Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Переход на Active Directory: средства миграции

Говард Маркс

Давние приверженцы ОС Windows NT слышат обещания корпорации Microsoft о по-настоящему глобальной службе справочника для сетей Windows и их приложений еще со времени появления на свет Windows NT 3.51. Нам еще тогда говорили, что "земля обетованная" ждет нас в Cairo. А тем временем мы продолжали жить с администрированием типа "все или ничего", доверительными отношениями, средствами тиражирования с одним главным сервером и прочими ограничениями доменов Windows NT. Зато теперь, с появлением справочника Active Directory, в мире Windows появилась возможность централизованного управления ресурсами в корпоративной среде.

Теперь, когда Active Directory -- уже реальность, пришло время определиться, как эта служба поможет упростить нашу жизнь, и каков наилучший способ перехода из нашей текущей службы (или, что вероятнее, нескольких служб) справочника в Active Directory. Появление новых средств таких, как BackOffice в Exchange 2000, которым требуется Active Directory, также подвигнет многих на скорейший переход к Active Directory. Мы протестировали ряд продуктов, созданных в помощь системным архитекторам и администраторам в деле преобразовании сетей на базе доменов Windows NT для работы с Active Directory. Это были пакеты Controlled Migration Suite компании Aelita Software, Bv-Admin for Windows 2000 Migration (DirectMigrate) компании BindView, DM/Manager 5.1 компании FastLane Technologies и Domain Migration Administrator компании NetIQ.

Большая часть из этих пакетов ведут свою "родословную" от продуктов для Windows NT, позволявших сетевому администратору делегировать часть своих полномочий по администрированию доменов, например изменять пароли членов группы пользователей. Некоторым компаниям-производителям ПО эта практика настолько пришлась по душе, что они раскупили фирмы, производящие ПО доменного администрирования. За последние месяцы компания BindView приобрела фирму Entevo, NetIQ купила Mission Critical Software, а Quest Software слилась с FastLane Technologies.

Первое место мы присудили пакету DMA компании NetIQ. Нам особо понравилась возможность моделировать процесс миграции в базе данных для его последующего рассмотрения и анализа, после чего эта модель реализуется и осуществляется преобразование NT-домена в домен справочника Active Directory. Вторым в нашем рейтинге оказался пакет компании BindView, упустивший первое место главным образом из-за медленной скорости преобразования доменов. Продукты компаний Aelita и FastLane получили практически одинаковые оценки. Все соперничающие пакеты представляют собой мощные средства реконфигурирования доменов Windows NT в домены Active Directory, но ни один из них не предоставляет всех функций, которые бы мы хотели видеть в средстве миграции. Этот сектор рынка еще относительно нов и продукты на нем представленные не успели достичь зрелости.

Компания Microsoft также предлагает средство миграции Active Directory Migration Tool (ADMT), однако самым подходящим для его приложения местом является небольшая сеть исключительно со "штатным" (native) режимом доменов Active Directory. Оно, к примеру, не выполняет очистку атрибута SIDhistory (истории системных идентификаторов -- SID), а это важный этап миграции.

Все протестированные пакеты предлагают не только базовые функции миграции из Windows NT в Active Directory. С их помощью мы смогли легко переместить пользователей и группы из исходных доменов Windows NT в домены Active Directory и организационные единицы (OU -- organizational units); выполнить удаление, отключение или назначение конечного срока действия исходных учетных записей, перемещение компьютеров в новые домены и обновление списков управления доступа (Access Control List -- ACL) к ресурсам с тем, чтобы предоставить новым учетным записям доступ к этим ресурсам.

Имейте в виду, что стоимость лицензирования каждого из этих четырех продуктов зависит от количества перемещаемых пользователей. Например, если при объединении четырех доменов Windows NT некоторые учетные записи пользователей сливаются, и в процессе преобразования итоговое число пользовательских учетных записей сокращается (например, с 4000 до 2500), лицензию вам все же придется приобрести именно на то количество учетных записей, какое было у вас до преобразования. По нашему мнению, это вполне справедливая модель лицензирования, т.к. величина платы зависит от объема выполняемой работы.

Модернизация доменной модели

Предыдущая доменная модель Microsoft была, мягко говоря, неуклюжей и недостаточно гибкой. Например, у одного из клиентов нашей фирмы, которому мы предоставляем консалтинговые услуги, имеется ряд филиалов, разбросанных по всей стране, и в каждом из них работает свой торговый агент от каждого производственного отделения. В каждом филиале, соответственно, имеется свой заведующий филиалом и секретарь. При использовании доменов Windows NT мы могли либо создать по домену для каждого отделения, либо по домену для каждого филиала.

