По мере освоения Windows 2000 руководители большинства компаний начинают задумываться о миграции с систем Windows NT 4.0. Если решено перейти от сети Windows NT к сети Windows 2000 (т.е. провести миграцию внутри леса), можно обновить домен или выполнить его реструктуризацию.
Обновление домена, или обновление на месте, включает перевод PDC- и BDC- контроллеров домена NT Server 4.0 на Windows 2000 Server. Этот метод является наиболее распространенным и наименее рискованным.
Реструктуризация или усиление домена предусматривает создание леса Windows 2000 и включение в него существующих доменов NT 4.0. Этот метод миграции позволяет спроектировать идеальный лес и объединить или разделить свои домены Windows NT 4.0, если необходимо. Кроме того, реструктуризация домена позволяет сократить существующую среду NT в любое время, поскольку данный метод использует параллельную среду для миграции существующей сети. Следовательно, можно постоянно развивать структуру Windows 2000 и в то же время сохранять существующую рабочую среду NT.
До последнего времени миграция чаще всего проводилась как обновление на месте. В случае реструктуризации домена многие администраторы сомневались в возможности плавного перехода пользователей и групп от одного домена к другому. Однако разработчики Microsoft, дабы убедить сомневающихся, создали Active Directory Migration Tool. Инструмент ADMT обеспечивает администратора удобным набором мастеров миграции, решающих конкретные задачи и существенно облегчающих выполнение реструктуризации домена.
Подходящий инструмент для работы
Выполнить реструктуризацию домена можно с помощью комбинации сценариев и инструментов командной строки из набора Microsoft Windows 2000 Resource Kit (таких как Netdom, ClonePrincipal, SIDWalker, MoveTree). Однако при использовании ADMT процесс миграции от Windows NT 4.0 к Windows 2000 протекает быстрее и проще, чем в случае применения метода, основанного на сценариях. Первичная цель ADMT - разработать направление для легкой и безопасной миграции от Windows NT 4.0 к Windows 2000 Active Directory Server (ADS).
Компания Microsoft лицензировала ADMT у Mission Critical Software и предлагает утилиту миграции бесплатно (по адресу http://www.microsoft.com/windows2000/downloads/ deployment/admt/default.asp можно загрузить ее копию). ADMT устанавливается как оснастка консоли Microsoft Management Console (MMC), которая включает несколько мастеров, выполняющих конкретные задачи. Эти мастера осуществляют миграцию пользователей, групп и компьютеров и не требуют знания многих тонкостей, которые используют сценарии или утилиты командной строки для выполнения миграции.
Утилита ADMT также значительно упрощает миграцию с ранних версий Windows NT. Например, можно отменить недавно сделанные действия, связанные с миграцией пользователя, группы или компьютера. Также можно переместить учетные записи служб, таких как Exchange Service, и восстановить доверительные отношения между исходным и целевым доменами. Можно реструктурировать существующие группы или объединить несколько групп в одну в целевом домене. Инструмент ADMT позволяет перевести существующие домены ресурсов NT 4.0 в организационные единицы Windows 2000 (OU), что позволит упростить управление сетевыми ресурсами. Кроме того, ADMT можно использовать для преобразования множества доменов в несколько крупных доменов в существующей среде Windows 2000.
Наиболее важными свойствами ADMT являются те, которые позволяют выполнять пробную миграцию в параллельную среду. Утилита ADMT регистрирует миграционные события так, что потом можно проанализировать воздействие перехода (например, создание пользователя и группы, членство в группе) до и после фактического процесса миграции. Также можно проанализировать и проконтролировать, как ADMT обрабатывает учетные записи пользователей, пароли, компьютеры, группы и понять, как обеспечивать безопасность во время миграции.
Требования к исходному и целевому доменам
Инструменту ADMT для миграции требуется два домена – исходный и целевой. Более того, необходимо, чтобы на исходном домене был запущен Service Pack 4 (SP4) или поздняя версия на PDC. ADMT запускается только на компьютерах с системой Windows 2000, а целевой домен Windows 2000 должен функционировать в собственном (основном) режиме (то есть все контроллеры домена должны быть контроллерами Windows 2000).
Сценарий для компании
Рассмотрим пример, демонстрирующий последовательность действий при использовании ADMT для реструктуризации домена. На Рисунке 1 показано, что компания Earth Satellite имеет один главный домен Windows NT 4.0 (т.е. есть домен Earth) для хранения учетных записей и два ресурсных домена, Earth-Res1 и Earth-Res2. Таблицы 1 и 2 определяют пользователей и группы домена Earth.
