340 likes | 767 Vues
ENT305. Архитектор. Microsoft. Миграция на Active Directory Windows Server 2008 R2: зачем и как ?. Константин Леонтьев. Содержание. Зачем нужны обновление и миграция? Поддержка старых версий Новые функции Кратко об архитектуре Совместимость с другими системами
E N D
ENT305 Архитектор Microsoft Миграция на Active Directory Windows Server 2008 R2: зачем и как? Константин Леонтьев
Содержание • Зачем нужны обновление и миграция? • Поддержка старых версий • Новые функции • Кратко об архитектуре • Совместимость с другими системами • Выбор стратегии: обновление или миграция? • Обновление: как? • Варианты обновления • Тактика обновления • Из практики - основные риски обновления • Миграция: как? • Варианты миграции • Тактика миграции • Из практики – основные риски миграции • Выводы Если вы по коридору Мчитесь на велосипеде, А на встречу вам из ванной Вышел папа погулять, Не сворачивайте в кухню, В кухне твердый холодильник! Тормозите прямо в папу. Папа мягкий. Он простит. Г.Остер
Зачем нужны обновление и миграция?Поддержка старых версий Пакеты Service Pack не будут более выпускаться для 2000, 2003 и 2008
Зачем нужны обновление и миграция?Новые функции для Active Directory
Ключевые элементы архитектурымодель администрирования MSF • Централизация на уровне сервиса • Делегирование и децентрализация на уровне данных
Ключевые элементы архитектурымодель лесов и доменов
Ключевые элементы архитектурымодель сайтов и топология • Узловой сайт • FSMO роли в узловом сайте • GC в узловом сайте • Один контроллер в периферических сайтах • Иерархия Site Coverage • Preferred DC • Ограничение регистрации NS, A и SRV записей для КД Загрузка канала на 50%
Зачем нужны обновление и миграция?Совместимость с другими системами
Зачем нужны обновление и миграция?Совместимость с другими системами
Зачем нужны обновление и миграция?Выбор стратегии: обновление или миграция? • Обновление: • Установка ОС поверх старой версии • Пошаговая замена контроллеров • Переименование доменов и леса • Миграция: • Миграция между доменами в рамках одного леса • Миграция между лесами • Миграция со сторонних каталогов
Зачем нужны обновление и миграция?Выбор стратегии: ключевые вопросы… • Требуется ли смена платформы КД x86 ↔ x64? • Нет ли фатальных ошибок в AD: схема, репликация, сист. объекты? • Необходимо ли изменение DNS/NetBIOS имен? • Требуется ли объединить в один домен множество? • Требуется ли изоляция на уровне сервиса AD? • Приложения установлены на КД? • Возможна ли оптимизация членства в группах? • Допускают ли приложения переименование? • Допускают ли приложения обновление? • Поддерживают ли приложения работу с SID History? • Конфликт именования во взаимодействующих лесах/доменах?
Зачем нужны обновление и миграция? Выбор стратегии: варианты
Зачем нужны обновление и миграция?Общие риски и проблемы • Общие риски: • Некорректная архитектура систем • Сбои в NTFS и на дисках • Корректная работа разрешения имен DNS/WINS • Остановленные службы • Некорректные права доступа и локальные политики безопасности • Сетевые настройки и межсетевые экраны, NAT • Бизнес-приложенияи их совместимость с новой AD • Риски на КД и серверах: • Поддержка NT4Crypto • Поддержка AES и DES • Леса Single Label • Механизма хранения членства в группах • Ограничения RoDC • Перенос FSMO роли PDC-E • Проблемы в конфигурации Active Directory • Риски на рабочих станциях: • WMI filtering в групповых политиках • Выбор ближайшего КД • Выбор ближайшего SYSVOL • Протокол Kerberos (TCP/UDP)
Обновление: как?Варианты обновления • Установка новой ОС поверх старой на КД • Добавление новых КД и удаление старых • Переименование (частный случай)
Обновление: как? Выбор тактики: сравнение вариантов Фатальные ошибки в AD могут стать причиной катастрофы Переименование частный случайобновления Под отменой шага не предусматривается экстренное восстановление из резервных копий
Обновление: как?Общая тактика обновления • Выявить и устранить системные ошибки в AD • Протестировать обновление схемы на стенде • Проработать план аварийного восстановления леса • Протестировать приложения на совместимость • Расширить схемуи реплицировать изменения • Подготовить домены леса и обновить GPO • Установить первый контроллер домена на новой ОС • Аккуратно перенести роль PDC-E на новый КД • По очереди заменить/обновить контроллеры домена
Обновление: как?Основные инструменты w32tm /monitorrepadmin /replsum /bysrc /bydest /sort:deltanetdom query fsmoadschemaanalyzer.exeadprep[32] /forestprep adprep[32] /domainprep [/gpprep] Adprep[32] /rodcprepntdsutil /ifmdcpromo [/adv]dcpromo /forceremovalntdsutil metadata cleanup