К сожалению, ни тот, ни другой вариант нельзя назвать хорошим решением. Использование доменов для отделений потребовало бы наличия в каждом из филиалов резервного контроллера домена (Backup Domain Controller -- BDC) для каждого из пяти таких доменов, иначе некоторым из пользователей не удалось бы зарегистрироваться в случае выхода из строя линии территориально-распределенной сети. А пять BDC-контроллеров породит большой объем трафика обновления доменной информации. Использование же доменов для филиалов потребует наличия в каждом филиале только одного PDC (Primary Domain Controller) и одного BDC-контроллера. Однако в этом случае администрирование превратится в кошмар, т.к. потребует создания и мониторинга доверительных отношений между 50 доменами, при этом в штаб-квартире компании должно быть установлено 50 резервных контроллеров доменов.

Если же воспользоваться Active Directory, то в домене филиала по сбыту продукции можно для каждого отделения создать свою организационную единицу, что позволит администраторам отделений управлять своими пользователями, и в то же время будет существовать единый справочник, откуда будут видны все пользователи.

Служба справочника Active Directory: информация для руководителей

В следующие два года самым серьезным испытанием для ИТ-персонала многих организаций станет переход к ОС Microsoft Windows 2000 и ее справочнику Active Directory. Успешная и безболезненная миграция потребует тщательного планирования, беспрецедентного уровня координации между корпоративным руководством и ИТ-отделами, и, разумеется, средств, вроде тех, что мы протестировали.

Системным администраторам уже сейчас следует предпринять подготовительные шаги. Создайте тестовую лабораторию, начните реконфигурацию DNS для поддержки динамической DNS и разработайте график обучения. Затем проработайте структуру своих "деревьев" и всего "леса".

Только после этого вооружитесь пакетом Domain Migration Administrator (DMA) компании NetIQ -- победителем нашего обзора, или же вторым нашим финалистом -- Bv-Admin for Windows 2000 Migration компании BindView, и смоделируйте свою новую доменную архитектуру в базе данных. И, наконец, осуществите перемещение пользователей, групп и ресурсов в Active Directory.

Другим существенным изменением в Active Directory стал способ использования DNS. Любой администратор Windows NT скажет вам, что пользователей и даже некоторых администраторов часто вводит в заблуждение использование и в Windows NT, и в DNS, термина "домен". В Active Directory с этой неясностью покончено: здесь используется стандартная для Интернет динамическая служба DNS для обеспечения критически важного установления соответствий между именами хостов и IP-адресами. В Active Directory административные домены являются доменами DNS. Собственно говоря, одним из четырех подготовительных этапов к переходу на Active Directory у нас стала перестройка DNS и установление поддержки требуемой динамической DNS. В некоторых компаниях работающие на Unix группы, возможно, не захотят отдать полный контроль над DNS, в этом случае компания может просто создать новый домен верхнего уровня и уже оттуда запустить Active Directory.

В большинстве случаев преобразование доменов из Windows NT в Active Directory повлечет перемещение или объединение пользователей между доменами, при этом необходимо хотя бы временно разрешить им доступ к еще не перемещенным ресурсам, значит, критически важной составляющей процесса является предоставление новым пользовательским учетным записям (с новыми SID) доступа к старым ресурсам. Для решения этой проблемы Microsoft придала таким объектам Active Directory, как пользователи и группы, атрибут SIDhistory (история SID). Когда мы преобразовывали домен Windows NT в Active Directory OU, SID-идентификаторы пользователей были скопированы в атрибут SIDhistory нового объекта-пользователя. В результате при обращении пользователя за доступом к ресурсу, например, общему каталогу, его прежний доменный SID-идентификатор пересылается серверу этого ресурса, вместе с текущим SID пользователя и SID группы, членом которой он является. Таким образом, серверы Windows NT могут разрешить доступ, исходя из прежнего SID-идентификатора.

Толковый словарь терминов службы справочника Active Directory

Домен -в Active Directory домен представляет собой защищенную область (security boundary). Домены содержат секционированную БД справочника (разделы, partitions of the directory database) для "леса" (группы деревьев) или дерева, содержащего пользователей, группы, компьютеры и ресурсы. Эта секционированная БД домена хранится на контроллерах домена.

Лес -- это группа доменов, имеющих общую конфигурацию и структуру, но не общий DNS-"корень" (рис.2.). Все корневые домены леса объединены транзитивным доверительным отношением, что делает все ресурсы леса доступными любому пользователю этого леса.

