Возможно, администраторы малых предприятий и единственных доменов примут разумное решение, сохранив верность Windows NT: пусть не столь эффективная, как Windows 2000 Server, но правильно установленная и настроенная система NT Server работает достаточно стабильно. Кроме того, переход осложняется необходимостью осваивать новые концепции Windows 2000. Однако преимущества DNS и Active Directory (AD) разнообразны, а разработчики Microsoft максимально упростили процесс модернизации. Самое время перенести однодоменную инфраструктуру NT в среду Windows 2000, полностью используя возможности DNS, AD и других служб операционной системы.
Начинаем миграцию
Прежде чем приступать к миграции, следует освежить в памяти принципы AD и DNS. Подробнее об AD и DNS рассказывается в статьях Марка Минаси «DNS и Active Directory» (опубликованной в этом же номере журнала) и Даррен Мар-Элиа «Планирование AD» (опубликованной в Windows Magazine/RE №6 за 2000 г. — прим. ред.). Тщательно спланированный процесс миграции проходит более гладко, поэтому не стоит принимать поспешных решений.
Во-первых, необходимо выбрать имя для домена Windows 2000 верхнего уровня. Использование имени company.com нередко приводит к путанице имен частного и общедоступного доменов компании. Вместо него следует выбрать имя вида company.internal. DNS-серверы определяют компьютер в сети AD с использованием как имени машины, так и имени домена. Имя домена будет составной частью каждого узла сети, поэтому рекомендуется выбирать короткие имена. Вряд ли стоит добавлять к имени каждого узла сети имя домена chicago.il.company.internal, особенно если предполагается открыть офисы не только в Чикаго, но и в других городах.
В планах необходимо учесть особенности инфраструктуры DNS сети NT. В большинстве сетей NT инфраструктура DNS используется только для обеспечения клиентов Internet-соединениями. Клиентские рабочие станции сети NT, как правило, настроены на преобразование имен DNS одним из двух способов: рабочие станции посылают запросы на DNS-серверы Internet-провайдера или на DNS-сервер сети NT.
Компьютеры, настроенные на работу с DNS-серверами Internet-провайдера, посылают на них все запросы на преобразование имен DNS. Данная конфигурация подходит для сетей NT, все запросы которых относятся исключительно к внешним именам DNS. Но после перехода на AD и присвоения внутренним узлам имен DNS нежелательно, чтобы рабочие станции сети Windows 2000 посылали на DNS-серверы Internet-провайдера запросы на преобразование своих внутренних имен DNS. Скорее всего, этим серверам неизвестна система с именем www.company.internal.
Рабочие станции сети NT с внутренним сервером DNS посылают все DNS-запросы на этот сервер. Использовать DNS-сервер в сети AD можно лишь в том случае, если он поддерживает SRV RR (service resource records — записи служебных ресурсов). DNS-сервер NT не отвечает этому требованию.
При модернизации обеих инфраструктур DNS необходимо инсталлировать службу DNS Windows 2000. Установить DNS в сети можно двумя способами: построить перед миграцией автономный сервер DNS или воспользоваться программой преобразования для контроллеров домена Dcpromo, которая устанавливает DNS на первом контроллере домена (DC), переведенном на Windows 2000. Я рекомендую выбрать второй вариант.
Модернизация PDC
Прежде чем приступить к миграции, необходимо создать резервные копии основного контроллера домена (PDC), контроллеров домена и автономных серверов. Кроме того, следует убедиться, что аппаратные характеристики всех модернизируемых машин соответствуют минимальным требованиям Windows 2000 Server (а лучше превосходят их). В первую очередь следует перенести PDC домена NT.
Приступая к модернизации, нужно вставить компакт-диск с Windows 2000 Server в накопитель PDC, выбрать режим Upgrade или запустить программу winnt32.exe из каталога i386. В обоих случаях запускается процесс модернизации Windows 2000 Server, а параметры сервера остаются неизменными. Процедура установки Windows 2000 Server занимает довольно много времени, поэтому налейте чашку кофе и послушайте сообщения, пришедшие по голосовой почте. Наконец, процесс инсталляции регистрируется с именем Administrator и запускает Dcpromo.
Dcpromo обеспечивает одно из основных преимуществ Windows 2000 по сравнению с NT. С помощью этой программы можно не только модернизировать систему, но и освободить сервер от обязанностей контроллера домена или наделить его соответствующими функциями, не переустанавливая Windows 2000 Server заново. Простой мастер Active Directory Installation Wizard задает несколько вопросов, из которых два самых важных: Do you want to create a new domain tree or a new child domain in an existing domain tree? (создать новое дерево доменов или новый дочерний домен в существующем дереве доменов?) и Do you want to create a new forest or join an existing forest? (создать новый лес или присоединиться к существующему лесу?)
Очевидно, при переносе единственного домена, отвечая на первый вопрос, нужно выбрать пункт Create a new domain tree, как показано на Экране 1. Применительно к AD термин «дерево» (tree) означает просто группу доменов, связанных друг с другом через пространство смежных имен DNS — например, microsoft.com может быть именем домена верхнего уровня в дереве доменов фирмы Microsoft, в состав которого входит поддомен redmond.microsoft.com. Администраторам крупных организаций, желающим присоединить домен Windows 2000 к уже существующей структуре доменов, следует выбрать ответ Create a new child domain in an existing domain tree.
