Варианты модернизации
Общие положения модернизации доменной инфраструктуры
Цель лекции
Дать представление о процессе миграции при развертывании Active Directory.
Для возможности функционирования в компании различных приложений, используемых в бизнес-процессах до внедрения службы Active Directory, необходимо осуществить корректный перенос этих приложений и их настроек в новую спроектированную структуру. Реализация указанной задачи осуществляется путем разработки плана миграции существующей доменной структуры компании на доменную структуру Active Directory — определения порядка модернизации доменов.
- Определение домена, который должен быть модернизирован первым.
- Определение последовательности модернизации доменов учетных записей.
- Определение последовательности модернизации ресурсных доменов.
- Определение момента переключения для каждого домена из смешанного режима (Mixed mode) в основной режим (Native mode) Windows.
- Тестирование имеющихся критичных приложений в окружении Active Directory в смешанном режиме работы контроллеров доменов.
В процессе миграции данных обеспечивается непрерывность работы пользователей и минимальное время простоя информационных систем компании.
|
|
При модернизации доменной инфраструктуры осуществляется миграция данных: перенос в единую службу каталога информационных систем и приложений, работа которых тесно связана с Active Directory. При этом возможна миграция с существующей структуры DNS/WINS, с интеграцией новой и существующей структуры DNS/WINS на этапе миграции.
При проведении миграции необходимо выполнить следующие задачи [4]:
- перевести существующие домены ресурсов в организационные единицы новых доменов, что позволит упростить управление сетевыми ресурсами;
- «имитировать» ход миграции, при этом реального переноса данных не происходит;
- отменить сделанные действия, связанные с миграцией;
- переместить учетные записи служб;
- восстановить доверительные отношения между исходным и целевым доменами;
- преобразовать множество доменов в один или несколько крупных доменов в уже созданной среде Active Directory;
- реструктуризировать существующие группы или объединить несколько групп в одну в целевом домене;
- провести анализ процесса переноса данных с помощью журнализации миграционных событий.
Миграция пользователей и рабочих станций в единую структуру Active Directory реализуется с сохранением существующих прав доступа.
Существует два основных варианта модернизации доменной инфраструктуры [4]:
- Обновление доменов. Данный способ является наиболее распространенным и простым для реализации при миграции доменов. Этот способ позволяет сохранить текущую структуру доменов, настройки системы, структуру пользователей и групп. Обновление домена (in-place обновление) включает перевод контроллеров существующего домена в создаваемый домен.
- Реструктуризация доменов. Данный способ позволяет изменить существующую структуру доменов, объединить домены или преобразовать домены в организационные подразделения.
Помимо указанных выше вариантов, существует также смешанный вариант, основанный на них, — обновление доменов с их последующей реструктуризацией [13].
|
|
Эти варианты называются путями перехода при внедрении Active Directory. Выбранный из них путь перехода будет являться главным звеном в общей стратегии обновления доменной инфраструктуры. Эта стратегия будет включать описание того, какие объекты службы каталога и в каком порядке необходимо переместить. Наилучший способ любого перемещения приложений при внедрении Active Directory состоит в документировании каждой детали в рабочий документ, называемый планом перехода.
При выборе пути перехода подразумевается, что это решение касается только одного домена, то есть совершенно справедливо использовать различные пути перехода для различных доменов в пределах одной организации.
Рассмотрим основные критерии, которые используются при выборе наиболее подходящего пути перехода [13], приведенные в таблицах 12.1-12.6.
- Критерий 1. Удовлетворенность имеющейся моделью существующего домена.
Таблица 12.1. Выбор пути перехода по критерию 1
Путь перехода | Соответствие критерию |
Обновление домена | Если нет никаких существенных изменений, которые хотелось бы сделать в доменной модели, то обновление домена обеспечит самый легкий путь. Имя домена останется тем же самым, так же как и существование всех учетных записей пользователей и групп |
Реструктуризация домена | Если имеющаяся доменная модель больше не удовлетворяет организационным потребностям либо больше не является наиболее оптимальной для подразделений организации, то наилучшим выбором будет реструктуризация домена |
- Критерий 2. Степень риска при переходе к новой модели домена.