Глобальный справочник -- содержит частичную копию базы данных Active Directory для целого леса или дерева. Эта частичная копия включает каждый объект в БД и информацию о каждом объекте, которая представляет общий интерес для всего дерева, например, регистрационное имя и адрес электронной почты. Глобальный справочник может использоваться для поиска дополнительных характеристик объектов, принадлежащих к дереву, для протокола LDAP.

Смешанный режим (mixed mode). Домен Active Directory, который содержит один или более резервных контроллеров доменов Windows NT 4.0, должен работать в смешанном режиме. Домены смешанного режима лучше всего рассматривать как промежуточный этап на пути к "штатному" режиму работы справочника.

"Штатный" режим (native mode). Все контроллеры в домене "штатного" режима работают под Windows 2000. Домены "штатного" режима используют многосерверное тиражирование, позволяя администраторам вносить обновления в любой контроллер домена. Домены "штатного" режима поддерживают универсальные группы, доменные локальные группы и некоторые другие средства, не поддерживаемые в смешанном режиме.

Организационная единица (OU) -- это подразделение домена, которое можно использовать для делегирования полномочий. Как и домены, OU содержат пользователей и ресурсы, на доступ к которым могут быть даны административные полномочия, например, право на создание пользователя или на изменение пароля.

Узел -- это группа контроллеров домена, соединенных высокоскоростной связью. Контроллеры домена используют различные схемы тиражирования для тиражирования внутри узла и вне узла. Кроме того, контроллеры домена Windows 2000 выполняют сжатие трафика доменного тиражирования внутри узла. Узлы определяются как IP-подсети.

Дерево -- иерархическое разбиение доменов Active Directory на группы называется деревом (рис.1.). Компания General Motors, например, может организовать свой справочник как дерево из следующих доменов: GM.com, Chevy.GM.com, Olds.GM.com и Trucks.Chevy.GM.com. Входящие в дерево домены связаны двунаправленными транзитивными доверительными отношениями.

Идея вроде бы хорошая, но и у нее есть свои недостатки. API-интерфейс SIDhistory работает только с доменами, работающими в "штатном" режиме Active Directory, имеющими исключительно контроллеры доменов Windows 2000. А дополнительные SID-идентификаторы значительно усложняют анализ списков доступа ACL и принадлежность ресурсов, особенно для томов, работающих под ОС Macintosh компании Apple Computer (они используют принадлежность для управления разрешением доступа к ресурсам), а также в случае удаления доменов, содержавших пользователей. Если исходные домены были уничтожены, то единственное, что вы увидите при взгляде на права доступа к ресурсу, это надпись "account unknown" для тех пользователей, чьи учетные записи уже были перемещены. Полоса пропускания и производительность сети также могут существенно пострадать от увеличения размера маркеров доступа, ведь теперь они содержат не только SID-идентификаторы новых учетных записей пользователей и групп в домене назначения, но и все идентификаторы пользователей и групп, связанные с этим пользователем и во всех исходных доменах. О каждом пользователе/группе, имеющем доступ к таким ресурсам, как файлы, имеется запись в ACL. Типичный файл на сервере Windows NT содержит от пяти до 10 объектов в своем списке SIDhistory. И число это может вырасти в три-пять раз.

Впрочем, SIDhistory рассматривается нами, как и разработчиками этих продуктов, только как временная мера, облегчающая процесс перехода. Все четыре фирмы-поставщика поддерживают не только обновление SIDhistory при перемещении пользователей, но и очистку ее после завершения миграции. Мы рекомендуем продолжать пользоваться SIDhistory до тех пор, пока вы не будете готовы отключить доменные контроллеры своих прежних доменов. Именно в этот момент, точнее прямо перед ним, вы и должны запустить очистку SIDhistory и реорганизовать список доступа к своим ресурсам таким образом, чтобы он содержал новые SID-идентификаторы, после чего SIDhistory можно уничтожить. Именно реорганизация ACL, т.е. уничтожение ссылок на старые пользовательские идентификаторы и SID групп и добавление новых идентификаторов в список доступа к ресурсам, является самым затяжным и хлопотным этапом миграции в Active Directory. Если в процессе миграции возникнут проблемы, то ее можно отменить и вернуться в прежнее состояние. На работе клиентов процесс реорганизации ACL никак не сказывается.

При планировании процедуры миграции сначала следует принять решение о времени старта реструктуризации доменов. Можно отнестись к миграции как к возможности реструктуризации и выполнить ее при переходе на ОС Windows 2000 и Active Directory, или же принять более консервативный подход и начать реструктуризацию еще до замены операционных систем.

