|
|
|
Страница 1 из 2 
Active Directory Migration Tool 2.0Инструмент для миграции учетных записей и паролейMicrosoft выпустила Active Directory Migration Tool (ADMT) 2.0 в качестве дополнения к Windows Server 2003, и большинство администраторов воспринимают его как средство для осуществления перехода от одной версии Windows к другой. ADMT — предпочтительный инструмент миграции с прежних версий Windows на Windows 2003 или Windows 2000 Server для крупных организаций. Однако следует уточнить, что ADMT проектировался для переноса схемы Active Directory (AD) из одного леса в другой, независимо от того, меняется ли при этом версия операционной системы. ADMT обеспечивает не только переход с Windows NT 4.0 на AD, но и миграцию между лесами (консолидацию доменов, распределенных по отдельным лесам) и внутри лесов (миграции доменов, составляющих часть одного леса). В ADMT 2.0 появилось несколько новых функций, в том числе интерфейс командной строки и усовершенствованный интерфейс для работы с Microsoft Exchange Server. Кроме того, ADMT 2.0 обеспечивает миграцию паролей учетных записей пользователей. Велика роль ADMT и как средства перемещения схемы, так как после реализации схемы AD ее нельзя изменить напрямую. Чтобы внести изменения, необходимо удалить структуру и начать заново или применить ADMT, который позволяет перейти к другой схеме, не выстраивая ее заново. Отметив это важное обстоятельство, я расскажу, как перенести домен NT 4.0 в Windows 2003 с использованием ADMT 2.0. Я сформировал простую виртуальную среду, затем дополнил ее доменом-источником NT 4.0 с именем IKDOM01 и целевым доменом Windows 2003 с полным именем (Qualified Domain Name, FQDN) IKDOM2.ORG. ADMT должен работать на целевом основном контроллере домена (PDC). Если целевой каталог реплицирован, то выбранный сервер должен также быть мастером операций — эмулятором PDC. ADMT 2.0 совместим как с Windows 2003, так и с Windows 2000 Server. Инструмент можно загрузить с Web-узла Microsoft. Содержимое загружаемого файла admt2.exe следует извлечь в каталог ADMT, например. Один из извлеченных файлов, admigration.msi, устанавливает ADMT на выбранном сервере. По умолчанию ADMT разворачивается в подкаталоге \Program Files\Active Directory Migration Tool корневого системного каталога. После установки инструмента следует подготовить два домена к миграции. Подготовка к миграцииВ Windows 2003 предусмотрено два режима работы AD: однородный (native) и смешанный (mixed). В Windows 2003 появилось несколько функций безопасности, отсутствовавших в прежних версиях. В чистой среде Windows 2003 можно настроить AD на работу в однородном режиме, который лучше защищен, но несовместим со старыми контроллерами домена (DC). В смешанном режиме серверы AD и NT 4.0 могут работать с общей средой безопасности, но многие новейшие функции системы безопасности для однородного режима недоступны. Для того чтобы убедиться, что в новом домене используется однородный режим, следует открыть оснастку Active Directory Users and Computers консоли управления Microsoft Management Console (MMC) и щелкнуть правой кнопкой мыши на объекте domain. Из контекстного меню следует выбрать пункт Raise Functional Level, если он доступен; в противном случае нужно выбрать пункты All Tasks, Raise Functional Level. На экране появится диалоговое окно, в котором показан текущий функциональный уровень домена и можно изменить режим работы на однородный. Более подробные сведения о функциональных уровнях домена содержатся в статье Microsoft «HOW TO: Raise Domain and Forest Functional Levels in Windows Server 2003» (http://support.microsoft.com/?kbid=322692). Следует помнить, что, подняв уровень функционирования домена, снизить его нельзя. Затем необходимо создать двусторонние доверительные отношения между целевым и исходным доменами. На компьютере Windows 2003 требуется открыть оснастку Active Directory Domains and Trusts и щелкнуть правой кнопкой мыши на целевом домене (IKDOM2.ORG). Выбрав пункт Properties из контекстного меню, открываем диалоговое окно Properties. На вкладке Trusts следует щелкнуть на кнопке New Trust, чтобы запустить мастера New Trust Wizard, который поможет пользователю установить первую часть двусторонних доверительных отношений с доменом IKDOM01 NT 4.0. Чтобы создать вторую часть доверительных отношений (от исходного домена к целевому), следует открыть окно User Manager for Domains из меню Administrative Tools на PDC NT 4.0 домена IKDOM01. В меню Policies нужно выбрать функцию Trust Relationships, затем определить двусторонние доверительные отношения с целевым доменом. Изменив оба домена, следует