Подготовьтесь к встрече Windows 2000 заранее

Все компьютерное сообщество с нетерпением ожидает выпуска новой Windows. Разработчики планируют реализовать в очередной версии Windows NT такие многообещающие возможности, как служба Active Directory (AD), встроенная служба Windows 2000 Server Terminal Services, политики управления Group Policies, поддержка спецификации VLM, технологии IntelliMirror, принципа Plug-and-Play (PnP) и Windows Driver Model (WDM), — и это далеко не полный перечень нововведений. Хочется верить, что Microsoft сделает процесс, переходя на Windows 2000, легким и безболезненным. Останется лишь купить программное обеспечение и установить его на своих системах. Но, как известно, семь раз отмерь...

Очевидно, что новые технологии окажут заметное влияние на сеть любой организации и связанные с ней административные заботы сразу по нескольким направлениям. Прежде всего планировать развертывание Windows 2000 придется более тщательно, чем внедрение предыдущих версий NT. К счастью, готовиться к переходу на Windows 2000 можно уже сейчас. В предлагаемой статье я хочу рассмотреть несколько вопросов, связанных с переходом на Windows 2000, и перечислить 10 шагов, которые, на мой взгляд, необходимо сделать до установки Windows 2000.

1 ШАГ

Подготовьте структуру домена для AD

Один из важнейших аспектов развертывания Windows 2000 состоит в миграции существующей структуры доменов на структуру AD. Сложность этого процесса зависит от сетевой архитектуры. Если используется модель с одним доменом, может быть, даже с несколькими локальными резервными BDC контроллерами домена на удаленных сегментах (для ускорения процедуры регистрации пользователей и доступа к сетевым ресурсам), то перейти к работе со службой миграции в AD будет достаточно просто. По мере продвижения к конечной цели AD будет предоставлять новые возможности для дальнейшего совершенствования структуры имеющейся модели с точки зрения администрирования и снижения сетевого трафика. Но если реализована модель с несколькими доменами и децентрализованным управлением, процесс планирования будет сложным.

В случае с NT 4.0 и NT 3.x администраторы ограничены в выборе доменной архитектуры, и во многих компаниях реализованы модели с главными и подчиненными доменами, с централизацией администрирования и размещением базы данных учетных записей в одном или нескольких доменах. При этом используемые ресурсы расположены в удаленных доменах. Такого подхода следует придерживаться в тех организациях, где функции администрирования возложены на IT-персонал, находящийся в центральном офисе. Однако в других случаях этот подход может не соответствовать административной структуре организации. Тогда модель с несколькими главными доменами выбирается скорее для того, чтобы избежать построения доменной структуры с полностью доверительными отношениями (с обязательными многочисленными односторонними доверительными связями между доменами и, как следствие, возможной путаницей в администрировании), нежели для удовлетворения реальных потребностей компании.

В Windows 2000 все эти сложности разрешаются новым принципиальным подходом. Организация имеет право выбирать из большого количества проектов, формируемых в зависимости от различных критериев, таких, как организационная модель, географическое местоположение и т. д. Более того, для создания структуры с одним или несколькими главными доменами, во избежание трудностей, связанных с разбросом учетных записей пользователей по разным доменам, AD предоставляет механизм надежного возврата учетных записей обратно в домен, которому они принадлежали до начала миграции.

Детализация — ключ к успеху. Перечисленные возможности Windows 2000 удалось реализовать благодаря более детальному ее построению. В операционных системах NT 4.0 и NT 3.x функции администрирования поручены определенным группам пользователей (Administrators, Server Operators, Backup Operators) с общими для группы правами. В AD можно устанавливать административные права вплоть до уровня индивидуального разрешения, а значит, назначать пользователям конкретного домена ровно столько прав, сколько им требуется для администрирования их локального офиса. Причем это не будет сопряжено с риском для общей безопасности и общей схемы администрирования сети.

Преимущество принципа детализации в AD состоит в том, что он распространяется на самые разные аспекты администрирования. Например, можно использовать AD для того, чтобы конкретное приложение имело права пользователя или группы, как в предыдущих версиях NT при работе с файлами и сетевыми принтерами. Дробление прав, реализованное в AD, позволяет назначить их на уровне разрешений и спланировать структуру сети в соответствии с реальной структурой организации с учетом всех требований администрирования.

Подготовка к работе с AD. Если сеть состоит из нескольких доменов, следует обратить внимание на преимущества выравнивания (т. е. объединения и сокращения) такой структуры до развертывания Windows 2000. «Уплощение» и реструктуризация доменов могут в дальнейшем привести к более простому и разумному построению AD. К тому же это избавит сетевую архитектуру от некоторых неудачных решений, которые стали следствием ограничений ранних версий NT. Я понимаю, что может сразу возникнуть вопрос: не приведет ли подобный подход к необходимости вручную переносить учетные записи всех пользователей, групп, компьютеров в другой домен? Нет, этого делать не потребуется.