Таблица 12.2. Выбор пути перехода по критерию 2
Путь перехода | Соответствие критерию |
Обновление домена | Обновление домена представляет собой метод с минимальным риском. Процесс модернизации контроллера домена выполняется автоматически, следовательно, без взаимодействия с пользователем возможностей для ошибок возникает немного. Методология восстановления после сбоя при обновлении домена также относительно проста: если обновление прошло неудачно, необходимо выключить основной контроллер домена (PDC), назначить любой резервный контроллер домена (BDC), имеющий свежие данные, на роль PDC, и начать процедуру снова |
Реструктуризация домена | Реструктуризация домена представляет собой путь с более высоким риском, чем обновление домена. Надо выполнить большее количество задач, и поэтому многие процессы могут идти не так как надо. В результате растет недовольство пользователей, которые не могут войти в систему, обратиться к необходимым ресурсам или получить доступ к своим почтовым ящикам |
- Критерий 3. Время выполнения перехода[3].
Таблица 12.3. Выбор пути перехода по критерию 3
Путь перехода | Соответствие критерию |
Обновление домена | Обновление домена — это линейный процесс: если он был начат, то должен быть закончен. Для него требуется меньше действий, чем для реструктуризации, и, соответственно, меньше времени требуется для выполнения всего перехода |
Реструктуризация домена | Реструктуризация домена всегда длится дольше. Например, при реструктуризации тратится много времени на создание и проверку инфраструктуры целевого домена, на перемещение всех учетных записей с исходного домена на целевой домен. Крупные организации, возможно, не смогут переместить все объекты за один раз, так что достаточно часто реструктуризация домена производится в несколько этапов |
- Критерий 4. Рабочее время службы каталога, которое необходимо затратить на процесс перехода.
Таблица 12.4. Выбор пути перехода по критерию 4
|
|
Путь перехода | Соответствие критерию |
Обновление домена | Объекты учетных записей недоступны в процессе перехода, потому что они самостоятельно модернизируются при обновлении домена |
Реструктуризация домена | Хороший выбор для организаций, в которых рабочее время системы является критической величиной. Так как она включает создание незаполненного, «чистого» леса и оставляет исходную среду по существу без изменений, то работоспособность службы каталога сохраняется, поскольку пользователи продолжают функционировать в существующей среде. Можно переносить большие или маленькие партии пользователей в течение непиковых часов работы и оставлять эти новые учетные записи бездействующими до того времени, как появится готовность покинуть старую систему |
- Критерий 5. Наличие ресурсов для выполнения перехода.
Таблица 12.5. Выбор пути перехода по критерию 5
Путь перехода | Соответствие критерию |
Обновление домена | Поскольку обновление домена является автоматизированной операцией, то на реализацию этого пути перехода потребуется меньшее количество людских ресурсов |
Реструктуризация домена | Реструктуризация домена влечет за собой большее количество задач, чем обновление домена, и поэтому требуется большее количество ресурсов, то есть необходимо, чтобы штат сотрудников был адекватно укомплектован для выполнения дополнительной рабочей нагрузки, связанной с реструктуризацией домена. В качестве альтернативы можно переложить часть задач или весь проект на внешних сотрудников: существует множество консультативных групп, которые специализируются на таких проектах, что позволит сэкономить время и деньги, необходимые для обучения внутренних сотрудников |
- Критерий 6. Бюджет проекта перехода.
Таблица 12.6. Выбор пути перехода по критерию 6
|
|
Путь перехода | Соответствие критерию |
Обновление домена | Факторы, способствующие уменьшению необходимых бюджетных средств:
|
Реструктуризация домена | По многим причинам реструктуризация домена потребует большего бюджета, чем обновление домена. Аппаратные требования, необходимые для построения незаполненной среды леса, в которую необходимо переносить объекты службы каталога, следует рассмотреть с точки зрения бюджетных затрат |
Если компания не совсем удовлетворяет условиям, позволяющим уверенно выбрать обновление или реструктуризацию домена в качестве пути обновления, или если для нее подходят оба пути, то можно выбрать третий путь — обновление домена с последующей реструктуризацией.
Данный путь перехода к Active Directory позволит получить немедленную выгоду (делегирование администрирования, групповые политики, публикация приложений и многое другое), а также долговременную выгоду от реструктуризации домена (меньшее количество доменов с увеличенным объемом домена, проект домена в соответствии с деловыми и организационными целями компании).