Если вы остановитесь на варианте реструктуризации с последующим переходом к Active Directory, то хорошим выбором для вас станет продукт Bv-Admin компании BindView, т.к. вы сможете воспользоваться его средствами делегирования административных полномочий для обучения своих администраторов некоторым концепциям Active Directory. Другие продукты также предлагают нечто подобное, но Bv-Admin более прочих похож на Active Directory в плане управления Windows 2000. Недостатком этого пакета является медлительность его работы: на преобразование даже малых доменов (содержащих три -- четыре сервера с 100 Гбайт данных) понадобится не менее двух полных дней. Если же вы решили не менять структуру своих NT доменов до инсталляции Active Directory, то для небольших по объему миграций лучше всего подойдет продукт DM/Manager компании FastLane.

Domain Migration Administrator компании NetIQ

Зная, что пакет ADMT, входящий в Windows 2000 Server, был разработан компанией Mission Critical Software до того, как она была приобретена фирмой NetIQ, мы много ожидали от их продукта Domain Migration Administrator (DMA). И не были разочарованы. Решение от NetIQ делает сложную процедуру миграции гораздо более "дружественной".

У консоли MMC пакета DMA на правой панели имеется не менее 16 цветных кнопок, служащих для выполнения таких обычных функций, как реорганизация списков доступа к общим ресурсам и серверам Microsoft Exchange. Кроме того, предлагается и несколько менее распространенных функций, таких как переименование удаленных компьютеров, что очень удобно, если вы решили в процессе миграции перенести информацию сервисных учетных записей или доверительные отношения, либо изменить соглашение о назначении имен.

Таблица 2. Характеристики средств миграции в Active Directory (AD)

Характеристика

Controlled Migration Suite компании Aelita Software

BvAdmin for Windows 2000 и BvAdmin for Windows 2000 Migration компании BindView

DM/Manager компании FastLine Technologies

Domain Migration Administrator (DMA) компании NetIQ

Миграция пользователей и глобальной группы в домен AD

+

+

+

+

Миграция пользователей в OU AD (организационную единицу)

+

+

+

+

Миграция в универсальные группы

+

+

+

+

Миграция бюджетов машин

+

+

+

+

Обновление SIDhistory

+

+

+

+

Очистка SIDhistory

+

+

+

+

Управление доменами Windows NT

-*

+

-*

-*

Управление доменами AD

-

+

-*

-*

Копирование паролей

+

-

+

+

Копирование данных, общих ресурсов (дисков), принтеров

+

+

-*

-*

Реорганизация ACL каталогов

+

+

+

+

Реорганизация ACL общих дисков

+

+

+

+

Реорганизация ACL принтеров

+

+

-

+

Распределенная реорганизация ACL

+

-

-

+

Планирование реорганизации ACL

+

-

-

+

* - отдельный продукт

Базовую миграцию пользователей и групп здесь нужно начинать с создания проекта миграции, которому присваивается отдельное имя. После создания такого проекта вы последовательно, шаг за шагом проделываете весь путь, согласно приведенному на правой панели списку задач, при этом на левой панели отображаются находящиеся в работе проекты миграции. После того, как мы выбрали объекты для миграции из исходного домена, DMA спросил, хотим ли мы смоделировать миграцию в базе данных. Смоделировав миграцию в БД, мы получили возможность заново пересмотреть миграцию, показать ее своим коллегам и даже выполнить ее откат или внести изменения, прежде чем перекраивать исходный домен или домен назначения. Только еще у пакета DirectMigrate компании BindView есть подобное средство предварительного моделирования миграции в БД.

На каждом этапе миграции DMA предоставляет не только базовые опции для выполняемых задач, например, вы можете решить, что предпринять при конфликте имен пользователей, что делать с исходной учетной записью, следует ли ее отключить или уничтожить, и когда это сделать. После миграции данных в БД, у нас была возможность их отредактировать, из 1000 пользователей мы исправили данные на десятерых, имена которых не соответствовали соглашению о назначении имен, а затем перенесли эту БД в Active Directory. Пакет DMA предоставляет также массу опций для генерации отчетов, при этом для управления отчетами и БД моделирования используется исполняемый модуль Microsoft Access. После завершения переноса пользователей и групп мы вернулись в главное меню и занялись реорганизацией ACL и очисткой SIDhistory.

