miércoles, 27 de febrero de 2013

Active Directory, checked

Contento che, recién salido del training de Windows Server, configuré hands-on mi primer Active Directory DC, y estuve paso a paso gritandole a Pablo (del team de training), qué hacer para agregar un member. 

Era una especie de deuda que tenía que cumplir, siempre me decían que era complicado-pero-fácil y ya había leído en algun momento tutoriales bastante high-level - ver en el link - y se vía fácil (era de algun modo fácil pero tiene bastantes detalles críticos, parecido a configurar un cluster), pero no me surgió hasta ahora la necesidad de deployar un AD (ni pintó montar un lab para hacerlo @home). Bueno, ahora sí, AD configuration, checked, a leer sobre administración ahora.

Justo venía pensando, ¿Qué es lo primero que tiene que hacer un administrador luego de aprender a configurar algo? Romperlo, sí, de inmediato, para luego empezar a aprender a repararlo. Si tenés una DB nueva recién instalada - en un entorno de testing claro -, andá y dale un kill -9 al pid de la base, fijáte cómo se arregla eso, cómo no se arregla (tip: por acá viene la mano :-), y por qué no tenés que killear pids de bases de datos que están online.

Es parte del proceso, configurar, administrar, etc. Si no lo rompés de inmediato, cuando algo falle va a ser la primera vez que te encontrás con el soft muerto, sin responder, y vas a tener que investigar desde cero cómo repararlo (mientras de atrás te corren para que ande lo antes posible).


Así que haciendo honor al training típico de sysadmin, ni bien levantamos el DC, el member falló a la mitad antes de unirse; así que empezamos (bah, Pancho empezó), a correr procedimientos de recuperación y limpieza (el AD queda "sucio" por el proceso a medio completar), borrando cosas por acá y por allá, joineando el server candidato a member al domain, etc. Y así ya estuvimos viendo un poco de troubleshooting light para cuando, por decirlo de modo políticamente correcto, las cosas se van al carajo.

Escuché que no teníamos que modificar la configuración DNS unas 25 veces en 2 horas, y después pregunté por casos en que había que efectivamente meterse y modificar esa config (tip, hay casos,  y hay que hacerlo con cuidado de joder nada).

No hay comentarios: