Архив метки: W2K8

Возможны подводные камни при обновлении 2008 на 2008R2 с ролью Hyper-V

Наконец то появилась у меня 2008 R2. Пришло время апгрейда своего ЦОД на блейдах HP с виртуализацией.
Как осведомленный человек после общения с Андреем Бешковым имел представление о том, что апгрейд должен пройти без сучка и задоринки.
Все необходимые приготовления сделал, а именно: Читать далее Возможны подводные камни при обновлении 2008 на 2008R2 с ролью Hyper-V

Развертывание Failover Cluster 2008 на оборудовании HP Blades и MSA2000sa

Полезный веб-каст, который помогает в развертывании http://www.techdays.ru/videos/1031.html
Итак: имеем 2 блейд сервера BL460c одинаковой конфигурации с мезонин-картами fiber-channel коннектом к сторэйджу, сторэйдж MSA2000sa. Дистрибутив Winsows 2008 Datacenter Edition. Домен 2008.

Предподготовка:
Я собирал отказоустойчивый кластер вида node and disk majority. Это значит что работоспособной у нас система будет до тех пор, пока будет жив один из узлов кластера и кворумные данные на общем сторэйдже.
Нам понадобится лишний ip-адрес и FQDN для итоговой опосредованной кластеризованной машины, на которую мы будем пускать разработчиков, которые будут думать что работают на обычной машине. А так же возможно еще адреса для поднятия кластеризованных машин под конкретную задачу. Например для SQL2008 кластера будет создана еще одна опосредованная кластерная машина со своим адресом и FQDN
1. Делегируем обоим блейдам два волюма из этого сторэйджа один 500 мегабайт на кворумный диск, и второй столько, сколько нам надо. У меня это 450 гигагабайт для хранения кластеризованных данных. Здесь следует иметь ввиду что эти два волюма должны быть презентованы ТОЛЬКО нодам будущего кластера. Никакому другому серверу, подключенному к сторэйджу нельзя делегировать эти волюмы
2. Устанавливаем Windows2008 на оба сервера (я ставил подмонтировав из дому диск в виндой к стойке c7000 к конкретным блейдам, весьма удобно), активируем, вводим их в домен. Пусть это будут машины clustering1.domain.ru и clustering2.domain.ru
3. Рекомендую проставить все обновления на оба сервера перед инициализацией кластера. Я делал кластеры и с обновлениями и без. С обновлениями может произойти рассинхронизация кластера из за недоустановки какого нибудь из обновлений на одну из нод, но это не смертельно и даже в таком случае кластер будет функционировать
4. На каждом блейде у меня по 2 сетевые карты, то что нужно. Одна сетевая у меня смотрит в адресное пространство domain.ru, а другая назначена heartbeat с адресацией допустим 172.1.1.1/24 на одном сервере и 172.1.1.2/24 на другом (Адресация не важна, главное чтобы она была вне пределов используемых в сети пулов). Шлюз и ДНС-ы прописывать на heartbeat сетевых не надо. Они и так будут видеть друг друга, а этого достаточно
5. Для того чтобы собрать кластер на моем оборудовании, мне пришлось повозиться. Validation Wizard не хотел принимать презентованные диски с MSA2000 как подходящие для создания кластера. Косяк Windows 2008. Исправляется это так: В редакторе реестра в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpcisss2\Parameters\BusType меняем значение с 8 на A. На обоих нодах кластера. Тип шины RAID, презентуемый сторэйджем почему то не нравится Validation Wizard
Следует обратить внимание на то, что презентованные диски должны быть привязаны через диск менеджмент только к одной ноде. На второй ноде они должны находиться в состоянии offline. При отказе первой ноды служба кластеризации автоматически привяжет их ко второй ноде

Развертывание:
1. На каждом сервере cluster1.domain.ru и cluster2.domain.ru идем в Server Management, выбираем features, добавляем опцию Failover Clustering
2. Идем в Failover Cluster Management, запускаем Validation Wizard, выбираем две целевые ноды, проходим полное тестирование. Ожидаем зеленых отчетов по всем тестам. Если мы все настроили до этого момента правильно - они у нас будут
3. Запускаем Wizard создания кластера, добавляем обе ноды, прописываем имя опосредованной кластерной машины (НЕ FQDN а только NETBIOS имя) и выделяем ей IP адрес, который мы зарезерервировали ранее. Допустим это будет cluster.domain.ru, ждем завершения создания кластера
4. В Failover Cluster Management жмем правой кнопкой п осозданному кластеру cluster.domain.ru в выпадающем меню выбираем More Actions -> Configure Cluster Quorum Settings, выбираем режим кластера Node and Disk Majority, выбираем кворумный диск (наш маленький 500 мегабайтный волюм) и дожидаемся завершения операции

Все. Кластер на базе HP C7000, серверов HP BL460c и дисковой полки MSA2000sa создан.