Для выполнения реструктуризации и миграции доменов можно воспользоваться различными утилитами. Компания FastLane Technologies выпустила программный продукт FastLane DM/Manager в составе пакета DM/Suite, куда входит ПО для управления доменами в рамках корпорации. DM/Manager — это многоцелевой пакет, который позволяет провести реконфигурацию доменной инфраструктуры сети Microsoft Windows NT, без необходимости повторно набирать учетные данные пользователей или объявлять недействительной систему прав доступа к ресурсам домена. С помощью DM/Manager (см. Экран 1) можно простым «перетаскиванием» мышью (drag-and-drop) выполнить миграцию учетных записей пользователей, групп и компьютеров из одного домена в другой.

ЭКРАН 1. Перенос пользователей с помощью FastLane DM/Manager.
После завершения этого процесса пользователи смогут выполнить регистрацию в новом домене, даже не подозревая о том, что все учетные записи «переехали». Кроме этого, DM/Manager имеет специальную функцию возврата, что позволит при необходимости аннулировать изменения в доменной структуре и процедуре миграции. Возможности DM/Manager весьма трудно переоценить, особенно если требуется упростить доменную структуру организации до развертывания Windows 2000.

Программный продукт компании Mission Critical Software под названием Domain Migrator входит в состав пакета OnePoint и также предназначен для проведения реструктуризации доменов. Domain Migrator предоставляет в распоряжение администратора набор вспомогательных программ для выполнения процесса миграции и реструктуризации доменов. Этот продукт имеет функцию отмены всех выполненных действий. Не так давно представители Microsoft объявили, что в состав Windows 2000 будет включен Domain Migrator. Судя по отзывам поставщиков, полученным в рамках проведенной Microsoft программы Windows 2000 beta Rapid Deployment Program (RDP), многие хотели бы выполнить реструктуризацию доменов за один прием. Утилита Domain Migrator в составе новой операционной системы — отличный подарок всем поставщикам Windows 2000. Однако организации, приступающие к модификации доменной структуры NT 4.0 уже сейчас, должны позаботиться о приобретении специальных утилит, таких, например, как DM/Manager и Domain Migrator. Кроме того, в последний момент подобный набор утилит может не войти в состав Windows 2000 или же войдет, но в некотором «облегченном» варианте.

Служба AD имеет одно весьма ценное качество, которое поможет упростить доменную структуру компании. Речь идет о так называемой организационной единице — organizational unit (OU). OU представляет собой контейнер объектов AD, с помощью которого организация логически может быть разделена на несколько частей — в рамках одного домена. В результате пользователям системы не придется создавать множество доменов для того, чтобы разбить организацию на несколько административных единиц.

РИСУНОК 1. Транзитивное доверие в AD.
Важно помнить о том, что процесс сведения доменной структуры к более «плоскому» виду подходит не всем организациям. Например, если нужно обособить подразделения компании в самостоятельных доменах в рамках единого AD, может оказаться, что до начала процедуры миграции существующую доменную структуру следует оставить неприкосновенной. Другая причина сохранения структуры доменов в прежнем виде состоит в том, что AD поддерживает транзитивные доверительные отношения. Транзитивность отношений означает, что если домен A доверяет домену B, а домен B доверяет домену С, то домен A доверяет домену С. На Рисунке 1 показана схема доверительных отношений в Windows 2000. Операционные системы NT 4.0 и NT 3.х не поддерживали этот тип отношений. Администраторы были вынуждены вводить дополнительные трастовые связи для обеспечения взаимодействия между доменами, не соединенными между собой доверительными отношениями. Очевидно, что организовать безопасные доверительные отношения между доменами в среде Windows 2000 проще, чем в NT 4.0 и NT 3.x.

Деревья в лесу. Для проектирования AD в Windows 2000 введены понятия «деревья» и «лес». Лес — это группа доменов NT в структуре AD, которая формируется по принципу непрерывного пространства имен с использованием общей схемы AD. Предположим, существует домен под названием bigcorp.com, в котором имеются два подразделения — europe и us, а в подразделении us, в свою очередь, — департамент sales. Внутри AD имена всех этих доменов могут быть europe.bigcorp.com, us.bigcorp. com и sales.us. bigcorp.com. Приведенная систематизация демонстрирует иерархическую структуру пространства имен AD. Все эти домены — часть одного непрерывного пространства имен, или, другими словами, они составляют единое дерево домена. Имя дерева совпадает с его корнем. В данном случае — это bigcorp.com. Рисунок 2 изображает такое дерево в структуре организации с одним доменом.

