автор: Dr.Sydorenko Jun 14 2023, 17:52

а ви точно адмін?

Автор: Ivan96H Jun 14 2023, 20:13

Ні, я не адмін, я працюю з інтернет-мережами, але так сталося, що потрібна допомога в іншому направлені. І в моєму місті, люди, які взагалі хоча б трохи розумілись на подібних речах - працюють у інших структурах і їх можна порахувати на пальцях однієї руки (без перебільшення).



Дякую, перегляну.

UPD. Переглянув, дуже вдячний за матеріал, але не варіант. Я навпаки хочу від "костилів" позбутися і зробити систему стабільною.

Автор: Morftimg Jun 14 2023, 21:24

Тобі треба GPO підправити або скинути всі на дефолт і мігрувати домен на нову систему.
Почитай міграція домена. Юзеры, ПК і авторизація 99% перейдуть без проблем.
Тобі новий сервак треба завести в цей же домен, той понизить цей повисить до основи. Взагалі як ви живете якшо контроллер 1... ну це таке..

Варіант хитрожопий. На новому сервері робиш віртуальну машину. Старий фізичний сервак конвертиш у віртуалку. Там запускаеш
Буде нове залізо старий сервак як ВМ. Хардова проблема так рішиться і бекапить віртуалку легше буде.
З РДП треба руками рішати якось.

Автор: ao_mmm Jun 14 2023, 21:40

Не зрозумів?) Де "костелі"?
Ви створюєте новий домен на новому сервері. Зі старого домену вам нічого не потрібно, - так?
ПРоблема в профілі кожного користувача, він йому "дуже дорог"!)
Це все верішується в межах робочої станції користувача, точніше його нового та старого профілю!
Ви створюєте користувачів, заводите компьютери, та за допомогою UserProfileWizard підв'язуєте "любий" профіль до нового домену.
ВСЕ!) Потім вже налаштовуєте AD, відповідно до ваших вимог та потреб.

Автор: Ivan96H Jun 14 2023, 22:16

1. У відео сказано, що робити потрібно з профілями, які не є доменними
2. Судячи з коментарів під відео, дізнаємося, що можливий зліт ОС а також ряд інших проблем

Мабуть в моєму випадку буде краще за все зробити міграцію на новий сервер без зміни імені домену. В подальшому налаштування та все інше вже буду вчитися і по ходу підганяти.



Дякую за відповідь. Буду пробувати.

Автор: Ivan96H Jun 14 2023, 23:20

Чи можливий такий варіант?
1. Міграція AD на новий сервер з таким самим ім'ям для збереження локальних даних користувачів
2. Зміна доменного імені
3. Зміна імен користувачів
4. Налаштування підрозділів і так далі

Автор: Morftimg Jun 15 2023, 6:55

Ні.
Домен працює не так. Інший домен с таким самим імям це інший домен просто така сама назва.
Самі компьютери заведені в інший домен і в кожного з них є унікальний ИД, через це в них можна заходити тими користвучами, шо в домені. AD це якшо дуже грубо така собі загальна база налаштувань компьютерів, у якої комп питає правильність паролі і дозволи конкретного юзера, або певні налаштування самої системи.
Просто у вас мабудь використовується тільки вхід користувачів, а ти можешь заставить шо наприклад конкретний користувач буде адміном на всіх компах, або шоб у всих була однакова картинка на робочому столі, або шоб кожному автоматично встановлювались певні програми зразу на всі ПК, що на звязку.
Якшо комп давно не був в одній мережі (не обовязково фізично, можна через ВПН наприклад) з контроллером домена, він зберігає в собі старі налаштування для цього ПК і чекає наступного зв`язку.

Автор: Ivan96H Jun 15 2023, 8:07

Перепрошую, мав на увазі не міграцію на сервер з таким самам доменним ім'ям, а просто міграцію з 2008 на 2022, встановивши 2 машини поруч в одній мережі.

Автор: ao_mmm Jun 15 2023, 9:52

Можети відповісти на питання, - Для чого вам потрібна міграція? Міграція між серверами - це перенесення даних (грубе визначення).
Які дані ви переносити (з старого AD до нового)?

