Hyper-V как выбрать версию и перенести существующую инфраструктуру

[Призрак]

Собственно, вопросы для меня особой важности. Прежде всего, хотелось бы узнать, какой лучше всё - таки гипервизор выбрать? 2012 R2 или 2016? Особой разницы я не вижу, но в 2016 меня бесит командная строка на входе, вместо окна логина, никак не могу понять, как сделать нормальный экран входа.

В рамках аккредитации подведомственное учреждение, которому подчиняется наш вуз, снизошло наконец - то, кроме закупки основного железа, на предоставление нам двух серверов Fujitsu Primergy RX-2540 M4 в минимальной комплектации. Учитывая непомерную жадность майкрософта, находящегося в сговоре с производителями оборудования, естественно, наша существующая лицензия на Windows Server 2008 R2 тут не прокатила, так как эта система несовместима с этими серверами. Пришлось вот делать выбор между 2012 R2 и 2016, не знаю, какой лучше выбрать.

Эти два сервера направятся в два разных корпуса - лабораторный и теоретический. В лабораторном корпусе серая сеть 192.168.20.0. Соответственно, в теоретическом 192.168.30.0. Оба корпуса имеют по белому адресу, для выхода в Интернет и общения друг с другом и с другими корпусами. Первоначальную настройку предполагается проводить в административном корпусе, где сеть 192.168.10.0.

Вот, собственно вопросы:

1. Когда я настрою гипервизоры, то, естественно, мне где - то придётся указывать и белый адрес. Очень не хотелось бы указывать его на самом гипервизоре, так как, по сути, это всё равно что голой задницей его выставить в Интернет, а это недопустимо. По микротикам ещё идёт работа, поэтому предполагается установить виртуальную машину, которая будет выполнять роль шлюза. И туда предполагается прописать белый адрес. Как создать виртуальные коммутаторы я знаю, мне говорили, что все настройки сети переводятся на эти виртуальные коммутаторы, при этом уже можно не трогать существующие сетевые настройки на гипервизоре. Но если я не укажу адреса для сетевой карты на гипервизоре, то как белый адрес будет работать на шлюзе?

2. Предполагается создать по два виртуальных контроллера домена в существующем домене (хозяин операций находится в административном корпусе) на каждом сервере, основной и резервный. Настройку ролей лучше отложить до перевозки серверов на места, или же можно выполнить в административном корпусе, после просто поменяв адреса по прибытии серверов на место?

3. Как лучше поступить с DHCP сервером? На местах находится по контроллеру домена в существующем домене на базе операционной системы Windows Server 2003. Правильно ли, что я должен поступить так?

3.1. Настроить службы DHCP по прибытии серверов на место, просто забив заново все настройки, которые были на старой машине, протестировать на работоспособность, предварительно остановив службу на старом сервере.

3.2. Понизить роль на старом сервере и вывести его из работы.

При этом, как я понял, нужно настраивать DHCP на двух, основном и резервном, нужно делать одинаковые настройки, или как лучше поступить?

[Уваров А.С.]

Сейчас лучше брать 2016, что там на входе, должно волновать вас в последнюю очередь, видеть вы это будете один раз - при первоначальной настройке. Потом вся работа идет через оснастку Hyper-V и RSAT.

1. Когда вы создаете виртуальный коммутатор, то физический порт, который вы указываете при настройке становится просто гнездом коммутатора, его больше не трогаем.

Если вы не отключили этот коммутатор от хоста, то на нем будет создан виртуальный адаптер на который будут перенесены настройки с физического. Далее настраиваем его и адаптеры в виртуалках.

Если вы отключили коммутатор от хоста, то настраиваем исключительно адаптеры в виртуалках. А физический порт рассматриваем исключительно как гнездо коммутатора к которому присоединены виртуалки.

Следовательно белый адрес прописываете уже внутри виртуалки.

2. Да какая разница, настройте на месте. Никакие адреса менять не надо, просто организуйте на шлюзе маршрутизацию между своими подсетями. На край - возьмите любой самый дешевый роутер и организуйте все прямо на столе.

