Миграция на Active Directory Windows Server 2008 R2: зачем и как ?

ENT305

Миграция на Active Directory Windows Server 2008 R2: зачем и как?

Константин ЛеонтьевАрхитекторMicrosoft

Содержание

Зачем нужны обновление и миграция?Поддержка старых версийНовые функцииКратко об архитектуреСовместимость с другими системамиВыбор стратегии: обновление или миграция?

Обновление: как?Варианты обновленияТактика обновленияИз практики - основные риски обновления

Миграция: как?Варианты миграции Тактика миграцииИз практики – основные риски миграции

Выводы

Если вы по коридоруМчитесь на велосипеде,А на встречу вам из ваннойВышел папа погулять,Не сворачивайте в кухню, В кухне твердый холодильник!Тормозите прямо в папу.Папа мягкий. Он простит.

Г.Остер

Зачем нужны обновление и миграция?Поддержка старых версий

Операционная система Дата выхода Окончание основной поддержки

Окончание расширенной поддержки

Windows 2000 Server 31 марта 2000 30 июня 2005 13 июля 2010

Windows Server 2003 rtm 28 мая 2003 13 июля 2010 14 июля 2015

Windows Server 2003 SP2 13 марта 2007 13 июля 2010 14 июля 2015

Windows Server 2003 R2 rtm 5 марта 2006 13 июля 2010 14 июля 2015

Windows Server 2003 R2 SP2 13 марта 2007 13 июля 2010 14 июля 2015

Windows Server 2008 rtm 6 мая 2008 9 июля 2013 10 июля 2018

Windows Server 2008 SP2 29 апреля 2009 9 июля 2013 10 июля 2018

Windows Server 2008 R2 rtm 22 октября 2009 9 июля 2013 10 июля 2018

Windows Server 2008 R2 SP1 22 февраля 2011

9 июля 2013 10 июля 2018

Пакеты Service Pack не будут более выпускаться для 2000, 2003 и 2008

Зачем нужны обновление и миграция?Новые функции для Active Directory

Windows Server 2008 Windows Server 2008 R2Fine Grain Password Policy Инструмент AD Best Practice Analyzer

DFS-R для репликации SYSVOL Корзина - «AD Recycle Bin»

Работа со снимками Базы Данных NTDS.DIT Инструмент AD Administrative Center

Перезапуск служб AD и DSRM Managed Services Accounts

Расширенный аудит событий Поддержка Offline Domain Join

Read Only Domain Controller (RoDC) Обновленный MP для SC Operation Manager

Поддержка AD на Server Core Технология Authentication Mechanism Assurance

Полная поддержка AD на Hyper-V Набор из 76 cmd-lets для Active Directory

Предотвращение случайных удалений в AD Поддержка PowerShell 2.0 в Server Core

Защита контроллера домена BitLocker Службы AD Web Services

Функции Advance Group Policy Management

Ключевые элементы архитектурымодель администрирования

Централизация на уровне сервисаДелегирование и децентрализация на уровне данных

Администраторы данных в филиалахАдминистраторы данных в филиалахАдминистраторы данных в филиалах

Центр компетенции сопровождения СК Active Directory

Администраторы данных в ИА

Исполнительный аппарат (ИА)

Администраторы Орг. Подразделения ИА

Операторы уч. записей пользователей ИА

Операторы серверов ИА

Группа тех. поддержки ИА

Администраторы данных в филиале

Филиалы

Администраторы Орг. Подразделения филиала

Операторы уч. записей пользователей филиала

Операторы серверов филиала

Группа тех. поддержки филиала

Администраторы - владельцы сервиса службы каталога

Сопровождающий(Методика MOF)