Автор: Ivan96H Jun 15 2023, 11:06

Можливо не зовсім зрозуміло виклав інформацію у першому пості, постараюсь пояснити ще раз детальніше.

Є організація, в якій працює +- 60 працівників, в кожного в кабінеті стоїть по 1-2 ПК. Кожен працює за своїм ПК.

Є сервер на базі Windows Server 2008 R2, на якому піднятий локальний домен my-domain.com.ua (3-го рівня). На сервері присутнє наступне:

- Ролі:
1. DNS-сервер
2. Доменні служби Active Directory
3. Файлові служби (Не використовуються)

- Компонент:
1. Керування груповими політиками

В AD створено обліковий запис для кожного працівника. Кожен ПК підключено до домену і працівники працюють під обліковими записами відповідно до тих, які їм були видані. Зроблено це було, аби користувачі самостійно не могли встановлювати софт і вносити зміни у ПК, а лише адміністратор. Можливо були інші цілі, але я їх не помітив.

Стосовно сервера - це все.

Окремо стоїть ПК на базі Windows 7, на якому налаштовано RDP, але криво, так як доступ по RDP в звичайних Windows дає доступ тільки для 1-го користувача, а потрібно, щоб одночасно користувались ним 4-5 працівників, тому були створені якісь "костилі", для того, щоб одночасно по RDP могли підключатись декілька людей. З невідомих причин, ці ж самі "костилі" зламались і зараз RDP поводить себе дуже некоректно, а часом взагалі не працює, мною було встановлено RDP Wrapper, але ситуацію це не виправило і це критично для данної організації. Тимчасово є метод, який виправить це і по суті так далі можна працювати роками, але невідомо, коли знову вистрелить ця вся система.

Попередньо, там працювали "адміни" з дідівськими порядками і кожен воротив там що хотів, як то кажуть - аби працювало. Але робили це бездумно і зараз це почало вилазити боком. Налаштовано так все, починаючи від роутера (MikroTik), на якому були налаштовані L2TP для зв'язку з віддаленими офісами, які жодного разу так і не працювали, бо налаштовані неправильно, закінчуючи паролями, які тулили всюди, де треба і не треба (навіть BIOS на кожному ПК під паролем, який ніхто не знає і з цим мені ще доведеться теж зіткнутись).

Моя ціль і задача полягає в наступному: створити і організувати правильну роботу серверу на базі Windows Server 2022 з правильним (іншим) доменним ім'ям, з правильно розподіленими правами доступу (це вже згодом буде доналаштовуватись, тому що зараз це відсутнє і є тільки "користувачі" і "адміністратори") і так далі. Налаштувати потрібно все так, щоб користувачі візуально не помітили змін на своїх ПК, щоб їх данні збереглись, починаючи від закладок і автозаповнення у браузері, закінчуючи заставкою робочого столу і розміщенням файлів на робочому столі. Поруч з основном сервером, розмістити додатково сервер на тому ж Windows Server 2022 для роботи з RDP потрібної кількості користувачів одночасно, який має в собі таку можливість "з коробки" і не потрібно "ліпити горбатого", щоб це запрацювало.

Налаштувати FTP, Backup і так далі, але це все вже не стосується основної проблеми.
Головне: зміна доменного ім'я, збереження данних користувачів у тому вигляді, в якому вони є.

Автор: Ivan96H Jun 15 2023, 11:46

UPD. Якщо я створю нових користувачів на новому домені і для кожного користувача пропишу шляхи до їх локальних папок, які лишились від старого домена, це спрацює?

Автор: Ivan96H Jun 15 2023, 22:48

Спробував на 2-х тестових серверах Windows Server 2022 перенести профіль ProfwizOld на ProfwiNew під Windows 10. Перенесло гарно, але...
1. Файли з корзини зникли
2. Паролі збережені в браузерах не збереглися. Хоча історія, збереженні вкладення збереглися повністю
3. Папка C:/Users/ProfwizOld залишилася, але їй були призначені права доступу для профілю new-domain.ua@ProfwizNew. Хоча, я сподівався, що ім'я локальної папки зміниться на актуальне ім'я відповідно до профілю.
4. Пароль змінився на актуальний для нового профілю, а також при зміні інших данних все підтягували коректно (загнав новий профіль AD у підрозділ та з деякими правками доступу)
5. При вході в систему перестав відображатись домен під стрічкою вводу паролю

Для таких висновків було достатньо 10 хвилин часу від початку запуску Profwiz до пошуку нюансів. Невідомо, що чекає на інших ПК під іншими версіями ОС.