РИСУНОК 2. Дерево одного домена.

Перенесем эту концепцию на следующий уровень. Предположим, что в AD имеется некая родительская (головная) организация, контролирующая bigcorp и владеющая другой вспомогательной (дочерней) фирмой, bigbiz, которая зарегистрирована в AD наряду с bigcorp. Одно подразделение, us.bigbiz.com, расположено ниже bigbiz в AD. Хотя руководству компании было бы желательно, чтобы для удобства администрирования и bigcorp, и bigbiz были описаны внутри одной и той же структуры AD, нет возможности предоставить bigcorp и bigbiz общее пространство имен. Поэтому следует описать bigcorp и bigbiz как самостоятельные деревья внутри одного леса. Рисунок 3 иллюстрирует структуру такой организации. Все деревья одного и того же леса совместно используют одинаковую схему AD, настройки и глобальный каталог (Global Catalog).

РИСУНОК 3. Лес из нескольких деревьев.
Более того, все деревья в лесу доверяют одно другому в силу транзитивности и иерархичности доверительных отношений, поддерживаемых Kerberos, на базе которого строится AD.

Вопросам эффективного планирования структуры AD и пространства имен конкретной организации посвящены две статьи из серии Microsoft White Papers: «Migrating from Microsoft Windows NT Server 4.0 to Windows 2000» и «Windows 2000 Namespace Design». Эти и другие материалы на тему миграции к Windows 2000 можно найти по адресу: http://www.microsoft.com/windows/server.

План мероприятий.

  • Изучить концепцию AD и ознакомиться с документами Microsoft Windows 2000 White Papers.
  • Начать планирование структуры AD организации.
  • Если это возможно, упростить и провести объединение доменной структуры.

2 ШАГ

Стандартизируйте сеть на базе TCP/IP

Протокол TCP/IP был выбран в качестве сетевого протокола Windows 2000, как обеспечивающий унифицированную платформу для поддержки многих других операционных систем. TCP/IP — единственный протокол, который по умолчанию предлагается при стандартной установке Windows 2000 (унаследованные от прежних операционных сред протоколы NetBEUI и IPX/SPX пока также поддерживаются). Соответственно лучшее, что можно предпринять для подготовки к переходу на Windows 2000, это сделать TCP/IP стандартным первичным (и желательно — единственным) сетевым протоколом. Перевод TCP/IP на позицию стандартного первичного протокола дает дополнительные преимущества. Поскольку TCP/IP — высокоэффективный маршрутизируемый протокол, будет меньше проблем с полосой пропускания и прочими ограничениями в применении, как в случае с NetBEUI (отсутствие маршрутизации) и IPX/SPX (хотя и маршрутизируется, его использование связано с более высокими накладными расходами в среде WAN, нежели TCP/IP).

Если в сети TCP/IP еще не используется, но необходимо установить его до начала процедуры миграции на Windows 2000, предстоит определить, как проводить разрешение имен NetBIOS в IP. Для этого можно установить WINS- или DNS-сервер либо воспользоваться файлом LMHOSTS для разрешения имен. Причем если сеть организации имеет соединение с Internet, необходимо установить соответствующий брандмауэр для защиты сети от несанкционированного доступа.

Интерес к протоколу TCP/IP особенно возрос в последнее время. TCP/IP несколько сложнее в администрировании, чем NetBEUI и IPX/SPX, поэтому при отсутствии достаточного опыта работы с ним лучше заранее изучить вопросы, связанные с его администрированием. Необходимую информацию можно найти, например, в книге Todd Lammle, Monica Lammle and Mark Minasi, «Microsoft TCP/IP Training» (Microsoft Press, 1997), а также «Mastering TCP/IP for NT Server» (Sybex, 1997).

План мероприятий.

  • Изучить вопросы, связанные с маршрутизацией и администрированием TCP/IP.
  • Сделать протокол TCP/IP основным для обеспечения файлового обмена и сетевой печати в организации. По возможности оставить в сети только один TCP/IP, чтобы свести к минимуму как накладные расходы на поддержку дополнительных протоколов, так и проблемы, связанные с администрированием.

3 ШАГ

Изучите особенности DNS

Проблема разрешения имен — ключевая в процессе стандартизации и развертывания протокола TCP/IP. В большинстве созданных в последнее время сетей NT на базе протокола TCP/IP применяются или WINS-серверы, или LMHOSTS-файлы для разрешения имен NetBIOS в IP. В операционной системе Windows 2000 другой подход: здесь для разрешения имен применяются запросы к AD. Служба AD использует форму динамического DNS, что дает возможность более гибко обслуживать клиентов в сети Windows 2000.

