Power plan on server

Most egy banális, de annál nagyobb súlyú tervezési hiba miatt lett a piros gomb megnyomva.

Adva van egy cég, a szokásos két tartományvezérlővel, viszont észlelték, hogy időnként a két DC nem elérhető, leállított státuszban van. Ilyenkor mindig elindították, de egy ideig nem keresték a hiba okát (a miértet nem firtattam…). Amikor végül megelégelték, s segítséget kértek, kiderült a turpiság.

Első körben nézzük az eseménynaplót:

Kikerekedett a szemem. Nocsak. Egy kiszolgáló, ráadásul DC, elmegy aludni – ki engedte meg neki? Feltételezzük első körben, hogy nem egy spéci driver küldte aludni, hanem maga a rendszer, nézzük a “Power options” beállításokat. “High performance” opció volt kiválasztva, viszont egy érdekes sorral. Egy hagyományos, normális kiszolgálón ez így néz ki:

Az adott kiszolgálón viszont így:

Ezzel két probléma is van:

1. szerveren alapból nem elérhető

2. hiába módosítottam kézzel Never-re, egy idő után visszaállt 1h-ra – tehát itt valószínűleg GPO-ból van szabályozva.

Nézzük akkor a GPO-kat, mi vonatkozik a DC-kre. Sajnos kiderült, hogy a legrosszabb verzió, a Default Domain Policy lett piszkálva:

Ezzel szintén két probléma van:

1. MS-ajánlás, hogy nem szoktuk módosítani a Default policy-ket: volt már olyan segítségkérésem, hogy eltűntek/megsérültek az alap-GPO-k, s vissza kellett állítani őket nulláról, ilyenkor természetesen a változtatások elvesznek (jellemzően nincs dokumentálva, hogy milyen módosítások kerültek még bele).

2. ha már módosítjuk, akkor gondoljuk végig és teszteljük. Ha tényleg kell a teljes tartományra, attól még meg lehet úgy oldani (WMI; GPO-filtering – akár csoporttagság, akár Deny apply; GPO-linkelés csak adott OU-khoz, s még lehetne sorolni az opciókat), hogy kiszolgálókra (s főleg DC-kre!) ne legyen érvényes…