Страницы: 1 .. 6 7 8 9 10 .. 16

Глава 7. Переход к Active Directory
В Главе 6 рассказывалось, какие ключевые решения вы должны были принять при установке службы каталога Active Directory на компьютере серверного класса. Для простоты понимания предполагалось, что ваша среда представляла «чистое поле», т.е. в ней ранее не существовало инфраструктуры службы каталога. В главе б подчеркивалась важность пространства имен Active Directory и пространства имен DNS. На самом деле «чистая» среда будет встречаться не очень часто. Скорее всего, организация, которая переходит к Active Directory Microsoft Windows Server 2003, уже имеет некоторые службы каталога. В этой главе показан переход к Active Directory Windows Server 2003 от существующей службы каталога Microsoft, точнее, переход от управления безопасными учетными записями (SAM) системы Microsoft Windows NT 4 или от Active Directory Microsoft Windows 2000. Сценарии перехода с технологий службы каталога, не принадлежащих Microsoft, типа Novell Directory Services (NDS) или NetWare 3 Bindery, или реализаций службы каталога на платформе UNIX, в данную главу не вошли.
Дополнительная информация. Веб-сайт компании Microsoft содержит много информации, касающейся перехода на Windows Server с других платформ. Для получения дополнительной информации о переходе из сред UNIX или Linux смотрите раздел веб-сайта Windows «Migrating to Windows from UNIX and Linux (Переход к Windows от UNIX и Linux)» по адресу http:// www.microsoft.com/windows2000/migrate/unix/default.asp. Для получения дополнительной информации о переходе от Novell системы Netware смотрите раздел «NetWare to Windows 2000 Server Migration Planning Guide (Руководство по планированию перехода с NetWare на Windows 2000 Server)» по адресу http:// www.microsoft.com/windows2000/techinfo/planning/ incremental/netmigrate.asp. Для получения полной информации о переходе к Windows Server 2000, а также по технологии серверов Windows, смотрите документ «Переход к Windows» по адресу http://www.microsoft.com/windows2000/migrate/.
В начале главы обсуждаются различные варианты путей перехода к Active Directory Windows Server 2003. Затем уточняются ключевые моменты каждого способа и процедуры, необходимые для этого.
Примечание. Основное внимание в главе уделено процессу перехода от Windows NT 4. Этот сценарий предполагает большие изменения в технологии и, как следствие, является более сложным. Поскольку Active Directory Windows Server 2003 несущественно отличается от Active Directory Windows 2000, то в этом случае переход не очень сложен. Ключевые моменты сценариев перехода с Windows 2000 описаны в соответствующих разделах далее в этой главе. Поэтому, если не указано другого, процессы, описанные в главе, касаются перехода от службы каталога Windows NT 4 к Windows Server 2003.
Обратите внимание, что если нет специального ограничения, то ссылки на Windows 2000 Server включают Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 Datacenter Server.
Пути перехода
Если обновление службы каталога представить как переход из пункта А в пункт Б, то пунктом А является инфраструктура вашей текущей службы каталога, а пунктом Б - желаемая структура Active Directory Windows Server 2003. Первое решение, которое вы должны сделать при планировании перехода, - это то, как добраться в пункт Б. Для этого существует несколько способов, которые называются путями перехода. Ваш путь перехода будет главным звеном в общей стратегии обновления. Эта стратегия будет включать описание того, какие объекты службы каталога и в каком порядке вы будете перемещать. Наилучший способ любого проекта перемещения службы каталога состоит в документировании каждой детали в рабочий документ, называемый планом перехода.
Существует три пути перехода:

• обновление домена;
• реструктуризация домена;
• обновление с последующей реструктуризацией.

Обновление домена достигается модернизацией операционной системы до Windows Server 2003 на контроллере домена низкого уровня. В случае Windows NT 4 служба каталога обновляется от базы данных SAM к Active Directory Windows Server 2003. Другими словами, пункт А обновляется от Windows NT 4 или Windows 2000 к Windows Server 2003 и становится пунктом Б. После завершения обновления пункт А прекращает существование. Обновление домена является наименее сложным методом перехода, который может считаться заданным по умолчанию.
Второй вариант — это реструктуризация домена. В процессе реструктуризации объекты службы каталога копируются из существующей платформы службы каталога (пункт А) в Active Directory Windows Server 2003 (пункт Б). Этот процесс называется также клонированием. При реструктуризации домена пункт А и пункт Б сосуществуют. Когда все объекты службы каталога перенесены из А в Б, а все клиенты и компьютеры сконфигурированы так, чтобы использовать новую службу каталога, пункт А можно просто выключить. Если специфика вашей компании такова, что реструктуризация домена является подходящим путем перехода, то примите во внимание несколько дополнительных соображений для сравнения этого пути с обновлением домена. Они обсуждаются в последующих разделах.
Третий путь перехода — обновление с последующей реструктуризацией - известен как переход с двумя стадиями, или гибридный переход. Этот метод выполняется обновлением доменов, имеющих систему Windows NT 4, и последующим перемещением учетных записей в новый или уже существующий домен Windows Server 2003. Он объединяет преимущества первого и второго пути, которые будут рассмотрены далее. В последующих разделах объясняются достоинства и недостатки каждого из трех путей.
Переход через обновление домена
Обновление домена, или «обновление на месте» (in-place), является самым простым путем перехода. Но определить это для вашей организации может оказаться весьма затруднительно. При обновлении домена существующая платформа службы каталога преобразуется в Active Directory одновременно с модернизацией контроллера домена до Windows Server 2003. Простота состоит в том, что вы не имеете возможности изменить структуру домена в процессе обновления. Если вы - администратор домена NAmerica в Contoso.com, представляющего среду Windows NT 4, то после обновления вы будете администратором домена NAmerica Windows Server 2003. При обновлении домена вы не сможете изменить структуру домена или доменное имя.
Примечание. В терминах процесса обновления исходным доменом (source domain) называется домен, который вы модернизируете, т.е. «пункт А». Доменная структура, к которой вы переходите, называется целевым доменом (target domain) - это «пункт Б». В сценарии обновления домена первоначальный домен считается исходным до момента окончания инсталляция Active Directory, с этого момента он становится целевым доменом.
Обновление Windows NT 4
Наиболее часто встречающийся сценарий — это переход от службы каталога Windows NT 4 к Active Directory Windows Server 2003. Несмотря на свой возраст, система Windows NT 4 Server является оплотом рынка сетевых операционных систем (NOS) для предприятий. На момент выхода книги компания Microsoft объявила о планах «отставки» системы Windows NT 4 Server и постепенного «свертывания» поддержки этого продукта в течение следующих нескольких месяцев. С выпуском Windows Server 2003 многие организации, которые не хотели переходить к Windows 2000, будут обновляться до Active Directory Windows Server 2003.
Обновление Windows Server 2000
Более простой путь доступен для владельцев Windows Server 2000, которые планируют провести модернизацию до Windows Server 2003. Многие архитектурные изменения службы каталога осуществлялись тогда, когда клиенты создавали свою среду сети Windows 2000, или когда они модернизировали систему Windows NT Server 4. Клиенты, переходящие к Active Directory Windows Server 2003 с системы Windows 2000, наиболее вероятно планируют извлечь выгоду из новых функций, доступных в версии Active Directory Windows Server 2003.
Дополнительная информация. Для получения дополнительной информации о новых функциях, доступных в Active Directory Windows Server 2003, см. гл. 1.
Для Windows NT 4 переход к Active Directory выполняется путем модернизации операционных систем на контроллерах домена. Как только обновление закончено, можно пользоваться преимуществами новых функций Active Directory Windows Server 2003. Может клиент Windows 2000 Server выбрать реструктуризацию домена вместо обновления домена? Да, по тем же самым причинам, по которым клиенты Windows NT 4 Server выбирают реструктуризацию домена, - инфраструктура службы каталога больше соответствует потребностям бизнеса в организации. Клиент Windows 2000 Server, вероятнее всего, модернизирует NOS, a затем реструктуризирует ее, чем выполнит чистую реструктуризацию домена.
Перед модернизацией Windows 2000 Server до Windows Server 2003 нужно выполнить два действия: подготовить лес и домен Active Directory для Windows Server 2003. В папке \I386 на компакт-диске Windows Server 2003 находятся два инструмента для решения этих задач: ForestPrep и DomainPrep. Процедуры подготовки леса и домена описываются далее в этой главе.
Практический опыт. Переименование домена
При обновлении Windows NT 4 или Windows 2000 до Windows Server 2003 Active Directory не изменяет имя домена. Новой функцией в Active Directory является инструмент Domain Rename (Переименование домена). После того как домены модернизированы, и уровень леса поднят до Windows Server 2003, можно изменить имя модернизированного домена в соответствии с текущими потребностями вашей организации. Инструменты переименования домена обеспечивают следующее:

• переименование домена без необходимости изменять положение какого-нибудь домена леса;
• создание структуры нового дерева доменов путем изменения положения доменов в пределах дерева;
• создание новых деревьев доменов.

Инструменты переименования доменов могут использоваться для изменения имени корневого домена леса, но с их помощью нельзя назначить корневым доменом леса другой домен, добавлять или удалять домены из леса. Для переименования доменов Windows Server 2003 нужно установить инструмент Domain Rename (Переименование доменов). Файлы Rendom.exe и Gpfixup.exe находятся на компакт-диске Windows Server 2003 в папке \VALUEADD\MSFT\MGMT\DOMREN. Инструмент Domain Rename доступен также на веб-сайте Microsoft по адресу http:// www.microsoft.com/windowsserver2003/downloads/ domainrename.mspx. Domain Rename работает только в Windows Server 2003 и не поддерживает Windows 2000.
Для получения дополнительной информации об использовании Domain Rename смотрите статью «Understanding How Domain Rename Works (Как работают инструменты переименования доменов)» по адресу http: / /www. microsoft.com/windowsserver2003 /docs /Domain-Rename- Intro.doc. Подробно процедура развертывания Domain Rename описана в статье «Step-by-Step Guide to Implementing Domain Rename (Пошаговое руководство по применению средства Domain Rename)» no адресу http://www.microsoft.com/windowsserver2003/docs/Domain-Rename- Procedure, doc.
Переход путем реструктуризации домена
При реструктуризации домена создается новая инфраструктура службы каталога Windows Server 2003, а затем объекты перемещаются в эту среду. Преимущество этого пути перехода состоит в том, что оригинал среды Windows NT 4 остается нетронутым во время создания целевой среды, известной также как «чистый» лес (pristine forest). Образ «чистого» леса, безусловно, привлекателен, его можно быстро заполнить объек-
тами службы каталога: пользователями, группами и компьютерами. Реструктуризация домена - процесс выборочный, здесь имеется возможность выбора тех объектов, которые вы хотите перенести на новую платформу. (Обновление домена — это бескомпромиссная сделка, т.е. каждый объект домена Windows NT 4 обновляется до Windows Server 2003 и Active Directory.) Проектирование реструктуризации домена - прекрасный момент, чтобы убрать все дубликаты, пассивные, тестовые и другие более не функционирующие учетные записи пользователей и групп. Они исчезнут, когда вы перейдете к новой модели домена и дадите новое назначение старым контроллерам домена.
Перемещение против клонирования
Учетные записи пользователей, групп, служб и компьютеров, называемые также участниками безопасности (security principals), обновляются от службы каталога SAM Windows NT 4 Server к Active Directory. Это обновление выполняется двумя способами: учетные записи могут быть или перемещены, или клонированы. При перемещении объекта первоначальный участник безопасности в исходном домене удаляется. Перемещение объекта - это деструктивный процесс, исходные объекты домена, необходимые для восстановления в случае сбоя, не сохраняются. Клонирование — это процесс создания нового, идентичного участника безопасности в целевом домене, основанном на объекте исходного домена. Предпочтительным методом передачи участников безопасности в чистый лес Windows Server 2003 является клонирование. Перемещение участников безопасности, как правило, производится при переходе между двумя лесами Windows Server 2003 или между лесом Windows 2000 и лесом Windows Server 2003.
Сценарий перехода, связанный с обновлением и последующей реструктуризацией, приведен в разделе «Обновление и реструктуризация» в этой главе.
Практический опыт. Понимание атрибута SID-History
Как учетные записи пользователей поддерживают доступ к принтерам и общим папкам, когда вы переносите учетные записи пользователя из одного домена в другой?
Рассмотрим пример. Во время реструктуризации домена вы переносите пакет учетных записей пользователей из домена Windows NT 4 в домен Windows Server 2003. После завершения переноса вы инструктируете пользователей, как входить в новый домен и сбрасывать свои пароли. Допустим, пользователь X успешно входит на целевой домен, а затем пытается обратиться к существующей ранее общей папке файлового сервера, на котором выполняется система Windows NT 4 Server, с которой он работал в течение нескольких месяцев. Сможет ли пользователь X обратиться к этой папке?
Да, и это возможно благодаря атрибуту SID-History.
SID-Historyявляется атрибутом участников безопасности Active Directory, который используется для хранения старых идентификаторов защиты (SID) объекта. Если пользователь X имел в домене Windows NT 4 идентификатор SID, равный S-1-5-21-2127521184-1604012920-18879275 27-324294, то такое же значение появится в поле атрибута SID-Historyдля созданного объекта учетной записи Windows Server 2003. При перемещении группы из домена Windows NT 4 в домен Active Directory SID домена Windows NT 4 сохраняется в атрибуте SID-Historyданной группы. При перемещении пользователей и групп учетные записи пользователя автоматически назначаются членами групп, перенесенных в домен Windows Server 2003. Это значит, что права доступа, назначенные для группы в домене Windows NT 4, сохраняются в процессе перехода. Новый SID, сгенерированный целевым контроллером домена, помещается в атрибут SID перемещенной учетной записи.
Каким образом сохраняется доступ к ресурсам? Когда пользователь X пытается обратиться к общей папке, расположенной на файловом сервере Windows NT 4, подсистема защиты проверяет его лексему доступа, чтобы удостовериться в наличии необходимых разрешений на доступ к папке. Лексема доступа содержит не только SID пользователя X и SID всех групп, к которым он принадлежит, но и все входы SID-Historyсамого пользователя и учетных записей его групп. Если найдено соответствие между дискреционным списком управления доступом (DACL -discretionary access control list) на дескрипторе защиты папки и предыдущим SID (теперь включенным в лексему доступа с помощью атрибута SID-History), то выдается разрешение на доступ к папке.
Как много из всего этого должен знать конечный пользователь? Ничего. Как много должны знать вы, как системный администратор? Вам следует знать все. Доступ к ресурсам — это наиболее проблемная область переноса учетных записей пользователя. Понимая то, как поддерживаются разрешения после перехода, вы как администратор можете эффективно решать проблемы, возникающие при доступе к ресурсам. В процессе перехода вам, возможно, придется дополнительно поработать для гарантии того, что поле SID-Historyзаполнено. Вы узнаете больше при исследовании утилиты Active Directory Migration Tool (Инструмент перехода к Active Directory, ADMT).
Как работает атрибут SID-Historyв сценарии обновления домена? Ответ: он не работает. При обновлении домена поддерживаются SID учетных записей групп и пользователей. Пользователь X сможет нормально обращаться к ресурсам. Как SID-Historyработает в сценарии обновления с последующей реструктуризацией? Ответ: так же, как в сценарии с простым обновлением домена, т.е. доступ к ресурсам сохраняется за счет поддержки первоначального SID объекта в атрибуте SID-History. Единственное различие состоит в том, что Active Directory требует, чтобы идентификаторы SID появлялись в лесу только один раз, включая оба поля: SID и SID-History. В результате в сценарии обновления с последующей реструктуризацией участники безопасности должны быть перенесены, а не клонированы.
Переход через обновление с последующей реструктуризацией
Переход через обновление с последующей реструктуризацией представляет собой комбинацию двух главных путей перехода. Сначала домен Windows NT 4 обновляется до Windows Server 2003 и службы Active Directory. Затем учетные записи реструктуризируются в новые или существующие домены Windows Server 2003. Этот метод сочетает сиюминутные выгоды от обновления домена (скорость, малый риск, высокий уровень автоматизации) с долгосрочными преимуществами от реструктуризации домена (создает новую модель домена, реализован в виде стадий, убирает старые и ненужные объекты учетных записей).
Обновление доменов от Windows NT 4 до Windows Server 2003 является наиболее целесообразным способом перехода. Процесс реструктуризации объектов учетных записей может быть выполнен через какое-то время, согласно вашему расписанию, ресурсам и бюджету. Он дает возможность сетевым администраторам познакомиться с новой службой каталога, прежде чем погрузиться в процесс перепроектирования домена или начать какой-либо опасный проект перехода. Этот путь выгоден конечным пользователям, поскольку их мир сетевых услуг не изменится внезапно: сначала они перейдут к новой NOS, а затем, через какое-то время, будет реструктуризирована модель домена.
Определение подходящего пути перехода
При выборе пути перехода имейте в виду, что это решение касается только одного домена, совершенно справедливо использовать различные пути перехода для различных доменов в пределах одной организации. Популярная стратегия перехода состоит в том, чтобы обновить домен Windows NT 4 с главными учетными записями, а затем реструктуризировать домен ресурсов Windows NT 4 в новый домен Windows Server 2003. Если модель вашего домена с Windows NT 4 ориентирована на географию, можно модернизировать один или несколько больших доменов, а затем реструктуризировать более мелкие домены, сохраняя их административную автономию через организационные единицы (OU). Оба эти сценария дают примеры консолидации доменов.
Давайте рассмотрим критерии, которые используются при выборе наиболее подходящего пути.
Критерии выбора пути перехода
Следующие вопросы уместно задать при определении наиболее подходящего пути перехода для вашей организации.