Infrastructure

ReleaseService

SupportOperations

Partner

Security

Владелец

Потребитель

Аудитор

Конструктор(Методика MSF) Architecture

Product ManagementDevelopment

Release operations

User Experience

Program Management

Test

MSF

Ключевые элементы архитектурымодель лесов и доменов

Много лесов Один лес, много доменов Один лес, один домен

Сложность администрирования и интеграции бизнес-систем и адресных книг

Сложность администрирования, простота интеграции бизнес-систем

Простота администрирования и интеграции бизнес-систем

Удобство для мобильных активов

Удобство для поглощающей и растущей компании

Удобство для вертикально- централизованой компании

Полная изоляция и автономия Отсутствие изоляции, автономия на уровне данных и GPO

Отсутствие изоляции, автономия на уровне данных

Единство именования за счет орг. мер

Единство именования Единство именования и политик безопасности

Независимые политики паролей

Независимые политики паролей

Единая политика паролей

Доверия и ADFS, ограничения функционала ПО

Прозрачная аутентификация и авторизация

Прозрачная аутентификация и авторизация

Ключевые элементы архитектурымодель сайтов и топология

Узловой сайтFSMO роли в узловом сайтеGC в узловом сайтеОдин контроллер в периферических сайтахИерархия Site CoveragePreferred DCОграничение регистрации NS, A и SRV записей для КД

Канал Только AD AD + Exchange

128 kbs 39 15

256 kbs 79 30

512 kbs 159 60

Загрузка канала на 50%

Зачем нужны обновление и миграция?Совместимость с другими системами

Версия ОС Exchange 2010 SP1

Exchange 2010 RTM

Exchange 2007 SP3

Exchange 2007 SP2

Exchange 2003 SP2

Exchange 2000 SP3

Windows 2000 Server SP4

Windows Server 2003 SP1

Windows Server 2003 SP2

Windows Server 2008

Windows Server 2008 SP2

Windows Server 2008 R2

Windows Server 2008 R2 SP1

Зачем нужны обновление и миграция?Совместимость с другими системами

Функциональность домена/леса

Exchange 2010 SP1

Exchange 2010 RTM

Exchange 2007 SP3

Exchange 2007 SP2

Exchange 2003 SP2

Exchange 2000 SP3

Windows 2000 Server mixed

Windows 2000 Server native

Windows Server 2003 interim

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Windows 2000 Server Windows Server 2003 interim

Windows Server 2003

Windows Server 2008

Windows Server 2008 R2

Зачем нужны обновление и миграция?Выбор стратегии: обновление или миграция?

Обновление:Установка ОС поверх старой версииПошаговая замена контроллеровПереименование доменов и леса

Миграция:Миграция между доменами в рамках одного лесаМиграция между лесамиМиграция со сторонних каталогов

Зачем нужны обновление и миграция?Выбор стратегии: ключевые вопросы…

Требуется ли смена платформы КД x86 ↔ x64?Нет ли фатальных ошибок в AD: схема, репликация, сист. объекты?Необходимо ли изменение DNS/NetBIOS имен?Требуется ли объединить в один домен множество?Требуется ли изоляция на уровне сервиса AD?Приложения установлены на КД?Возможна ли оптимизация членства в группах?Допускают ли приложения переименование?Допускают ли приложения обновление?Поддерживают ли приложения работу с SID History?Конфликт именования во взаимодействующих лесах/доменах?

Зачем нужны обновление и миграция? Выбор стратегии: варианты

Особенности Обновление Миграция

Устранение фатальных ошибок AD Изменение DNS/NetBIOS имен домена/леса Объединение лесов/доменов Разделение лесов/доменов Сохранение размеров Kerberos PAC Несовместимость ПО с переименованием Несовместимость с версией схемы и ОС на КД Не требуется поддержка SID History для ПО Проблема конфликта в именовании

Зачем нужны обновление и миграция?Общие риски и проблемы

Риски на КД и серверах:Поддержка NT4CryptoПоддержка AES и DESЛеса Single LabelМеханизма хранения членства в группахОграничения RoDCПеренос FSMO роли PDC-EПроблемы в конфигурации Active Directory

Риски на рабочих станциях:WMI filtering в групповых политикахВыбор ближайшего КДВыбор ближайшего SYSVOLПротокол Kerberos (TCP/UDP)