Как мы тестировали средства миграции в Active Directory

Для оценки средств миграции в Active Directory мы постарались смоделировать типичную, по нашим представлениям, миграцию пользователей и групп в нашей лаборатории. Для копирования пользователей и групп из двух доменов на серверы Windows NT 4.0 Service Pack 6a (300 МГц Vectra Pentium II системы компании Hewlett-Packard) мы воспользовались утилитой Add Users из инструментального набора Microsoft Windows NT Resource Kit. На одном из серверов первого домена мы создали структуру справочника объемом 1 Гбайт, содержащую более 5 тыс. файлов, общих дисков и каталогов.

При тестировании с хронометражем перед каждым средством ставилась следующая задача: переместить первый домен (содержащий 890 пользователей и 78 групп) в организационную единицу (OU) Windows 2000 Active Directory на 600 МГц сервер Pentium III, и затем влить туда же второй домен (содержащий 70 пользователей, 10 групп и 2 рабочие станции Celeron 500), переместив при этом и две рабочие станции. Все машины были соединены через сеть 100BASE-T, и каждая была оборудована 256 Мбайт памяти. Во время тестирования проводился хронометраж, и для каждого приложения мы также отмечали время, потребовавшееся на инициализацию всех необходимых этапов. После чего мы исследовали конфигурации на правильность ACL, пользовательских идентификаторов и паролей.

При тестировании на производительность продукты должны были переместить домен Windows NT, содержащий 695 объектов, 675 пользователей и 20 групп, в OU домена Active Directory, и реорганизовать ACL первичного контроллера домена для домена Windows NT, содержащего 5 общих дисков и 7 000 файлов, общим объемом чуть более 1 Гбайт дискового пространства.

Дополнительное тестирование включало перемещение 50 пользователей из второго домена Windows NT. Причем имена тридцати пяти из этих пользователей совпадали с именами пользователей из первого домена, и их, соответственно, следовало между собой объединить. Для этого теста хронометраж не проводился.

Все четыре продукта показали ожидаемые результаты и в том, что касалось файловой системы, и Active Directory. Все они также успешно удалили перемещенные объекты. Продукт DM/Manager компании FastLane Technologies не смог вернуть списки ACL для файловых систем. Продукту Bv-Admin for Windows 2000 Migration компании BindView потребовалось почти в три раза больше времени, чем продуктам Controlled Migration Suite компании Aelita Software и Domain Migration Administrator компании NetIQ.

Пакет DMA позволяет проконтролировать каждый аспект перехода, в частности принять решение о реорганизации ACL, профилей пользователей и всех прочих мыслимых типов ресурсов, при этом предоставляется более детальный контроль, чем в большинстве других продуктов. DMA максимизирует скорость реорганизации ACL следующим образом: консольный ПК отправляет агента в систему, для которой будет выполняться реорганизация ACL, экономя таким образом полосу пропускания и позволяя нескольким серверам параллельно заниматься реорганизацией ACL. Каждый выполненный нами этап добавлялся в проект на экране, вместе с опциями отмены для большинства этапов, на которых обновлялось реальное дерево справочников.

Тех из вас, кто задумывается о переходе с NDS на Active Directory, порадует известие, что DMA обладает уникальным модулем миграции из NDS, который позволит вам переместить пользователей, группы и даже OU из вашего NDS-дерева в Active Directory.

Bv-Admin for Windows 2000 Migration (DirectMigrate) и Bv-Admin for Windows 2000 (DirectAdmin) компании BindView

Даже DMA не может сравниться с DirectMigrate и его собратом DirectAdmin компании BindView по степени интеграции и способности в два этапа переносить объекты из доменов Windows NT в базу данных DirectMap от BindView. Если бы не медленная скорость выполнения преобразования, пакет DirectMigrate вкупе с DirectAdmin мог бы отобрать первенство у DMA. Разбиение процесса перехода на два этапа позволило нам сначала построить модель предполагаемой доменной структуры Active Directory, дать ее на рассмотрение нескольким ответственным лицам, просмотреть различные "ветви дерева" выбранной структуры, переделать ее, и только затем реализовать сделанные изменения в дереве Active Directory. К сожалению, при моделировании это средство ограничивается только уже существующими доменами.

Пакеты DirectMigrate и DirectAdmin пользуются одними и теми же службами и базой данных для управления доменами Windows NT и Windows 2000. При помощи DirectAdmin мы могли в доменах NT или Active Directory создавать организационные единицы OU, делегировать полномочия и управлять объектами.

DirectMigrate базируется на программах-мастерах. Мы создали проект для миграции пользователей, групп и компьютеров из одного домена в другой. Этот проект может выполнять перемещение из доменов NT, Active Directory или БД DirectMap от BindView, и миграцию этих объектов.