1. Удовлетворены ли вы моделью вашего домена? Отвечает ли существующая модель домена Windows NT 4 вашим организационным и деловым потребностям?
2. Какую степень риска вы можете допустить при переходе к новой модели домена?
3. Сколько времени вы готовы потратить на выполнение перехода?
4. Какое количество рабочего времени системы потребуется на проект перехода?
5. Какие ресурсы доступны для выполнения перехода?
6. Каков бюджет проекта перехода?
7. Какое количество серверных приложений, которые не смогут выполняться на Windows Server 2003, должны быть поддержаны после перехода?

Представьте себе возможные ответы в виде спектра от низкого к высокому уровню, причем, путь обновления домена находится на самом низком уровне, а путь реструктуризации домена - на самом высоком. Для пути перехода, связанного с обновлением и последующей реструктуризацией вы, вероятно, увидите комбинацию деловых требований на каждой стороне спектра или посередине (см. рис. 7-1).

Рис. 7-1. Спектр критериев выбора пути перехода для домена
Выбор обновления домена в качестве пути перехода
Учитывая все вышесказанное, давайте рассмотрим условия, при которых обновление домена является наилучшим путем перехода для вашей организации.
Удовлетворение текущей моделью домена
Если нет никаких существенных изменений, которые хотелось бы сделать в доменной модели одновременно с переходом к Windows Server 2003, тогда обновление домена обеспечит самый легкий путь. Имя домена останется тем же самым, так же как и существование всех учетных записей пользователей и групп. Обновление домена - это безальтернативная сделка, просто будет реализована ваша текущая службы каталога в версии Windows Server 2003.
Низкий уровень риска
Являясь самым легким способом перехода, обновление домена представляет собой и метод с минимальным риском. Когда вы модернизируете контроллер домена с операционной системой Windows NT 4 Server, процесс выполняется автоматически. Без взаимодействия с пользователем возможностей для ошибок возникает немного. Методология восстановления после сбоя при обновлении домена также относительно проста. Если обновление прошло неудачно, выключите основной контроллер домена (PDC), назначьте любой резервный контроллер домена (BDC), имеющий свежие данные, на роль PDC, и начните процедуру снова.
Ограничение времени выполнения перехода
График времени перехода не является решающим фактором при выборе пути перехода, тем не менее, он может быть определяющим для небольших организаций с ограниченными ресурсами. Меньше действий требуется для обновления домена, чем для реструктуризации, и, соответственно, меньше времени требуется для выполнения всего перехода. Например, реструктуризация занимает много времени на создание и проверку инфраструктуры целевого домена, на перемещение всех учетных записей с исходного домена на целевой домен. Крупные организации, возможно, не смогут переместить все объекты за один раз, так что достаточно часто реструктуризация домена производится в несколько этапов. Напротив, обновление домена - это линейный процесс, если он был начат, то должен быть закончен.
Требование малых затрат рабочего времени
Другое соображение, касающееся временного графика, — это количество рабочего времени службы каталога, которое необходимо затратить на процесс перехода. В процессе обновления домена объекты учетных записей самостоятельно модернизируются в объекты Windows Server 2003. В результате эти ресурсы становятся недоступными непосредственно в процессе. Обновление домена вызывает простой в сетевом доступе к ресурсам в течение времени, необходимого для полного обновления NOS. В зависимости от размера вашего домена Windows NT 4 и количества заложенных шагов проверки процедура может занять лучшую часть дня (если все идет согласно плану). Таким образом, организация, которая
выберет путь перехода, связанный с обновлением домена, должна быть готова к простою службы каталога.
Наличие ограниченных ресурсов
Поскольку обновление домена является менее сложной, автоматизированной операцией, то на реализацию этого пути перехода потребуется меньшее количества ресурсов. Организации, которые не в состоянии набрать кадры на выполнение более сложной задачи реструктуризации домена, могут выбирать этот путь.
Малый бюджет проекта перехода
Обновление домена стоит дешевле, чем реструктуризация, потому что вы можете использовать существующие серверные аппаратные средства. Это вовсе не означает, что вы должны к этому стремиться; в действительности, обновление NOS — весьма подходящее время для модернизации аппаратных средств контроллеров домена и других серверов, выполняющих критические миссии (электронная почта, веб-серверы и т.д.). Однако если ваши имеющиеся серверные аппаратные средства функционально пригодны для работы с Windows Server 2003, вы можете потратить меньшее количество денег на обновление домена. Вы можете избежать необходимости покупать дополнительные серверы для создания среды «чистого» леса, которая требуется для реструктуризации домена. Среди других факторов, способствующих уменьшению необходимых бюджетных средств, будет более низкая стоимость ресурсов (включая минимальные контрактные расходы и стоимость «нереализованных возможностей» для постоянных служащих), а также уменьшение расходов на тестирование (поскольку нужно будет тестировать меньшее количество задач модернизации).
Серверные приложения, которые не будут выполняться на Windows Server 2003
Обновление домена - это хороший выбор, если на контроллерах домена, которые вы хотите модернизировать, не выполняется сетевая служба или коммерческие приложения, которым требуется Windows NT Server 4 как операционная система. Эти приложения могут включать обслуживание факса, бухгалтерии или любое серверное приложение, которое не модернизируется достаточно часто. Если такие службы и приложения существуют в вашей организации, то имеет смысл потратить время на их проверку на компьютере с Windows Server 2003 и определить, функционируют ли они должным образом. Если обнаружатся приложения, которые не смогут выполняться на Windows Server 2003, то возможны следующие варианты: вы можете отложить обновление до тех пор, пока не будет найдена совместимая версия приложения или подходящая замена; переместить приложение с контроллера домена на сервер-член домена (если возможно); не обновлять сервер, на котором выполняется
система Windows NT Server 4, пока не появится новая версия вашего приложения. Имейте в виду, что сервер, на котором выполняется Windows NT 4, может существовать неопределенно долго в качестве сервера-члена домена в сети, основанной на Windows Server 2003.
Примечание. Для поддержки BDC Windows NT 4 в вашей сети Windows Server 2003 помните, что не следует поднимать функциональный уровень домена выше заданного по умолчанию значения Windows 2000 mixed (смешанный) или, если в домене нет ни одного Windows Server 2000, выше функционального уровня Windows Server 2003 interim (временный).
Выбор реструктуризации домена в качестве пути перехода
Ниже приводятся характеристики организации, которой хорошо подходит реструктуризация домена в качестве пути перехода.
Неудовлетворенность текущей моделью домена
Если имеющаяся доменная модель Windows NT 4 больше не удовлетворяет организационным потребностям вашей организации: устарела из-за слияния компаний, приобретения, отделения дочерних компаний и пр., по другим причинам больше не является наиболее оптимальной сетевой платформой для служб вашей организации, то наилучшим выбором будет реструктуризация домена. Это даст вам возможность начать с нового проекта Active Directory, который будет удовлетворять вашим деловым и организационным потребностям. Учитывая время и усилия, которые потребуются для развертывания Active Directory в пределах вашего предприятия, начинать с проекта имеет смысл только в том случае, если он упростит вашу жизнь настолько, насколько это возможно.
Высокий уровень риска
Реструктуризация домена представляет собой путь с более высоким риском, чем обновление домена. Надо выполнить большее количество задач, и поэтому многие вещи могут идти не так, как надо. В результате растет недовольство пользователей, которые не могут войти в систему, обратиться к необходимым ресурсам или получить доступ к своим почтовым ящикам. Если вы достаточно оснащены, чтобы управлять этим риском, то не избегайте реструктуризации домена. Как можно управлять этим риском? Нужно тщательно планировать, тестировать, обучаться и пользоваться поддержкой.
Наличие времени, достаточного для выполнения перехода
Реструктуризация домена всегда занимает больше времени. Однако если график вашего проекта перехода разрешает включить необходимое пла-
нирование, тестирование и выполнение задач, то не избегайте реструктуризации домена.
Высокие требования к сохранению работоспособности системы
Если вы работаете в организации, где рабочее время системы является критической величиной, например в бизнесе, связанным с электронной коммерцией, где каждая минута простоя пересчитывается бухгалтерами в размер потерянного дохода, то реструктуризация домена — хороший выбор. Так как она включает создание незаполненного, «чистого» леса и оставляет исходную среду, по существу, без изменений, то работоспособность службы каталога сохраняется, поскольку пользователи продолжают функционировать в существующей среде. Вы можете переносить большие или маленькие партии пользователей в течение непиковых часов работы и оставлять эти новые учетные записи бездействующими до того времени, как будете готовы покинуть старую систему.
Наличие адекватных ресурсов
Реструктуризация домена влечет за собой большее количество задач, чем обновление домена, и поэтому требуется большее количество ресурсов. Выбирая этот путь перехода, убедитесь, что ваш штат сотрудников адекватно укомплектован для выполнения дополнительной рабочей нагрузки, связанной с реструктуризацией домена. Не забудьте учесть, что ваш штат не будет выполнять обычные ежедневные обязанности из-за времени, потраченного на реструктуризацию. Велика вероятность того, что вы не сможете приостановить процедуры сетевого резервирования на несколько недель из-за того, что ваши техники будут налаживать испытательную лабораторию, поэтому не забудьте предусмотреть заполнение этих ролей, если вы осуществляете переход с внутренним штатом. В качестве альтернативы можно переложить часть задач или весь проект на внешних сотрудников, поскольку существует множество консультативных групп, которые специализируются на таких проектах. Это сэкономит время и деньги, необходимые для обучения ваших внутренних сотрудников.
Увеличение бюджета проекта модернизации
По многим причинам реструктуризация домена потребует большего бюджета, чем обновление домена. Аппаратные требования, необходимые для построения незаполненной среды леса, в которую вы будете переносить ваши объекты службы каталога, следует рассмотреть с точки зрения бюджетных затрат. Если вы находитесь на стадии обновления Windows NT 4, то эти аппаратные расходы, вероятно, произойдут в любом из трех сценариев перехода.
Серверные приложения, требующие Windows NT 4 Server
Если вы поддерживаете сетевые службы или коммерческие приложения, которые выполняются только на контроллерах домена с системой Windows NT 4 Server, вы, очевидно, не захотите выполнять обновление домена, который содержит эти компьютеры. Этот факт может повлиять на ваше решение переместить участников безопасности путем реструктуризации домена, а затем модернизировать контроллер домена, после того как приложение или служба будут перемещены на сервер-член домена, или после того как вы будете иметь версию приложения, совместимую с Windows Server 2003.

Путь обновления домена с последующей реструктуризацией
Если вы решите, что ваша компания не удовлетворяет условиям, позволяющим уверенно выбрать обновление или реструктуризацию домена в качестве пути обновления, или если для нее подходят оба пути, то, возможно, вы выберете третий путь — обновление с последующей реструктуризацией. Рассмотрите возможность обновления с последующей реструктуризацией, если хотите получить немедленную выгоду от перехода к Active Directory (включая делегирование администрирования, групповые политики, публикацию приложений и многое другое), а также долговременную выгоду от реструктуризации домена (меньшее количество доменов с увеличенным объемом домена, проект домена в соответствии с вашими деловыми и организационными целями).
Критический вопрос, на который нужно ответить при рассмотрении этого пути, следующий: «Будет ли текущая модель вашего домена адекватно функционировать в среде Windows Server 2003? » (понятие «адекватно» является очень субъективным, и каждый сетевой администратор должен решить для себя, может ли компания продолжать поддерживать конгломерат предыдущих операционных систем, если да, то как долго.) Если ответ - да, возможно, вы наилучшим образом достигните своих целей через путь обновления с последующей реструктуризацией.
Практический опыт. Консолидация доменов через реструктуризацию
Ваша цель может состоять в объединении несколько доменов в вашей организации. Большие организации могут иметь сотни доменов, отвечающих потребностям службы каталога их пользователей. Почему количество доменов растет, выходя из-под контроля? Одна из причин - довольно низкий размер базы данных SAM (предел в 80 Мб, выше которого происходит ухудшение производительности, для существующих аппаратных стандартов, 40 Мб - на более старых системах). По мере роста организации должны добавлять большее число доменов Windows NT 4, чтобы удовлетворить возрастающие требования к объему. Другая причина «раздувания домена» - это модель с одним хозяином домена. Она использует
домены учетных записей для учетных записей пользователей и групп, домены ресурсов для общедоступных ресурсов (компьютеров, принтеров и т.д.) и локальные группы, которые управляют доступом к ресурсам. По мере увеличения количества общедоступных ресурсов в сети растет и число доменов ресурсов. В результате возникает слишком много доменов, и административные заботы увеличиваются. Такая организация является хорошим кандидатом на реструктуризацию домена, причем сокращение количества доменов должно быть целью при проектировании Active Directory. Домены Active Directory Windows Server 2003 могут поддерживать миллионы объектов, возможно объединение такое количество доменов учетных записей, которое необходимо для удовлетворения потребностей вашего бизнеса. Через введение OU вы можете достичь того же уровня административной власти, какой вы имели в доменной модели системы Windows NT 4, без необходимости делать всех администраторов ресурсов членами группы Domain Admins (Администраторы домена). Организация с сотнями доменов Windows NT 4 может перейти к Active Directory с единственным доменом.
Как только вы определили лучший путь перехода для ваших доменов, пришло время работать. Следующие разделы уточняют действия, необходимые для модернизации инфраструктуры вашей службы каталога с Windows NT 4 к Windows Server 2003.
Подготовка перехода к Active Directory
Подготовка перехода от Windows NT 4 к Windows Server 2003 и к Active Directory происходит в три этапа.