3. Сделать экспорт настроек на старом - импорт на новом. Потом добавите отказоустойчивости и разделите зону. https://interface31.ru/tech_it/2015/07/nastraivaem-vysokodostupnyy-dhcp-server-v-windows-server-2012.html

3.2 После того как понизите старый КД можете делать с ним все что угодно, это еще один самый обычный сервер.

И да, нет ни основных, ни резервных КД, все КД равнозначны. Есть хозяева ролей FSMO, но это совсем другая история.

[Призрак]

Хорошо, по части понятно, очень благодарен за информацию. Только вот существующую схему менять пока ой как не хочется, это я по поводу смены адресов. Дело в том, что у нас на каждом шлюзе развёрнут OpenVPN, который связывает все корпуса и общежития вместе. В будущем эту схему придётся поменять, но если у вас есть альтернативное решение, то очень хотелось бы узнать, как обойтись без OpenVPN. То есть, как у нас устроены вообще сети:

1. Административный 192.168.10.0
2. Теоретический 192.168.30.0
3. Лабораторный 192.168.20.0
4. Общежитие №1 192.168.50.0
5. Общежитие №2 192.168.60.0

[Уваров А.С.]

Поставить нормальные аппаратные роутеры (тот же Микротик) и настроить любым удобным образом каналы и маршрутизацию между сетями. Адресацию никто менять не требует.

[Призрак]

Столкнулся я опять с трудностями. Всё поставил, настроил. Но обновления почему - то не загружаются. В сети есть прокси сервер, но оба адреса добавлены туда, физических, так что всё должно быть нормально. Висит окно, найдено два обновления, висит надпись загрузка обновлений и всё, она может длиться часами, без результата. Пинг до интернета идёт. С виртуальными коммутаторами разобрался, уже развернул шлюз на виртуальной машине.

Что же касается микротиков, то я повторяю, не раз и не два, что переговоры по этому вопросу ведутся, но пока, к сожалению, без результата. Или, может быть, мне купить два микротика по 11000 минимум каждый, на свою зарплату? Если уж покупать, то везде, на три корпуса и два общежития. А так приходится настраивать через задницу.

Ещё бы хотелось узнать, знаю, что надоедаю, насчёт контроллеров домена. Повторюсь, что на каждом сервере их будет по два, для отказоустойчивости, и, как мне подсказали, для разделения области DHCP. Я могу изначально им не присваивать адреса, настроив их в административном корпусе? После переноса на места, они получат, соответственно, от меня, ручные адреса, 192.168.20.2, 192.168.20.3, 192.168.30.2, 192.168.30.3, а также настройки DHCP. Остальные машины будет настроить гораздо проще.

[Уваров А.С.]

А кто мешает присвоить им адреса прямо в административном корпусе? Тем более что старую инфраструктуру вы не ломали и нужная сеть должна быть доступна.

[Призрак]

Опять 25, непонятная проблема. Создал два виртуальных коммутатора, INTERNET и LAN, сеть внешняя, с первого галочку снял. В гостевых машинах появились адаптеры с описанием "адаптер виртуальной частной сети". Совершенно справедливо пытаюсь задать основной шлюз подключению INTERNET с белым адресом, типа 89.250.XXX.XXX, указываю основной шлюз, после применения изменений основной шлюз исчезает. Почему так происходит я не понимаю, вообще. Устанавливаю все обновления и готовлю машины через интерфейс LAN. Когда же шлюз прибудет на место, то, я боюсь, из-за этого будут проблемы, так как клиенты не смогут выйти в Интернет.

[ival]

Я так понимаю у Вас есть шлюз по умолчанию уже. Второго такого быть не может. Покажите ipconfig /all и route print из виртуалки

[Призрак]

Да, действительно так, прошу меня простить. Я после настройки уберу шлюз с карты LAN и переставлю его на INTERNET. Старею... Вот только есть ещё проблема, на Hyper V Server 2016 не ставятся по неизвестной причине обновления, ни в какую. Он их находит, пытается загрузить, потом выдаёт сообщение, что следующие обновления были установлены и применены, там пусто, пытаешься перезагрузиться, он снова при поиске выдаёт те же обновления. Что это такое вообще не могу понять. Вручную их что-ли скачать? И через командную строку поставить?

