Solution Accelerator für die Konsolidierung und Migration von Domänenservern von Windows NT 4.0 nach Windows Server 2003
Implementierungshandbuch
Auf dieser SeiteEinführungIn diesem Dokument werden die optimalen Vorgehensweisen in Verbindung mit der Implementierung einer Migration von Windows NT 4.0 nach Windows Server 2003 erläutert. Es befasst sich in erster Linie mit der Domänenkonsolidierung, der Domänenrestrukturierung und der Serverkonsolidierung. Zur Veranschaulichung des Verfahrens wurde ein spezielles, besonders umfangreiches Unternehmensszenario mit einem definierten Start- und Endpunkt für die Migration gewählt. Der Startpunkt für die Migration in Ihrem Unternehmen unterscheidet sich ggf. von dem in diesem Szenario angenommenen, was jedoch für die hier beschriebenen Überlegungen, Verfahrensweisen und die verwendeten Tools ohne Bedeutung ist. Für dieses Handbuch wurden nicht nur die optimalen Methoden zugrunde gelegt, sondern diese Methoden wurden anschließend auch einer Prüfung und Bewertung unterzogen. Die im Szenario beschriebene Umgebung wurde aufgebaut, getestet, migriert und anschließend erneut getestet. Es wurden zwei verschiedene Migrationsmethoden verwendet. Im ersten Schritt wurde ein direktes Update einer Domäne unter Windows NT 4.0 vorgenommen. Bei der zweiten Methode wurde eine neue Domäne unter Windows Server 2003 erstellt, und anschließend wurden die Sicherheitsprinzipale (Sicherheitsgruppen, Benutzer und Computer) aus der Windows NT 4.0-Domäne in die neue Windows Server 2003-Domäne migriert. Für jedes Verfahren im Migrationsprozess werden die bei der Woodgrove National Bank durchgeführten Schritte und Aufgaben erläutert, gefolgt vom jeweiligen Ablaufplan des Migrationsteams für diesen Schritt. Dieser Abschnitt beginnt mit der Kopfzeile "Ablaufplan" und endet mit der Fußzeile "Ende Ablaufplan". Auf diese Weise soll eindeutig zwischen den tatsächlich getesteten Schritten und den Direktiven des Migrationsplans unterschieden werden. Sie sollten dieses Dokument lesen, wenn......Sie mit der Aufgabe betraut wurden, die Migration einer Domäne (oder einer Gruppe von Windows NT® 4.0-Domänen mit externen Vertrauensstellungen) nach Windows Server 2003™ und dem Verzeichnisdienst Microsoft® Active Directory durchzuführen. Auch für Personen, die als Architekt oder Manager mit einer Migration oder Konsolidierung betraut wurden, bietet dieses Handbuch hilfreiche Informationen. Das Handbuch vermittelt Einblicke in die Prozesse und speziellen Tools, die verwendet werden, um vom Ausgangspunkt Windows NT® 4.0 zur neuen Active Directory-Implementierung unter Windows Server 2003 zu gelangen. ZielgruppeZur Zielgruppe gehören Domänenadministratoren sowie Mitarbeiter des IT-Teams, die für den erfolgreichen Abschluss einer Migration zuständig sind. Dies umfasst die für die Planung der Migration zuständigen Mitarbeiter ebenso wie diejenigen, die die einzelnen Aufgaben in der Praxis erledigen. Erforderliche VorkenntnisseDer Leser dieses Dokuments sollte über profunde Kenntnisse der Netzwerktechnik verfügen. Der vorausgesetzte Kenntnisstand entspricht dem eines Microsoft Certified Systems Engineer (MCSE) für Windows® 2000 oder Windows 2003 mit zwei Jahren Berufserfahrung. Kenntnisse und Erfahrungen im Umgang mit Benutzerkontendatenbanken, Authentifizierung, Namensauflösung, DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol), WINS (Windows Internet Name Service), dem Sicherheitsmodell von Windows Server 2003, Active Directory sowie der Replikation sind ebenfalls erforderlich. Und schließlich wird davon ausgegangen, dass der Leser über Grundkenntnisse des Microsoft Operations Framework (MOF) verfügt, wie sie beispielsweise vom MOF Executive Overview vermittelt werden. Zusammenfassung