1. Планирование перехода.
2. Испытание плана перехода.
3. Проведение экспериментального перехода.

Кроме того, вы должны запланировать время на обслуживание и поддержку, которые следуют за развертыванием. Однако этот этап не является обязательным для проекта перехода службы каталога и в этом разделе не обсуждается.
Дополнительная информация. Для получения дополнительной информации об обновлении службы каталога Windows NT 4 до Windows Server 2003 смотрите статью «Upgrading Windows NT 4.0 Domains to Windows Server 2003 (Обновление доменов Windows NT 4.0 до Windows Server 2003) по адресу http:// www.microsoft.com/technet/prodtechnol/windowsserver2003/ evaluate/cpp/reskit/ad. Имеется также статья «Domain Migration Cookbook (Кухня обновления доменов)» по адресу http://www.microsoft.co7n/technet/prodtechnol/windows2000serv/deploy/cookbook/cookintr. Хотя эти статьи написаны для Windows Server 2000, они дают критический анализ техники перехода от Windows NT 4 и включают процедуры и наилучшие методы реализации обновления и реструктуризации. Эти процедуры и методы уместны и в среде Windows Server 2003.
Планирование модернизации
Чтобы гарантировать успешный переход к Windows Server 2003 и Active Directory, затратьте достаточно усилий на его планирование, будь то оперативное обновление контроллеров домена или полная реструктуризация доменной модели. Конечным результатом будет полное описание всех задач, которые нужно выполнить в процессе модернизации. После проверки этот план будет служить сценарием, по которому вы выполните многочисленные и разнообразные задачи модернизации своего домена.
Документирование текущей среды
Первый шаг в планировании модернизациии Active Directory состоит в документировании существующего каталога и платформы сетевых служб. Вы будете удивлены, обнаружив, как многого вы не знали о серверах, службах и приложениях, выполняющихся на ваших контроллерах домена. Используйте эту ревизию как возможность почистить «паутину» и, возможно, удалить избыточные или неиспользуемые элементы. Вы сделаете вашу сеть более эффективной и легкой в сопровождении и уменьшите объем работы, который предстоит проделать в процессе модернизации службы каталога.
Как только текущая среда будет задокументирована, примите решение о том, как и когда модернизировать Active Directory.
Ниже приводятся те элементы, описание которых вы включите в свой план.

• Текущая доменная структура Windows NT 4. Перед началом модернизации вы должны иметь ясную картину текущего состояния. Эта информация будет жизненно необходимой, когда вы будете планировать откат перехода. Наилучшая практика состоит в документировании следующей информации о вашем текущем каталоге, сетевых службах и среде, в которой они выполняются:
• все домены вашей организации (домены ресурсов и учетных записей);
• все доверительные отношения между доменами (включая тип и направление доверительных отношений);
• все учетные записи пользователей, глобальных и локальных групп, а также учетные записи компьютеров;
• все учетные записи служб и другие учетные записи, которые необходимы для запуска сетевых служб или приложений;
• все системные политики и политики безопасности, которые внедрены в вашей организации.
• Текущие сетевые службы Windows NT 4. Задокументируйте все сетевые службы, использующиеся на вашем предприятии, включая сервер, на котором они выполняются. Убедитесь, что ваш план перехода отвечает за выполнение этих служб. Вы должны задокументировать следующие службы:
• серверы DNS;
• серверы протокола динамической конфигурации хоста (DHCP), a также параметры настройки области действия (scope);
• серверы службы имен интернета для Windows (WINS);
• серверы службы удаленного доступа (RAS) (см. примечание ниже);
• файловые серверы и сервера печати.

Предостережение. RAS-серверы системы Windows NT 4 используют NULL-сеансы для определения разрешений модема и других параметров его настройки, типа номеров телефона повторного вызова (call-back) для удаленных пользователей. По умолчанию Active Directory не принимает запросы к атрибутам объектов при использовании NULL-сеансов. Без надлежащего планирования взаимодействие служб удаленного доступа в смешанной среде может вызвать отказ в сетевом удаленном доступе для законных пользователей, связывающихся с системой через модем. Чтобы избегать RAS-конфликтов в процессе модернизации, нужно как можно раньше обновить RAS-серверы Windows NT 4. Если в процессе модернизации вы будете поддерживать смешанную среду, нужно понизить заданную по умолчанию защиту Active Directory, выбирая опцию Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, предшествующими Windows 2000 Server) при выполнении мастера инсталляции Active Directory.

• Аппаратные средства сервера с Windows NT 4 Server и конфигурации программного обеспечения. Это особенно важно для обновления, при котором вы планируете продолжать использование имеющихся аппаратных средств сервера в модернизированной среде домена. Должна быть уверенность в том, что любой сервер, который снова будет использоваться в том же качестве, удовлетворяет требованиям, предъявляемым к аппаратным средствам Windows Server 2003. Важно также задокументировать программную конфигурацию каждого сервера для гарантии того, что все приложения и службы будут учтены в новой среде. Для контроллеров домена и серверов-членов домена, этот список должен включать следующее:

• количество процессоров и их скорость;
• оперативная память;
• системы хранения информации;
• NOS, выполняющаяся на каждом сервере. (Вы можете обнаружить, что у вас имеется совокупность разных NOS, которые имеют различные пути обновления.);
• операционная система, выполняющаяся на рабочих станциях. (Это определит то, как вы реализуете системные политики и сценарии входа в систему.);
• все приложения, связанные с бизнесом, выполняющиеся на контроллере домена с системой Windows NT 4. (Вы должны задокументировать, совместимы ли они с Windows Server 2003 и следует ли их проверять на новой платформе.)

Данный список - это только основа. Вы должны тщательно исследовать вашу сеть для выявления проблем, которые могут помешать осуществлению ваших планов. Теперь, когда вы имеете ясное представление о той точке, где вы находитесь, т.е. о пункте А, пришло время планировать ваше путешествие в пункт Б.
Создание сценария развертывания
Сценарий развертывания модернизации - это пошаговый список задач и порядок их выполнения. Этот документ будет вашей инструкцией до тех пор, пока не придет время «повернуть выключатель». К началу модернизации этот список должен быть проверен, пересмотрен и переделан несколько раз.
Если выполняется обновление домена, то сценарий развертывания будет относительно прост: в нем будут перечислены все модернизируемые PDC и BDC, порядок модернизации, действия, которые вы предпримите для того, чтобы гарантировать продолжение работы сетевых служб в процессе обновления, действия по проверке правильности выполнения. В плане развертывания также будут перечислены пользователи, группы, компьютеры и учетные записи служб, которые вы будете переносить, исходные и целевые домены. Будет выбрано время для выполнения процесса модернизации, указаны действия, необходимые для переключения пользователей на новую среду, уточнены шаги по проверке правильности перехода.
Практический опыт. Пример обновления домена
Приведем краткий пример модернизации через обновление домена. Курсивом выделены все специфические для сайта имена и данные, которые в вашей среде будут другими. В списке процедур обратите внимание на шаги проверки правильности.
Чтобы выполнить модернизацию системы путем обновления домена, необходимы следующие шаги.

• Установите самый последний пакет обновлений к системе Windows NT 4 Server на всех контроллерах домена Contoso.
• Синхронизируйте все контроллеры домена в домене Contoso.
• Сделайте резервную копию контроллера BDC по имени DC7 на магнитной ленте. Выполните контрольное восстановление образа, чтобы проверить набор данных. Спрячьте ленту в надежное место и пометьте ее как образ DC7, сделанный перед обновлением.
• Переведите DC7 в автономный режим и обеспечьте его безопасность. Теперь он будет резервным сервером для отката.
• С помощью Server Manager (Менеджер сервера) пошлите сетевое сообщение пользователям, связанным с PDC по имени DC1 за один час до начала обновления NOS.
• Запустите обновление NOS контроллера DC1, после того как все пользователи отключатся. (Этот процесс включает установку Active Directory и может занимать несколько часов.)
• После окончания процесса обновления и последующей перезагрузки контроллера DC1 выполните следующие действия по проверке правильности перехода.
• Проверьте журнал регистрации событий, чтобы убедиться в отсутствии ошибок, которые могут возникнуть при запуске служб (контроллер домена, DNS, WINS, RAS).
• Откройте оснастку Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Проверьте, что учетные записи пользователя были модернизированы должным образом.
• Войдите в систему как тестирующий обновление пользователь с именем Upgradel, пароль = P@sswOrd. Задокументируйте результаты входа в систему в тестовом документе в папке проекта. Доложите менеджеру проекта, если вход не был успешным.
• Обратитесь к общей папке \\ ITStaff\Policies\ и откройте файл PersonalSoftware.doc. Сделайте изменения и сохраните этот файл. Открылась ли эта папка? Открылся ли этот файл? Возникли какие-либо ошибки?

И так далее. Ваша процедура должна быть достаточно детализирована, чтобы ее можно было легко выполнять, не полагаясь на память. Полагаться на свою память, когда под угрозой находится сетевой доступ всех пользователей домена — это плохая идея.
Наилучшая практика. В процедуре, описанной в разделе «Практический опыт», дана инструкция входить в систему с учетной записью тестера Upgradel. Хорошей практикой является создание такого количества учетных записей тестера, сколько вам потребуется для проверки доступа к сети после обновления или реструктуризации. Учетная запись тестера может быть сконфигурирована без необходимости полагаться на правильную установку разрешений для реальной учетной записи или на вашу собственную административную учетную запись, у которой не будет проблем со входом в систему, с которыми может столкнуться учетная запись, не имеющая административных разрешений. Возможно, что вы захотите иметь одну учетную запись для тестирования входа в локальную сеть (LAN), другую - для входа в систему с удаленного сайта, и еще одну - для тестирования удаленного доступа.
Теперь, когда вы уточнили все, что будете делать при успешном ходе событий, пришло время задокументировать, какие действия вы будете выполнять, если процесс пойдет неправильно, т.е. план восстановления системы при сбое
Проектирование плана восстановления
Ваш план восстановления системы в случае сбоя, или, более оптимистично, просто план восстановления, эквивалентен плану модернизации, но он используется тогда, когда действия по проверке правильности модернизации окончились неудачей. Определите в вашем плане модернизации не только то, что вы будете делать для проверки правильности шагов, выполняемых в процессе перехода, но и то, что вы сможете сделать для восстановления домена до последнего работоспособного состояния. Так вы сможете поддерживать доступ к ресурсам для ваших пользователей, найти ошибки в плане модернизации и попробовать все снова. В следующем разделе рассмотрено планирование восстановления системы после сбоя в процессе перехода к Active Directory.
Восстановление системы после неудавшегося обновления домена
Чтобы приготовиться к восстановлению системы в случае неудавшегося обновления домена, выполните следующее.

1. Добавьте BDC ко всем доменам Windows NT 4 с одним контроллером домена. Это будет гарантировать путь восстановления в случае сбоя при обновлении единственного контроллера домена в домене.
2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантией того, что база данных SAM содержит самые свежие данные.
3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление резервного набора данных, чтобы проверить, что резервирование прошло успешно.
4. Переведите полностью синхронизированный BDC в автономный режим и обеспечьте его безопасность. Тем самым вы сохраните копию базы данных SAM, которую в случае необходимости можно использовать для восстановления домена без необходимости повторно устанавливать сервер и восстанавливать резервную копию.
5. Периодически подключайте этот защищенный BDC контроллер назад к сети и перезагружайте его. Это сохранит актуальность базы данных SAM. Делайте это обязательно, когда домен все еще находится на смешанном уровне Windows 2000 или на временном (interim) уровне Windows Server 2003 (если нет контроллеров домена с системой Windows 2000 Server). После того как функциональный уровень домена будет поднят, вы не сможете реплицировать между контроллерами домена Windows Server 2003 и BDC более низкого уровня.

Чтобы восстановить систему PDC контроллера после неудавшегося обновления домена, выполните следующие действия.

1. Выключите обновленный контроллер домена. Он считается PDC контроллером в домене Windows NT 4 и будет мешать успешному выполнению следующего шага.
2. Подключите автономный BDC назад в сеть и назначьте его на роль PDC контроллера. Это действие запустит репликацию сохраненной базы данных SAM на все оставшиеся в сети BDC контроллеры с системой Windows NT 4.

Выполняя эту процедуру, вы восстановите свою сеть, основанную на Windows NT 4, до рабочего состояния. Оставшиеся задачи восстановления состоят в том, чтобы расследовать причины неудавшегося обновления, соответствующим образом откорректировать свой план развертывания и начать сначала.
Восстановление системы после неудавшейся реструктуризации домена
Так как вы переносите учетные записи из домена Windows NT 4 в Active Directory Windows Server 2003, то ваш план восстановления в случае сбоя будет относительно прост. Процесс реструктуризации домена - это не-разрушающий процесс, среда Windows NT 4 будет полностью функционировать в процессе перехода. Если перемещение учетных записей окончится неудачей, это вызовет определенные неудобства, но не затронет возможностей функционирования пользователей в сети Windows NT 4.
Чтобы гарантировать возможность восстановления системы после неудавшейся реструктуризации домена, выполните следующие действия.

1. Добавьте BDC ко всем доменам Windows NT 4, которые имеют только один контроллер домена. Это будет гарантировать путь восстановления в том случае, если произойдет сбой при обновлении единственного контроллера домена в домене.
2. Синхронизируйте все контроллеры BDC с PDC. Это будет гарантировать актуальность базы данных SAM.
3. Сделайте резервную копию контроллера PDC. Выполните контрольное восстановление резервного набора данных, чтобы проверить, что резервирование прошло успешно.