В сети Windows 2000 серверы DHCP автоматически регистрируют клиентов в AD и пространстве имен, обслуживаемом DNS, и автоматически лишают регистрации по истечению срока аренды адреса DHCP или при освобождении адреса. В результате администраторам не приходится вручную поддерживать зонные файлы динамического DNS (DDNS), как это нужно было делать при работе с традиционным DNS. Более того, DDNS предполагает использование нового метода разрешения имен, более масштабируемого и надежного, нежели WINS.

Другое замечательное свойство DDNS состоит в том, что с его помощью унифицируется пространство имен организации как в Internet, так и во внутренней сети. Это свойство позволит компаниям использовать накопленный опыт применения существующих DNS для поддержки только одного пространства имен (опять же DNS). Однако данный способ не совсем подходит тем организациям, где серверы DNS реализованы на платформе UNIX, а не NT.

Нужно отметить, что Windows 2000 автоматически сохраняет базу имен DDNS внутри AD и реплицирует ее средствами AD. Это означает, что база имен DNS будет более устойчивой к сбоям, чего было сложно достигнуть при реализации традиционных DNS или WINS.

Чтобы переход в среду DNS Windows 2000 прошел гладко, нужно убедиться в том, что существующие имена компьютеров и сетей организации могут использоваться службами DNS. При назначении имен DNS предполагается, что имена доменов и хостов могут содержать только следующие символы: от A до Z, от a до z, от 0 до 9, знак дефис (-), без внутренних пробелов и знака подчеркивания (_). Если домен или хост имеет имя, не соответствующее соглашению об именах DNS, имя придется изменить. В случае с рабочей станцией это действие скорее всего не вызовет больших затруднений. Однако для имен доменов или серверов проблема имен потребует дополнительного планирования.

Нужно заранее обратиться в организацию, регистрирующую имена (информацию о таких фирмах можно найти по адресу: http://www.icann.org, — Internet Corporation for Assigned Names and Numbers-ICANN) или к Internet-провайдеру (ISP) с просьбой о назначении имени домена для организации независимо от того, имеет она в настоящий момент соединение с Internet или нет. Этот шаг очень важен, ведь когда переход на Windows 2000 завершится, именно AD будет управлять структурой имен DNS. Если структура имен организации не удовлетворяет стандартам DNS, а через некоторое время создается соединение с Internet, то придется придерживаться жестких стандартов DNS в Internet и использовать свободные имена. Такого рода трудностей можно избежать, зарегистрировав имена доменов DNS своей компании именно сейчас, и в дальнейшем спокойно работать в Internet, если будет решено организовать подключение. Лучше позаботиться о регистрации имени домена заранее, иначе желаемое имя может занять кто-то другой.

Существует возможность использовать одно пространство имен для внутреннего и другое — для внешнего DNS-сервера организации. Использовать общее пространство имен во внутренней и внешней сети не обязательно. Например, одно пространство имен работает снаружи брандмауэра для пользователей Internet, а другое — внутри брандмауэра, для пользователей компании. Более подробная информация приведена в материалах Microsoft White Paper «Windows 2000 Namespace Design» (http://www.microsoft.com/windows/server).

План мероприятий.

  • Изучить концепцию DNS и возможности работы с ней. Подробные сведения о DNS можно найти в книге Paul Albitz and Cricket Liu, «DNS and BIND, Third Edition» (O?Reilly and Associates, 1998).
  • Получить доменное имя (или несколько доменных имен, если это необходимо) для своей организации. Можно зарегистрировать имена доменов, обратившись в одну из организаций, имеющих лицензию ICANN для регистрации имен, либо через ISP. При регистрации вносится определенная плата, а затем ежегодно делаются взносы для поддержки зарегистрированного имени.
  • Начать процедуру проверки имен доменов и компьютеров на соответствие принятым в DNS правилам.
  • Если не установлен ни один сервер DNS, развернуть стенд и установить сервер DNS для приобретения практических навыков построения структуры DNS и его обслуживания.

4 ШАГ

Загрузите и установите NT 4.0 Option Pack и Service Pack 4 (SP4) или более поздней версии

Комплект продуктов NT 4.0 Option Pack предназначен для разработчиков ПО, а также для всех, кто имеет отношение к ISP и планирует создавать приложения на базе технологий Microsoft, представленных в таких программных продуктах, как Microsoft Message Queue Server (MSMQ) и Microsoft Transaction Server (MTS). Option Pack представляет собой набор изменений, относящийся к операционным системам NT Workstation 4.0 и NT Server 4.0 и устанавливающий ряд обновленных версий служб и программных компонентов NT (имеется также вариант Option Pack для Windows 95). Например, в комплект Option Pack входят серверы Microsoft Internet Information Server (IIS) 4.0, MTS 2.0, Microsoft Index Server 2.0, Microsoft Certificate Server, а также MSMQ. Часть, предназначенная для NT Workstation, станции содержит обновленную версию Peer Web Services, совместимую с IIS 4.0, и устанавливает клиентские компоненты для RAS, MTS и MSMQ.

