Feb 06, 2016
ENT305
Миграция на Active Directory Windows Server 2008 R2: зачем и как?
Константин ЛеонтьевАрхитекторMicrosoft
Содержание
Зачем нужны обновление и миграция?Поддержка старых версийНовые функцииКратко об архитектуреСовместимость с другими системамиВыбор стратегии: обновление или миграция?
Обновление: как?Варианты обновленияТактика обновленияИз практики - основные риски обновления
Миграция: как?Варианты миграции Тактика миграцииИз практики – основные риски миграции
Выводы
Если вы по коридоруМчитесь на велосипеде,А на встречу вам из ваннойВышел папа погулять,Не сворачивайте в кухню, В кухне твердый холодильник!Тормозите прямо в папу.Папа мягкий. Он простит.
Г.Остер
Зачем нужны обновление и миграция?Поддержка старых версий
Операционная система Дата выхода Окончание основной поддержки
Окончание расширенной поддержки
Windows 2000 Server 31 марта 2000 30 июня 2005 13 июля 2010
Windows Server 2003 rtm 28 мая 2003 13 июля 2010 14 июля 2015
Windows Server 2003 SP2 13 марта 2007 13 июля 2010 14 июля 2015
Windows Server 2003 R2 rtm 5 марта 2006 13 июля 2010 14 июля 2015
Windows Server 2003 R2 SP2 13 марта 2007 13 июля 2010 14 июля 2015
Windows Server 2008 rtm 6 мая 2008 9 июля 2013 10 июля 2018
Windows Server 2008 SP2 29 апреля 2009 9 июля 2013 10 июля 2018
Windows Server 2008 R2 rtm 22 октября 2009 9 июля 2013 10 июля 2018
Windows Server 2008 R2 SP1 22 февраля 2011
9 июля 2013 10 июля 2018
Пакеты Service Pack не будут более выпускаться для 2000, 2003 и 2008
Зачем нужны обновление и миграция?Новые функции для Active Directory
Windows Server 2008 Windows Server 2008 R2Fine Grain Password Policy Инструмент AD Best Practice Analyzer
DFS-R для репликации SYSVOL Корзина - «AD Recycle Bin»
Работа со снимками Базы Данных NTDS.DIT Инструмент AD Administrative Center
Перезапуск служб AD и DSRM Managed Services Accounts
Расширенный аудит событий Поддержка Offline Domain Join
Read Only Domain Controller (RoDC) Обновленный MP для SC Operation Manager
Поддержка AD на Server Core Технология Authentication Mechanism Assurance
Полная поддержка AD на Hyper-V Набор из 76 cmd-lets для Active Directory
Предотвращение случайных удалений в AD Поддержка PowerShell 2.0 в Server Core
Защита контроллера домена BitLocker Службы AD Web Services
Функции Advance Group Policy Management
Ключевые элементы архитектурымодель администрирования
Централизация на уровне сервисаДелегирование и децентрализация на уровне данных
Администраторы данных в филиалахАдминистраторы данных в филиалахАдминистраторы данных в филиалах
Центр компетенции сопровождения СК Active Directory
Администраторы данных в ИА
Исполнительный аппарат (ИА)
Администраторы Орг. Подразделения ИА
Операторы уч. записей пользователей ИА
Операторы серверов ИА
Группа тех. поддержки ИА
Администраторы данных в филиале
Филиалы
Администраторы Орг. Подразделения филиала
Операторы уч. записей пользователей филиала
Операторы серверов филиала
Группа тех. поддержки филиала
Администраторы - владельцы сервиса службы каталога
Сопровождающий(Методика MOF)
Infrastructure