Если реструктуризация домена окончится неудачей, план восстановления состоит в том, чтобы продолжить работу в среде Windows NT 4, расследовать причины неудачи, проверить план развертывания и пробовать снова. Если база данных SAM системы Windows NT 4 разрушена в процессе перемещения учетных записей, используйте резервную копию для восстановления базы данных учетных записей. Разрушение данных проявит себя тем, что не все объекты появятся в User Manager (Менеджер пользователей), или пользователи не смогут войти в систему.
Тестирование плана модернизации
Есть несколько серьезных оснований для тестирования вашего плана модернизации.

• Тестирование подтвердит, что действия по обновлению приведут к желаемым результатам.
• Тестирование даст возможность определить время, необходимое для полного завершения модернизации.
• Тестирование даст возможность ознакомиться с инструментальными средствами и процедурами, которые вы будете использовать при переходе к Active Directory.

Не забудьте проверить все элементы перехода. Рассмотрите ваш план и создайте набор тестов для всех процедур, которые вам надо будет выполнить. Не забудьте также протестировать план восстановления, так как момент отката к домену Windows NT 4 — не самое подходящее время для обнаружения ошибки в вашем плане. Если тестирование показывает ошибки, модифицируйте план и повторно проверяйте его до тех пор, пока он не будет работать так, как нужно.
Наилучшая практика. При тестировании вашего плана перехода создайте испытательную среду, похожую на вашу производственную среду. Удостоверьтесь, что испытательная среда полностью изолирована от производственной.
Проведение экспериментальной модернизации
Прежде чем развертывать модернизацию по всей организации, нужно провести экспериментальный откат перехода с ограниченной и управляемой группой пользователей. Это даст вам возможность тщательно проанализировать результаты перехода в управляемой среде перед выполнением полного плана модернизации. Экспериментальный откат имеет несколько преимуществ.

• Тестирует ваш план перехода в производственной среде.
• Позволяет обнаружить непредвиденные ошибки в плане модернизации.
• Дает возможность ознакомиться с инструментальными средствами модернизации.

Экспериментальная модернизация даст вам возможность оценить результаты вашего плана и внести изменения. Не забудьте повторно проверить любые модификации и развернуть их в экспериментальной группе перед развертыванием модернизации во всей организации.
Примечание. Вы не сможете сделать экспериментальное обновление домена. Это событие происходит по принципу «все или ничего». Однако если у вас будет такая возможность, вы должны сначала модернизировать меньший домен, а затем заняться большим. Реструктуризация доменов может проводиться в несколько стадий. Воспользуйтесь этим преимуществом, развертывая реструктуризацию в контрольной группе пользователей.
Как только экспериментальное развертывание закончено, и все ошибки в плане модернизации выявлены и исправлены, вы можете переходить к Active Directory Windows Server 2003.
Обновление домена
Обновление домена - это вторая стадия процесса перехода к Windows Server 2003. (Первая стадия - обновление NOS.) При обновлении контроллера домена, на котором выполняются системы Windows NT 4 Server или Windows 2000 Server, после модернизации NOS и перезапуска компьютера мастер инсталляции Active Directory запускается автоматически. По окончании работы мастера служба каталога будет модифицирована до Active Directory Windows Server 2003.
Дополнительная информация. Для получения дополнительной информации о проектировании структуры Active Directory см. гл. 5. Для получения дополнительной информации об использовании мастера инсталляции Active Directory см. гл. 6.
В зависимости от версии Windows в процессе обновления выполняются различные действия. Первая часть этого раздела описывает процессы обновления домена с системой Windows NT 4 Server, вторая — домена с системой Windows 2000 Server.
Примечание. Если у вас установлена более ранняя версия системы, чем Windows NT 4, вы не можете обновить ее сразу до Windows Server 2003. Сначала модернизируйте ее до Windows NT 4 и примените комплект обновлений Service Pack 5 (или более поздний) перед обновлением операционной системы.
Обновление Windows NT 4 Server
При обновлении Windows NT 4 Server до Active Directory Windows Server 2003 вначале модернизируется операционная система, а после перезагрузки компьютера завершается обновление домена. В этом разделе описано, как проводить подготовку и выполнение обновления от Windows NT 4 Server к Active Directory.
Дополнительная информация. В этом разделе обсуждаются только вопросы обновления до Active Directory Windows Server 2003. Поскольку вначале выполняется обновление операционной системы Windows NT 4 Server до Windows Server 2003, необходимо предварительно ознакомиться с техническими требованиями для модернизации NOS. Для получения дополнительной информации для небольших инсталляций (от одного до пяти серверов) смотрите страницу «Installing and Upgrading the Operating System (Установка и обновление операционной системы)» на веб-сайте Microsoft по адресу http:// www.microsoft.com/technet/prodtechnol/windowsserver2003/ proddocs/entserver/ins. Информацию для больших инсталляций смотрите в статье Microsoft Windows Server 2003 Deployment Kit (Комплект развертывания Windows Server 2003) по адресу http:// www.microsoft.co7n/windowsserver2003/techinfo/reskit/ deploykit.mspx.
Прежде чем начать
Перед началом обновления выполните несколько действий на PDC контроллере с системой Windows NT 4, который должен быть модернизирован.

• Очистите базу данных SAM. Помните, что при обновлении домена все в ней будет обновлено до Active Directory. Велика вероятность того, что очистка уменьшит количество учетных записей, которые будут перемещаться в Active Directory, уменьшив тем самым потребное дисковое пространство на контроллерах домена Windows Server 2003. Имейте в виду, что существующая база данных учетных записей пользователей при обновлении до Active Directory может увеличиться в 10 раз. При очищении SAM с помощью инструмента администрирования Windows NT 4 User Manager For Domains (Менеджер пользователей для доменов) или с помощью команды Net User (Пользователь сети) происходит следующее:
• удаление дублированных учетных записей пользователей;
• объединение дублированных групп учетных записей;
• удаление неиспользуемых учетных записей пользователей, групп и компьютеров;
• удаление учетных записей локальных групп для ресурсов, которые больше не существуют;
• установка комплекта Service Pack 5 для Windows NT 4 или более позднего. Вы можете загрузить все поддерживаемые комплекты обновлений для Windows NT 4 с веб-сайта Microsoft по адресу http://www.microsoft.com/ntserver/nts/downloads/default.asp.

Сначала обновляем PDC
Первый контроллер домена, который нужно модернизировать в вашем домене Windows NT 4 - это PDC. Если вы попытаетесь модернизировать BDC раньше, чем PDC, произойдет ошибка, потому что домены, основанные на системе Windows NT 4, могут иметь только один PDC. Все контроллеры домена Windows Server 2003 в действительности являются контроллерами PDC по отношению к домену Windows NT 4, поэтому модернизируйте сначала PDC, чтобы не нарушить это правило.
Наилучшая практика. Вместо обновления существующего PDC вашего домена наилучшая практика состоит в том, чтобы построить чистый BDC с Windows NT 4, назначить его на роль PDC, a затем обновить тот контроллер домена до Windows Server 2003. Этот дополнительный шаг гарантирует, что вы начнете обновление с контроллера домена, который по аппаратным средствам совместим с Windows Server 2003, и что сервер не будет иметь истории модификаций, которые могут предотвратить чистое обновление.
После окончания этого процесса и проверки на повреждения сети и службы каталога вы можете добавлять другие контроллеры домена, инсталлируя новые или модернизируя существующие BDC. Пока вы находитесь на смешанном функциональном уровне Windows 2000 или пока вы не поднимете его до временного (interim) уровня Windows Server 2003, вы сможете поддерживать контроллеры домена Windows Server 2003 и резервные контроллеры домена с системой Windows NT 4. Когда и как быстро вы будете модернизировать контроллеры BDC, зависит от вас.
Когда все контроллеры домена модернизированы до Windows Server 2003, можно поднять функциональные уровни домена и леса. Для получения дополнительной информации о функциональных уровнях смотрите раздел «Представление о функциональных уровнях» далее в этой главе.
Чтобы модернизировать контроллеры PDC, выполните следующие действия.
Вставьте компакт-диск с Windows Server 2003 в CD-ROM. Если ваш CD-ROM разрешает Autorun (Автоматическое выполнение), автоматически запустится программа Setup (Установка). Вы можете также запустить файл Setup.exe из корневой папки компакт-диска вручную.
При запуске программы Setup выберите опцию Install Windows Server 2003 (Установка Windows Server 2003).
После того как программа Setup соберет информацию о вашей текущей операционной системе, выберите опцию Upgrading To Windows Server 2003 (Обновление до Windows Server 2003).
Введите информацию, необходимую для завершения программы Setup.
Когда обновление системы до Windows Server 2003 закончится, компьютер будет перезагружен, после чего автоматически начнет работать мастер инсталляции Active Directory.
Выполните мастера инсталляции Active Directory в соответствии с вашим проектом Active Directory. После того как инсталляция закончится, ваш компьютер будет перезагружен, и обновление до Active Directory завершится.
Проверка обновления до Active Directory
Для проверки установки службы Active Directory на модернизированном» контроллере домена нужно выполнить несколько действий. Некоторые из этих действий имеют характер диагностических тестов, другие -функциональных. Давайте сначала рассмотрим функциональное тестирование.

• Проверьте, что все учетные записи пользователей, групп и компьютеров перемещены в Active Directory. Для этого откройте инструмент Active Directory Users And Computers (Пользователи и компьютеры Active Directory) и просмотрите список объектов учетных записей. Возможно, вы не сможете проверить каждую, но обязательно следует выбрать несколько учетных записей Windows NT 4 и проверить, что они существуют на модернизированном контроллере домена.
• Проверьте доверительные отношения с помощью инструмента Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory).
• Проверьте системный журнал Event Viewer (Средство просмотра событий) в поисках каких-либо ошибок, которые могли произойти при запуске службы Active Directory.
• Проверьте, можете ли вы создавать новых пользователей на контроллере домена Windows Server 2003. На модернизированном контроллере домена откройте инструмент Active Directory Users And Computers и создайте новую контрольную учетную запись пользователя.
• Проверьте, могут ли пользователи входить в домен. С компьютера, находящегося в домене, попытайтесь войти в систему с модернизированной учетной записью пользователя. Для этой цели вы можете использовать «живую» учетную запись пользователя или перед обновлением создать контрольную учетную запись.
• Проверьте репликацию на BDC контроллеры. После создания нового контрольного пользователя откройте User Manager For Domains на BDC с системой Windows NT 4 Server и проверьте, что пользователь реплицируется. Вы можете отсоединить контроллер домена Windows Server 2003 от сети и войти в сеть как контрольный пользователь, чтобы BDC с системой Windows NT 4 обработал запрос входа в систему.

Средства диагностики Active Directory расположены в комплекте Support Tools (Средства поддержки) на компакт-диске Windows Server 2003. Вы можете установить эти средства на обновленном контроллере домена с Windows Server 2003, выполняя файл Suptools.msi из папки \SUPPORT\TOOLS, расположенной на компакт-диске Windows Server 2003. Нужно выполнить следующие действия по диагностической проверке.
Чтобы проверить способность к взаимодействию и функциональность Active Directory, запустите инструмент Domain Controller Diagnostic (Диагностика контроллера домена) (в командной строке напечатайте dcdiag). В результате успешного испытания возвращается ряд сообщений «passed» (пройдено).
Дополнительная информация. Компонент Dcdiag инструмента Support Tool Windows Server 2003 анализирует состояние контроллеров домена в лесу и дает детальную информацию о том, как идентифицировать неправильное поведение в системе. Контроллеры домена идентифицируются и проверяются согласно директивам, которые пользователь вводит в командную строку. Для получения дополнительной информации об инструменте Dcdiag напечатайте dcdiag/? в командной строке.
Если это не первый домен Active Directory в лесу, напечатайте repadmin/showrepsв командной строке, чтобы проверить успешность репликации между контроллерами домена Active Directory. В результате успешного испытания возвращается соответствующее сообщение о каждом событии репликации с входящими и исходящими партнерами по репликации.
Чтобы проверить успешность репликации на контроллеры BDC, напечатайте nltest/bdc_query:domainname, где domainname — имя реп-лицируемого домена. В результате успешного испытания возвращается сообщение «status = success (статус = успех)» для каждого BDC контроллера в домене.
После проверки обновления PDC вы можете модернизировать контроллеры BDC.

Обновление BDC контроллеров
Возможно, что в модернизации BDC-контроллеров с системой Windows NT 4 нет никакой необходимости. С обновлением PDC вся информация домена обновится до Active Directory Windows Server 2003. После этого
можно ввести дополнительные контроллеры домена с Windows Server 2003 для поддержки потребностей службы каталога домена, установив новые контроллеры домена с Windows Server 2003 или модернизируя существующие контроллеры BDC. Предпочтительно установить новые контроллеры домена с Windows Server 2003, потому что таким образом устраняется риск, связанный с обновлением BDC с неизвестной (или, что еще хуже, проблемной) историей. Новая инсталляция Windows Server 2003 на этих дополнительных контроллерах домена гарантирует, что компьютер будет находиться в чистом состоянии.
Когда выбирается модернизация BDC? Возможно, только в том случае, если имеются приложения, выполняющиеся на BDC, которые неудобно или невозможно повторно установить на новом контроллере домена.
Если вы решите, что необходимо провести обновление BDC, то этот процесс будет таким же, как обновление PDC. Сначала модернизируете NOS, а после перезапуска компьютера воспользуетесь мастером инсталляции Active Directory для установки Active Directory и назначения сервера на роль контроллера домена. Мастер инсталляции Active Directory можно и fie выполнять. В этом случае компьютер останется сервером-членом домена Windows Server 2003, а информация базы данных SAM на этом сервере будет потеряна. Ваш проект Active Directory предписывает потребное количество контроллеров домена, а в плане модернизации указано, какие из оставшихся контроллеров BDC должны быть назначены контроллерами домена после обновления, а какие — остаться серверами-членами домена.
Предотвращение перезагрузки контроллера домена
Перегрузка контроллера домена по сценарию обновления домена происходит, когда у вас есть клиентские компьютеры с системами Windows 2000 Professional и/или Windows XP Professional в домене, основанном на системе Windows NT 4, и вы модернизируете PDC до Windows Server 2003. Такая ситуация может привести к перегрузке единственного контроллера домена, имеющего Windows Server 2003. Это происходит потому, что компьютеры с системами Windows 2000 Professional и Windows XP Professional, присоединяющиеся к домену Active Directory, для выполнения любых действий, требующих контакта с контроллером домена, будут взаимодействовать только с контроллерами домена, на которых установлена система Windows 2000 Server или Windows Server 2003. Если у вас есть обновленные клиентские компьютеры или новые, на которых выполняются вышеупомянутые операционные системы, вы должны предпринять некоторые шаги для устранения риска, связанного с появлением единственной точки возможного отказа (модернизированный PDC).
Предотвратить перезагрузку контроллера домена можно, если быстро добавить в сеть контроллеры домена с Windows Server 2003. Если не предполагается немедленного обновления всех BDC с системой Windows NT 4 Server или добавления новых контроллеров домена с Windows
Server 2003, можно изменить системный реестр на модернизированном PDC таким образом, чтобы контроллер домена Windows Server 2003 эмулировал поведение контроллера домена с системой Windows NT 4 для всех клиентов, на которых выполняются Windows 2000 Professional и Windows ХР Professional. Чтобы включить режим эмуляции Windows NT 4, выполните следующие действия на PDC с модернизированной системой Windows NT 4.