[ival]

Он их находит, пытается загрузить, потом выдаёт сообщение, что следующие обновления были установлены и применены, там пусто, пытаешься перезагрузиться, он снова при поиске выдаёт те же обновления. Что это такое вообще не могу понять.

Логи надо смотреть.

На гипервизоре в powershell вводите

Code Select Expand

Get-WindowsUpdateLog -logpath C:\Temp\WindowsUpdate.log
Копируете созданный лог файл себе, открываете обычным блокнотом и смотрите, что происходило.

[Призрак]

Хрень какая - то...

[ival]

Хрень какая - то...

Не хватет пакета символов. Попробуйте сделать по ссылке https://support.solarwindsmsp.com/kb/solarwinds_n-central/Reading-Windows-10-WindowsUpdate-log

[Призрак]

Там какая - то лажа по ссылке, где что скачать? Какие - то ссылки куда - то, какая - то информация с командами и всё.

[ival]

Там какая - то лажа по ссылке, где что скачать? Какие - то ссылки куда - то, какая - то информация с командами и всё.

Мдааа, кто умеет читать у того преимущество.

По ссылке есть абзац:

Download Windows Symbol Packages

    https://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx?f=255&MSPPError=-2147217396
    Example Powershell command after downloading the symbols library, if the symbols fails to properly install:

Переходим по ссылке из абзаца. Попадаем на msdn, читаем первый абзац.

Symbol files make it easier to debug your code. The easiest way to get Windows symbols is to use the Microsoft public symbol server. The symbol server makes symbols available to your debugging tools as needed. After a symbol file is downloaded from the symbol server it is cached on the local computer for quick access.

В нем видим ссылку с описанием публичного сервера символов. Преходим по ссылке и попадаем на статью Microsoft public symbol server.
Читаем как работает, делаем. Дальше возвращаемся на первую ссылку и делаем по аналогии

Code Select Expand

Get-WindowsUpdateLog -SymbolServer \\<localmachinename>\c_drive\path to local symbol cache добавляя параметр -logpath

[Призрак]

Хорошо, сейчас попробую. Мне говорили, что когда я создаю виртуальные коммутаторы, то сетевые подключения переводятся в машины. Позвольте полюбопытствовать, вот это тогда что? Почему этой сетевой карте назначается адрес и почему не сбрасывается шлюз, который я назначал ранее? Вот уж действительно, мир полон чудес.

[Призрак]

А, всё равно по символам ничего не понял. Что делать, как делать. Ругаться хочется уже, честное слово.

[Призрак]

Вот по этой ссылке почитайте текст.

https://msdl.microsoft.com/download/symbols

Что я должен оттуда скачивать? Там написано The data you requested cannot be retrieved.

В общем, я как понял, посмотреть журнал не получится. Хоть и обещал в предыдущей теме не ругаться, но сформулирую своё ругательство так - большое спасибо корпорации майкрософт, за то, что не убавляет, а добавляет проблем. Большой ей респект за это.

[ival]

Хорошо, сейчас попробую. Мне говорили, что когда я создаю виртуальные коммутаторы, то сетевые подключения переводятся в машины. Позвольте полюбопытствовать, вот это тогда что? Почему этой сетевой карте назначается адрес и почему не сбрасывается шлюз, который я назначал ранее? Вот уж действительно, мир полон чудес.

Потому что в настройках коммутатора стоит галка "разрешить управляющей ОС предоставлять общий доступ к этому сетевому адаптеру"

Шлюз..., да даже не знаю, учитывая Ваши вопросы. Не рестартанули интерфейс, руками создали альтернативную конфигурацию интерфейса, добавлен маршрут 0.0.0.0 0.0.0.0 192.168.20.10 и т.п. Вообще для меня не понятно чем нужно было руководствоваться чтобы добавить шлюз по умолчанию 192.168.20.10/24 для сети 192.168.10.0/24 ....

А, всё равно по символам ничего не понял. Что делать, как делать. Ругаться хочется уже, честное слово.

Лучше читать и вдумываться в то что написано.

Что я должен оттуда скачивать? Там написано The data you requested cannot be retrieved.

Вас на той странице не настораживает ни сколько текст?