Общие риски:Некорректная архитектура системСбои в NTFS и на дискахКорректная работа разрешения имен DNS/WINSОстановленные службыНекорректные права доступа и локальные политики безопасностиСетевые настройки и межсетевые экраны, NATБизнес-приложения и их совместимость с новой AD

Обновление

Обновление: как?Варианты обновления

Установка новой ОС поверх старой на КД

Добавление новых КД и удаление старых

Переименование (частный случай)

Обновление: как? Выбор тактики: сравнение вариантов

Особенности Установка поверх Замена Переимено

вание

Смена платформы КД x86 ↔ x64 Изменение DNS/NetBIOS имен домена/леса Совместимость с приложениями на КД Отсутствие проблемы ПО с переименованием

Несовместимость с версией схемы и ОС на КД

Отсутствие проблем с переносом PDC-E Отсутствие проблем с драйверами и HW Не требуется перезагрузка всех Member Hosts

Можно аккуратно протестировать все шаги Для каждого шага есть возможность отмены Фатальные ошибки в AD могут стать причиной катастрофыПереименование частный случай обновленияПод отменой шага не предусматривается экстренное восстановление из резервных копий

Обновление: как?Общая тактика обновления

Выявить и устранить системные ошибки в ADПротестировать обновление схемы на стендеПроработать план аварийного восстановления лесаПротестировать приложения на совместимостьРасширить схему и реплицировать измененияПодготовить домены леса и обновить GPOУстановить первый контроллер домена на новой ОСАккуратно перенести роль PDC-E на новый КДПо очереди заменить/обновить контроллеры домена

Обновление: как?Основные инструменты

w32tm /monitorrepadmin /replsum /bysrc /bydest /sort:deltanetdom query fsmoadschemaanalyzer.exe

adprep[32] /forestprepadprep[32] /domainprep [/gpprep]Adprep[32] /rodcprep

ntdsutil /ifmdcpromo [/adv]dcpromo /forceremovalntdsutil metadata cleanup

Обновление: как?Из практики – основные риски обновления

Риски на КД и серверах:Качество репликации и ее объемыМетодика тестирования и обновления схемыПоддержка ПО установленного на КД

Риски на рабочих станциях:Перерыв доступа к КД

Миграция

Миграция: как?Варианты миграции

Миграция между доменами в рамках одного леса

Миграция между доменами разных лесов

Миграция со сторонних каталогов

Миграция: как?Тактика миграции: варианты

Особенности миграции Миграция между лесами Миграция в рамках одного леса

Механизм миграции объектовПо факту, объекты клонируются. Исходные объекты (учетные записи и группы) остаются в исходном домене.

Объекты фактически переносятся и не сохраняются в исходном домене.

Применение механизма SID History Использование SID History не обязательно. Требуется SID History

Сохранение пароля Сохранение пароля возможно, но не обязательно Пароли обязательно сохраняются

Миграция/ассоциация профилейДля миграции локальных профилей обязательно требуются инструменты такие как ADMT, moveuser и т.п.

На рабочих станциях с Windows 2000 Server локальные профили ассоциируются к новому пользователю автоматически

Организация подмножеств пользователей и групп при миграции

Миграция учетных записей возможна как в «открытом» так и в «закрытом» подмножестве.

Миграция учетных записей должна выполняться в «закрытом» подмножестве.

Миграция: как?Тактика миграции: варианты инструментов

Версия ОС контроллеров домена ADMT 2.02000/2003

ADMT 3.02003

ADMT 3.12008

ADMT 3.22008 R2

Windows NT 4.0 SP4 Windows 2000 Windows 2004 SP4 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2

ADMT 2.0 и последующие версии имеют разные базы данныхADMT 3.1 требует специальных ухищрений при миграции на Windows Server 2008 R2