После появления пользователей и групп в доменах назначения, мы запустили серию программ-мастеров для реорганизации ACL серверов исходного домена, Exchange и прочих серверов. Наша версия DirectMigrate не умеет копировать пароли из доменов Windows NT 4.0 в Active Directory, однако, у DirectMigrate есть средство, позволяющее пользователям переопределять свои пароли через Web. Пользователь получает электронное письмо (по своему прежнему адресу), в котором приводится URL-адрес Web-страницы. На этой странице у пользователя спрашивают его прежний пароль Windows NT, после чего он может задать новый пароль уже для Active Directory. Из соображений безопасности во время изменения пароля здесь используется протокол SSL (Secure Sockets Layer). Компания BindView пообещала, что к моменту опубликования данной статьи в обновленной версии ее продукта уже появится функция копирования паролей.

Пакет DirectMigrate также включает средство перемещения ресурсов из одного домена в другой, копирования данных и обновления информации безопасности. Этот мастер миграции ресурсов может скопировать общие диски и принтеры с одного сервера на другой. Другим впечатляющим средством является набор функций управления и миграции учетных записей доменов, созданных программой Exchange 2000 Active Directory Connector из почтовых ящиков Exchange 5.5.

К недостаткам DirectMigrate относится то, что он куда более медлителен, чем его конкуренты. Так, миграция 7000 объектов с реорганизацией ACL заняла более 35 минут, сравните с 12 минутами у Controlled Migration Suite компании Aelita Software. (Ну а реорганизация ACL для домена с несколькими 200-Гбайт файловыми серверами может занять долгие часы). Кроме того, DirectMigrate, единственный из всех протестированных нами продуктов, следует порочной практике не предоставлять настоящего руководства пользователя, вместо этого предлагается интерактивная подсказка через Интернет.

В целом мы испытывали несколько смешанные чувства по отношению к DirectMigrate. С одной стороны, его тесная интеграция с DirectAdmin и БД DirectMap облегчает планирование и делает его не таким трудоемким, как при проработке этого вопроса на бумаге (как при работе с продуктами фирм Aelita и FastLane, не поддерживающими моделирование в БД). Эта возможность особенно полезна, если у вас уже работают некоторые домены Active Directory, и при этом вы продолжаете поддерживать и домены Windows NT, для многих организаций такое состояние может продолжаться годами. С другой стороны, DirectMigrate требует выполнения большего числа этапов даже для самых простых миграций. Если следующая версия пакета будет работать быстрее и предоставит полный набор функций моделирования, то продукт компании BindView станет абсолютным победителем.

Controlled Migration Suite компании Aelita Software

Пакет Controlled Migration Suite компании Aelita состоит из трех основных компонентов. Первый -- Domain Migration Wizard (DMW) -- был главным объектом наших тестов, он выполняет перемещение пользователей, групп и компьютеров из домена в домен. Второй -- Enterprise Delegation Manager обеспечивает делегирование административных полномочий для NT-доменов. Третий -- Enterprise Directory Reporter выполняет функции генерации отчетов. DMW предлагает исключительно высокую скорость работы и простоту управления. В отличие от продуктов компаний BindView и NetIQ, пакет DMW не позволяет моделировать миграцию пользователей и ресурсов в базе данных, где вы могли бы изменить конфигурацию, прежде чем приступать к миграции в реальную Active Directory, впрочем, это скорее неудобство, чем серьезный недостаток.

Помимо этого мастера, DMW содержит удобное средство синхронизации справочников -- Data Mover, очень полезное при "переезде" на новый сервер. В DMA компании NetIQ такого полезного средства нет. При помощи Data Mover мы определили т.н. "hubs" (узловые системы, на которых работает служба Data Mover) и задали параметры заданий синхронизации, которые должны выполняться на этих узловых системах. В отличие от многих прочих средств синхронизации, здесь не требуется, чтобы агент передачи данных работал в системах источника и приемника данных. Мы могли определить справочники для синхронизации, частоту ее выполнения и задать периоды времени, когда она может выполняться. К сожалению, Data Mover не поддерживает управление полосой пропускания. Добавление этого средства сделало бы Data Mover полномасштабным средством синхронизации.

Как вы уже догадались, в DMW реализован поэтапный подход к перемещению объектов из домена в домен или OU. Сначала DMW собрал данные о наших объектах в доменах источнике и назначения, и поместил их в БД. Затем мы могли определить механизмы решения проблемы одинаковых имен объектов и другие подобные задачи. После чего в домене назначения были созданы объекты, и при этом из источника были перенесены пароли. Затем была выполнена реорганизация ACL ресурсов и перенос учетных записей. После чего была изменена первичная учетная запись почтового ящика Exchange (в других продуктах такого средства нет). И, наконец, мы могли сгенерировать отчет о процессе миграции. После завершения сеанса мы могли задать SIDhistory, переместить пользователей в организационные единицы и очистить SIDhistory при помощи мастера работы со справочниками.