Code Select Expand

The data at this site is not accessed from a web browser. Instead, it is accessed by the symbol server technology that ships as part of the Debugging Tools for Windows and Visual Studio. For more information, see Symbols for Windows debugging (WinDbg, KD, CDB, NTSD) and Specify symbol (.pdb) and source files in the Visual Studio debugger.
Может стоит надо еще раз прочитать:

https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/microsoft-public-symbols
Там написано все просто, не нужно изобретать велосипед

В общем, я как понял, посмотреть журнал не получится

Если с таким подходом как у Вас, то не получится

[Призрак]

Вы посмотрите внимательно, по той ссылке, я говорю ещё раз

https://msdl.microsoft.com/download/symbols

Ничего там нету. А вот по тем ссылкам, что там, отсылка к тому же сайту.

The data at this site is not accessed from a web browser. Instead, it is accessed by the symbol server technology that ships as part of the Debugging Tools for Windows and Visual Studio. For more information, see Symbols for Windows debugging (WinDbg, KD, CDB, NTSD) and Specify symbol (.pdb) and source files in the Visual Studio debugger.

Что я должен, крутиться по кругу что-ли?

Чтобы выполнить команды последующие, я должен сначала создать папку myCache, затем скачать, как я понял, содержимое с того сайта в эту папку. А если там ничего нет, то что я скачаю в эту папку? Да, я не понимаю, это мне простительно.

Допустим, вы купили автомобиль. Там неисправен электронный блок. Менять дорого, вы решили найти сами неисправность. Опа, журнал зашифрован! А чтобы его расшифровать, потребуется гонять по разным сайтам, кликать по разным ссылкам. Сайт мелкософта славится кладезью бессмысленной информации, которая разбросана как попало, кружит пользователя по кругу. Вам не обидно будет?

После выполнения вот этой команды

set _NT_SYMBOL_PATH=srv*DownstreamStore*https://msdl.microsoft.com/download/symbols

Я бы 100% понял, что нужно делать. Но по той ссылке, повторяю, ничего нет!!!

[Призрак]

Шлюз..., да даже не знаю, учитывая Ваши вопросы. Не рестартанули интерфейс, руками создали альтернативную конфигурацию интерфейса, добавлен маршрут 0.0.0.0 0.0.0.0 192.168.20.10 и т.п. Вообще для меня не понятно чем нужно было руководствоваться чтобы добавить шлюз по умолчанию 192.168.20.10/24 для сети 192.168.10.0/24 ....

Да, видимо для вас нужно расписывать всё до мелочей. Я добавлял его, когда экспериментировал с переводом в другую подсеть, где будет этот сервер, как оказалось, безуспешно. Поэтому и вернул его на место. Но я так и не понял, почему там отображается два шлюза, когда должен быть только один. По логике, если я возвращаю все настройки на место (DHCP), то интерфейс и должен уходить в это время в рестарт, ведь сбрасываются старые настройки и применяются новые. Но то, что два шлюза это баг от мелкософта, однозначно. Противный, мелкий, гадкий.

[ival]

если про автомобили... вы купили автомобиль и не умеете управлять им. Потом вы говорите что он плохой. Меняете автомобиль и также - беда. И вместо того чтобы пойти на курсы вождения или прочитать 300 страниц инструкции по эксплуатации Вы в очередной раз говорите что это недоработка инженеров. Ну это лирики все...

_NT_SYMBOL_PATH - значение переменного окружения отвечающая за расположение windows symbols. От Вас требовалось совсем не много, это ввести команду

Code Select Expand

Set _NT_SYMBOL_PATH=srv*C:\temp\symbols\*https://msdl.microsoft.com/download/symbols

чтобы сказать системе - symbols ищи по http ссылке, а ложи локально на c:\temp\symbols По ссылке не надо переходить и искать что-то что можно скачать, там доходчиво написано: «браузером тут ничего не найти» после этого Вы должны были запустить Get-WindowsUpdateLog и она должна была по умолчанию в параметр symbolserver подставить ссылку из NT_Symbol_path и скачать наужные символы, положив их в c:\temp\symbols и выдать Вам читаемый лог. Если лог не читаемый, то надо было лезть в папку c:\temp\symbols и смотреть появились ли там что-то. Возможно проверить доступность ссылки https://msdl.microsoft.com/download/symbols с гипервизора командой invoke-webrequest, ну или любого другого ресурса, т.к. непонятки со шлюзами. И продолжать дальше искать решение проблемы (хотя я уже даже не знаю, тут в одной теме столько проблем, а гипервизор ещё даже не начал работать). Но насколько я понял Вам это не нужно, Вам нужно чтобы Кто-то прислал команду или сказал куда ткнуть мышкой.