Помимо Option Pack необходимо установить, по крайней мере, пакет обновлений SP4, куда вошли исправления некоторых ошибок NT. Кроме того, в состав SP4 входит Security Configuration Editor (SCE). SCE представляет собой программу администрирования системы безопасности NT, выполненную в интерфейсе Microsoft Management Console (MMC). Предполагается, что в дальнейшем SCE станет стандартной функцией Windows 2000. Данная утилита доступна для использования начиная с пакета изменений SP4 и последующих, поставляемых на CD-ROM, или же как отдельный продукт, который можно загрузить с сайта Microsoft в Internet: корпорация не включает эту программу в версии пакетов изменений, размещенных на Web-узле. Изучая и используя SCE, можно заранее ознакомиться с особенностями администрирования систем безопасности в Windows 2000.

Чтобы уже сейчас получить представление о работе некоторых компонентов Windows 2000, нужно загрузить и установить Option Pack, а также последние пакеты изменений NT. Более подробная информация о пакетах изменений NT и Option Pack находится на Web-узле Microsoft.

План мероприятий.

  • Загрузить и установить NT 4.0 Option Pack и Service Pack 4 (SP4) или более позднюю версию.
  • Поработать с SCE.

5 ШАГ

Избавтесь от «скелетов в шкафу»

Каждая станция NT, входящая в состав домена, имеет собственный уникальный 32-разрядный идентификатор защиты — SID. Это справедливо как для самого домена, так и для учетных записей пользователей и групп. В процессе установки NT происходит автоматическое назначение глобального уникального идентификатора защиты для данной станции. Но надо иметь в виду, что утилиты дублирования диска, которые могут использоваться для клонирования установок NT, обходят процесс назначения уникального SID. Таким образом, клонированные системы задействуют один и тот же системный SID, взятый с исходной станции. Многие организации тем не менее применяли метод клонирования для ускорения процесса установки NT на рабочие станции и серверы.

Хотя в системах NT 4.0 и NT 3.x клонирование не вызывало затруднений, в Windows 2000, скорее всего, такие проблемы возникнут. Дело в том, что AD для отождествления отдельной системы полагается именно на SID. Следовательно, если несколько станций имеют одинаковые SID, может возникнуть путаница. Разработчики Microsoft ничего не сообщают о том, как именно клонирование скажется на сетях Windows 2000, поэтому клонирование установок Windows 2000 в своей сети на всякий случай лучше не применять. Если же дублирование диска необходимо, его следует выполнять после прохождения текстового этапа установки до того, как начнется режим GUI. На текстовой стадии Windows 2000 еще не назначает SID. Дублирование системы после текстовой фазы установки операционной системы не означает, что образ системы готов, как в случае полного дублирования настроенной по техническим условиям заказчика установки NT.

Последнее время поставщики программного обеспечения стали придерживаться другого подхода к решению проблемы дублирования систем. Компания PowerQuest представила новый продукт, SIDchanger, который автоматически меняет SID и имя станции дублированной системы на уникальные номера. SIDchanger доступен для зарегистрированных пользователей утилиты дублирования дисков PowerQuest Drive Image Pro. Названные программные продукты можно загрузить с Web-узла PowerQuest. Еще стоит отметить утилиту SysPrep компании Microsoft. Эта программа была разработана специалистами корпорации для решения проблемы уникальности номеров SID, а также в качестве дополнения к утилитам, создающим образы дисков. Кроме того, SysPrep выполняет изменение SID не в конце, а в начале работы. SysPrep следует запустить непосредственно перед тем, как пользоваться программой создания образа диска для дублирования системных данных. Программа SysPrep выполняет все необходимые изменения для формирования уникального SID. После этого уже можно проводить массовое дублирование без риска повторить уникальный SID. Microsoft предоставляет программу SysPrep только заказчикам с лицензиями Enterprise, Select и Open License.

Названные утилиты помогут решить проблему дублирования SID и тем самым избавиться от «скелета в шкафу» по имени SID.

План мероприятий.