Требуется переместить пользователей и группы из домена Earth (т.е. исходного домена) в новую параллельную среду Windows 2000. Целевой домен - это домен moon.base.com (или домен Moon). Утилите ADMT требуется наличие двусторонних доверительных отношений между исходным и целевым доменами, что показано на Рисунке 2.
Подготовка тестовой среды. Как системный администратор компании Earth Satellite, прежде чем приступать к миграции доменов, вы должны создать лабораторную среду для тестирования, которая точно отображала бы текущую рабочую среду компании. Хороший способ - клонировать рабочий PDC и перенести клон в другую тестовую среду (можно выполнить такую же процедуру для создания BDC, точно копируя имеющийся домен для тестирования процесса миграции).
Также необходимо создать клон серверов, сымитировав образец приложения или рядового сервера, которые используются в реальной жизни. Я настоятельно рекомендую выполнить полный тест процедур миграции в отдельной тестовой среде, перед тем, как приступать к миграции.
Целевой домен должен работать в собственном режиме. Для проведения процесса миграции целевой домен должен быть полностью средой Windows 2000. Переход к собственному режиму на целевом домене производится следующим образом:
1. Откройте оснастку Active Directory Domains and Trusts консоли MMC, затем нажмите правую кнопку мыши на домене moon.base.com панели Tree.
2. Выберите Properties из контекстного меню, затем укажите режим Change Mode на закладке General.
3. Нажмите Yes для подтверждения перехода в собственный режим и закройте диалоговое окно Properties.
Процесс переключения в собственный режим выполняется вручную. Система Windows 2000 не может автоматически инициировать изменение режима. После включения собственного режима отменить его уже нельзя. Поддержка для низкоуровневой репликации и контроллеров домена прекращается, и добавить BDC в целевой домен нельзя. В этой точке процесса миграции сервер PDC домена Earth, который был PDC в процессе миграции, не является больше основным контроллером домена. В собственном режиме все контроллеры домена равноправны.
Аудит должен запускаться на исходном и целевом доменах. Утилите ADMT требуется, чтобы был включен аудит управления учетными записями (то есть удачные и неудачные события) в исходном и целевом доменах (в системе Windows NT 4.0 управление учетными записями называется User и Group Management). Для включения аудита в исходном домене необходимо сделать следующее:
1. Зарегистрироваться в сети с правами администратора.
2. Выбрать Start, Programs, Administrative Tools и открыть User Manager for Domains.
3. Выбрать меню Policies и далее пункт Audit.
4. Выбрать Audit These Events.
5. Отметить, как в User, так и в Group Management, события Success и Failure.
Для включения аудита в целевом домене нужно выполнить восемь шагов:
1. Зарегистрируйтесь в домене с правами администратора.
2. В оснастке Active Directory Users and Computers дважды щелкните мышью на moon.base.com.
3. На левой панели нажмите правую кнопку мыши на Domain Controllers OU и выберите Properties из контекстного меню.
4. На окне Properties выберите закладку Group Policy.
5. Выберите Default Domain Controllers Policy, затем отметьте Edit для запуска оснастки Group Policy.
6. Окно Group Policy появится на экране. Под Default Domain Controllers Policy укажите Computer Configuration, Windows Settings, Security Settings, Local Policies и Audit Policy.
7. Выберите Audit Account Management, затем отметьте Define These Policy Settings.
8. Выберите Success и Failure, затем нажмите OK. Закройте все открытые окна.
Конфигурирование доверительных отношений между исходным и целевым доменами. Двусторонние доверительные отношения между целевым и исходным доменами определяются правами доступа. Они требуются ADMT для осуществления миграции принципалов безопасности между доменами. Для конфигурирования таких доверительных отношений выполните следующие пять шагов:
1. В целевом домене запустите оснастку Active Directory Domains and Trusts.
2. В окне Active Directory Domains and Trusts выберите целевой домен и нажмите правую кнопку мыши на объекте.
3. Выберите Properties, затем закладку Trusts. Щелкните Add для выбора в полях Domains trusted by this domain и Domains that trust this domain, чтобы сконфигурировать доверительные отношения на исходном домене, как показано на Экране 3.
4. На исходном домене запустите User Manager for Domains.
5. Выберите Policies, затем отметьте Trust Relationships. Щелкните кнопкой мыши на Add для конфигурирования доверительных отношений на целевом домене, как показано на Экране 4.