FreeBSD в домене Windows с FFL и DFL 2008

Решил протестировать способность Active Directory в среде 2008 принять на борт машину с FreeBSD 7.2

Исходные данные:
1. AD версии 44 с режимами домена и леса 2008
2. FreeBSD 7.2 с обновленной коллекцией портов
3. Время на контроллерах домена и на машине с FreeBSD синхронизировано с общим источником времени (необходимо для правильной реакции Kerberos)

Пусть хост с FreeBSD называется smb и имеет доменный суффикс testdom.ru.
Пусть контроллер домена 2008 testdom.ru называется pdc, и на нем запущена служба DNS.
Перед началом всех манипуляций, в DNS нужно прописать хост smb. Добавил запись типа A, для того чтобы контроллер домена мог свободно резолвить наш хост.
Так же настроил на smb резолвить запросы на сервер имен - сервер pdc с ролью DNS.

Для работы в домене, нам как обычно понадобится Samba
Установил из портов
/usr/ports/net/samba3/
Протестировал с версией 3.0.35, нужно проверить на 3.3.6

make config
В опциях включил следующее:

With LDAP support
With Active Directory support
With CUPS printing support
With WinBIND support
With ACL support
With UTMP accounting support
With system-wide POPT library

make
make install
rehash

Все подчиненные по дереву порты, при установке оставил с конфигурациями по умолчанию. Примечательно то, что теперь нет необходимости устанавливать и настраивать отдельно порт heimdal, теперь эти механизмы устанавливаются с самбой.

В файле /etc/nsswitch.conf
group: compat
заменил на
group: files winbind
и добавил строку
password: files winbind

Создал конфиг для krb5
touch /etc/krb5.conf
с содержимым (в конфиге очень важен регистр и пунктуация):
[logging]
default=FILE:/var/log/krb5libs.log
kdc=FILE:/var/log/krb5kdc.log
admin_server=FILE:/var/log/ksadmind.log
[libdefaults]
default_realm=TESTDOM.RU
dns_lookup_kdc=false
dns_lookup_realm=false
ticket_lifetime=24h
default_tgs_enctypes=DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
default_tkt_enctypes=DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
preferred_enctypes=DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
[realms]
TESTDOM.RU={
kdc=pdc.testdom.ru.:88
admin_server=pdc.testdom.ru.:749
default_domain=testdom.
}
[domain_realms]
.testdom.=TESTDOM.RU
testdom=TESTDOM.RU

После этого перегрузил машину.

Далее в командной строке нужно обратиться к керберосу pdc и получить временный тикет на работу в домене. Для этого надо обратиться к домену под учетной записью с правами администратора домена. У меня это стандартный Administrator.
Выполнил:
kinit administrator
ввел пароль этой учетки:
Сперва не получилось,, не захотело работать по UDP
kinit administrator
admin@TESTDOM.RU`s Password:
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP

пришлось исправить конфиг в строке
kdc=pdc.testdom.ru.:88
на
kdc=tcp/pdc.testdom.ru.:88

и повторить процедуру. Со второй попытки все прошло удачно:

kinit administrator
administrator@TESTDOM.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Далее настроил конфиг самбы в
/usr/local/etc/smb.conf

Если коротко, то должно получиться вот так (при этом машина будет после присоединения видна в сетевом окружении, но походить по директориям не получится, безопасности ради):
netbios name=SMB
log level=3
idmap uid=10000-20000
idmap gid=10000-20000
encrypt passwords=yes
dns proxy=NO
ldap ssl=NO
winbind use default domain=yes
workgroup = TESTDOM
server string = Samba Server
security = ADS
load printers =no
log file = /var/log/samba/log.%m
max log size = 50000
realm = TESTDOM.RU
socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
local master = no
domain master = no
preferred master =no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866

В etc/rc.conf разрешил запуск стартстопного скрипта самбы
samba_enable="YES"

стартовал самбу
/usr/local/etc/rc.d/samba start

и присоеденил машину в домен:

net ads join -U administrator
administrator's password:
Using short domain name -- TESTDOM
Joined 'SMB' to realm 'TESTDOM.RU'

Все. Машина успешно подключилась к домену.