Мне ничего не надо «расписывать до мелочей» это не моя проблема. А сейчас у меня складывается такое впечатление, что я взял у Вас денег за решение проблемы и не решаю её, а только советую «глупые» статьи из doc.microsoft. Может Вам проще нанять интегратора? И у Вас меньше проблем будет и «машины» будут без недоработок конструкторов.

[Призрак]

Хорошо, я попробую на работе сделать. Нанять интегратора, это, конечно, интересный вопрос, но кто будет ему платить зарплату?

[Уваров А.С.]

Мне говорили, что когда я создаю виртуальные коммутаторы, то сетевые подключения переводятся в машины.

Кто вам такое сказал? Вам было сказано, что при создании виртуального коммутатора настройки будут перенесены на виртуальный адаптер, что мы и видим на вашем скриншоте.

Но то, что два шлюза это баг от мелкософта, однозначно. Противный, мелкий, гадкий.

С чего вы взяли? Я могу присвоить подключению хоть сотню шлюзов, но выбран будет тот, у которого уже маска, при равенстве масок - у кого меньше метрика. Это основы сетей и такие вещи надо бы знать.

По обновлениям, насколько я в курсе, в вашей сети есть прокси, если прокси использует аутентификацию, то обновления могут работать некорректно, так как для них требуется анонимный доступ к серверу обновлений.

[Призрак]

Да, в нашей сети есть прокси сервер. Но я делал то же самое дома, та же картина маслом. Дома у меня прокси сервера нет, на шлюзе стоит микротик. Но хост система у меня прекрасно качает все обновления. А что касается шлюза, то я усвоил то, что шлюз должен быть у сетевой карты один. Только как вот его теперь удалить оттуда я не знаю.

[Призрак]

чтобы сказать системе - symbols ищи по http ссылке, а ложи локально на c:\temp\symbols По ссылке не надо переходить и искать что-то что можно скачать, там доходчиво написано: «браузером тут ничего не найти» после этого Вы должны были запустить Get-WindowsUpdateLog и она должна была по умолчанию в параметр symbolserver подставить ссылку из NT_Symbol_path и скачать наужные символы, положив их в c:\temp\symbols и выдать Вам читаемый лог. Если лог не читаемый, то надо было лезть в папку c:\temp\symbols и смотреть появились ли там что-то. Возможно проверить доступность ссылки https://msdl.microsoft.com/download/symbols с гипервизора командой invoke-webrequest, ну или любого другого ресурса, т.к. непонятки со шлюзами. И продолжать дальше искать решение проблемы (хотя я уже даже не знаю, тут в одной теме столько проблем, а гипервизор ещё даже не начал работать). Но насколько я понял Вам это не нужно, Вам нужно чтобы Кто-то прислал команду или сказал куда ткнуть мышкой.

То же самое, ссылка доступна, но я уже устал повторять, что там ничего нет. И не надо говорить, что у меня что-то не получается, я уже многое настроил и сделал, там, где работаю. Но если я сталкиваюсь с недостатками самого программного обеспечения, то я, увы, ничего сделать не могу. Мне что, с пулемётом идти туда и говорить "ребята, вы сделали неправильно, исправьте пожалуйста"?

Автомобиль вы купили, но если там баг прошивки в электронном блоке, всё, что вам останется, это с матом ездить на этой машине или купить новую. На разработчиков вы не повлияете, никак, если они посчитают, что этот баг мелочь (например, приводит к перерасходу топлива).

[Призрак]

Поставил модуль PSWindowsUpdate, что здесь, что дома, качать не хочет. Ни в какую. А можно, сохранив машины, перейти на Hyper-V Server 2012 R2?