  • Убедиться в уникальности SID на всех станциях NT в организации. Если имеются повторения, воспользоваться утилитой замены SID, прежде чем переходить на Windows 2000.
  • В процессе установки новых систем использовать утилиты изменения значений SID — SysPrep или SIDchanger — для гарантированного формирования уникальных номеров SID.

6 ШАГ

Приобретите бета-версию Windows 2000 и разверните испытательный стенд

Один из ключевых моментов подготовки к переходу на Windows 2000 состоит в том, чтобы начать работать с новой операционной системой уже сейчас. Рекомендую приобрести копию последней бета-версии Windows 2000 по программе Windows 2000 Corporate Preview Program (CPP) и начать всестороннее исследование ее возможностей. Такой подход позволит протестировать новый продукт в условиях работы на штатном аппаратном обеспечении на совместимость с используемыми в организации программами. Информация о программе бета-тестирования Windows 2000 опубликована на Web-узле Microsoft .

Помимо этого, имеет смысл создать лабораторный стенд для имитации существующей сети NT 4.0. С его помощью можно будет проиграть возможные сценарии перехода на Windows 2000, оценить совместимость работы приложений и взаимодействие различных версий ОС, а также определить базовые требования к аппаратному обеспечению для поддержки Windows 2000. Полученная информация имеет решающее значение для выполнения мягкого перехода к работе в новой операционной среде. Для создания идеальных лабораторных условий следует восстановить резервные копии приложений и данных с существующих контроллеров доменов, серверов приложений и файл-серверов. Можно использовать резервные копии в стендовых условиях для имитации реальной производственной среды.

И наконец, стоит рассмотреть возможность участия в различных конференциях Internet, посвященных бета-тестированию Windows 2000. Некоторые компании, в том числе и Microsoft, поддерживают организацию дискуссионных групп и конференций.

План мероприятий.

  • Получить самую последнюю бета-версию Windows 2000, установить ее и использовать в тестовой среде с имеющимися в организации приложениями.
  • Посетить Web-узлы Microsoft, посвященные бета-тестированию Windows 2000, чтобы быть в курсе последних новостей.
  • Принимать участие в конференциях и дискуссионных группах Internet, связанных с Windows 2000. Работу одной такой дискуссионной группы поддерживает журнал Windows NT Magazine. Другие форумы можно отыскать на Web-узлах Microsoft и BrainBuzz.com, посвященных бета-тестированию.

7 ШАГ

Инвентаризация, планирование и бюджет

Опытные пользователи NT не удивятся, когда узнают, что новые технологии, разработанные Microsoft для Windows 2000, по всей вероятности, предъявят повышенные требования к системным ресурсам, что, в свою очередь, повысит стоимость оборудования на базе этой ОС. Рекомендуемый объем памяти для рабочих станций Windows 2000 составляет 64 Мбайт, а для серверов не менее 96 Мбайт. Эти показатели примерно в три раза превосходят минимальные значения для систем на базе NT 4.0. Требования, предъявляемые Windows 2000 к дисковому пространству, скорее всего, возрастут еще больше, особенно в том случае, если Windows 2000 устанавливается с поддержкой функции IntelliMirror.

Нет никакой необходимости устанавливать Windows 2000 на каждую рабочую станцию и сервер сети. Вместе с тем многие предпочтут установить новую операционную систему на максимально возможном числе рабочих станций, поскольку в противном случае нельзя будет воспользоваться такими преимуществами Windows 2000, как, например, мультисерверная репликация, пока не завершится миграция последнего не-AD клиента. Таким образом, уже сейчас необходимо задуматься о том, когда же компания с различных точек зрения (материальной базы, компетентности персонала и т. п.) будет готова к развертыванию Windows 2000. При этом нельзя забывать о финансовых затратах на миграцию и своевременно заложить их в бюджет. Некоторые компании планируют провести перевод на Windows 2000 в терминах процентного исполнения: X процентов перевести к x-дате, Y процентов перевести к y-дате и т. д., пока миграция не произойдет на 100% станций и серверов. Планирование развертывания новой системы в фиксированных временных рамках чрезвычайно важно начать уже сейчас, поскольку процесс миграции может оказаться длительным и сложным, и сформировать бюджет организации будет нелегко, если заранее не учесть затраты на модернизацию операционной системы.

Чтобы планировать бюджет, необходимо ясно представлять базовые требования к аппаратному обеспечению (другими словами, в чем будет нуждаться с точки зрения аппаратуры каждая рабочая станция компании для развертывания базовой конфигурации Windows 2000). Этот пункт требований означает, что на основании данных инвентаризации следует составить список всего аппаратного парка машин и рекомендованных требований к системам на базе Windows 2000, применительно к текущим запросам фирмы. Подготовить такой список можно с помощью специальных программ инвентаризации рабочих мест по сети.

