Холодный резерв серверов

[AlexB14]

Добрый день, господа!

Моя фирма, в соответствии с условиями госконтракта получила партию "железа".

Среди полученного "добра" есть два сервера, работу которых мне необходимо обеспечить

в "холодном" резерве. У них одинаковые ip-адреса и должны быть одинаковые доменные имена.

Товарищи, обеспечивавшие монтаж "железа", имели весьма ограниченный запасзнаний и сказали,

что я должен держать работающим только один из них. Для включения второго, я должен сначала выключить первый.

Беспроблемный переход с одного на другой не получается, так как выдаётся сообщение об отсутсвии

домена или учётной записи компа. Знакомый посоветовал использовать "Переустановку учётной записи компьютера"

в контекстном меню оснастки "Компьютера и юзера", но это не помогает. Что делать, плиз?

[Mona Sax]

при вот этом вот:

У них одинаковые ip-адреса и должны быть одинаковые доменные имена.

одновременная работа серверов действительно невозможна (исключение - кластеры, но там своё веселье).

 

Знакомый посоветовал использовать "Переустановку учётной записи компьютера"

в контекстном меню оснастки "Компьютера и юзера", но это не помогает. Что делать, плиз?

не поняла, зачем это телодвижение нужно делать.

 

было б неплохо знать:

- ОС

- функции сервера

- что подразумевается под "холодным" резервом?

[AlexB14]

не поняла, зачем это телодвижение нужно делать.

 

было б неплохо знать:

- ОС

- функции сервера

- что подразумевается под "холодным" резервом?

Полагаю, "переустановка учётной записи компа" была рекомендована, чтобы обнулить какую-либо запомненную в домене информацию о компе.

- ОС: Win2003R2 SP2 (rus);

- функции сервера: сервера копирования и архивирования. Насколько я знаю у них стоит серверная часть ПО по архивированию на внешнюю ленточную библиотеку. А клиентские части этого ПО архивирования разбросаны практически по всем остальным узлам сети. Один и тот же ip-адрес нужен, я полагаю, чтобы не перенастраивать клиентов арихивирования. Поставщик всей системы московская "Систематика";

- что подразумевается под "холодным резервом": так обзывали порядок работы с указанными серверами те два товарища, которые обеспечивали монтаж системы от поставщика. Они утверждали, что у этих двух серверов должен быть один и тот же ip-адрес, одно и то же сетевое имя (я так понимаю, чтобы клиент архивирования мог зацепиться с работающим в данный момент сервером). Но работать в сети одновременно они не должны. Их можно запускать только по очереди. Коротко, они и обзывали данный порядок работы как "холодный резерв".

Поставщики обеспечивали только монтаж серверов. Когда смонтировали, то сервера представляли собой рабочую группу. В доменный режим работы мне надо перевести по условиям получения аттестата соответствия под обработку информации ограниченного доступа.

Ну, так что? Никто ничего не подскажет? Как можно заставить два сервера с одним ip-адресом и одним именем работать в одном домене по очереди?

Изменено 12 июня, 2009 пользователем AlexB14

[Kapral]

В общем какой то маразм.

Какой то большой босс что-то не так понял

 

Но выполнять то надо

 

 

1. Как можно заставить два сервера с одним ip-адресом и одним именем работать в одном домене по очереди?

Как часто надо проводить смену серверов?

[ACIK]

Как можно заставить два сервера с одним ip-адресом и одним именем работать в одном домене по очереди?

 

Первый раз такую глупость слышу. Как я понял, " те два товарища" скорее всего имели в виду, что:

- есть два сервера А и В;

- постоянно работает только сервер А;

- если сервер А в "дауне" (перестал работать), админ оперативно включает сервер В, а сервер А отправляет в ремонт.

- когда сервер А починят, его можно вернуть на место, предварительно выключив сервер В.

 

Если у серверов А и В "железо одинаковое", тогда все просто:

- настраиваем сервер А;

- клонируем раздел с системой с сервера А на сервер В, для этого можно использовать, например, Acronis True Image;

- т.е. в итоге получаем две одинаковые машины (близнецы).

[AlexB14]

В общем какой то маразм.

Какой то большой босс что-то не так понял

 

Но выполнять то надо

 

 

 

Как часто надо проводить смену серверов?

Скорее это из-за того, что у интегратора (московская "Систематика") отсутствуют специалисты по защите информации под соответствующие классы безопасности.

Полагаю, что они действительно хотели как лучше: если сломаетя один сервер, то благое дело архивации можно выполнять

на другом.

Думаю, после ввода объекта ВТ в эксплуатацию мне эта проблема будет по-барабану: скорее всего, по жизни, будет работать один, а второй всегда будет выключен. Но для ввода в эксплуатацию, в связи с необходимостью обработки информации ограниченного доступа, мне надо будет провести объектовые СИ, фирмой, имеющей соответствующие лицензии. И вот во время этих объектовых СИ вся система должно работать "без сучка и задоринки". По опыту известно, что это будет продолжаться где-то неделю. Максимум две. Но эти две недели я должен буду уметь переключаться с одного сервера на другой "легким движением руки".