В DMW нам особо понравилась практически неограниченная возможность отката выполненных действий. После выполнения очередного действия при помощи мастера, нам явно указывалось, будут ли при нажатии на кнопку продолжения (Next) внесены изменения в реальный домен или базу данных Active Directory, или же будут только обновлены данные в БД компании Aelita. И даже после внесения изменений в домен, мы могли щелкнуть на кнопку отмены (Undo) и вернуть домен в предыдущее состояние. После переноса наших тестовых доменов в новую "плоскую" структуру Active Directory с двумя OU, мы запустили откат всего проделанного процесса и получили обратно все именно так, как было до изменений. Вы можете воспользоваться откатом как заменой средству моделирования в БД: выполните тестовую миграцию, а затем откат всего процесса, если столкнетесь с затруднениями.

Другим изумительным средством пакета является возможность распространять агенты на серверы и удаленные узлы для выполнения таких задач, как реорганизация ACL, что минимизирует нагрузку на полосу пропускания. Это позволит вам преобразовать удаленные домены до, во время или после преобразования первичного домена.

К моменту публикации данной статьи компания Aelita будет поставлять версию 5.5 DMW. В этой версии появится поддержка миграции из NDS при помощи службы Directory Synchronization Service фирмы Microsoft, усовершенствованная поддержка Exchange, возможность объявлять, какие контроллеры доменов использовать для NT-доменов (что поможет более эффективно управлять полосой пропускания), средства введения соглашений о назначении имен компьютеров, создание сценариев, прямая миграция в организационные единицы Active Directory и возможность напрямую переносить схемы делегирования административных полномочий из Enterprise Delegation Manager в Active Directory.

Пакет DMW весьма привлекательное решение. Он достаточно прост для небольших миграций, а его способность распределять работу на несколько сеансов и несколько агентов позволяет масштабировать его и для более крупных проектов. Притягательность пакета несколько снижается из-за отсутствия средства непосредственной миграции в БД.

DM/Manager 5.1 компании FastLane Technologies

Пользовательский интерфейс пакета DM/Manager 5.1 компании FastLane, состоящий из нескольких графических панелей, напоминает браузер Explorer, и это лучший подход, который в данном случае можно было бы предложить. С его помощью можно просматривать содержимое исходных доменов в верхней части окна, а домены назначения -- в нижней. Мы могли переносить пользователей, группы и компьютеры простой буксировкой соответствующих объектов из исходного домена в пункт назначения. Собственно говоря, мы могли не только просматривать домены назначения, как в большинстве других продуктов, но и давать нашим деревьям Active Directory имена и просматривать иерархическую структуру наших деревьев. графический интерфейс позволил нам даже некоторое ограниченное управления объектами в наших существующих доменах.

Если вам удобнее иметь дело с мастерами, работающими в пошаговом режиме, то DM/Manager предложит вам и это. Диспетчер проектов позволил нам выделить миграцию пользователей, глобальных групп и компьютеров как отдельные задания. Самый простой способ постепенной миграции -- это миграция сначала глобальных групп, а затем автоматический перенос мастером членов групп. В отличие от пакета DMW компании Aelita здесь вы не сможете перенести все объекты одним махом.

Подход DM/Manager к реорганизации ACL отличается от прочих продуктов. Вместо реорганизации ACL ресурсов в исходном домене как составной части единого задания и выполнения ее с той же самой машины, DM/Manager, во избежание сильного роста сетевого трафика, потребовал от нас выбрать сервер, чьи ресурсы мы хотим обновить, и заказать выполнение обновления. Таким образом, запускался процесс планирования на сервере-адресате, который и выполнял процесс реорганизации ACL. Следовательно, мы могли спланировать выполнение этим сервером реорганизации ACL в ночное время, чтобы он собирал всех мигрировавших за день пользователей. Может этот способ и не лучше прочих, но он поможет организациям осуществить постепенный, медленный переход к Active Directory.

Входящее в DM/Manager уникальное средство DM/Mover компании FastLane делает процесс перемещения контроллеров доменов NT из одного домена в другой менее трудоемким, чем создание такого сервера заново. Нам все же пришлось повторно инсталлировать NT, но DM/Mover сначала экспортировал общие ресурсы (диски) и локальные группы с машины, а затем импортировал их обратно после процесса инсталляции.