ReleaseService
SupportOperations
Partner
Security
Владелец
Потребитель
Аудитор
Конструктор(Методика MSF) Architecture
Product ManagementDevelopment
Release operations
User Experience
Program Management
Test
MSF
Ключевые элементы архитектурымодель лесов и доменов
Много лесов Один лес, много доменов Один лес, один домен
Сложность администрирования и интеграции бизнес-систем и адресных книг
Сложность администрирования, простота интеграции бизнес-систем
Простота администрирования и интеграции бизнес-систем
Удобство для мобильных активов
Удобство для поглощающей и растущей компании
Удобство для вертикально- централизованой компании
Полная изоляция и автономия Отсутствие изоляции, автономия на уровне данных и GPO
Отсутствие изоляции, автономия на уровне данных
Единство именования за счет орг. мер
Единство именования Единство именования и политик безопасности
Независимые политики паролей
Независимые политики паролей
Единая политика паролей
Доверия и ADFS, ограничения функционала ПО
Прозрачная аутентификация и авторизация
Прозрачная аутентификация и авторизация
Ключевые элементы архитектурымодель сайтов и топология
Узловой сайтFSMO роли в узловом сайтеGC в узловом сайтеОдин контроллер в периферических сайтахИерархия Site CoveragePreferred DCОграничение регистрации NS, A и SRV записей для КД
Канал Только AD AD + Exchange
128 kbs 39 15
256 kbs 79 30
512 kbs 159 60
Загрузка канала на 50%
Зачем нужны обновление и миграция?Совместимость с другими системами
Версия ОС Exchange 2010 SP1
Exchange 2010 RTM
Exchange 2007 SP3
Exchange 2007 SP2
Exchange 2003 SP2
Exchange 2000 SP3
Windows 2000 Server SP4
Windows Server 2003 SP1
Windows Server 2003 SP2
Windows Server 2008
Windows Server 2008 SP2
Windows Server 2008 R2
Windows Server 2008 R2 SP1
Зачем нужны обновление и миграция?Совместимость с другими системами
Функциональность домена/леса
Exchange 2010 SP1
Exchange 2010 RTM
Exchange 2007 SP3
Exchange 2007 SP2
Exchange 2003 SP2
Exchange 2000 SP3
Windows 2000 Server mixed
Windows 2000 Server native
Windows Server 2003 interim
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Windows 2000 Server Windows Server 2003 interim
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Зачем нужны обновление и миграция?Выбор стратегии: обновление или миграция?
Обновление:Установка ОС поверх старой версииПошаговая замена контроллеровПереименование доменов и леса
Миграция:Миграция между доменами в рамках одного лесаМиграция между лесамиМиграция со сторонних каталогов
Зачем нужны обновление и миграция?Выбор стратегии: ключевые вопросы…
Требуется ли смена платформы КД x86 ↔ x64?Нет ли фатальных ошибок в AD: схема, репликация, сист. объекты?Необходимо ли изменение DNS/NetBIOS имен?Требуется ли объединить в один домен множество?Требуется ли изоляция на уровне сервиса AD?Приложения установлены на КД?Возможна ли оптимизация членства в группах?Допускают ли приложения переименование?Допускают ли приложения обновление?Поддерживают ли приложения работу с SID History?Конфликт именования во взаимодействующих лесах/доменах?