А то, что во-время объектовых СИ мне придётся это делать, у меня сомнений нет: они должны замерить ПЭМИН при полностью нагруженной АС. При таком режиме работы серверов копирования и архивирования им придётся делать измерения дважды: один раз при работе сервера А, и второй раз при работе сервера Б.

 

Первый раз такую глупость слышу. Как я понял, " те два товарища" скорее всего имели в виду, что:

- есть два сервера А и В;

- постоянно работает только сервер А;

- если сервер А в "дауне" (перестал работать), админ оперативно включает сервер В, а сервер А отправляет в ремонт.

- когда сервер А починят, его можно вернуть на место, предварительно выключив сервер В.

Не совсем! Я не смогу никуда ничего отправить - "железо" прошло лаболаторные СПСИ. В случае поломки сервера А он, скорее всего, в сломанном виде останется в стойке до подписания акта о выводе АС из эксплуатации. Может быть отсюда такое дублирование железа!?

Если у серверов А и В "железо одинаковое", тогда все просто:

- настраиваем сервер А;

- клонируем раздел с системой с сервера А на сервер В, для этого можно использовать, например, Acronis True Image;

- т.е. в итоге получаем две одинаковые машины (близнецы).

Да. Оба IBM x3650, судя по описанию потрахов, - братья-близнецы.

Насчёт клонирования через Acronis True Image, - идея мне кажется интересной! А в ней не окажется ложки дёгтя? Например, в виде МАС-адресов?

Кстати, только сейчас вспомнил! Эти два товарища, когда включали сервера в первый раз, обнаружили, что сервер Б копирования и архивирования не запускался. Они предположили, что операционка была загроблена в процессе лаболаторных СПСИ и восстанавливали её именно клонированием. А я результаты этого клонирования мог запортить проводя мероприятия по защите информации:

- их поочерёдным подключением к домену;

- поочерёной установкой на них Касперского;

- и поочерёдной установкой на них СЗИ SecretNet5.

Очень интересная идея. Спасибо! Закончатся выходные, - надо будет попробовать. Если всё получится, то с меня - пиво!

[Kapral]

Аааа.... теперь я понял что-такое Холодный резерв

Горячая замена - это замена оборудования при включенном компе

а тут надо выключить

 

Короче - сочувствую.

НО - разве интегратор не должен сдать объект под ключ?

[ACIK]

Насчёт клонирования через Acronis True Image, - идея мне кажется интересной! А в ней не окажется ложки дёгтя?

Например, в виде МАС-адресов?

 

Acronis придктся достать именно под сервер, так как home-версия может отказаться работать с серверным железом.

 

С МАС-ами может быть проблема только в том случае, если есть еще один сервер С, выдающий серверам А и Б IP-адреса по МАС-у. Но и тут все можно легко решить...

[Mona Sax]

Скорее это из-за того, что у интегратора (московская "Систематика") отсутствуют специалисты по защите информации под соответствующие классы безопасности.

обратитесь в НПО "Эшелон", там это умеют

 

Думаю, после ввода объекта ВТ в эксплуатацию мне эта проблема будет по-барабану: скорее всего, по жизни, будет работать один, а второй всегда будет выключен. Но для ввода в эксплуатацию, в связи с необходимостью обработки информации ограниченного доступа, мне надо будет провести объектовые СИ, фирмой, имеющей соответствующие лицензии. И вот во время этих объектовых СИ вся система должно работать "без сучка и задоринки". По опыту известно, что это будет продолжаться где-то неделю. Максимум две. Но эти две недели я должен буду уметь переключаться с одного сервера на другой "легким движением руки".

А то, что во-время объектовых СИ мне придётся это делать, у меня сомнений нет: они должны замерить ПЭМИН при полностью нагруженной АС. При таком режиме работы серверов копирования и архивирования им придётся делать измерения дважды: один раз при работе сервера А, и второй раз при работе сервера Б.

Ура, я теперь поняла, что имелось в виду ). Клонирование тут вариант, проблемы с маками не будет(если конечно за этим нет слежения с отрубанием при обнаружении 2х одинаковых маков, например)

 

е совсем! Я не смогу никуда ничего отправить - "железо" прошло лаболаторные СПСИ. В случае поломки сервера А он, скорее всего, в сломанном виде останется в стойке до подписания акта о выводе АС из эксплуатации. Может быть отсюда такое дублирование железа!?

я бы при такой схеме делала активное ("горячее") резервирование. чтобы в случае падения первого нагрузка шла автоматом на второй. но раз уж контора так захотела...

[AlexB14]

НО - разве интегратор не должен сдать объект под ключ?

Я, так понимаю, что это зависит от текста подписанного договора.

Как правило, заказчики, имеющие обработку информации ограниченного

доступа, имеют свои структурные подразделения по защите информации

и выполняют работы по защите АС самостоятельно. Какой смысл за это

платить какой-то фирме, если всё равно есть свои люди, сидящие на решении

этих проблем?

