Dawno, dawno temu w odległej serwerowni była sobie maszyna-straszyna na
której stał sobie DC z AD, GC, DNS and all that jazz. W2Ks.
Pewnej słonecznej nocy Admin zmigrował całe AD na pachnące nowością
serwery W2K3ent, sprawiedliwie rozdzielając zadania pomiędzy
poszczególne - i to było dobre.
Maszyna-straszyna stała sobie w kącie jako drugie secondary (?) i
szumiąc knuła zemstę.
Do czasu...
W ponurą grudniową noc Admin postanowił zdegradować bezlitośnie ją i
wykorzystać podle oddając linuxowemu pingwinowi we władanie. Przydzielił
z nienacka rolę GC jednemu z nowych DC, wyłączył DNS i usunął jego
zapisy z katalogów zon i wydał diaboliczną komendę dcpromo. Pewnie
gdzieś nawet uderzył piorun dla kolorytu.
Otrzymał komunikat z cyklu "a wała". Maszyna postanowiła się bronić.
Okazało się, że w zamierzchłych czasach jej młodości postawiono na niej
CA. CA nie robi dokładnie nic, poza tym że jest (chyba że AD z cicha coś
z nim knuje). I przeszkadza. Admin zasymulował awarię, czyli wyłączył
maszynę w diabli i poszedł na wó^H^H^H to jest poczytać KB i zdrzemnąć
się przed kolejnym ciężkim dniem pracy.
Rano znalazł tylko jeden (poza spodziewanymi, nieudanymi
synchronizacjami) niepokojący komunikat w logu AD - jeden z certyfikatów
się zaśmierdł (EventID 20 KDC). Włączył maszynę, flusznął certyfikaty
jak KB kazało i czekał. Dzień, drugi, trzeci... Komunikat więcej nie
pokazał się.
I teraz rozterka, czyli pytanie właściwe: Można olać sprawę CA i
zdegradować serwer, czy jest inna droga; czy to nieszczęsne CA jest mi
do czegoś potrzebne w gołym AD? Nie mam dla wyjaśnienia tam poczty, ani
terminali - tylko fileservery z kontrolą dostępu po uprawnieniach grup
userów. "Microsoft way" z migracją CA odpada; nie mogę zmienić nazwy
nowego głównego serwera AD z paru powodów. Maszyna będzie pod Linuxem,
więc zachowanie obecnego stanu też nie wchodzi w grę; poza tym nie
będzie mi bydle żarło prądu za darmo.
Reasumując; pomysły które mi przychodzą do głowy to:
1. Olać CA, zdegradować serwer i modlić się,
2. Postawić nowe CA na W2K3 i patrz punkt 1,
3. Inne rozwiązanie, które z wdzięcznością przyjmę.
Co robić?
-- pozdrawiam; MichałReceived on Mon Jan 21 22:20:06 2008
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 21 Jan 2008 - 22:42:03 MET