Экран 1. Создание дерева доменов AD, в которое будет перенесен домен. |
Теперь ответим на второй вопрос (см. Экран 2). Лес AD — группа деревьев доменов. Предположим, например, что фирма Microsoft выделяет своему подразделению Hotmail отдельное дерево. В лесу обеспечивается определенный уровень обмена информацией между деревьями доменов, но при этом каждое дерево (microsoft.com и hotmail.com) функционирует как домен верхнего уровня. Если домен единственный, то его администратор должен выбрать ответ Create a new forest of domain trees.
Экран 2. Создание леса AD при однодоменной миграции. |
Мастер запрашивает имя домена, а затем просит указать место хранения базы данных и журнала AD. Если на сервере имеется два жестких диска, то я рекомендую хранить базу данных на одном жестком диске, а журнал — на другом. Однако нагрузка на сервер в однодоменной среде, как правило, меньше, чем в сетях крупных организаций, поэтому оба файла можно разместить на первом жестком диске машины.
Экран 3. Выбор местоположения для автоматически тиражируемого каталога SYSVOL. |
На следующем экране мастера (см. Экран 3) нужно указать местонахождение папки системного тома (SYSVOL). Контроллеры домена AD автоматически тиражируют каталог SYSVOL и любые изменения в его файлах. Но не следует использовать SYSVOL для тиражирования пользовательских данных (например, документов Microsoft Word). Лучше обратиться к функциям Dfs из Windows 2000. Кроме того, Windows 2000 службу тиражирования каталогов NT не поддерживает — процедура тиражирования сценариев регистрации, составленная для контроллеров домена NT, после миграции может оказаться бесполезной.
Получив сведения о местонахождении базы данных, журнала AD и папки SYSVOL, мастер пытается установить связь с серверами DNS и определить, реализованы ли на них функции DDNS (динамический DNS). Как правило, в сетях NT нет DNS-сервера или DNS-серверы не отвечают требованиям AD (в частности, отсутствует поддержка SRV RR), и результат проверки оказывается отрицательным.
Затем мастер спрашивает, должна ли программа Dcpromo установить на системе DNS или администратор предпочитает настроить конфигурацию DNS самостоятельно. Помощь мастера при установке — большое подспорье для администраторов, не имеющих опыта работы с DNS. После того как мастер получит необходимую информацию, Dcpromo инсталлирует и настраивает DNS-сервер в соответствии с требованиями AD. При использовании Dcpromo DNS необходимо установить на первом модернизируемом сервере (за исключением случаев, когда существующая конфигурация DNS отвечает требованиям Windows 2000), но впоследствии можно выбрать и другие серверы для инсталляции DNS.
Мастер также спрашивает, разрешить анонимный доступ к определенной информации в базе данных AD или нужно выполнять принудительную аутентификацию, прежде чем пользователи смогут обращаться к базе данных. Конфигурация с обязательной аутентификацией — более защищенная. Однако работа некоторых служб NT — в частности RAS — зависит от пересылки анонимных запросов в DC. Таким образом, как показано на Экране 4, следует выбрать режим Permissions compatible with pre-Windows 2000 servers (анонимные запросы разрешаются) или Permissions compatible only with Windows 2000 servers (требуется обязательная аутентификация пользователей).
Экран 4. Для взаимодействия с NT необходимо назначить полномочия для анонимного доступа. |
Если миграцию всех серверов необходимо выполнить как можно быстрее, то следует выбрать режим совместимости только с Windows 2000. Однако я предпочитаю более постепенный переход, с поочередной модернизацией серверов. В этом случае необходимо разрешить использовать анонимные запросы, чтобы в период миграции корректно функционировали унаследованные службы NT. После завершения миграции можно повысить уровень защиты AD, удалив группу Everyone из группы Pre-Windows 2000 Compatible Access.
И, наконец, мастер запрашивает пароль восстановления Directory Services. Этот пароль становится запасным паролем администратора. Если пароль администратора будет потерян или изменен без его ведома, то для входа в систему можно использовать пароль восстановления Directory Services и режим AD Directory Services Restore или консоль восстановления. Пароль можно оставить пустым, но я рекомендую ввести какое-нибудь значение. Я использую серийный номер сервера, на котором установлена Windows 2000. Серийные номера уникальны, обычно сложны, и их всегда можно восстановить в памяти.
Паролем завершается перечень информации, необходимой для инсталляции AD. Мастер обрабатывает информацию и переносит учетные записи пользователя и компьютера в AD. После этого администратор может управлять всеми пользователями и компьютерами через оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC).
Резервные контроллеры домена и автономные серверы
После миграции PDC эта же машина будет эмулировать PDC под управлением Windows 2000, чтобы обеспечить взаимодействие с резервными контроллерами домена (BDC) и автономными серверами, пока не переведенными на Windows 2000. Приступая к миграции, нужно вставить компакт-диск Windows 2000 Server в накопитель и выбрать режим Upgrade или запустить программу winnt32.exe из каталога i386. Процедура инсталляции проходит так же, как и для PDC - в конце она регистрируется от имени Administrator и запускает Dcpromo.