 

Acronis придктся достать именно под сервер, так как home-версия может отказаться работать с серверным железом.

Да!? Это плохо. У меня дома был на одном из загрузочных дисков какой-то, но не думаю, что он серверный.

С МАС-ами может быть проблема только в том случае, если есть еще один сервер С, выдающий серверам А и Б IP-адреса по МАС-у. Но и тут все можно легко решить...

Вы имеете ввиду WINS? Да, я его ставил на специализированный под контролер домена сервер. А как это обойти?

 

 

обратитесь в НПО "Эшелон", там это умеют

Ха! Я не тот человек в конторе, который выбирает! Я тот кто исполняет!

А тот, кто делает выбор, имеет тёщу, недавно получившую, по-слухам, свой коттеджик на рублёвке!

Ура, я теперь поняла, что имелось в виду ). Клонирование тут вариант, проблемы с маками не будет(если конечно за этим нет слежения с отрубанием при обнаружении 2х одинаковых маков, например)

А какой сервис за этим должен следить?

я бы при такой схеме делала активное ("горячее") резервирование. чтобы в случае падения первого нагрузка шла автоматом на второй. но раз уж контора так захотела...

Горячее резервирование - это фишка для задач реального времени. А процесс архивации БД на магнитные ленты - это явно не из той оперы.

[Mona Sax]

Да!? Это плохо. У меня дома был на одном из загрузочных дисков какой-то, но не думаю, что он серверный.

можно попробовать встроенными средствами: http://www.winblog.ru/2006/10/17/17100604.html

 

Вы имеете ввиду WINS? Да, я его ставил на специализированный под контролер домена сервер. А как это обойти?

А какой сервис за этим должен следить?

нет, я имею в виду не сервер обновлений. проблемы могут быть с:

- DHCP-сервером, если он имеется. в нем может быть резервация mac-адреса и имени на ip.

- маршрутизаторы, на которых это может контроллироваться

- контроллер домена (тут надо будет проверить, чтобы идентификаторы в обоих ОС совпадали)

 

Горячее резервирование - это фишка для задач реального времени. А процесс архивации БД на магнитные ленты - это явно не из той оперы

если у Вас есть система мониторинга, которая оповещаетв случае отказа - то да, не обязательно. если же нет - бегать каждый день смотреть, всё ли работает несколько неудобно.

[AlexB14]

Добрый день!

Вчера провел "клонирование". Сначала, на том из серверов, что попадал в домен без проблем с использованием "Acronis True Image" создал в виде файла образ жёсткого диска на внешнем USB-диске. Затем на том сервере, который не мог залогиниться в контролере домена произвёл восстановление жёсткого диска из образа, сохранённого в файле на внешнем USB-диске. Результаты получились следующие:

Теперь оба сервера поочерёдно логинятся на контролере домена успешно. Ура! Правда без чайной ложки дёгтя всё же не обошлось: похоже Касперский "соображает", в отличие от контролера домена, что это два разных сервера. Когда в сеть включен "оригинал", Admin-кит KAV6 показывает компьютер в группе ядовито зелёным. Обновления антивирусных БД идут, и, изменения в настройках синхронизируются с компом успешно. При выключении "оригинала" изображение компа становится бледно зелёным. И при включении в локальную сеть "клона" остаётся бледным. На попытку внести изменения в конфигурацию, говорит, что данные будут синхронизированы после появления компа в сети.

Ну, это уже мелочь, с которой жить и работать вполне можно! Ау, ACIK! Куда слать пиво?

До клонирования я не ковырялся с МАС-адресами, т.к. не имея опыта работы с "Acronis True Image" слегка волновался по поводу восстановления образа HDD. На досуге можно их поковырять. Может и KAV6 заработает. Но это уже идеал без которого и перебиться можно.

Всем спасибо!

[Mona Sax]

Теперь оба сервера поочерёдно логинятся на контролере домена успешно. Ура! Правда без чайной ложки дёгтя всё же не обошлось: похоже Касперский "соображает", в отличие от контролера домена, что это два разных сервера. Когда в сеть включен "оригинал", Admin-кит KAV6 показывает компьютер в группе ядовито зелёным. Обновления антивирусных БД идут, и, изменения в настройках синхронизируются с компом успешно. При выключении "оригинала" изображение компа становится бледно зелёным. И при включении в локальную сеть "клона" остаётся бледным. На попытку внести изменения в конфигурацию, говорит, что данные будут синхронизированы после появления компа в сети.

 

а что говорит утилитка klnagchk ?

[AlexB14]

а что говорит утилитка klnagchk ?

Добрый день, Mona! Что говорит утилита, я обязательно выясню. Но если Вы не против, то несколько позже. Оставшаяся проблемка не относится к классу самых важных на текущий момент. На работе есть проблемы поактуальнее. Сейчас просто нет времени её ковырять дальше. Всего хорошего.