[Уваров А.С.]

Но если я сталкиваюсь с недостатками самого программного обеспечения, то я, увы, ничего сделать не могу.

Там нет недостатков, есть непонимание с вашей стороны.

 

То же самое, ссылка доступна, но я уже устал повторять, что там ничего нет.

Вы не поверите, но там английским по белому написано "Не нужно ходить сюда браузером, здесь НИЧЕГО НЕТ".

Что делать - написано выше.

Автомобиль вы купили, но если там баг прошивки в электронном блоке, всё, что вам останется, это с матом ездить на этой машине или купить новую.

Да нет там багов. Если проводить вашу аналогию, то купили вы не машину - а спецтехнику, и уже не первую, и ни одна у вас не едет. Если бы это были баги, т.е. явные недоработки ПО, то об этом было бы уже давно известно на каждом углу. Что ESXi, что Hyper-V - продукты не новые и все "чудеса" и нестандартные ситуации давно описаны и известны.

Что касается обновления и символов. Вы явно не понимаете смысла Core-версий Windows Server, куда относится и Hyper-V Server. Core-версии предполагают минимум необходимых служб и компонентов, но не ради экономии ресурсов, а для сокращения возможного периметра атаки. Но предполагают наличие у администратора определенного уровня знаний и умений.

Поставил модуль PSWindowsUpdate

Зачем вы его поставили? И чему вообще удивляетесь? Это сторонний модуль, который предоставляет альтернативный PS-интерфейс к службе Windows Update. Если у вас проблемы со службой, то этим модулем вы их не решите, а еще более запутаете. Это все равно, что если у вас не едет машина поменять в ней рулевое колесо и чехлы на сиденьях.

[ival]

То же самое, ссылка доступна, но я уже устал повторять, что там ничего нет.

Я в очередной раз повторяю, что там ничего не должно быть, это написано на странице и Вам еще один человек (Уваров) это написал:

Вы не поверите, но там английским по белому написано "Не нужно ходить сюда браузером, здесь НИЧЕГО НЕТ".

Мое видение, у Вас нет доступа к Public symbols servers. Причин может быть масса: нет доступа к внешней сети с хостовой машины, прокси блокирует содержимое, может есть проблема со службой, может ещё что-то
Покажите вывод:

Code Select Expand

invoke-webrequest https://msdl.microsoft.com/download/symbols

У вас нет особого желания разобраться, у меня тем более не должно его быть.

[Уваров А.С.]

Мое видение, у Вас нет доступа к Public symbols servers. Причин может быть масса

Заодно следует проверить доступ к узлам по списку:

Code Select Expand

update.microsoft.com
windowsupdate.microsoft.com
download.microsoft.com
ntservicepack.microsoft.com
c.microsoft.com
crl.microsoft.com
productactivation.one.microsoft.com

[Призрак]

Всё, закончились мучения. Перешёл я на Hyper-V Server 2012 R2, все обновления скачались и установились, хотя качались очень долго, а лог выглядит так, как и должен выглядеть, с корректной информацией, не требующей неких проктологических операций. Затем пофиксил сетевые подключения в уже созданных машинах, активировать пришлось заново, добавить в Traffic Inspector на время, всё работает нормально. Сервер готов.

[Призрак]

Вообще не понимаю, зачем всё так усложнять. Гораздо лучше, если без особых временных затрат всё можно сделать. А то приходится кучу времени тратить на банальные настройки всего и вся, а потом ещё всё отваливается.

[Призрак]

Появилась проблема. Попал в патовую ситуацию, как решить? Не даёт установить центр, отключить тоже.

[Уваров А.С.]

как решить?

Почитать журнал?

[Призрак]

Ну это уже финиш, меня тут вообще за тупого держат. Наверное, я посмотрел в журналы, прежде чем сюда писать, ничего в них не нашёл полезного, по проблеме.

[Уваров А.С.]

Наверное, я посмотрел в журналы, прежде чем сюда писать, ничего в них не нашёл полезного, по проблеме.

А мы, тогда, наверное, волшебники, которые умеют проводить диагностику по скриншотам.