1. После того как компьютер был модернизирован от Windows NT 4 до Windows Server 2003, до начала установки Active Directory откройте редактор системного реестра (напечатайте regeditв диалоговом окне Run).
2. Создайте значение NT4EMULATOR в ключе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro lSet\Services\ Netlogon\Parameters.
3. Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение DWORD). Замените имя New Value #1 именем NT 4Emulatorи нажмите Enter.
4. В меню Edit щелкните на Modify(Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК.
5. Сохраните изменения и закройте редактор системного реестра.
6. Запустите мастер инсталляции Active Directory, напечатав dcpromoв диалоговом окне Run.

Повторите этот процесс на каждом из недавно установленных контроллеров домена с Windows Server 2003 или на каждом контроллере домена с модернизированной системой Windows NT 4, пока не будет введено достаточное количество контроллеров домена с Windows Server 2003, чтобы возможность перегрузки была устранена.
Имейте в виду, что это временное решение временной проблемы. После того как все запланированные контроллеры домена с Windows NT 4 будут модернизированы до Windows Server 2003, вы должны или установить значение NT 4Emulator на 0x0, или удалить ключ системного реестра для каждого из модифицированных компьютеров.
Практический опыт. Нейтрализация эмуляции NT 4
Для некоторых компьютеров нужно будет изменить системный реестр так, чтобы они игнорировали установку NT 4EMULATOR. Это компьютеры с Windows Server 2003 или Windows 2000, которые будут назначены контроллерами домена, и компьютеры с Windows 2000 Professional или Windows XP Professional, которые будут использоваться для управления доменом Active Directory. Имеется способ дать им возможность входить в контакт с контроллерами домена Windows Server 2003 как обычно.
Чтобы нейтрализовать установку NT 4EMULATOR, выполните следующие действия.
Запустите редактор системного реестра (напечатайте regedit в диалоговом окне Run).
Создайте       значение       NeutralizeNT4Emulator      в       ключе HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\ Netlogon\Parameters.
Выберите Edit (Правка), затем New (Новый), а затем DWORD Value (Значение   DWORD).   Замените   имя  New  Value   #1   именем NeutralizeNT4Emulator и нажмите Enter.
В меню Edit (Правка) щелкните на Modify (Изменить). В диалоговом окне Edit DWORD Value (Правка значения DWORD) напечатайте 1 в текстовом поле Value Data (Данные), а затем щелкните на ОК.
После того как все BDC с Windows NT 4 будут установлены или модернизированы до Windows Server 2003, обновление можно считать почти законченным. Заключительный шаг состоит в поднятии функционального уровня домена и леса с уровня mixed Windows 2000 (значение по умолчанию) к уровню Windows Server 2003.
Подъем функционального уровня
После того как вы модернизировали все контроллеры домена до Windows Server 2003, нужно поднять функциональные уровни домена и леса, чтобы ощутить преимущества от обновления сетевой операционной системы. Информацию о функциональных уровнях смотрите в разделе «Представление о функциональных уровнях» далее в этой главе.
Чтобы поднять функциональный уровень домена, выполните следующие шаги на контроллере домена в модернизированном домене.

1. Откройте инструмент Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory).
2. В дереве консоли щелкните правой кнопкой мыши на домене, функциональность которого вы хотите поднять, а затем щелкните на Raise Domain Functional Level (Поднять функциональный уровень домена).
3. В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите один из вариантов:
• чтобы поднять функциональный уровень домена до уровня Windows 2000 native (естественный), щелкните на Windows 2000 Native, а затем щелкните на Raise (Поднять);
• чтобы поднять функциональный уровень домена до уровня Windows Server 2003, выберите Windows Server 2003, а затем щелкните на Raise.

После того как вы подняли функциональный уровень домена (по крайней мере, до естественного (native) уровня Windows 2000), вы можете поднять функциональный уровень леса до Windows Server 2003. Это обеспечит функционирование службы Active Directory по всему лесу. Чтобы поднять функциональный уровень леса, выполните следующие действия.
Откройте инструмент Active Directory Domains And Trusts.
В дереве консоли щелкните правой кнопкой мыши на узле Active Directory Domains And Trusts, а затем щелкните на Raise Forest Functional Level (Поднять функциональный уровень домена).
В пункте Select An Available Domain Functional Level (Выберите доступный функциональный уровень домена) выберите 2003 Windows Server, затем щелкните на Raise (Поднять).
Предостережение. Процедура поднятия функционального уровня домена или леса является необратимой. Для восстановления более низкого уровня вы должны будете деинсталлировать Active Directory (при этом после деинсталляции службы на последнем контроллере домена домен будет удален), а затем повторно установить службу каталога.
Представление о функциональных уровнях
Функциональные уровни используются в Windows Server 2003, чтобы задействовать соответствующий набор функций Active Directory для тех контроллеров домена, которые могут их поддерживать. Уровень функциональности, который вы выберете для вашего предприятия, диктуется версией операционной системы Windows, выполняющейся на контроллерах домена. Функциональные уровни могут быть установлены и для домена, и для леса. Когда уровень леса установлен на функциональный уровень Windows Server 2003, все функции Active Directory доступны.
Концепция функциональных уровней подобна параметрам настройки смешанного и естественного режима, которые были представлены в Windows Server 2000. Эти понятия были расширены в Windows Server 2003, чтобы вместить дополнительные функции Active Directory. Функциональные уровни используются для того, чтобы обеспечить обратную совместимость с контроллерами доменов низкого уровня.
Имеются четыре функциональных уровня домена: Windows 2000 mixed (смешанный) (значение по умолчанию), Windows 2000 native (естественный), Windows Server 2003 interim (временный) и Windows Server 2003. Когда вы модернизируете все контроллеры домена низкого уровня, имеющиеся в домене, до Windows Server 2003, вы должны поднять функциональный уровень этого домена до уровня Windows Server 2003. Подъем функционального уровня домена от смешанного Windows 2000 к естественному Windows 2000 или к Windows Server 2003 задействует такие функции, как SID-History, Universal Groups (Универсальные группы) и вложенные группы.
Имеются три функциональных уровня леса: Windows 2000, Windows Server 2003 interim и Windows Server 2003. Чтобы задействовать все функции Active Directory после того, как все домены леса будут работать на функциональном уровне native Windows 2000 или выше, нужно поднять функциональный уровень леса до уровня Windows Server 2003.
Предостережение. Не поднимайте функциональный уровень леса до уровня Windows Server 2003, если у вас есть контроллеры домена, на которых выполняется система Windows NT 4 Server или Windows 2000 Server. Как только функциональный уровень леса будет поднят до уровня Windows Server 2003, его нельзя вернуть назад на уровень mixed или native Windows 2000, и вы не сможете поддерживать контроллеры домена низкого уровня вашего леса.
Обновление Windows 2000 Server
Процесс обновления домена с Active Directory Windows 2000 Server до Active Directory Windows Server 2003 более прост по сравнению с обновлением домена Windows NT 4. Сети, основанные на системе Windows 2000, уже используют Active Directory в качестве службы каталога, поэтому этот переход больше похож на сценарий чистого обновления, чем на модернизацию. В модернизации системы Windows 2000 имеется несколько специфических шагов, о которых вы должны знать перед началом обновления.
Вы должны «подготовить» домен с Active Directory Windows 2000 и лес для обновления до Active Directory Windows Server 2003. Эти процессы обновят структуры существующих доменов и леса, чтобы они были совместимы с новыми функциями Active Directory.
Наилучшая практика Перед подготовкой домена (и леса, в котором он расположен) вы должны применить комплект обновления Windows 2000 Server Service Pack 2 (SP2), или более поздний, ко всем контроллерам домена, на которых выполняется Windows 2000 Server. Вы можете загрузить комплекты обновлений для Windows 2000 Server с веб-сайта Microsoft по адресу http://www.microsoft.com/ windows2000/downloads /servicepacks/default, asp.
Подготовка леса
Чтобы подготовить лес Active Directory для обновления, используйте инструмент администрирования Adprep.exe, чтобы сделать необходимые изменения к схеме Active Directory. Помните, что этот процесс нужно выполнить прежде, чем будет начато обновление до Windows Server 2003.
Чтобы подготовить лес к обновлению первого контроллера домена с Windows 2000 Server до Windows Server 2003, выполните следующие действия.
Найдите сервер, который является хозяином схемы. Для этого откройте оснастку Active Directory Schema Microsoft Management Console (Консоль управления схемой), щелкните правой кнопкой мыши на узле Active Directory Schema (Схема Active Directory), а затем щелкните на Operations Master (Хозяин операций). В диалоговом окне Change Schema Master (Изменение хозяина схемы) найдите имя текущего хозяина схемы.
Сделайте резервную копию хозяина схемы. Возможно, вам потребуется восстановить этот образ, если подготовка леса не будет успешной.
Отсоедините хозяина схемы от сети. Не восстанавливайте подключение до шага 8 в этой процедуре.
Вставьте компакт-диск Windows Server 2003 в дисковод CD-ROM.
Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.
Напечатайте adprep/forestprep. Вы должны быть членом групп Enterprise Admins (Администраторы предприятия) и Schema Admins (Администраторы схемы) в Active Directory, или вам должны быть делегированы соответствующие полномочия.
Чтобы проверить выполнение команды, откройте Event Viewer (Средство просмотра событий) и проверьте системный журнал на предмет ошибок или неожиданных событий. Если вы найдете сообщения об ошибках, связанные с процессом подготовки леса, займитесь этими ошибками, прежде чем выполнять следующий шаг. Если вы не можете расследовать ошибки, используйте инструмент диагностики Active Directory (напечатав dcdiagв диалоговом окне Run), чтобы проверить функциональность контроллера домена. Если вы не можете разобраться с этими ошибками, восстановите хозяина схемы из резервной копии, исследуйте скорректированные действия и добейтесь, чтобы подготовка леса была закончена успешно.
Если инструмент adprep/forestprepвыполнился без ошибок, повторно подключите хозяина схемы к сети.
На этом завершится подготовка леса к обновлению домена с Windows 2000 Server до Windows Server 2003. Следующий шаг состоит в подготовке домена.
Совет. Перед началом подготовки домена подождите, пока изменения, сделанные в хозяине схемы, будут реплицированы хозяину инфраструктуры. Помните, что если серверы находятся в различных сайтах, вы должны ждать дольше, чтобы завершить репликацию. Если вы попробуете выполнить процесс подготов-
ки домена, прежде чем изменения будет реплицированы, сообщение об ошибках уведомит вам, что необходимо еще подождать.
Подготовка домена
Подготовка домена очень похожа на подготовку леса. Для этого нужно найти и подготовить держателя роли хозяина инфраструктуры вместо хозяина схемы.
Чтобы подготовить каждый домен для обновления первого контроллера домена с Windows 2000 Server до Windows Server 2003, выполните следующие действия.
Найдите сервер, который является хозяином инфраструктуры. Для этого откройте инструмент администрирования Active Directory Users And Computers, щелкните правой кнопкой мыши на узле домена, а затем щелкните на Operations Masters (Хозяева операций). На вкладке Infrastructure (Инфраструктура) окна Operations Masters узнайте имя текущего хозяина инфраструктуры.
На сервере, функционирующем как хозяин инфраструктуры, вставьте компакт-диск Windows Server 2003 в дисковод CD-ROM.
Откройте командную строку, перейдите на дисковод CD-ROM и откройте папку \I386.
Напечатайте adprep/domainprep. Вы должны быть членом групп Domain Admins (Администраторы домена) или Enterprise Admins (Администраторы предприятия) в Active Directory, или вам должны быть делегированы соответствующие полномочия.
Для проверки выполнения команды откройте Event Viewer (Средство просмотра событий) и поищите ошибки или неожиданные события в системном журнале. Если инструмент adprep/domainprepвыполнился без ошибок, значит, вы успешно подготовили домен к обновлению с Windows 2000 Server до Windows Server 2003.
Повторим еще раз, что вы должны подождать до тех пор, пока изменения, сделанные на хозяине инфраструктуры, не будут реплицированы на другие контроллеры домена леса перед обновлением любого из контроллеров домена. Если вы начнете модернизировать один из контроллеров домена прежде, чем изменения будут реплицированы, сообщение об ошибках уведомит вас, что необходимо подождать.
Теперь, когда домен и лес подготовлены для обновления до Active Directory Windows Server 2003, вы можете начинать.
Обновление контроллеров домена
В отличие от контроллеров домена с системой Windows NT 4 все контроллеры домена в сети, на которых выполняется Windows 2000, являются в некотором смысле PDC контроллерами. Они одинаково способны писать в базу данных Active Directory, подтверждать подлинность пользователей и отвечать на запросы. За исключением держателей ро-
лей хозяев операций все контроллеры домена равны. Это означает, что не имеет значения, какой контроллер домена вы будете модернизировать первым.
Процесс обновления Windows 2000 такой же, как для обновления Windows NT 4 до Windows Server 2003. Он состоит из двух шагов: модернизация NOS до Windows Server 2003 и выполнение мастера инсталляции Active Directory.
Реструктурирование домена
Путь реструктуризации домена наиболее часто выбирается организациями, которые нуждаются в изменении структуры своей службы Active Directory. Чтобы выполнить реструктуризацию домена, вы сначала должны создать нужную структуру леса и домена, а затем переместить существующие объекты Active Directory в эту новую структуру. Эта новая структура называется также «чистым» лесом.
Примечание. Путь реструктуризации домена известен также как модернизация между лесами (перемещение от одного леса Active Directory к другому). В этом случае главным является перемещение с домена Windows NT 4 к Windows Server 2003, которое рассматривается как процесс перехода между лесами. Реструктуризация Active Directory Windows 2000 до Active Directory Windows Server 2003 в этой главе рассматривается как перемещение в пределах леса и обсуждается в разделе «Обновление с последующей реструктуризацией».
Работа по перемещению объектов Active Directory (которые включают учетные записи пользователей, групп и компьютеров, учетные записи доверительных отношений и служб) облегчена за счет использования инструментов модернизации домена. Имеется множество средств для выполнения этой задачи — и от компании Microsoft, и от сторонних производителей. Ниже приводится список средств, имеющихся в настоящее время (или в ближайшей перспективе) у их изготовителей. Убедитесь, что вы выбрали версию инструмента, которая поддерживает переход к доменам Active Directory в Windows Server 2003. Включите в ваше планирование модернизации домена задачу повторного исследования доступных инструментов перехода и определения наиболее подходящего.
Active Directory Migration Tool (Инструмент модернизации Active Directory) (ADMT). Он находится на компакт-диске Windows Server 2003   папке   в   \I386\ADMT.   Дважды   щелкните   на   файле Admigration.msi для его установки.
Оценочная версия инструмента bv-Admin для модернизации Windows 2000 и Windows Server 2003 от корпорации BindView (http://www.bindview.com/products/Admin/winmig.cfm) можно взять на веб-сайте продуктов компании.
Испытательная версия программы Domain Migration Administrator (Администратор модернизации домена) (DMA) от компании NetlQ (http://www.netiq.com/products/dma/) доступна для загрузки на веб-сайте продуктов компании.
Испытательная версия программы Domain Migration Wizard (Мастер модернизации домена) (DMW) от компании Aelita Software (http:// www.aelita.com/products/DMW.htm) доступна для загрузки на вебсайте продуктов компании.
Оставшаяся часть этого раздела будет посвящена концептуальным аспектам процесса модернизации, а не деталям специфических инструментов. В случае необходимости процесс будет описан в контексте инструмента модернизации Active Directory ADMT от Microsoft.
Прежде чем вдаваться в детали модернизации объектов, скажем несколько слов об организации этого раздела. Следующие далее задачи разбиты на категории: реструктуризация доменов учетных записей и доменов ресурсов. Эта несколько искусственная организация отражает существующую доменную структуру сети, основанную на Windows NT 4, в которой предметная область состоит из доменов учетных записей (они содержат учетные записи пользователей и глобальных групп) и доменов ресурсов (они содержат учетные записи компьютеров, ресурсов и локальные группы, которые используются для управления доступом к этим ресурсам). На рисунке 7-2 показана организационная модель домена учетных записей и домена ресурсов.
Что делать, если вы не имеете доменов учетных записей и ресурсов в предметной области вашей среды Windows NT 4? Тогда рассмотрите только содержимое, имеющее отношение к объектам каталога, которые вы должны перенести. Это полезно только для обсуждения порядка перемещения объектов и выполнения процесса модернизации.
Создание чистого леса
Чистый лес включает целевой домен Windows Server 2003, в который вы будете перемещать учетные записи системы Windows NT 4, т.е. ваш пункт Б. При реструктуризации домена вы имеете возможность создать оптимальную среду домена для вашей организации. Будем надеяться, что это произойдет в конце длинного и вдумчивого процесса проектирования Active Directory, и все компоненты вашей структуры Active Directory будут ясно определены в документе, описывающем ваш проект. Для получения дополнительной информации о процессе проектирования см. гл. 5.