Миграция: как?Тактика миграции

Подготовить целевой лес/доменУстановить взаимное разрешение именНастроить доверительные отношенияВключить поддержку SID HistoryПровести миграцию всех пользователей и потом группПротестировать приложенияОтслеживать изменения членства в группахМигрировать рабочие станцииМигрировать серверы приложенийВывести из эксплуатации исходный доменОчистить SID History в целевом домене

Миграция: как?Тактика миграции: тестирование приложений

Новый домен: изменяются DNS и NetBIOS имена доменаFQDN имя машины (ее доменный суффикс)Набор применяемых групповых политикДоменная часть имен пользователей (UPN суффикс и NetBIOS префикс)Месторасположение объектов в структуре OU (изменится DN объектов)SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID HistoryПрофиль пользователя должен будет ассоциирован с новой учетной записьюНастройки DNS/WINS в свойствах TCP/IPСертификат компьютераНабор доверенных Root CAМеняется Default EFS Recovery AgentМеняется имя и версия PDC Emulator… и т.п.

Миграция: как?Основные инструменты

dnscmd <..> /ZoneAdd <zone> /[Ds]Forwarder <IpList>

netdom trust /EnableSIDHistory:yesnetdom trust /quarantine:no

ADMT.exe; PwdMig.exeexprofre.exe /targetdc=<Global-Catalog-Server> /s /vreg.exemoveuser.exenetdom join

Скрипт очистки SidHistory (http://support.microsoft.com/kb/295758/)

Миграция: как?Из практики – основные риски миграции

Риски на КД и серверах:Взаимное разрешение именСовпадение имен доменовМаршрутизация суффиксов на доверительных отношенияхРазмер билета Kerberos, /3GBМеханизм PAC ValidationОткрытые/Закрытые подмножество групп/пользователей Проблема миграции доменных локальных групп

Риски на рабочих станциях:Зашифрованные файлы EFSПароли сайтов в Internet ExplorerПароли ящиков в Outlook ExpressРазмер билета KerberosОбновление профиля MS OutlookДомен входа по умолчаниюЧленство УЗ мигратора в локальной группе AdministratorsПотери доступа на основе Well Known Groups домена

Выводы

Выбор стратегии – самое ответственное решениеТестирование методик – ключ к успехуОсновные риски – работоспособность приложенийОсновные трудозатраты – миграция рабочих станцийОсновные инструменты – бесплатно от MicrosoftНедовольные пользователи – извещения и поддержка

Обратная связь

Уважаемые участники!Ваше мнение очень важно для нас!В блокноте, который находится в инфопаке участника, вы найдете анкету для оценки докладовПожалуйста, оцените доклад и сдайте анкету при выходе из зала модераторуДля участия в конкурсе заполненных анкет, отметьте в анкете номер, который указан на вашем бейдже

Спасибо!

Вопросы

ENT305Константин Леонтьев

Архитектор[email protected]://kleontiv.spaces.live.com/

Вы сможете задать вопросы докладчику в зоне Microsoft в зале №17 в течение часа после завершения этой сессии

Кто не прыгал из окошкаВместе с маминым зонтомТот лихим парашютистомНе считается пока.Не лететь ему как птицеНад взволнованной толпой,Не лежать ему в больницеС забинтованной ногой.

Г.Остер

Сессии по теме

ENT408: Все о файловых серверах на базе Windows ServerENT302: Способы повышения отказоустойчивости серверной инфраструктуры: как максимально эффективно повысить надежность?ENT303: Способы повышения доступности серверной инфраструктуры: Мастер-класс по кластеризацииENT306: Как сделать гетерогенную инфраструктуру преимуществом: интеграция Linux и Microsoft. Хостинг на платформе Hyper-V, совместное использование файл-серверов, интеграция с Active Directory

Сессия вопросов и ответов сегодняENT310CT

Все, что вы хотели знать о построении правильной архитектуры предприятия, но стеснялись бингануть

Приходите с вопросами о построении инфраструктуры предприятия или центров обработки данных!

Мы будем изгонять демонов из серверов и разыгрывать призы за интересные вопросы!

Зал B8 10 ноября в 17:30!