Хотя минимальные требования к аппаратной части систем на базе Windows 2000 могут различаться, нужно учитывать основные положения при планировании перехода на Windows 2000. Для рабочих станций на базе Windows 2000 Professional необходима система с процессором Pentium Pro, Pentium II или более поздней версии, минимальный объем оперативной памяти 64 Мбайт и дисковое пространство 4 Гбайт или более. Для установки Windows 2000 больший объем диска может и не потребоваться, но 4 Гбайт — это реалистичная цифра, если учесть, что на диске должна уместиться операционная система, локальные профайлы, файлы приложений, а также данные пользователей. Еще нужно помнить, что полная установка Windows 2000 Professional и локальная установка Microsoft Office 2000 заполнят 4-х гигабайтный диск почти до предела.

Если говорить о серверах, то для установки Windows 2000 система должна иметь процессор по крайней мере Pentium II, объем оперативной памяти не меньше 128 Мбайт и дисковую подсистему SCSI (для уменьшения нагрузки на процессор и достижения максимальной производительности). Разработчики Microsoft обозначили уровень оперативной памяти в 128 Мбайт как базовый показатель для файл-сервера Windows 2000. Для контроллеров домена, серверов приложений и серверов всевозможных сетевых служб уровень, с которого рекомендуется начинать, составляет 256 Мбайт оперативной памяти. Более точные значения объема оперативной памяти могут быть названы с учетом роли сервера и тех приложений, которые на нем запущены.

Названные показатели являются в большей степени базовыми (т. е. относительными), поэтому для каждого приложения, которое планируется запустить на сервере, нужно корректировать соответствующие требования к системе. Чтобы правильно оценить требования к аппаратной конфигурации системы, нужно поработать с бета-версией Windows 2000 в тестовой среде.

План мероприятий.

  • Провести инвентаризацию сети для определения оценки состояния имеющейся программной и аппаратной конфигурации каждой станции.
  • Оценить базовые параметры рабочих станций и серверов, исходя из минимальных требований, предъявляемых к Windows 2000, и конкретных нужд пользователей.
  • Составить перечень необходимых мероприятий, начиная с этапа формирования бюджета, учета затрат на процедуру миграции и обновления версий ОС там, где это необходимо, и заканчивая этапом непосредственного развертывания Windows 2000 в сети организации.

8 ШАГ

Начните использовать пакет Zero Administration Kit (ZAK)

Последние годы в компьютерной индустрии полная стоимость владения (TCO) становится решающим аргументом при выборе программного продукта. Со своей стороны специалисты Microsoft в рамках инициативы Zero Administration for Windows (ZAW) разработали набор базовых технологий, позволяющих упростить процесс администрирования и управления рабочими станциями пользователей. Итогом первого этапа в реализации этой инициативы стал выпуск таких средств, как ZAK for NT 4.0, Terminal Services, и Win9x.

ZAK предоставляет администратору ряд возможностей, которые Microsoft собирается полностью интегрировать в новую операционную систему посредством модулей консоли snap-in в MMC. Однако не надо ждать, пока Microsoft начнет поставлять Windows 2000, чтобы воспользоваться преимуществами нового продукта — версия ZAK for NT 4.0 доступна на Web-узле Microsoft.

План мероприятий.

  • Установить ZAK for NT 4.0 и изучить его возможности. Также можно загрузить ZAK training kit.

9 ШАГ

Получите Object Identifier (OID) для своей организации

Служба AD в Windows 2000 обладает такой интересной особенностью, как расширяемость схемы. Это свойство означает, что имеющуюся структуру AD при необходимости можно переделать с помощью описания новых классов объектов и их атрибутов, которые сохраняются в каталоге.

Хотя далеко не все организации будут нуждаться в модификации схемы АD, такая функция может пригодиться разработчикам и администраторам, которые захотят приспособить AD к специфическим потребностям своей компании и тем самым расширить ее структуру. Однако модификация схемы каталога может нарушить стабильность работы сети Windows 2000. В составе Windows 2000 на этот случай имеется специальный модуль для MMC, предназначенный для обслуживания схемы AD.

Одна особенность, о которой следует знать при расширении схемы: для каждого нового атрибута или класса необходимо приобрести некий специальный код, называемый Object Identifier (OID). OID является числом, которое отождествляет класс объекта или атрибут внутри AD. Как и в случае с IP-адресами или пространством имен DNS, эти номера назначают специальные организации. В США такой организацией является ANSI.