После того как установлены доверительные отношения, необходимо убедиться, что вы имеете права администратора в исходном и целевом доменах. Такие же права будут необходимы на каждом компьютере, с которого проводится миграция, и на любом компьютере, на который будет переводиться база безопасности. Для выполнения миграции нужно иметь права администратора на любом компьютере, на который устанавливается агент ADMT. Так как ADMT может инсталлировать и удалять агенты на отдельных машинах, это всегда предполагает наличие устанавливаемых по умолчанию административных разделяемых каталогов на них.
Конфигурирование контейнеров назначения в целевом домене. Перед тем как переместить пользователей и группы из исходного домена, необходимо создать контейнер назначения в целевом домене. Контейнеры назначения являются подразделениями OU в Active Directory (AD). Если не создать новый контейнер, ADMT будет размещать всех пользователей и группы, которые перемещаются, в пользовательский контейнер по умолчанию в целевом домене.
Для создания подразделения Moon Users and Groups (то есть контейнера назначения) в домене moon.base.com выполните следующие действия:
1. Откройте оснастку Active Directory Users and Computers.
2. Нажмите правую кнопку мыши на домене moon.base.com, затем выберите New, а потом Organizational Unit.
3. Введите в текстовом окне Moon Users and Groups, затем щелкните OK.
На Экране 5 показано организационное подразделение Moon Users and Groups, созданное в домене moon.base.com. Вы можете выполнять такие же действия для создания любых групп из OU (например, из отдельных OU для пользователей, групп и компьютеров).
Использование ADMT для миграции доменов
После того как созданы условия для миграции, можно использовать ADMT для переноса выбранных пользователей и групп из исходного домена в целевой. Для компании Earth Satellite перенесем всех пользователей и группы за одну операцию.
Инсталляция ADMT. Первый шаг – это установка ADMT. Выполните следующие действия:
1. Загрузите файл ADMT.msi с Web-сайта компании Microsoft, по адресу http://www.microsoft.com/windows2000/downloads/
deployment/admt/default.asp.
2. Войдите в сеть в целевой домен с правами администратора.
3. Запустите утилиту admt.exe для извлечения программного файла ADMigration.msi.
4. Щелкните Next на окне Welcome.
5. Просмотрите условия License Agreement, затем щелкните на I accept the License Agreement (если вы согласны с условиями) и выберите Next.
6. В появившемся диалоговом окне задайте место инсталляции ADMT, затем выберите Next в окне Start Installation.
7. Щелкните Next для установки ADMT.
8. После выполнения установки ADMT выберите Finish.
Миграция. Теперь можно использовать мастер ADMT User Migration Wizard для перемещения пользователей и групп из исходного домена в целевой. Для выполнения миграции пользователей и групп выполните следующие 14 шагов:
1. Выберите Start, Programs, Administrative Tools и откройте оснастку Active Directory Migration Tool консоли MMC.
2. Выберите в панели Tree окна (левой) Active Directory Migration Tool. Нажмите правую кнопку мыши и выберите вариант User Migration Wizard.
3. Щелкните Next в окне User Account Migration Wizard Welcome.
4. Выберите пункт Migrate Now и далее Next.
5. В окне Domain Selection выберите домен Earth, как исходный домен и moon.base.com, как целевой домен. Щелкните Next.
6. В окне User Selection щелкните Add, затем выберите всех пользователей домена Earth. Не выбирайте встроенные локальные группы из домена Earth, потому что идентификаторы SID этих групп одинаковы в каждом домене. Нажмите Next.
7. В окне Organizational Unit Selection щелкните Browse, затем выберите контейнер назначения (которым в нашем примере является OU с именем Moon Users and Groups) для перемещения пользователей и групп. Щелкните Next.
8. В окне Password Options выберите Complex Passwords для автоматической генерации сложных паролей для каждого перемещаемого пользователя. ADMT создает и хранит пароли в текстовом файле и позволяет назначать эти пароли пользователям позже. По умолчанию, этот файл располагается в папке
\%program files%\active directory migration tool\logs\passwordsЩелкните Next.
9. В окне Account Transition Options щелкните Migrate User SIDs to Target Domain для добавления идентификаторов SID перемещаемых учетных записей в атрибут SidHistory новой учетной записи пользователя в целевом домене (можно также блокировать исходные учетные записи на PDC исходного домена, но не выбирайте этот вариант, пока не захотите испробовать все варианты миграции). Щелкните Next.