Обновление: как?Из практики – основные риски обновления • Риски на КД и серверах: • Качество репликации и ее объемы • Методика тестирования и обновления схемы • Поддержка ПО установленного на КД • Риски на рабочих станциях: • Перерыв доступа к КД
Миграция: как?Варианты миграции • Миграция между доменами в рамках одного леса • Миграция между доменами разных лесов • Миграция со сторонних каталогов
Миграция: как?Тактика миграции: варианты
Миграция: как?Тактика миграции: варианты инструментов ADMT 2.0 и последующие версии имеют разные базы данных ADMT 3.1 требует специальных ухищрений при миграции на Windows Server 2008 R2
Миграция: как?Тактика миграции • Подготовить целевой лес/домен • Установить взаимное разрешение имен • Настроить доверительные отношения • Включить поддержку SID History • Провести миграцию всех пользователей и потом групп • Протестировать приложения • Отслеживать изменения членства в группах • Мигрировать рабочие станции • Мигрировать серверы приложений • Вывести из эксплуатации исходный домен • Очистить SID History в целевом домене
Миграция: как?Тактика миграции: тестирование приложений • Новый домен: изменяются DNS и NetBIOS имена домена • FQDN имя машины (ее доменный суффикс) • Набор применяемых групповых политик • Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс) • Месторасположение объектов в структуре OU (изменится DN объектов) • SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID History • Профиль пользователя должен будет ассоциирован с новой учетной записью • Настройки DNS/WINS в свойствах TCP/IP • Сертификат компьютера • Набор доверенных Root CA • Меняется Default EFS Recovery Agent • Меняется имя и версия PDC Emulator • … и т.п.
Миграция: как?Основные инструменты dnscmd <..> /ZoneAdd <zone> /[Ds]Forwarder <IpList>netdom trust /EnableSIDHistory:yesnetdom trust /quarantine:noADMT.exe; PwdMig.exeexprofre.exe /targetdc=<Global-Catalog-Server> /s /v reg.exemoveuser.exenetdom join Скрипт очистки SidHistory (http://support.microsoft.com/kb/295758/)
Миграция: как?Из практики – основные риски миграции • Риски на КД и серверах: • Взаимное разрешение имен • Совпадение имен доменов • Маршрутизация суффиксов на доверительных отношениях • Размер билета Kerberos, /3GB • Механизм PAC Validation • Открытые/Закрытые подмножество групп/пользователей • Проблема миграции доменных локальных групп • Риски на рабочих станциях: • Зашифрованные файлы EFS • Пароли сайтов в Internet Explorer • Пароли ящиков в Outlook Express • Размер билета Kerberos • Обновление профиля MS Outlook • Домен входа по умолчанию • Членство УЗ мигратора в локальной группе Administrators • Потери доступа на основе Well Known Groups домена
Выводы • Выбор стратегии – самое ответственное решение • Тестирование методик – ключ к успеху • Основные риски – работоспособность приложений • Основные трудозатраты – миграция рабочих станций • Основные инструменты – бесплатно от Microsoft • Недовольные пользователи – извещения и поддержка
Обратная связь Уважаемые участники! Ваше мнение очень важно для нас! В блокноте, который находится в инфопаке участника, вы найдете анкету для оценки докладов Пожалуйста, оцените доклад и сдайте анкету при выходе из зала модератору Для участия в конкурсе заполненных анкет, отметьте в анкете номер, который указан на вашем бейдже Спасибо!
Вопросы Кто не прыгал из окошкаВместе с маминым зонтомТот лихим парашютистомНе считается пока.Не лететь ему как птицеНад взволнованной толпой,Не лежать ему в больницеС забинтованной ногой. Г.Остер • ENT305 • Константин Леонтьев • Архитектор • kleont@microsoft.com • http://kleontiv.spaces.live.com/ • Вы сможете задать вопросы докладчику в зоне Microsoft в зале №17 в течение часа после завершения этой сессии
Сессии по теме • ENT408: Все о файловыхсерверах на базеWindowsServer • ENT302: Способы повышения отказоустойчивости серверной инфраструктуры: как максимально эффективно повысить надежность? • ENT303: Способы повышения доступности серверной инфраструктуры: Мастер-класс по кластеризации • ENT306: Как сделать гетерогенную инфраструктуру преимуществом: интеграция Linux и Microsoft. Хостинг на платформе Hyper-V, совместное использование файл-серверов, интеграция с ActiveDirectory
Сессия вопросов и ответов сегодняENT310CT • Все, что вы хотели знать о построении правильной архитектуры предприятия, но стеснялись бингануть • Приходите с вопросами о построении инфраструктуры предприятия или центров обработки данных! • Мы будем изгонять демонов из серверов и разыгрывать призы за интересные вопросы! • Зал B810 ноября в 17:30!