Зачем нужны обновление и миграция? Выбор стратегии: варианты
Особенности Обновление Миграция
Устранение фатальных ошибок AD Изменение DNS/NetBIOS имен домена/леса Объединение лесов/доменов Разделение лесов/доменов Сохранение размеров Kerberos PAC Несовместимость ПО с переименованием Несовместимость с версией схемы и ОС на КД Не требуется поддержка SID History для ПО Проблема конфликта в именовании
Зачем нужны обновление и миграция?Общие риски и проблемы
Риски на КД и серверах:Поддержка NT4CryptoПоддержка AES и DESЛеса Single LabelМеханизма хранения членства в группахОграничения RoDCПеренос FSMO роли PDC-EПроблемы в конфигурации Active Directory
Риски на рабочих станциях:WMI filtering в групповых политикахВыбор ближайшего КДВыбор ближайшего SYSVOLПротокол Kerberos (TCP/UDP)
Общие риски:Некорректная архитектура системСбои в NTFS и на дискахКорректная работа разрешения имен DNS/WINSОстановленные службыНекорректные права доступа и локальные политики безопасностиСетевые настройки и межсетевые экраны, NATБизнес-приложения и их совместимость с новой AD
Обновление
Обновление: как?Варианты обновления
Установка новой ОС поверх старой на КД
Добавление новых КД и удаление старых
Переименование (частный случай)
Обновление: как? Выбор тактики: сравнение вариантов
Особенности Установка поверх Замена Переимено
вание
Смена платформы КД x86 ↔ x64 Изменение DNS/NetBIOS имен домена/леса Совместимость с приложениями на КД Отсутствие проблемы ПО с переименованием
Несовместимость с версией схемы и ОС на КД
Отсутствие проблем с переносом PDC-E Отсутствие проблем с драйверами и HW Не требуется перезагрузка всех Member Hosts
Можно аккуратно протестировать все шаги Для каждого шага есть возможность отмены Фатальные ошибки в AD могут стать причиной катастрофыПереименование частный случай обновленияПод отменой шага не предусматривается экстренное восстановление из резервных копий
Обновление: как?Общая тактика обновления
Выявить и устранить системные ошибки в ADПротестировать обновление схемы на стендеПроработать план аварийного восстановления лесаПротестировать приложения на совместимостьРасширить схему и реплицировать измененияПодготовить домены леса и обновить GPOУстановить первый контроллер домена на новой ОСАккуратно перенести роль PDC-E на новый КДПо очереди заменить/обновить контроллеры домена
Обновление: как?Основные инструменты
w32tm /monitorrepadmin /replsum /bysrc /bydest /sort:deltanetdom query fsmoadschemaanalyzer.exe
adprep[32] /forestprepadprep[32] /domainprep [/gpprep]Adprep[32] /rodcprep
ntdsutil /ifmdcpromo [/adv]dcpromo /forceremovalntdsutil metadata cleanup
Обновление: как?Из практики – основные риски обновления
Риски на КД и серверах:Качество репликации и ее объемыМетодика тестирования и обновления схемыПоддержка ПО установленного на КД
Риски на рабочих станциях:Перерыв доступа к КД
Миграция
Миграция: как?Варианты миграции
Миграция между доменами в рамках одного леса
Миграция между доменами разных лесов
Миграция со сторонних каталогов
Миграция: как?Тактика миграции: варианты
Особенности миграции Миграция между лесами Миграция в рамках одного леса
Механизм миграции объектовПо факту, объекты клонируются. Исходные объекты (учетные записи и группы) остаются в исходном домене.
Объекты фактически переносятся и не сохраняются в исходном домене.
Применение механизма SID History Использование SID History не обязательно. Требуется SID History
Сохранение пароля Сохранение пароля возможно, но не обязательно Пароли обязательно сохраняются
Миграция/ассоциация профилейДля миграции локальных профилей обязательно требуются инструменты такие как ADMT, moveuser и т.п.
На рабочих станциях с Windows 2000 Server локальные профили ассоциируются к новому пользователю автоматически
Организация подмножеств пользователей и групп при миграции
Миграция учетных записей возможна как в «открытом» так и в «закрытом» подмножестве.
Миграция учетных записей должна выполняться в «закрытом» подмножестве.
