1 / 34

Миграция на Active Directory Windows Server 2008 R2: зачем и как ?

ENT305. Архитектор. Microsoft. Миграция на Active Directory Windows Server 2008 R2: зачем и как ?. Константин Леонтьев. Содержание. Зачем нужны обновление и миграция? Поддержка старых версий Новые функции Кратко об архитектуре Совместимость с другими системами

dasha
Download Presentation

Миграция на Active Directory Windows Server 2008 R2: зачем и как ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ENT305 Архитектор Microsoft Миграция на Active Directory Windows Server 2008 R2: зачем и как? Константин Леонтьев

  2. Содержание • Зачем нужны обновление и миграция? • Поддержка старых версий • Новые функции • Кратко об архитектуре • Совместимость с другими системами • Выбор стратегии: обновление или миграция? • Обновление: как? • Варианты обновления • Тактика обновления • Из практики - основные риски обновления • Миграция: как? • Варианты миграции • Тактика миграции • Из практики – основные риски миграции • Выводы Если вы по коридору Мчитесь на велосипеде, А на встречу вам из ванной Вышел папа погулять, Не сворачивайте в кухню, В кухне твердый холодильник! Тормозите прямо в папу. Папа мягкий. Он простит. Г.Остер

  3. Зачем нужны обновление и миграция?Поддержка старых версий Пакеты Service Pack не будут более выпускаться для 2000, 2003 и 2008

  4. Зачем нужны обновление и миграция?Новые функции для Active Directory

  5. Ключевые элементы архитектурымодель администрирования MSF • Централизация на уровне сервиса • Делегирование и децентрализация на уровне данных

  6. Ключевые элементы архитектурымодель лесов и доменов

  7. Ключевые элементы архитектурымодель сайтов и топология • Узловой сайт • FSMO роли в узловом сайте • GC в узловом сайте • Один контроллер в периферических сайтах • Иерархия Site Coverage • Preferred DC • Ограничение регистрации NS, A и SRV записей для КД Загрузка канала на 50%

  8. Зачем нужны обновление и миграция?Совместимость с другими системами

  9. Зачем нужны обновление и миграция?Совместимость с другими системами

  10. Зачем нужны обновление и миграция?Выбор стратегии: обновление или миграция? • Обновление: • Установка ОС поверх старой версии • Пошаговая замена контроллеров • Переименование доменов и леса • Миграция: • Миграция между доменами в рамках одного леса • Миграция между лесами • Миграция со сторонних каталогов

  11. Зачем нужны обновление и миграция?Выбор стратегии: ключевые вопросы… • Требуется ли смена платформы КД x86 ↔ x64? • Нет ли фатальных ошибок в AD: схема, репликация, сист. объекты? • Необходимо ли изменение DNS/NetBIOS имен? • Требуется ли объединить в один домен множество? • Требуется ли изоляция на уровне сервиса AD? • Приложения установлены на КД? • Возможна ли оптимизация членства в группах? • Допускают ли приложения переименование? • Допускают ли приложения обновление? • Поддерживают ли приложения работу с SID History? • Конфликт именования во взаимодействующих лесах/доменах?

  12. Зачем нужны обновление и миграция? Выбор стратегии: варианты

  13. Зачем нужны обновление и миграция?Общие риски и проблемы • Общие риски: • Некорректная архитектура систем • Сбои в NTFS и на дисках • Корректная работа разрешения имен DNS/WINS • Остановленные службы • Некорректные права доступа и локальные политики безопасности • Сетевые настройки и межсетевые экраны, NAT • Бизнес-приложенияи их совместимость с новой AD • Риски на КД и серверах: • Поддержка NT4Crypto • Поддержка AES и DES • Леса Single Label • Механизма хранения членства в группах • Ограничения RoDC • Перенос FSMO роли PDC-E • Проблемы в конфигурации Active Directory • Риски на рабочих станциях: • WMI filtering в групповых политиках • Выбор ближайшего КД • Выбор ближайшего SYSVOL • Протокол Kerberos (TCP/UDP)

  14. Обновление

  15. Обновление: как?Варианты обновления • Установка новой ОС поверх старой на КД • Добавление новых КД и удаление старых • Переименование (частный случай)

  16. Обновление: как? Выбор тактики: сравнение вариантов Фатальные ошибки в AD могут стать причиной катастрофы Переименование частный случайобновления Под отменой шага не предусматривается экстренное восстановление из резервных копий

  17. Обновление: как?Общая тактика обновления • Выявить и устранить системные ошибки в AD • Протестировать обновление схемы на стенде • Проработать план аварийного восстановления леса • Протестировать приложения на совместимость • Расширить схемуи реплицировать изменения • Подготовить домены леса и обновить GPO • Установить первый контроллер домена на новой ОС • Аккуратно перенести роль PDC-E на новый КД • По очереди заменить/обновить контроллеры домена

  18. Обновление: как?Основные инструменты w32tm /monitorrepadmin /replsum /bysrc /bydest /sort:deltanetdom query fsmoadschemaanalyzer.exeadprep[32] /forestprep adprep[32] /domainprep [/gpprep] Adprep[32] /rodcprepntdsutil /ifmdcpromo [/adv]dcpromo /forceremovalntdsutil metadata cleanup