10. В окне User Account введите имя и пароль пользователя исходного домена, который имеет административные полномочия в исходном домене. Щелкните Next.
11. В окне User Options выберите Translate roaming profiles, Update user rights и Migrate associated user groups, как показано на Экране 6. Этот шаг ассоциирует переносимый профиль пользователя с новой учетной записью пользователя в целевом домене. Здесь же пользователю присваиваются те же права, что у него были в исходном домене, а также переносятся группы исходного домена, в состав которых входят перемещаемые пользователи. Если вы выполняете миграцию многих объектов, необходимо выбрать Update Previously Migrated Objects для обеспечения корректного обновления всех групп пользователей. Нажмите Next.
12. В окне Naming Conflicts выберите действие, необходимое для разрешения конфликта учетных имен. По умолчанию это Replace Conflicting Accounts. Щелкните Next.
13. В окне Completing User Account Migration Wizard щелкните Finish.
14. Сейчас вы можете просмотреть системный журнал или продолжить. Выберите Close. ADMT User Migration Wizard перенесет всех выбранных пользователей и группы из исходного домена в целевой.
Высадка на Луну
Чтобы убедиться, что все пользователи и группы перемещены из исходного домена в целевой полностью, зарегистрируйтесь в сети в целевом домене с правами администратора. В оснастке Active Directory Users and Computers двойным щелчком мыши откройте домен moon.base.com. На панели Tree выберите OU Moon Users and Groups. В правой части окна будут отображены пользователи и группы исходного домена (см. Экран 7).
Чтобы удостовериться, что перемещенные группы сохранили свои свойства в целевом домене, нажмите правую кнопку мыши на группе в правой части окна и выберите Properties для отображения основной информации о свойствах. Отдельные закладки обеспечивают информацией о группе (члены группы; кто выполняет управление группой; общая политика безопасности группы). Например, щелкните правой кнопкой мыши на группе Apollo, отметьте Properties и выберите закладку Members. На Экране 8 показано, что перемещенная группа Apollo сохранила членов группы из исходного домена.
Анализ результатов миграции
Инструмент ADMT обеспечивает администратора богатым набором функций, контролирующих течение процесса миграции. Можно использовать стандартные журналы событий Event Viewer в Windows 2000 или Windows NT для оценки результатов миграции, анализа автоматически формируемого утилитой ADMT журнала, который показывает все действия ADMT при осуществлении миграции, или запустить встроенный в ADMT мастер Reporting Wizard для получения подробных сводок о процессе миграции. Инструмент ADMT позволяет выполнить пробную миграцию (которая не производит изменений конфигурации) с целью точной регулировки реальной миграции. Кроме того, ADMT позволяет отменять большинство из недавно выполненных перемещений пользователя, группы или компьютера.
Если во время миграции возникли проблемы или требуется проанализировать операции, которые проводит ADMT, сформированные ADMT системные журналы обеспечат вас точными моментальными снимками всех шагов миграции. Все время, пока ADMT производит операцию миграции, он ведет в системном журнале записи, которые подробно описывают выполняемые операции. ADMT создает системный журнал по умолчанию в папке
\%program files%\active directory migration tool\logsСистемный журнал имеет название migration.log. Этот файл очень важен, поскольку в нем регистрируются все события миграции.
На Экране 9 показана часть системного журнала, в которой описан процесс миграции, формирующий домен компании Earth Satellite. В журнале регистрации отмечается, что инструмент ADMT будет копировать пользователей, общие и локальные группы из исходного домена Earth. Следующая запись журнала регистрации объясняет, что ADMT создал пользователя Aldrin и атрибут SID History. Затем ADMT создал общую группу Apollo и восстановил атрибут SID History. Следующая строка журнала регистрации показывает, что ADMT установил пароль для Aldrin и поместил его в файл пароля. В заключение ADMT добавил пользователя Aldrin в группу Apollo и обеспечил сохранность свойств пользователя Aldrin в исходном домене.
Плавная миграция
Итак, ADMT позволяет разрабатывать структуру в Windows 2000 и успешно сосуществует с рабочей средой Windows NT. Хотя можно применить метод, основанный на написании сценариев, все же лучше использовать этот инструмент, имеющий мощные миграционные возможности.
Мартин Макклин - консультант по сетям и системам, специализируется на NT и программных пакетах Microsoft, имеет сертификаты MSCE и MCP+Internet. С ним можно связаться по адресу: apogeusr@iinet.net.au.