Dcpromo — интеллектуальная программа. Она определяет, относится ли данный сервер к числу BDC или является автономным, и спрашивает, как данная система будет работать в сети Windows 2000 — в качестве DC или автономного сервера (см. Экран 5). Если выбран пункт Leave as a member server, то мастер немедленно прекращает работу — серверы, назначенные на роль автономных серверов, наследуют прежние членские права и будут автоматически перенесены в домен AD. Однако, поскольку я рекомендую иметь в домене по крайней мере два контроллера Windows 2000, при миграции первого BDC сети NT лучше выбрать пункт Make a domain controller.
Экран 5. BDC сохраняет функции DC, его статус до автономного сервера не понижается. |
Процедуры миграции PDC и BDC похожи. Программе Dcpromo должно быть известно местонахождение DNS-сервера, а для доступа к данным об учетных записях первого перенесенного DC (бывшего PDC) требуются имя пользователя и пароль. Затем Dcpromo тиражирует учетные записи с первого DC на сервер, переносимый в данный момент. Мастер Dcpromo запрашивает и некоторые сведения, которые были нужны при миграции бывшего PDC (например, где разместить базу данных AD и каталог SYSVOL). При вводе этой информации следует руководствоваться теми же правилами, что и при миграции PDC.
Последние штрихи
Прежде чем завершить работу, следует проверить операционные системы сетевых компьютеров и внести необходимые изменения. Вероятно, потребуется, чтобы рабочие станции пересылали запросы на преобразование имен DNS на новый сервер DNS в сети. В конечном итоге для полного перехода на Windows 2000 придется удалить WINS и выполнять внутреннее преобразование имен исключительно на DNS-сервере.
Я рекомендую возложить на внутренний DNS-сервер и обработку клиентских запросов на преобразование внешних имен. Для этого потребуется наделить DNS-сервер функциями ретранслятора запросов (forwarder). Внешние запросы, которые ретранслятор не может выполнить самостоятельно, пересылаются на DNS-серверы Internet-провайдера. Если запрос содержит корректное имя узла, то DNS-серверы Internet-провайдера могут выполнить запрос и передать IP-адрес внутреннему DNS-серверу. Внутренний DNS-сервер получает ответ и передает его клиентской машине, запросившей имя. Если процедура корректна, то она выполняется быстро и связана с меньшими непроизводительными затратами, чем может показаться на первый взгляд. Более подробная информация о ретрансляторах запросов приведена в статье «DNS и Active Directory» М. Минаси.
Собственный режим
Ради более тесной интеграции с системами NT установка Windows 2000 по умолчанию производится в смешанном режиме. В этом режиме контроллеры домена Windows 2000 могут работать как PDC в NT: DC может посылать сообщения, эмулирующие PDC, за пределы сети и отвечать на запросы, предназначенные для PDC, например на запросы для главного браузера ресурсов домена. Однако рано или поздно администратору потребуется переключиться в собственный режим. Только в собственном режиме можно пользоваться такими функциями, как тиражирование с несколькими основными репликами. Переход к этому режиму — последний шаг к полной миграции на Windows 2000.
Переход в собственный режим необратим, поэтому в качестве тестовой операции я рекомендую предварительно на несколько рабочих дней вручную остановить службу WINS. Если у пользователей возникнут трудности с преобразованием имен, то следует вновь запустить службу WINS и отыскать неисправность. Прежде чем перейти в собственный режим, необходимо убедиться, что работоспособность ни одной из внутренних систем не зависит от процедур преобразования имен NT, и сеть нормально функционирует исключительно на основе DNS. Если сеть работает и после отключения WINS, то, по всей вероятности, все необходимые операции для перехода в собственный режим были произведены.
Завершив все приготовления, следует воспользоваться оснасткой Active Directory Domains and Trusts консоли MMC на контроллере домена для перехода в собственный режим. Нужно щелкнуть правой кнопкой мыши на домене и открыть страницу Properties. В области Domain Mode закладки General следует нажать кнопку Change Mode. После нескольких подтверждающих щелчков в диалоговых окнах начинается необратимый переход из смешанного режима в собственный. В течение некоторого времени контроллеры домена будут обмениваться данными, а затем серверы домена станут машинами Windows 2000 на 100%.
Плоды миграции
Безусловно, в процессе миграции приходится выполнять множество обязательных дополнительных операций, таких, как чистка базы данных пользователей, изменение членства в группах и разрешений на доступ к общим ресурсам. Однако, в целом, перенос в Windows 2000 одного домена осуществляется довольно гладко. А окончательный переход в собственный режим значительно повышает стабильность, надежность и управляемость сети.
Дуглас Тумбс — редактор Windows 2000 Magazine и владелец фирмы NetArchitect Consulting. Он имеет сертификаты MCSE, Compaq ASE и Novell CNA. Тумбс является соавтором книги «Mastering Windows 2000 Server» (издательство Sybex). С ним можно связаться по адресу: doug@netarchitect.com.