закрыть консоль Active Directory Domains and Trusts на PDC Windows 2003, но оставить открытой User Manager for Domains на IKDOM01. Далее необходимо убедиться, что административные учетные записи, которые будут использоваться процессом миграции, располагают полномочиями в обоих доменах. В окне User Manager for Domains следует дважды щелкнуть мышью на объекте Administrators под объектом IKDOM01 и ввести администраторов для целевого домена (IKDOM2.ORG\Domain Admins), чтобы предоставить им полномочия в исходном домене. В процессе настройки исходного домена можно сформировать группу, связанную с переносом идентификаторов SID, но ADMT автоматически создает эту группу на исходном домене и присваивает ей имя, соответствующее домену (в моем случае было задано имя IKDOM01$$$). После этого утилиту User Manager for Domains следует закрыть. Затем необходимо назначить административные полномочия в домене Windows 2003. Нужно открыть оснастку Active Directory Users and Computers на машине Windows 2003, развернуть узел Builtin (в котором содержатся локальные группы сервера) под IKDOM2.ORG и добавить администраторов домена из исходного домена (IKDOM01\Domain Admins) в локальную группу Administrators. Следующий этап подготовки к миграции включает редактирование реестра на IKDOM01 PDC для поддержки клиента TCP/IP. Необходимо открыть редактор реестра, перейти в раздел HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa и ввести новый параметр TcpipClientSupport типа DWORD. Новому параметру следует присвоить значение 1 и перезапустить IKDOM01 PDC. Теперь можно приступать к миграции информации пользовательских учетных записей. На Windows 2003 PDC следует открыть оснастку Active Directory Migration Tool консоли MMC. Консоль MMC выглядит на экране довольно скромно: в ней нет почти ничего, кроме узла Active Directory Migration Tool, где хранятся отчеты. Инструмент ADMT работает под управлением мастеров; любое действие ADMT запускает один из 11 мастеров. Чтобы увидеть список мастеров, достаточно щелкнуть правой кнопкой мыши на узле Active Directory Migration Tool (экран 1). Существуют следующие мастера:
 Экран 1. Мастер ADMT Некоторые мастера, такие как Trust Migration Wizard, позволяют выбрать исходный домен, а затем отображают единственный экран, функционирующий как диалоговое окно. Другие мастера, такие как User Account Migration Wizard, сложнее, но во всех используется один базовый процесс. Миграция учетных записей пользователейЯ подробно расскажу об этапах работы мастера User Account Migration Wizard, предназначенного для миграции учетных записей пользователей (перенос паролей — отдельная операция). После запуска User Account Migration Wizard появляется малый экран заголовка. На следующем экране пользователю предоставляется возможность запустить мастер в тестовом режиме. Данная функция, которой нет ни в одном из других мастеров, позволяет настроить все параметры, связанные с миграцией пользователей, протестировать миграцию и получить отчет о потенциальных проблемах. Я рекомендую запустить мастер в тестовом режиме, чтобы сначала устранить любые неполадки, которые могут возникнуть в процессе миграции учетных записей пользователей, а потом настроить процедуру миграции паролей (она будет описана в следующем разделе) и, наконец, вновь запустить User Account Migration Wizard для переноса учетных записей пользователей и паролей одновременно. На следующем этапе User Account Migration Wizard просит указать исходный и целевой домены. Следует отметить, что мастер отыскивает только домены AD и пропускает домен NT 4.0, с которым были установлены доверительные отношения в раскрывающемся окне доступных доменов. Имя домена NT 4.0 необходимо ввести вручную. На следующем экране можно выбрать учетные записи пользователей. По щелчку на кнопке Add на этом экране открывается диалоговое окно с небольшим количеством функций, позволяющих выбирать объекты AD. Чтобы не вводить имя каждого пользователя вручную, следует щелкнуть на кнопке Advanced, и на экране появится расширенное диалоговое окно Select Users (экран 2). По щелчку на кнопке Find Now можно получить список всех учетных записей в целевом домене. К сожалению, нельзя отфильтровать встроенные учетные записи, такие как Administrator и Guest, поэтому при выборе их следует пропустить или удалить из списка после возвращения к мастеру.  Экран 2. Выбор учетных записей для миграции Выбрав учетные записи для миграции, нужно уточнить их будущее местонахождение в целевом домене. Мастер отображает имена FQDN, и администратор может отредактировать целевую организационную единицу (OU) для учетных записей.
|