Рис. 7-2. Организационная модель домена учетных записей и домена ресурсов в системе Windows NT 4
Совет. При установке Active Directory в чистый лес в окне Permissions (Разрешения) мастера инсталляции Active Directory выберите опцию Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, предшествующими Windows 2000). Эта установка позволяет анонимным учетным записям пользователя обращаться к информации домена и требуется для клонирования участников безопасности. Чтобы получить доступ к этой опции, вы должны выбрать опцию Custom configuration (Выборочная конфигурация) в окне Custom Options (Выборочные опции) мастера конфигурирования сервера.
После того как вы реализуете структуру своего целевого домена, нужно выполнить несколько действий для подготовки к перемещению учетных записей.
Подъем функционального уровня
Чтобы выполнить реструктуризацию домена, целевой домен с Windows Server 2003 должен работать на функциональном уровне native Windows 2000 или Windows Server 2003. Заданный по умолчанию функциональный уровень домен для новой реализации Windows Server 2003 — mixed Windows 2000. Если ваш целевой домен будет включать контроллеры домена с Windows 2000 Server и Windows Server 2003, то вы должны поднять функциональный уровень до уровня native Windows 2000. Если ваш новый домен будет включать только контроллеры домена Windows Server 2003, вы должны выбрать функциональный уровень Windows Server 2003. Имейте в виду, что подъем функционального уровня домена является необратимым процессом, вы не можете понизить его до предыдущего состояния.
Создание учетной записи модернизации
Первая учетная запись пользователя, которую вы захотите создать в вашем чистом лесу, будет запись, необходимая для выполнения перемещения. Создавая специальную учетную запись пользователя, вы можете гарантировать, что она будет удовлетворять всем требованиям защиты, необходимой для выполнения задач, связанных с реструктуризацией домена. Кроме того, вы поупражняетесь в наилучшей защитной практике — не входить в систему с использованием учетной записи Administrator (Администратор). Например, вы можете создать новую учетную запись пользователя (типа Migrator) или несколько учетных записей (Migrator 1, Migrator2 и т.д.), если вы планируете иметь несколько доверенных администраторов, выполняющих перемещение. Таким образом, вы сможете проследить события, выполненные каждым владельцем учетной записи, и избежать наличия общедоступной учетной записи с административными привилегиями.
Учетные записи, использующиеся для модернизации учетных записей пользователей, групп и служб, должна быть членами группы Domain Admins (Администраторы домена) в целевом домене, если вы используете SID-History для сохранения доступа к ресурсам. Учетная запись должна быть также членом группы Administrators (Администраторы) в исходных доменах Windows NT 4.
Создание доверительных отношений
Поскольку процесс перехода требует предоставления административных разрешений для учетных записей из различных доменов, необходимо создать несколько доверительных отношений, чтобы иметь возможность перенести учетные записи исходного домена в целевой домен. В целевом домене Windows Server 2003 и в исходном домене Windows NT 4 создайте односторонние доверительные отношения от каждого из исходных доменов (тот, кто доверяет) к целевому домену (тот, кому доверяют).
После этого проверьте их, используя инструмент администрирования Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory) в Windows Server 2003 и инструмент администрирования Server Manager (Менеджер серверов) в системе Windows NT 4 Server.
Изменение системного реестра
При создании безопасного канала связи между исходными и целевыми контроллерами домена на исходном контроллере домена Windows NT 4 должен быть модифицирован системный реестр. Если этого не сделать перед установкой ADMT, то инструмент выполнит изменения при первом использовании. После того как ADMT сделает изменения системного реестра, необходимо будет перезагрузить PDC.
Установка этого значения разрешает удаленные вызовы процедуры (RPC) по протоколу TCP, нисколько не уменьшая защиту системы Windows NT 4. На исходном PDC откройте системный реестр и создайте следующий ключ:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\Lsa.
Создайте значение TcpijpClientSupport, установив DWORD, равный 1.
Наилучшая практика. Если вы планируете переместить пароли учетных записей пользователя одновременно с самими учетными записями (в противоположность тому, чтобы прекратить срок действия пользовательских паролей в Windows NT 4 и заставить пользователей создавать новые пароли при первом входе в систему домена с сервером Windows Server 2003), то вам сТпять потребуется редактировать системный реестр. Чтобы поддержать перемещение паролей, на исходном PDC отредактируйте (или создайте, если он еще не существует) следующий ключ системного реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Lsa.
Для значения AllowPasswordExport установите DWORD, равный 1. Для получения дополнительной информации о переносе паролей смотрите справку инструмента ADMT.

Установка Active Directory Migration Tool
Инструмент администрирования Active Directory Migration Tool (Инструмент перемещения Active Directory) создан компанией Microsoft с целью модернизации объектов службы каталога. ADMT может выполнять модернизацию между лесами и внутри леса. Перемещение с системы Windows NT 4 на Windows Server 2003 — это пример модернизации между лесами. Инструмент ADMT обеспечивает графический интерфейс пользователя (GUI) и интерфейс создания сценария, он может выполняться на целевых контроллерах домена в системе Windows 2000 и Windows Server 2003.
Инструмент ADMT версии 2.0, имеющийся на компакт-диске Windows Server 2003, поддерживает следующие задачи, необходимые для модернизации домена:

• перемещение учетных записей пользователей;
• перемещение учетных записей групп;
• перемещение учетных записей компьютеров;
• перемещение учетных записей служб;
• перемещение доверительных отношений;
• перемещение каталога Exchange;
• перевод защиты на мигрированные учетные записи компьютеров;
• сообщения о просмотре результатов модернизации;
• функциональные возможности отмены последнего перемещение и повтор последнего перемещения.

Одно из» преимуществ ADMT по сравнению с другими инструментами состоит в том, что это средство включено в продукт Windows Server 2003. Инсталляционная папка расположена на компакт-диске Windows Server 2003 в папке \I386\ADMT.
Дополнительная информация. Вместе с инсталляционными файлами ADMT папка ADMT на компакт-диске Windows Server 2003 содержит документ Readme.doc, в котором хранится важная информация, касающаяся ADMT. Обязательно прочтите этот документ перед установкой инструмента ADMT или его использованием. Наиболее свежую версию этого документа смотрите на веб-сайте Windows 2000 Active Directory Migration Tool по адресу: http://www.microsoft.com/windows2000/downloads/ tools/admt/default.asp. С этого сайта можно также загрузить сам инструмент ADMT. Убедитесь, что он совпадает или является более новым, чем версия, имеющаяся на компакт-диске Windows Server 2003.
Чтобы установить инструмент ADMT на целевом контроллере домена, выполните следующие действия.

1. Откройте папку \I386\ADMT на компакт-диске Windows Server 2003.
2. Дважды щелкните на файле Admigration.msi, чтобы установить ADMT на вашем компьютере.
3. Примите лицензионное соглашение и заданные по умолчанию параметры на страницах мастера.

После того как инструмент ADMT будет установлен, его можно запустить из папки Administrative Tools (Средства администрирования) в
меню Start (Пуск). Инструмент ADMT запускается как оснастка ММС вместе со всеми мастерами, доступными из меню Action (Действие) (см. рис. 7-3).

Рис. 7-3. Мастера, доступные в инструменте ADMT Разрешение аудита в исходных и целевых доменах
Процесс реструктуризации домена требует, чтобы был включен аудит отказов и успехов операций управления учетными записями и в исходном, и в целевом доменах.
Чтобы разрешить аудит в целевом домене Windows Server 2003, выполните следующие действия.

1. Откройте инструмент администрирования Active Directory Users And Computers (Пользователи и компьютеры Active Directory), щелкните правой кнопкой мыши на контейнере Domain Controllers (Контроллеры домена) и выберите Properties (Свойства).
2. В окне Domain Controllers Properties (Свойства контроллера домена) выберите вкладку Group Policy (Групповая политика).
3. Выберите Default Domain Controllers Policy (Заданная по умолчанию политика контроллеров домена) и щелкните на кнопке Edit (Правка).
4. Раскройте пункт Default DomainControllers Policy\Computer Conf iguration\ Windows Settings\Security Settings\Local Policies\ Audit Policy (Заданная по умолчанию политика контроллеров домена\Кон-фигурация компьютера\Параметры настройки Windows\ Параметры настройки защиты\Локальные политики\Политика аудита), дважды щелкните на Audit Account Management (Управление аудитом учетных записей), а затем выберите обе опции: Success (Успех) и Failure (Отказ).
5. Вызовите принудительную репликацию этого изменения на все контроллеры домена в домене или подождите, пока изменения будут реп-лицированы автоматически.

Чтобы разрешить аудит в исходном домене Windows NT 4, выполните следующие действия.
Откройте инструмент администрирования User Manager For Domains (Менеджер пользователей для доменов), выберите Policies (Политики), а затем выберите Audit (Аудит).
Проверьте, что опция Audit These Events (Проводить аудит этих событий) выбрана и что для User And Group Management (Управление пользователями и группами) выбраны опции Success (Успех) и Failure (Отказ). Кроме того, нужно создать новую локальную группу на исходном контроллере домена для целей внутреннего аудита ADMT. Имя этой новой группы — sourcedomainname$$$ (например, Contoso$$$). ADMT создаст группу автоматически при первом запуске, если вы не создадите ее заранее.
Изменение анонимного доступа к целевому домену
Если вы не выберете опцию Permissions Compatible With Pre-Windows 2000 Server Operating Systems (Разрешения, совместимые с операционными системами, предшествующими Windows 2000 Server ), при установке Active Directory можно добавить группу Everyone (Все) к группе Pre-Windows 2000 Compatible Access (Доступ, совместимый с операционными системами, предшествующими Windows 2000), напечатав netlocalgrowp "Pre-Windows 2000 CompatibleAccess" everyone /addв командной строке и нажав Enter.
После того как сделано изменение группового членства, нужна гарантия, что разрешения группы Everyone (Все) применяются к анонимным пользователям. Откройте инструмент Active Directory Users And Computers (Пользователи и компьютеры Active Directory), щелкните правой кнопкой мыши на контейнере Domain Controllers (Контроллеры домена) и выберите Properties (Свойства). На вкладке Group Policy (Групповая политика) отредактируйте объект Default Domain Controllers Policy (Заданная по умолчанию групповая политика). В поле Group Policy Object Editor (Редактор объектов групповой политики) раскройте опцию Default Domain Controllers Policy\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options (Заданная по умолчанию политика контроллеров домена\Конфигурация компьюте-ра\Параметры настройки Windows\Параметры настройки защиты\Ло-кальные политики\Опции защиты) и дважды щелкните на Network Access: Let Everyone Permissions Apply To Anonymous Users (Сетевой доступ: Разрешения группы Все применять к анонимным пользователям). Отметьте опцию Define This Policy Setting (Определить настройки этой политики), выберите Enabled (Разрешено), а затем щелкните на ОК.
Перемещение доменов учетных записей
Домен учетных записей Windows NT 4 содержит учетные записи пользователей и групп, которые обращаются к сетевым ресурсам. Согласно сценарию перехода путем реструктуризацией домена вы будете перемещать объекты службы каталога в доменах учетных записей перед перемещением доменов ресурсов. Этот порядок операций предпочтителен, потому что при этом сохраняется доступ к ресурсам в процессе перехода.
Чтобы переместить домен учетных записей, выполните следующие действия.
Установите доверительные отношения между целевым доменом Windows Server 2003 и доменом ресурсов Windows NT 4.
Переместите учетные записи глобальной группы.
Переместите учетные записи пользователей (с паролями или без).
Это лучшая практика для перемещения домена учетных записей.
Установление доверительных отношений
Чтобы сохранить доступ к ресурсам для пользователей, нужно создать односторонние доверительные отношения от каждого домена Windows NT 4, содержащего ресурсы, к которым должны обращаться перемещенные пользователи, к целевому домену Windows Server 2003. Создание доверительных отношений состоит из двух шагов.
Первый шаг выполняется на контроллере целевого домена с Windows Server 2003. Добавьте каждый домен ресурсов с системой Windows NT 4 к списку Domains That Trust This Domain (Домены, которые доверяют этому домену) в окне Properties (Свойства) целевого домена, используя инструмент Active Directory Domains And Trusts. Чтобы защитить эти доверительные отношения, создайте пароль, который потребуется при формировании второй половины доверительных отношений.
Второй шаг выполняется на PDC домена ресурсов с системой Windows NT 4. С помощью User Manager For Domains (Менеджер пользователей для доменов) добавьте целевой домен Windows Server 2003 к разделу Trusted Domains (Доверенные домены). Чтобы выполнить эту задачу, вам потребуется пароль, созданный на первом шаге. Будет получено сообщение о статусе, если доверительные отношения успешно создадутся.
Перемещение учетных записей глобальных групп
Порядок операций при перемещении учетных записей следующий: сначала глобальные группы, а затем пользователи. Такой порядок позволяет сохранить групповое членство, когда учетные записи пользователя перемещаются в целевой домен позже, и доступ к ресурсам. Когда вы перемещаете глобальные группы с Windows NT 4 на Windows Server 2003, создаются новые идентификаторы SID для новой глобальной группы. SID исходного домена добавляется к атрибуту SID-History для каждого объек-
та новой группы. Сохраняя SID исходного домена в поле SID-History, пользователи могут продолжать обращаться к ресурсам, расположенным в домене ресурсов с Windows NT, которые еще не перемещены.
Клонируя учетные записи глобальных групп (используя ADMT), вы создадите структуру скелетной группы в целевом домене согласно вашему проекту Active Directory. Поскольку учетные записи пользователя переместятся позже, они будут автоматически присоединены к группе, членами которой они были в исходном домене.
Процесс перемещения глобальных групп с Windows NT 4 на Windows Server 2003 при помощи Group Account Migration Wizard (Мастер модернизации учетных записей групп) инструмента ADMT несложен.
Чтобы перенести глобальные группы с Windows NT 4 на Windows Server 2003 с помощью Group Account Migration Wizard, выполните следующие действия.

