|
Windows 2000 / 2003 Migrations-Projekt
Vorstudie Migrationsweg
Es gibt zwei verschiedene Ansätze um ein Windows NT Netzwerk nach Windows
2000/2003 Active Directory (AD) zu migrieren: In-Place Upgrade und Domain Restrukturierung,
auch Konsolidierung genannt. Die Entscheidung für einen dieser beiden Ansätze
- oder wie man sie am besten kombiniert - hat große Auswirkung beim Betrieb
des migrierten Netzes.
In-Place Upgrade
Microsoft nennt das In-Place Upgrade in diversen Dokumenten das "einfachste
Verfahren mit geringstem Risiko" um eine AD Struktur zu schaffen, da es die
existierenden Domains, deren User und Computer Accounts sowie alle Security-Gruppen
beibehält. Home-Shares, LOGON-Scripts und Zugriffsrechte auf alle Ressourcen
bleiben bei diesem Verfahren unverändert; die Security IDs (SIDs) bleiben
ebenfalls erhalten
Schwierigkeiten entstehen bei diesem Verfahren, falls die Windows NT Struktur
aus Ressource- und Account-Domains bestand. Dies stellt zwar kein Problem für
User-basierende Policies dar, verkompliziert aber die Verwendung von Group Policy
Objekten (GPOs), da während des LOGON auf auch auf GPOs aus der Ressource
Domain zugegriffen werden muss.
Außerdem muss generell berücksichtigt werden, dass eventuell vorhandene
Windows NT Policies (NTconfig.POL) auch bei Windows 2000 / XP Workstations Anwendung
finden und sich nachträglich nur mit großem Aufwand entfernen lassen.
Alle Accounts befinden sich nach dem Upgrade noch nicht in OUs, sondern in
den beiden Ordnern "Computers" und "Users" und müssen
nachträglich verschoben werden.
Wenn die migrierte Domain erst einmal in den "Native Mode" geschaltet
wurde, lässt sich die vorhandene und von Windows NT übernommene Domain
Struktur sehr einfach mittels Microsoft Active Directory Migration Tool (ADMT)
oder NetIQ konsolidieren. Das Verschieben von Accounts innerhalb eines Forests
zwischen zwei "native Mode" Domains funktioniert vollkommen transparent
unter Verwendung der SID-History, d.h. die SID bleibt erhalten. Auf diese Weise
lassen sich nicht mehr gewünschte oder benötigte Domains im Anschluss
an ein In-Place Upgrade sehr elegant restrukturieren.
Domain Restrukturierung
Die Alternative zum In-Place Upgrade besteht darin eine neue Domain- und OU-Struktur
aufzusetzen und mittels ADMT die User und Computer Accounts aus den vorhandenen
Domains zu importieren. Diese Domain Restrukturierung hat folgende Vorteile gegenüber
dem In-Place Upgrade:
- Keine Seiteneffekte durch vorhandene NT4 Policies.
- Erstellen und Test von GPOs bevor produktive User und Computer migriert
werden.
- Die importierten Accounts werden direkt in ihren OUs angelegt.
- Die neue Domain Struktur ist unabhängig von den vorhandenen Strukturen.
Allerdings gibt es auch eine Reihe von Nachteilen:
- Account Konfikte: Während der Restrukturierung kann sich durch
das Zusammenlegen mehrerer Domains die Notwendigkeit ergeben, dass User
Accounts umgenannt werden müssen.
- Neue SIDs: Accounts erhalten generell eine neue SID, d.h. alle Zugriffsrechte
und ACLs müssen neu gesetzt werden. Ein größeres Problem
stellt dies für Ressourcen auf nicht-Windows Computern (Unix, VMS,
NAS) dar.
- Aufwand: Das Umschalten von der alten in die neue Umgebung bedarf eine
ausführlichen Planung.
Lösungsansatz
Zu Prüfen ist ob nicht die Kombination aus beiden Verfahren - also zuerst
ein In-Place Upgrade aller Domains in einen gemeinsamen Forest mit anschließender
Restrukturierung - am leichtesten zum angestrebten Ergebnis führt, da dieser
Ansatz die folgenden Vorteile bietet :
- Active Directory ist mit minimalem Aufwand betriebsbereit.
- Das In-Place Upgrade beeinflusst den laufenden Betrieb nicht.
- Alle Accounts behalten Ihre SID; ACLs bleiben unverändert: Die
Restrukturierung kann die SID-History verwenden.
|
Prospekt (PDF)
Screenshots
Webinterface
Download
Versionsübersicht
Technische Hilfe
Shop
Kontakt
English
LOGINventory