Миграция: как?Тактика миграции: варианты инструментов
Версия ОС контроллеров домена ADMT 2.02000/2003
ADMT 3.02003
ADMT 3.12008
ADMT 3.22008 R2
Windows NT 4.0 SP4 Windows 2000 Windows 2004 SP4 Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
ADMT 2.0 и последующие версии имеют разные базы данныхADMT 3.1 требует специальных ухищрений при миграции на Windows Server 2008 R2
Миграция: как?Тактика миграции
Подготовить целевой лес/доменУстановить взаимное разрешение именНастроить доверительные отношенияВключить поддержку SID HistoryПровести миграцию всех пользователей и потом группПротестировать приложенияОтслеживать изменения членства в группахМигрировать рабочие станцииМигрировать серверы приложенийВывести из эксплуатации исходный доменОчистить SID History в целевом домене
Миграция: как?Тактика миграции: тестирование приложений
Новый домен: изменяются DNS и NetBIOS имена доменаFQDN имя машины (ее доменный суффикс)Набор применяемых групповых политикДоменная часть имен пользователей (UPN суффикс и NetBIOS префикс)Месторасположение объектов в структуре OU (изменится DN объектов)SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID HistoryПрофиль пользователя должен будет ассоциирован с новой учетной записьюНастройки DNS/WINS в свойствах TCP/IPСертификат компьютераНабор доверенных Root CAМеняется Default EFS Recovery AgentМеняется имя и версия PDC Emulator… и т.п.
Миграция: как?Основные инструменты
dnscmd <..> /ZoneAdd <zone> /[Ds]Forwarder <IpList>
netdom trust /EnableSIDHistory:yesnetdom trust /quarantine:no
ADMT.exe; PwdMig.exeexprofre.exe /targetdc=<Global-Catalog-Server> /s /vreg.exemoveuser.exenetdom join
Скрипт очистки SidHistory (http://support.microsoft.com/kb/295758/)
Миграция: как?Из практики – основные риски миграции
Риски на КД и серверах:Взаимное разрешение именСовпадение имен доменовМаршрутизация суффиксов на доверительных отношенияхРазмер билета Kerberos, /3GBМеханизм PAC ValidationОткрытые/Закрытые подмножество групп/пользователей Проблема миграции доменных локальных групп
Риски на рабочих станциях:Зашифрованные файлы EFSПароли сайтов в Internet ExplorerПароли ящиков в Outlook ExpressРазмер билета KerberosОбновление профиля MS OutlookДомен входа по умолчаниюЧленство УЗ мигратора в локальной группе AdministratorsПотери доступа на основе Well Known Groups домена
Выводы
Выбор стратегии – самое ответственное решениеТестирование методик – ключ к успехуОсновные риски – работоспособность приложенийОсновные трудозатраты – миграция рабочих станцийОсновные инструменты – бесплатно от MicrosoftНедовольные пользователи – извещения и поддержка
Обратная связь
Уважаемые участники!Ваше мнение очень важно для нас!В блокноте, который находится в инфопаке участника, вы найдете анкету для оценки докладовПожалуйста, оцените доклад и сдайте анкету при выходе из зала модераторуДля участия в конкурсе заполненных анкет, отметьте в анкете номер, который указан на вашем бейдже
Спасибо!
Вопросы
ENT305Константин Леонтьев
Архитектор[email protected]://kleontiv.spaces.live.com/
Вы сможете задать вопросы докладчику в зоне Microsoft в зале №17 в течение часа после завершения этой сессии
Кто не прыгал из окошкаВместе с маминым зонтомТот лихим парашютистомНе считается пока.Не лететь ему как птицеНад взволнованной толпой,Не лежать ему в больницеС забинтованной ногой.
Г.Остер
Сессии по теме
ENT408: Все о файловых серверах на базе Windows ServerENT302: Способы повышения отказоустойчивости серверной инфраструктуры: как максимально эффективно повысить надежность?ENT303: Способы повышения доступности серверной инфраструктуры: Мастер-класс по кластеризацииENT306: Как сделать гетерогенную инфраструктуру преимуществом: интеграция Linux и Microsoft. Хостинг на платформе Hyper-V, совместное использование файл-серверов, интеграция с Active Directory
Сессия вопросов и ответов сегодняENT310CT
Все, что вы хотели знать о построении правильной архитектуры предприятия, но стеснялись бингануть
Приходите с вопросами о построении инфраструктуры предприятия или центров обработки данных!
Мы будем изгонять демонов из серверов и разыгрывать призы за интересные вопросы!
Зал B8 10 ноября в 17:30!