  19. Обновление: как?Из практики – основные риски обновления • Риски на КД и серверах: • Качество репликации и ее объемы • Методика тестирования и обновления схемы • Поддержка ПО установленного на КД • Риски на рабочих станциях: • Перерыв доступа к КД

  20. Миграция

  21. Миграция: как?Варианты миграции • Миграция между доменами в рамках одного леса • Миграция между доменами разных лесов • Миграция со сторонних каталогов

  22. Миграция: как?Тактика миграции: варианты

  23. Миграция: как?Тактика миграции: варианты инструментов ADMT 2.0 и последующие версии имеют разные базы данных ADMT 3.1 требует специальных ухищрений при миграции на Windows Server 2008 R2

  24. Миграция: как?Тактика миграции • Подготовить целевой лес/домен • Установить взаимное разрешение имен • Настроить доверительные отношения • Включить поддержку SID History • Провести миграцию всех пользователей и потом групп • Протестировать приложения • Отслеживать изменения членства в группах • Мигрировать рабочие станции • Мигрировать серверы приложений • Вывести из эксплуатации исходный домен • Очистить SID History в целевом домене

  25. Миграция: как?Тактика миграции: тестирование приложений • Новый домен: изменяются DNS и NetBIOS имена домена • FQDN имя машины (ее доменный суффикс) • Набор применяемых групповых политик • Доменная часть имен пользователей (UPN суффикс и NetBIOS префикс) • Месторасположение объектов в структуре OU (изменится DN объектов) • SID'ы и GUID'ы пользователей и групп. При этом старые SID'ы могут сохранятся в атрибуте SID History • Профиль пользователя должен будет ассоциирован с новой учетной записью • Настройки DNS/WINS в свойствах TCP/IP • Сертификат компьютера • Набор доверенных Root CA • Меняется Default EFS Recovery Agent • Меняется имя и версия PDC Emulator • … и т.п.

  26. Миграция: как?Основные инструменты dnscmd <..> /ZoneAdd <zone> /[Ds]Forwarder <IpList>netdom trust /EnableSIDHistory:yesnetdom trust /quarantine:noADMT.exe; PwdMig.exeexprofre.exe /targetdc=<Global-Catalog-Server> /s /v reg.exemoveuser.exenetdom join Скрипт очистки SidHistory (http://support.microsoft.com/kb/295758/)

  27. Миграция: как?Из практики – основные риски миграции • Риски на КД и серверах: • Взаимное разрешение имен • Совпадение имен доменов • Маршрутизация суффиксов на доверительных отношениях • Размер билета Kerberos, /3GB • Механизм PAC Validation • Открытые/Закрытые подмножество групп/пользователей • Проблема миграции доменных локальных групп • Риски на рабочих станциях: • Зашифрованные файлы EFS • Пароли сайтов в Internet Explorer • Пароли ящиков в Outlook Express • Размер билета Kerberos • Обновление профиля MS Outlook • Домен входа по умолчанию • Членство УЗ мигратора в локальной группе Administrators • Потери доступа на основе Well Known Groups домена

  28. Выводы • Выбор стратегии – самое ответственное решение • Тестирование методик – ключ к успеху • Основные риски – работоспособность приложений • Основные трудозатраты – миграция рабочих станций • Основные инструменты – бесплатно от Microsoft • Недовольные пользователи – извещения и поддержка

  29. Обратная связь Уважаемые участники! Ваше мнение очень важно для нас! В блокноте, который находится в инфопаке участника, вы найдете анкету для оценки докладов Пожалуйста, оцените доклад и сдайте анкету при выходе из зала модератору Для участия в конкурсе заполненных анкет, отметьте в анкете номер, который указан на вашем бейдже Спасибо!

  30. Вопросы Кто не прыгал из окошкаВместе с маминым зонтомТот лихим парашютистомНе считается пока.Не лететь ему как птицеНад взволнованной толпой,Не лежать ему в больницеС забинтованной ногой. Г.Остер • ENT305 • Константин Леонтьев • Архитектор • kleont@microsoft.com • http://kleontiv.spaces.live.com/ • Вы сможете задать вопросы докладчику в зоне Microsoft в зале №17 в течение часа после завершения этой сессии

  31. Сессии по теме • ENT408: Все о файловыхсерверах на базеWindowsServer • ENT302: Способы повышения отказоустойчивости серверной инфраструктуры: как максимально эффективно повысить надежность? • ENT303: Способы повышения доступности серверной инфраструктуры: Мастер-класс по кластеризации • ENT306: Как сделать гетерогенную инфраструктуру преимуществом: интеграция Linux и Microsoft. Хостинг на платформе Hyper-V, совместное использование файл-серверов, интеграция с ActiveDirectory

  32. Сессия вопросов и ответов сегодняENT310CT • Все, что вы хотели знать о построении правильной архитектуры предприятия, но стеснялись бингануть • Приходите с вопросами о построении инфраструктуры предприятия или центров обработки данных! • Мы будем изгонять демонов из серверов и разыгрывать призы за интересные вопросы! • Зал B810 ноября в 17:30!

More Related