1. Идентифицируйте исходные и целевые домены. Если имена доменов не появляются в раскрывающемся списке, их можно напечатать.
2. Выберите глобальные группы Windows NT 4, которые вы хотите переместить на Windows Server 2003.
3. Выберите OU, к которой вы хотите добавить глобальные группы в целевом домене.

Примечание. Инструмент ADMT дает возможность выбрать только одну OU в качестве контейнера адресата для перенесения учетных записей глобальных групп. Имейте это в виду, планируя модернизацию ваших глобальных групп. Вместо выбора всех исходных глобальных групп можно выбрать все группы, которые будут перемещаться в определенную OU. Затем повторно выполняется мастер перемещения учетных записей групп для перемещения групп, которые должны быть сохранены в другой OU.

4. Выберите желательные опции для группы. Сюда входят опция, позво-ляющаю копировать членов группы одновременно с копированием группы. По умолчанию члены группы не должны копироваться вместе с группой. Копирование членов группы одновременно с модернизацией группы является хорошим выбором для маленьких организаций, в этом случае перемещение группами - приемлемый многоступенчатый подход. В больших организациях глобальные группы высшего уровня (типа служащих) имеют слишком большое количество пользователей, чтобы их можно было переместить одновременно.

Как только глобальные группы перемещаются в Windows Server 2003, приходит время перемещения учетных записей пользователя.
Перемещение учетных записей пользователя
Перемещение учетных записей пользователей не делается за один раз. Было бы неплохо тщательно спланировать порядок этого перемещения и согласование во времени. Поскольку в процессе перехода будет сохраняться доступ к ресурсам, связанным с Windows NT 4, этот процесс можно растянуть на дни, недели или месяцы. При перемещении учетных записей пользователя следует иметь в виду следующее.
Сколько новых пользователей сможет поддерживать одновременно ваша ГГ-группа?
Какой набор пользователей должен перемещаться вместе?
Какой набор пользователей не сможет за определенное время приспособиться к неудобствам реструктуризации домена?
Этими соображениями нужно руководствоваться при определении порядка и согласования во времени процесса модернизации учетных записей пользователей. На первом шаге выбираются пользователи, которые будут перемещаться одновременно, и время выполнения модернизации.
Фактическое перемещение учетных записей пользователя процедурно очень похоже на перемещение учетных записей глобальных групп.
Чтобы переместить учетные записи пользователя с Windows NT 4 на Windows Server 2003 и в Active Directory с помощью User Account Migration Wizard инструмента ADMT, выполните следующие действия.

1. Выберите исходные и целевые домены.
2. Выберите учетные записи пользователей в Windows NT 4, которые вы хотите переместить.
3. Выберите OU-адресата в целевом домене.
4. Подтвердите, что вы на самом деле хотите переместить пароли учетных записей пользователей. Используя ADMT, вы можете выбрать одно из следующих действий.

• Создание новых, сложных паролей. Создается текстовый документ (формат значений, отделенных запятой, [.csv]), который устанавливает соответствие между пользователями и новыми паролями, затем решается задача связывания паролей с мигрированными пользователями.
• Установление пароля, совпадающего с именем пользователя. Пароль устанавливается на значение username(имя пользователя). Поскольку эта опция и описанная выше создают риск для безопасности, то для перемещенного пользователя в целевом домене устанавливается атрибут UserMustChangePasswordAtNextLogon(Пользователь должен изменить пароль при следующем входе в систему).
• Перемещение паролей. Эта опция позволяет переместить пользовательские пароли с исходного домена в целевой домен, для чего требуется идентификация исходного контроллера домена перемещаемых паролей.

Дополнительная информация. Исходным контроллером домена перемещаемых паролей является контроллер домена в исходном домене, который сконфигурирован как Password Export Server (Сервер экспорта паролей) (PES) путем установки DLL для модернизации паролей. Модернизация паролей - это отдельный компонент ADMT, его можно установить на любом контроллере домена (рекомендуется на BDC) в исходном домене с компакт-диска Windows Server 2003. Чтобы установить DLL для модернизации паролей на контроллере домена с Windows NT 4, откройте папку \I386\ADMT\PWDMIG и дважды щелкните на файле Pwdmig.msi. Сервер PES обслуживает базу данных паролей пользователей исходного домена и создает безопасный канал связи с целевым доменом для перемещения этих паролей. Для получения дополнительной информации об установке и использовании функции перемещения паролей смотрите документ Readme.doc в папке \I386\ADMT на компакт-диске Windows Server 2003 или по адресу: http://www.7nicrosoft.co7n/ windows2000/downloads/tools/admt/default.asp.

5. Управляйте состоянием учетных записей с помощью опции перемещения учетных записей. С помощью инструмента ADMT можно управлять переходом от исходной учетной записи к целевой учетной записи в окне Account Transition Options (Опции перехода учетных записей). Существует возможность управления состоянием учетной записи целевого домена (разрешать, блокировать или уравнять ее с исходной учетной записью) и учетной записи исходного домена (блокировать или разрешить на установленное количество дней).

Наилучшая практика. Обычный сценарий состоит в том, чтобы перемещать партии учетных записей пользователей, но не активизировать их, пока модернизация не завершится. После завершения модернизации можно программно активизировать все учетные записи пользователя и перейти к целевому домену. Из соображений безопасности лучше не иметь учетных записей, которые активны в исходном и целевом доменах одновременно. Если ваш план состоит в том, чтобы заставить пользователей входить на домен Windows Server 2003 сразу после перехода, используйте инструмент ADMT, чтобы отключить учетную запись исходного домена в процессе перехода. Если вы хотите позволить пользователям иметь доступ к домену Windows NT 4 в процессе перехода, используйте ADMT, чтобы отключить исходный домен через несколько дней после запуска ADMT.
Прекращение эксплуатации домена учетных записей
Заключительный шаг в модернизации домена учетных записей к Windows Server 2003 состоит в прекращении эксплуатации исходного домена, которое производится после проверки того, что учетные записи нужных пользователей и групп перемещены к Windows Server 2003, а сетевые службы работают в чистом лесу. Чтобы прекратить эксплуатацию домена учетных записей, контроллеры домена просто выключают. Спустя некоторое время (в течение которого монитор отслеживает любые перерывы в доступе к сети или ресурсам) контроллеры домена или модернизируются до Windows Server 2003, или на них заново устанавливается операционная система Windows Server 2003, а они назначаются контроллерами домена или остаются в роли серверов-членов домена.
Наилучшая практика. Рекомендуется не прекращать эксплуатацию домена учетных записей с системой Windows NT 4 до перемещения домена ресурсов, поскольку совместно используемые локальные группы и локальные группы в доменах ресурсов не смогут разрешать имена своих членов из домена учетных записей. Вместо этого групповое членство для локальной группы будет отображаться как «account unknown (учетная запись неизвестна)». Хотя это не влияет на доступ пользователей к ресурсам, важно не удалять входы «account unknown», потому что это нарушит доступ к ресурсам, сохраненным с помощью идентификатора SID-History. После того как все домены ресурсов будут реструктуризированы, можно прекратить эксплуатацию исходных доменов с Windows NT 4.
Теперь, когда учетные записи глобальных групп и пользователей перемещены, процесс модернизации домена учетных записей завершен. Ваши пользователи входят в домен Windows Server 2003 и легко обращаются к их общедоступным сетевым ресурсам с домена ресурсов Windows NT 4. Благодаря идентификатору SID-History и вашему опыту конечные пользователи не почувствуют, что среда, в которой они работают, является смешанной, и будут работать как обычно. Чтобы завершить проект реструктуризации домена в соответствии с вашим графиком работ, теперь можно перемещать домены ресурсов в Windows Server 2003.
Перемещение доменов ресурсов
Чтобы переместить домены ресурсов, необходимо выполнить следующее.
Удовлетворить дополнительные требования защиты.
Идентифицировать учетные записи служб, выполняющихся на серверах-членах домена.
Переместить учетные записи компьютеров (серверы-члены домена и рабочие станции).
Переместить совместно используемые локальные группы.
Переместить учетные записи служб.
Прекратить эксплуатацию всех исходных доменов.
Дополнительные требования защиты
Чтобы разрешить перемещение ресурсов Windows NT 4 в Windows Server 2003, выполните действия, связанных с защитой.

1. Удостоверьтесь, что группа Domain Admins (Администраторы домена) целевого домена является членом локальной группы администраторов на домене ресурсов с системой Windows NT 4. Это обеспечит необходимые административные права на каждом сервере-члене домена и на каждой рабочей станции в домене ресурсов, чтобы вы могли перемещать ресурсы домена.
2. Создайте второе доверительное отношение от целевого домена к домену ресурсов. В разделе «Создание чистого леса» этой главы рассказывалось, как это сделать. Устанавливая второе доверительное отношение, вы создаете два односторонних доверительных отношения между доменом ресурсов и целевым доменом. Используйте оснастку Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory) для проверки того, что это доверительное отношение было установлено.

Идентификация учетных записей служб
Учетные записи служб - это специальные учетные записи пользователей, которые используются для оперирования службами, выполняющимися на компьютерах с системами Windows NT 4 и Windows Server 2003. Большинство служб работают под учетной записью Local System Authority (LSA) (Власти локальной системы). При модернизации домена ресурсов сначала нужно идентифицировать службы, сконфигурированные так, чтобы не выполняться под учетной записью LSA.
Модернизация учетных записей служб состоит из двух этапов. Сначала нужно идентифицировать учетные записи служб. После перемещения компьютеров, на которых выполняется система Windows NT 4, в целевой домен с Windows Server 2003 можно переносить учетные записи идентифицированных служб.
Чтобы идентифицировать учетные записи служб, работающих на исходных доменах с Windows NT 4, используя инструмент ADMT, выполните следующие действия:

1. Откройте Service Account Migration Wizard (Мастер модернизации учетных записей).
2. Выберите исходный и целевой домены.
3. В исходном домене выберите все компьютеры, на которых нужно найти учетные записи служб. Чтобы выполнить эту задачу, вы должны посмотреть документацию, касающуюся среды домена, которая существовала до модернизации. 4.  Завершите выполнение Service Account Migration Wizard.

Вся информация будет сохранена в базе данных ADMT, пока она не потребуется для фактического перемещения учетных записей. Перемещение учетных записей служб происходит после перемещения учетных записей самих компьютеров.
Перемещение учетных записей компьютеров
Учетные записи компьютеров, которые постоянно находятся в домене ресурсов Windows NT 4, включают серверы-члены домена с Windows NT 4 Server, а также компьютеры с Windows NT Workstation 4, Windows 2000 Professional и Windows XP Professional. При модернизации учетных записей будут клонированы все учетные записи компьютеров из исходного домена в OU целевого домена.
Примечание. Вы не сможете переместить учетную запись контроллера домена, потому что нельзя изменить домен, к которому принадлежит контроллер домена с Windows NT 4 без повторной установки операционной системы. Контроллеры домена должны быть «переведены» в домен Windows Server 2003. Это «перевод» выполняется путем обновления операционной системы до Windows Server 2003 и последующим назначением компьютера на роль контроллера домена в целевом домене. После обновления операционной системы можно не устанавливать Active Directory, а оставить модернизированный сервер членом домена в целевом домене. ,
Чтобы переместить учетные записи компьютеров с помощью инструмента ADMT, выполните следующие действия.
Откройте Computer Migration Wizard (Мастер модернизации компьютеров).
Выберите исходный и целевой домены.
В исходном домене выберите учетные записи компьютеров, которые нужно перенести.
Выберите в целевом домене организационные единицы OU, в которые нужно перенести учетные записи компьютеров.
Выберите любые компьютерные объекты, для которых нужно переместить защиту учетных записей. При этом обновятся списки разграничительного контроля доступа (DACL) для ресурсов, расположенных на перенесенных компьютерах, новыми идентификаторами SID целевых доменов для учетных записей перемещенных групп и пользователей. Доступны следующие объекты:
•    файлы и папки;
•    локальные группы;
•    принтеры;
•    системный реестр;
•    совместно используемые ресурсы;
•    пользовательские профили;
•    пользовательские права.
Совет. Если вы решите не переводить защиту для перечисленных выше объектов в процессе выполнения Computer Migration Wizard, это можно сделать позже, используя Security Translation Wizard (Мастер перевода защиты) в инструменте ADMT. В состав мастера перевода защиты входит такое же окно Translate Objects (Перевести объекты), как и в мастере модернизации компьютеров. Вначале мастер перевода защиты спрашивает о том, хотите ли вы перевести защиту для перемещенных объектов. Если мастер перевода защиты выполняется после модернизации учетных записей компьютеров, выберите опцию Previously Migrated Objects (Ранее перемещенные объекты).
Установите перезапуск перемещенного компьютера. Чтобы переместить компьютерную учетную запись с одного домена на другой, инструмент ADMT посылает агента, чтобы сделать изменение на самом компьютере. Процесс модернизации компьютерной учетной записи завершается после перезапуска перемещенного компьютера. Инструмент ADMT позволяет задать интервал времени между окончанием работы мастера и перезапуском компьютера.
Выполните Computer Migration Wizard (Мастер модернизации компьютеров). После окончания его работы щелкните на View Dispatch Log (Просмотр журнала отправки), чтобы проверить урпешность работы агента отправки (dispatch agent). Этот компонент обновляет членство компьютера в домене, а затем перезапускает компьютер. Журнал регистрации отправки агента полезен для поиска неисправностей при неудавшейся модернизации учетной записи компьютера.
Перемещение общих локальных групп
Общие локальные группы (shared local groups) — это просто локальные группы на контроллере домена с Windows NT 4. Они используются для организации прав доступа. Если на вашем предприятии существуют такие группы, то вы должны перенести их на целевой домен для сохранения доступа к ресурсам для перемещенных пользователей. Процесс модернизации общих локальных групп не сильно отличается от процесса модернизации глобальных групп, который был описан выше.
Примечание. Модернизация локальных групп, расположенных на серверах-членах домена или рабочих станциях, не является необходимой. Эти локальные группы используются для предоставления доступа к ресурсам, находящимся на компьютере, и находятся в базе данных SAM на сервере-члене домена или на рабочей станции. Поскольку база данных SAM всегда перемещается с компьютером, то нет необходимости перемещать эти учетные записи. Вы должны перевести защиту для этих локальных групп, чтобы обновить ссылки SID для новых учетных записей домена. Посмотрите описание Computer Migration Wizard, приведенное выше в этой главе, для получения дополнительной информации о переводе защиты в процессе модернизации компьютера.
Чтобы переместить общие локальные группы, используя ADMT, выполните следующие действия.