OID представляет собой строку десятичных цифр, разделенных точками (например, 1.2.3.4). Организации или отдельные пользователи могут получить корневой OID от соответствующих комитетов внутри своей страны, а затем разделить полученный номер на дополнительные OID для использования внутри своих служб каталогов. Например, Microsoft имеет корневой OID, равный 1.2.840.113556, который разделен на множество ветвей, каждая со своим номером (один для классов AD, другой для атрибутов), для использования внутри AD самой компании.

Можно уже сейчас обратиться с просьбой о назначении OID для своей организации, чтобы в будущем, при проведении миграции сети на Windows 2000, сэкономить время. Посетите Web-сайт ANSI или пошлите запрос по электронной почте представителю этой организации по адресу: mmaas@ansi.org.

План мероприятий.

  • Определить, нуждается ли организация в модификации схемы AD. Никогда не стоит изменять схему AD без крайней необходимости, поскольку эти действия могут нарушить стабильность сети Windows 2000.
  • Получить корневой OID от ANSI для своей организации. Оплачивается только регистрация OID.

Составьте план устранения NetBIOS

Хотите верьте, хотите нет, но Microsoft разработала Windows 2000 для того, чтобы освободить нас от NetBIOS. Так как AD использует принятые в DNS, а не в NetBIOS правила формирования имен, теоретически Windows 2000 позволяет свести NetBIOS-трафик в сети к нулю. Приверженцам TCP/IP такая концепция, конечно, придется по душе. Однако реально ограничить трафик протокола NetBIOS труднее, чем просто заявить об этом. Многие, если не сказать большинство, используемых в настоящее время утилит и приложений в Windows базируются на NetBIOS API (выполнение даже таких элементарных команд NT, как NET, требует наличия NetBIOS).

Чтобы полностью удалить из сети NetBIOS, предстоит в первую очередь ограничить парк машин, использующих имена NetBIOS (т. е. эти машины должны принадлежать сети Windows 2000 в качестве полноправных членов AD), а также постепенно избавиться от приложений, основанных на протоколе NetBIOS. Не следует отказываться от NetBIOS, не проверив самым тщательным образом работу всех необходимых приложений в тестовой среде (без протокола NetBIOS). К счастью, можно продолжать использовать NetBIOS в сети Windows 2000, одновременно модернизируя клиентские рабочие места для последующей интеграции в AD и устраняя NetBIOS-приложения.

План мероприятий.

  • Устранить NetBIOS-приложения в сети организации. Заменить поддерживающие NetBIOS приложения и утилиты на AD-совместимые, как только это станет возможно. Хотя для начала развертывания Windows 2000 удалять поддержку NetBIOS не обязательно, избавившись от этого протокола, можно создать более мощную сетевую среду и способствовать эффективной работе AD.

И помните...

Следуя приведенным рекомендациям, можно осуществить максимально плавный переход на Windows 2000. В заключение хочу дать еще несколько полезных советов, которые помогут упростить этот процесс. Во-первых, Microsoft рекомендует установить WINS-серверы (или продолжить работу с ними) на весь период миграции: поддержка WINS дополнительно поможет смягчить переход на новую операционную систему. Кроме того, в состав Windows 2000 входит усовершенствованная версия WINS, что позволяет решить многие проблемы, актуальные для NT 4.0 WINS. В результате работать с именами NetBIOS в сети под управлением Windows 2000 будет гораздо легче, чем раньше.

Во-вторых, нужно хотя бы один раз выполнить процедуру миграции в тестовой среде, прежде чем развертывать Windows 2000 в реальных условиях. Например, можно выполнить восстановление резервной копии контроллеров домена на тестовые серверы и развернуть комплекс рабочих станций, которые будут имитировать рабочие места клиентов. После этого нужно провести тестовую миграцию и создать структуру AD. Если имеются WAN-соединения, следует накопить данные по общей пропускной способности каналов связи вновь созданной сети и сравнить с аналогичными показателями предыдущей конфигурации (чтобы убедиться в отсутствии ограничений в каналах передачи данных). Для проведения необходимых замеров можно воспользоваться программой Performance Monitor или другими утилитами сетевого мониторинга, например Network Monitor из Microsoft Systems Management Server (SMS). Хотя предполагается, что Windows 2000 должна уменьшить трафик в каналах передачи данных по сравнению с более ранними версиями NT, может оказаться, что в смешанной сетевой среде — с доменами Windows 2000 и доменами NT 4.0 — суммарный трафик возрастет, и этой ситуации надо остерегаться.

И, наконец, постарайтесь быть в курсе всех изменений, связанных с разработкой Windows 2000. Один из уроков, который я извлек из предыдущих циклов бета-тестирования продуктов Microsoft состоит в том, что заявленные новые свойства или другие «технические откровения» в конечном продукте иногда попросту отсутствуют. Ничего не поделаешь — такова жизнь.