Пакет DM/Manager также предлагает мощную систему, позволяющую использовать для миграции внешние файлы соответствий (mapping files). Вы можете создать файл для перемещаемых объектов и пунктов их назначения, после чего дать DM/Manager задание выполнить перемещение. Входящие в DM/Manager средства помогут быстро создать MMT-файлы из Exchange, NT доменов и DM/Administrator -- средства компании FastLane для делегирования административных полномочий в Windows NT.

Таблица 1. Средства миграции в Active Directory: результаты тестирования

Критерий оценки

Значимость критерия, %

Domain Migration Administrator (DMA) компании NetIQ

BvAdmin for Windows 2000 и BvAdmin for Windows 2000 Migration компании BindView

Controlled Migration Suite компании Aelita Software

DM/Manager 5.1 компании FastLine Technologies

Простота использования

25

4

4

3

3

Цена/качество

20

4

4

3

4

Миграция в базу данных

15

4

4

0

1

Производительность

15

5

3

4

4

Архитектура реорганизации ACL (re-ACL)

15

5

2

5

3

Управление Windows NT

10

3

5

4

3

Итоговая оценка

 

4,20

3,65

3,10

3,05

Пакет DM/Manager имеет и несколько существенных недостатков. Он перемещает объекты более медленно, чем другие средства, и предлагает только ограниченные возможности по отмене выполненных действий. Мы не могли вернуть в прежнее состояние списки доступа к ресурсам, и не могли отменить перемещение компьютеров, тогда как остальные три продукта делать это позволяют.

В дополнение к DM/Manager компания FastLane предлагает DM/Suite -- обширный пакет продуктов управления справочинками. В него входят упоминавшийся DM/Administrator; DM/Consolidator -- средство перемещения данных для консолидации (объединения) серверов; DM/Developer -- средство создания сценариев для управления справочниками; а также DM/Reporter -- средство генерации отчетов для конфигураций Windows NT, Windows 2000 и Exchange. Эти средства предназначены главным образом для использования на подготовительном этапе и во время миграции.

И хотя DM/Manager вполне справляется со своими обязанностями, но не он стал нашим фаворитом. Он хорош для перемещения пользователей небольшими партиями, и для использования в связке с DM/Administrator for Windows NT. Он хоть и не позволяет использовать управляемую графическим интерфейсом базу данных в качестве промежуточного этапа процесса миграции, зато DM/Manager дает возможность модифицировать файл шаблонов миграции посредине проекта миграции для настройки выбранных для перемещения объектов. И, наконец, если у вас все еще работает протокол Banyan Vines, то компания FastLane станет наилучшим источником настроенных для работы с ним средств, т.к. из всех известных нам средств миграции в Active Directory ее продукт единственный поддерживает Vines.

Коротко о продуктах

Domain Migration Administrator
Цена: 9 долл. за одну учетную запись справочника NT и 2000
Фирма: NetIQ
http://www.netiq.com

Bv-Admin for Windows 2000 Migration
Цена: 9,95 долл. за пользователя
Фирма: BindView
http://www.bindview.com

Controlled Migration Suite
Цена: от 17 долл. за одну учетную запись
Фирма: Aelita Software
http://www.aelita.com

DM/Manager
Цена: от 8 долл. за одного пользователя
Фирма: FastLane Technologies
http://www.fastlane.com





  
14 '2000
СОДЕРЖАНИЕ

колонка редактора

• Когда в товарищах согласья нет

локальные сети

• Пусть ваши кабели никогда не пересекаются!

• Тестируем серверы NAS среднего уровня

• Анатомия беспроводных сетей стандарта IEEE 802.11b

• Решения на базе миниатюрных оптических разъемов - готовность № 1

услуги сетей связи

• Магистрали света: основные идеи

только на сервере

• Совместное использование служб справочника и DHCP

• Переход на Active Directory: средства миграции

новые продукты

• LinkProof: один ISP хорошо, а два лучше; Debian - это 100% свободы; Новый NetServer для малого и среднего бизнеса

корпоративные сети

• Десятикратно увеличенная мощь

• Согласье меж стандартами управления

• Анализаторы и зонды для WAN-сетей

защита данных

• Как защитить вашу территорию изнутри

• Proxy/NAT-решения для небольших офисов

электронная коммерция

• Выбирая электронную биржу, поинтересуйтесь ее владельцами

• Электронные биржи в момент кризиса

• Кому можно доверить корпоративный Web-узел?

бизнес

• OpenView Communication - шаг навстречу конвергенции

• Как дотянуться до регионов

системы учрежденческой связи

• Тестируем IP-УАТС



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх