Power plan on server
Most egy banális, de annál nagyobb súlyú tervezési hiba miatt lett a piros gomb megnyomva.
Adva van egy cég, a szokásos két tartományvezérlővel, viszont észlelték, hogy időnként a két DC nem elérhető, leállított státuszban van. Ilyenkor mindig elindították, de egy ideig nem keresték a hiba okát (a miértet nem firtattam…). Amikor végül megelégelték, s segítséget kértek, kiderült a turpiság.
Első körben nézzük az eseménynaplót:
Kikerekedett a szemem. Nocsak. Egy kiszolgáló, ráadásul DC, elmegy aludni – ki engedte meg neki? Feltételezzük első körben, hogy nem egy spéci driver küldte aludni, hanem maga a rendszer, nézzük a “Power options” beállításokat. “High performance” opció volt kiválasztva, viszont egy érdekes sorral. Egy hagyományos, normális kiszolgálón ez így néz ki:
Az adott kiszolgálón viszont így:
Ezzel két probléma is van:
1. szerveren alapból nem elérhető
2. hiába módosítottam kézzel Never-re, egy idő után visszaállt 1h-ra – tehát itt valószínűleg GPO-ból van szabályozva.
Nézzük akkor a GPO-kat, mi vonatkozik a DC-kre. Sajnos kiderült, hogy a legrosszabb verzió, a Default Domain Policy lett piszkálva:
Ezzel szintén két probléma van:
1. MS-ajánlás, hogy nem szoktuk módosítani a Default policy-ket: volt már olyan segítségkérésem, hogy eltűntek/megsérültek az alap-GPO-k, s vissza kellett állítani őket nulláról, ilyenkor természetesen a változtatások elvesznek (jellemzően nincs dokumentálva, hogy milyen módosítások kerültek még bele).
2. ha már módosítjuk, akkor gondoljuk végig és teszteljük. Ha tényleg kell a teljes tartományra, attól még meg lehet úgy oldani (WMI; GPO-filtering – akár csoporttagság, akár Deny apply; GPO-linkelés csak adott OU-khoz, s még lehetne sorolni az opciókat), hogy kiszolgálókra (s főleg DC-kre!) ne legyen érvényes…
RSS Links
Legutóbbi bejegyzések
Archívum
Kategóriák
Bloglista
- A Profi 0
- A Regényíró 0
- A Twittelő 0
- A Virtuális 0
- Az Adatbázis 0