Якщо комусь принципово не тільки працездатності (я не впевнений, що це буде працювати на 100% коректно), але і пунктуальність + правильність, варіант з Profwiz не рекомендується. Тільки у крайньому випадку або якщо вам не принципово, як це буде працювати, аби працювало.

Не знаю, на скільки коректно буде поводитися ця система на інших ПК + мій внутрішній перфекціоніст не дає мені спокою, що ім'я актуального профілю відмінне від того, що знаходиться на локальному диску. Тобто під C:/Users/ProfwizOld в мене працює профіль ProfwiNew. Можливо є якесь вирішення цієї проблеми (хоча, я впевнений, що це найменша з можливих проблем при використанні цього софту). Шукав вирішення питань стандартними методами, адекватних не знайшов. Або міграція, тобто створення пустого сервера, який перетягне всю хорошу і погану "історію", а потім все одно доведеться все виправляти, але доменне ім'я залишиться старе. Або створювати новий сервер, з 0 робити абсолютно все. Дякую Microsoft за гнучкість та мобільність. Як вважав раніше, що з Windows Server не варто мати справу, так вважаю і зараз. Знайомство пройшло невдало. Тему можна закривати.

Автор: mak_v_ Jun 22 2023, 10:30

Топікстартеру порада... не треба поперєдніков ганьбити. З вашого опису, було зроблено так, щоб ніяка абізяна нічого зламати не могла.
Судячи по опису - доволі добре. Осільки 2008 сервер пропрацював мінімум років 10.
Тепер у вас проблема з РДП, а ви хочте "всьо взять і подєліть", не розуміючи що таке домен АД і як працюють політики і сама АД.

ІМХО - поправте РДП і продовжуйте займатися далі "інтернет-мережами" (шоцетаке??)
Інакше, можлива ситуація коли ви зламаєте щось більше, ніж рдп-сервер, і не зможете швидко виправити свої помилки, тоді вже вам доведеться розібратися з усім, або звати попередників на допомогу. Без певного багажу знань, я би не рекомендував вам самостійно це робити. (судячи з того що ви пишете)

Автор: Dr.Sydorenko Jun 22 2023, 12:33

хотів те саме написати, але настрій автора все зламати і очевидний рівень знань відбив бажання переконувати

Автор: Ivan96H Jun 22 2023, 13:33

Дякую за пораду, вже все зробив, мігрував на новий сервер примусово, старий секрвак "гавкнув" (не через моє бажання, а через певні природні обставини), без бекапів, звісно ж. РДП по факту нафіг не нада, розшарив папку, замість постійного підключення по РПД заради тієї самої однієї папки.
Знання приходять з досвідом. Декілька днів і ночей за документаціями і статтями, в результаті підняв нормальний сервер. Тему відкрив, бо потрібно було в короткі терміни вирішити це питання, а досвіду робти з WS не було від слова ВЗАГАЛІ, як результат, відповіді були почуті, всім подякував. Почав читати про WS, зрозумів базовий принцип його роботи, половина питань відпала відразу. Не потрібно "аргитись", якщо хтось чогось не розуміє. Знати все і відразу - неможливо.

Автор: olexande Jul 4 2023, 7:44

Кількість сесій на RDP підключення, читав, знімається підміною бібліотек на десктопі заміняючи їх серверним варіантом. Можливо вийшло оновлення і це оновлення "перезаписало" цей хак.

В часи XP я "трохи" грався з профілями, з-під адмінського облікового запису (чи точніше просто окремого з правами) просто руками з каталогу в каталог переносив файли. Потім потрібно було поправити атрибути доступу файлам.

Якщо користувач умовно "1 на ПК", то зручно спочатку було на диск D: винести документи, робочий стіл, пошту .... Також це допомагало спростити резервне копіювання на той час простим .bat скриптом командами архіватору.

Теж приймав участь в "переїзді" між доменами, зараз би теж рекомендував не переїзд, а оновлення домену з опціональною спробою зберегти старий сервер для бекапу.