1. Откройте Group Account Migration Wizard (Мастер модернизации учетных записей групп).
2. Выберите исходные и целевые домены.
3. Выберите общую локальную группу, которую нужно переместить.
4. Выберите организационную единицу OU, в которую нужно переместить учетную запись группы.
5. Обязательно выберите опцию Migrate Group SIDs To Target Domain (Переместить SID группы в целевой домен).
6. Позвольте мастеру перемещения учетной записи группы выполняться до завершения модернизации общих локальных групп в целевой домен.

Перемещение учетных записей служб
После перемещения учетных записей компьютера на целевой домен можно завершать вторую стадию процесса перемещения учетных записей служб. В начале процесса модернизации домена ресурсов вы идентифицировали учетные записи служб, которые использовались для оперирования службами серверов-членов домена. Теперь вы будете переносить учетные записи служб домена ресурсов с Windows NT 4 на целевой домен Windows Server 2003. Эта процедура гарантирует, что все службы, не выполняющиеся под LSA, будут запускать требуемые службы после того, как сервер-член домена переместится в целевой домен.
Чтобы переместить учетные записи служб, используя ADMT, выполните следующие действия.

1. Откройте User Account Migration Wizard (Мастер модернизации учетных записей пользователя).
2. Выберите исходные и целевые домены.
3. Выберите учетные записи служб, которые нужно переместить.

1. Совет. Если вы не помните имена учетных записей ранее идентифицированных учетных записей служб, можно просмотреть журнал агентов отправки (Dctlog.txt), который расположен в папке %userprofile %\Temp. Если вы вошли в систему Windows
2. Server 2003 как Migratorl, вы найдете этот файл в папке C:\Documents and Settings\Migratorl\Temp.
3. Выберите организационную единицу OU в целевом домене, в которую нужно перенести учетные записи служб.
4. Генерация сложного пароля будет использоваться для модернизации учетных записей служб. Независимо от того, какую опцию модернизации пароля вы выберете в окне Password Options (Опции пароля), инструмент ADMT будет всегда использовать опцию сложного пароля. ADMT распознает, что учетная запись пользователя, которую вы перемещаете, является учетной записью службы, и предоставит ей право входить в систему в качестве службы.

Примечание. Если учетные записи служб, которые вы переносите, имеют локальные права, унаследованные от членства в локальной группе, например, право «log on as a service» (входить в качестве службы), имеющееся у членов локальной группы администраторов. Вы должны установить эти права с помощью Security Translation Wizard (Мастер перевода защиты). В окне Translate Objects (Перевод объектов) мастера перевода защиты выберите объекты Local Groups (Локальные группы) и User Rights (Права пользователя) для перемещаемого сервера-члена домена, содержащего локальную группу, через которую эти права были унаследованы. Это тот компьютер, на котором будет происходить перевод защиты.

Прекращение эксплуатации исходных доменов
Теперь, когда все домены учетных записей и домены ресурсов были перемещены в Windows Server 2003 и в Active Directory, можно прекратить эксплуатацию исходных доменов Windows NT 4. Ведь единственные компьютеры, оставшиеся в исходных доменах - это контроллеры домена. Если ваш план перехода требует перемещения этих контроллеров домена в целевой домен Windows Server 2003, можно переместить их. Существует довольно сложный процесс перевода контроллеров домена в автономный режим, их обновления, назначения на роль контролера, отмена этой роли, повторного назначения, чтобы сделать их контроллерами домена в новом домене. Будет лучше, если вы убедитесь, что все необходимые данные перемещены с этих серверов, а затем выполните новую инсталляцию операционной системы Windows Server 2003. Заключительная задача состоит в том, чтобы удалить все доверительные отношения, которые были созданы для выполнения модернизации. Используя инструмент Active Directory Domains And Trusts, выберите каждое доверительное отношение с более не существующим доменом системы Windows NT 4 и щелкните на кнопке Remove (Удалить).
Обновление с последующей реструктуризацией
Третий путь, который мы рассмотрим, — обновление с последующей реструктуризацией, или перемещение в пределах леса. Выше говорилось, что в процессе обновления с последующей реструктуризацией контроллеры домена низкого уровня сначала обновляются до Windows Server 2003 (при этом сохраняется первоначальная иерархия домена), а затем происходит реструктуризация домена, при которой объекты службы каталога переносятся с модернизированных исходных доменов в целевой домен (или домены). Вы уже знакомы с задачами, которые необходимо выполнить при модернизации до Active Directory путем обновления с последующей реструктуризацией. Однако, в связи с требованиями защиты Windows Server 2003, вы увидите, что перемещение учетных записей в пределах леса работает иначе, чем в сценарии модернизации между лесами.
Процесс реструктуризации домена после обновления к Windows Server 2003 не обязательно происходит сразу же. Реструктурирование домена может быть проведено, когда вы получите навык управления службой Active Directory, поскольку структура Active Directory может изменяться при изменении вашего бизнеса.
Этот раздел показывает отличия обновления с последующей реструктуризацией от реструктуризации домена, которую вы уже знаете. В этом разделе не обсуждаются инструменты, поскольку технические различия относятся к любому инструменту модернизации домена, который вы выберите.
Модернизация в пределах леса и модернизация между лесами имеют следующие отличия.

• При модернизации в пределах леса для сохранения доступа к ресурсам, использующим SID-History, учетные записи должны быть перемещены, а не клонированы. Перемещение объектов учетных записей в пределах леса является деструктивным процессом, так как учетные записи пользователей, групп и компьютеров исходного домена удаляются по мере создания новых учетных записей в целевом домене. В результате вы не сможете поддерживать «параллельную среду», которая предлагает удобные варианты отступления, которая имеется в сценарии реструктуризации между лесами.
• При модернизации в пределах леса для поддержки правил группового членства нужно переместить учетные записи пользователей и групп, которым они принадлежат, одновременно. Это называется замкнутым набором (closed set). Этот процесс отличается от модернизации исходного домена Windows NT 4 до целевого домена Windows, в котором учетные записи пользователя и учетные записи группы можно переносить или вместе, или по отдельности. Однако инструмент ADMT не вычисляет полный замкнутый набор, так что нужно очень осторожно перемещать пользователей, которые являются членами глобальных групп. Если вы переносите группу, которая включает учетную запись пользователя, являющуюся членом другой глобальной группы, и если та глобальная группа не является рекурсивно членом какой-либо группы, перемещаемой в это же время, то будет нарушено членство данной учетной записи пользователя в глобальной группе, которая не включена в модернизацию. Другие типы групп (типа универсальных групп) допускают наличие членов, не принадлежащих их собственным доменам.

Конфигурирование доверительных отношений между лесами
В качестве альтернативы модернизации между лесами, описанной в предшествующем разделе, можно использовать доверительное отношение между лесами, направленное от одного леса Windows Server 2003 к другому, обособленному, лесу Windows Server 2003, в котором расположены ресурсы, предназначенные для доступа.
Одним из существенных улучшений в Active Directory Windows Server 2003 по сравнению с Windows 2000 является опция создания доверительных отношений между лесами Active Directory. В Active Directory Windows 2000 можно создавать доверительные отношения только между отдельным доменом в одном лесу и отдельным доменом в другом лесу. В Active Directory Windows Server 2003 можно установить доверительные отношения между корневыми доменами леса. Они могут быть односторонними или двухсторонними доверительными отношениями. После того как доверительные отношения созданы, можно использовать глобальные группы или универсальные группы одного леса для предоставления доступа к ресурсам другого леса.
Примечание. Создание доверительных отношений между двумя лесами допускает только совместное использование ресурсов между лесами. Все другие различия, существующие на уровне леса, сохранятся после создания доверительных отношений. Например, создание доверительных отношений не подразумевает, что леса будут совместно использовать глобальный каталог (GC) или общую схему.
Когда вы создаете доверительные отношения леса в Active Directory, они автоматически допускают маршрутизацию суффикса имени (name suffix routing) между этими лесами. Используя маршрутизацию суффикса имени, пользователи могут использовать свои основные пользовательские имена (UPN) при входе на любой домен любого леса. Например, если вы создаете доверительные отношения леса между лесом NWTraders.com и лесом Contoso.com, пользователи леса Contoso.com могут входить на рабочие станции в лесе NWTraders.com, используя свои UPN alias@contoso.com. Маршрутизация суффикса имени применяется по умолчанию ко всем именам доменов первого уровня, имеющимся в лесу. Это включает заданный по умолчанию UPN-суффикс и любые альтернативные суффиксы, сконфигурированные в лесу. Маршрутизация суффикса имени не работает между лесами, если один и тот же UPN-суффикс сконфигурирован в обоих лесах. Если UPN-суффикс Contoso.com сконфигурирован в лесе NWTraders.com, пользователи леса Contoso.com не смогут входить в лес NWTraders.com, используя свои UPN.
Когда вы впервые разрешаете доверительные отношения леса, все суффиксы домена первого уровня автоматически направляются на UPN доверительного отношения. Все дочерние суффиксы домена направляются неявно через суффикс родительского домена. Если вы добавляете другой UPN-суффикс к лесу, после того как создано доверительное отношение, вы должны разрешить маршрутизацию суффикса имени для нового суффикса. Вы можете сделать это, проверяя доверительное отношение между доменами или вручную добавляя новый суффикс на вкладку Name Suffix Routing (Маршрутизация суффикса имени) в окне свойств доверительного отношения.
Чтобы создать доверительное отношение леса, лес должен работать на функциональном уровне Windows Server 2003. Только члены группы Enterprise Admins (Администраторы предприятия) имеют разрешение создавать доверительные отношения леса.
Чтобы создать доверительные отношения леса, выполните следующее.

1. Запустите инструмент Active Directory Domains And Trusts. Щелкните правой кнопкой мыши на имени корневого домена леса и выберите Properties (Свойства). Выберите вкладку Trusts (Доверительные отношения).
2. Щелкните на кнопке New Trust (Новое доверительное отношение). Запустится New Trust Wizard (Мастер новых доверительных отношений). Напечатайте имя корневого домена леса в другом лесу.
3. Затем нужно будет выбрать тип доверительных отношений, которые вы хотите установить (см. рис. 7-4). Можно создать внешние доверительные отношения или доверительные отношения леса. Внешние доверительные отношения не являются транзитивными доверительными отношениями, в то время как доверительные отношения леса всегда являются транзитивными. Выберите Forest Trust (Доверительные отношения леса).
4. Выберите направления доверительных отношений (см. рис. 7-5).

Рис. 7-4. Конфигурирование типа доверительных отношений леса

Рис. 7-5. Конфигурирование направления доверительных отношений леса

5. Выберите вариант, создавать ли доверительные отношения только для этого домена или также для другого домена. (Эти два домена -корневые домены леса для каждого леса.) Доверительные отношения леса могут быть установлены только между корневыми доменами леса (см. рис. 7-6). Если нужно установить обе стороны доверительных отношений одновременно, впечатайте имя и пароль для учетной записи Enterprise Admins (Администраторы предприятия), которая существует в другом лесу. Если нужно установить доверительные отношения только для этого домена, напечатайте пароль, который будет использоваться для установки начального доверительного отношения. Затем это пароль должен использоваться для конфигурирования доверительных отношений в корневом домене леса другого леса.

Рис. 7-6. Выбор конфигурирования одной или обеих сторон доверительных отношений

6. Выберите уровень аутентификации, который будет предоставлен для исходящих и входящих доверительных отношений (см. рис. 7-7). Это позволит тщательно контролировать доступ к ресурсам между лесами. Если нужно применить аутентификацию по всему лесу, то пользователи одного леса будут иметь доступ ко всем серверам и ресурсам другого леса. Это такая же конфигурация, как доверительные отношения между доменами в пределах леса. Пользователи из одного домена леса могут обращаться к ресурсам в любом другом домене любого леса при условии, что им дано разрешение на доступ к ресурсу. Можно применять выборочную аутентификацию для доверительных отношений леса. В этом случае вы должны явно дать пользователям или группам из одного леса разрешения на доступ к серверам другого леса. Это можно сделать, предоставляя им права Allowed To Authenticate (Разрешено аутентифицировать) в Active Directory.
7. После конфигурирования доверительных отношений будет выполнена автоматическая проверка доверительных отношений.

Рис. 7-7. Конфигурирование уровня аутентификации для доверительных отношений леса
Резюме
В этой главе были рассмотрены различные пути перехода от службы каталога Windows NT 4 или Active Directory системы Windows 2000 к Active Directory Windows Server 2003. Были описаны три главных пути перехода: обновление, реструктуризация и обновление с последующей реструктуризацией. Существует несколько критериев, которые можно использовать для определения подходящего пути перехода для вашей организации. Для организаций, которые удовлетворены своей текущей доменной структурой, обновление домена является наименее сложным и опасным средством модернизации службы каталога. Если ваша доменная структура не соответствует организационной модели, вы должны реструктуризировать ваш домен. Независимо от выбранного пути, осторожное планирование, тестирование и пробная реализация вашего плана перехода являются важными условиями для успеха вашего проекта модернизации.

В главе описаны также основные этапы, необходимые при реализации обновления систем Windows NT Server 4 и Windows 2000 Server. Затем показан процесс реструктуризации домена учетных записей и домена ресурсов с системой Windows NT 4 с помощью инструмента ADMT. Обсуждены отличия пути обновления с последующей реструктуризацией, известного как перемещение в пределах леса, от реструктуризации домена. Заканчивает эту главу обсуждение функции доверительных отношений между лесами, имеющейся в Windows Server 2003.

 

1 .. 6 7 8 9 10 .. 16