des KapitelsDieses Einführungskapitel definiert die Zielgruppe und umreißt die für das Verständnis des Dokuments erforderlichen Vorkenntnisse. Es enthält eine generelle Beschreibung der geschäftlichen und administrativen Anforderungen sowie der erforderlichen Benutzerkenntnisse, die bei Abschluss der Migration erfüllt bzw. vorhanden sein müssen. Nach der Feststellung, dass diese Spezifikationen erfüllt werden, geht es im Handbuch mit der Beschreibung des Firmenszenarios der Woodgrove National Bank weiter, das als Beispiel für die Beschreibung des Migrationsprozesses herangezogen wird. TerminologieADMT v2: Active Directory Migration Tool, Version 2.0. Dieses Microsoft-Tool unterstützt den Administrator bei der Durchführung von Migrationsaufgaben. Hiermit können Administratoren zahlreiche Migrationsaufgaben durchführen, ohne Drittanbietertools kaufen zu müssen. Version 2 wurde um eine grafische Benutzeroberfläche erweitert. Das Tool kann über die grafische Benutzeroberfläche oder über Skripts gesteuert werden. Version 2 bietet nun außerdem die Möglichkeit, Benutzerkennwörter zu migrieren. Klonen: In diesem Handbuch bezeichnet der Begriff Klonen das Erstellen von Kopien der Sicherheitsprinzipale einer Domäne und deren Übertragung in eine andere Domäne. Ein Administrator kann so eine neue Domänenumgebung erstellen und überprüfen, ohne dass die Funktionalität der ursprünglichen Domäne beeinträchtigt wird. Konsolidierung: In diesem Handbuch bezeichnet der Begriff Konsolidierung das Zusammenfassen der Objekte aus zwei oder mehr Domänen in einer Domäne. Dies kommt bei der Umstellung einer Windows NT 4.0-Domänenumgebung häufig vor, da die Anzahl der Objekte in der Windows NT 4.0-Datenbank für die Sicherheitsprinzipale aufgrund der Maximalgröße von 40 MB auf 40.000 Objekte beschränkt war. Sie können auch Server konsolidieren, indem die Anzahl der Server für die Durchführung einer bestimmten Aufgabe bzw. die Unterstützung einer Anwendung reduziert wird. DNS: Domain Naming System. Das System für die Auflösung von Namen, das im Internet verwendet wird. IT: Information Technology. Dieser Begriff weist auf einen Zusammenhang mit Computern und bisweilen mit Mobilkommunikation hin. ITIL: Information Technology Infrastructure Library. ITIL ist eine Sammlung veröffentlichter Richtlinien, die allgemein optimale Methoden für die IT beschreiben. Diese Richtlinien sind plattformunabhängig und beschäftigen sich hauptsächlich mit Dienstunterstützung und Dienstübermittlung, enthalten jedoch keine plattformspezifischen Betriebsanleitungen und müssen daher entsprechend angepasst werden. Migration: In diesem Handbuch bezeichnet der Begriff Migration die Aufgabe, die Sicherheitsprinzipale aus einer Domäne in eine andere zu verschieben. Im Gegensatz dazu werden beim Klonen in der anderen Domäne Kopien der ursprünglichen Sicherheitsprinzipale erstellt. MOF: Microsoft Operations Framework. Die von Microsoft übernommenen und bedarfsgerecht angepassten Anleitungen für den problemlosen IT-Betrieb mit Microsoft-Produkten. MOF verwendet einen IT-Lebenszyklusansatz, der im Prozessmodell beschrieben wird, mit 20 Dienstverwaltungsfunktionen (Service Management Function, SMF) und vier Betriebsverwaltungsüberprüfungen. Darüber hinaus gibt es ergänzende Fachbereiche für Teammodell und Risikoverwaltung. Quelldomäne: In diesem Handbuch bezeichnet die Quelldomäne die Ursprungsdomäne. Dieser Begriff wird in Zusammenhang mit Migration und Konsolidierung verwendet. Die andere Domäne ist die Zieldomäne. Zieldomäne: In diesem Handbuch bezeichnet die Zieldomäne die Domäne, in die die Sicherheitsprinzipale verschoben bzw. kopiert werden. Bei dieser Domäne handelt es sich normalerweise um die aktualisierte oder neu erstellte Windows Server 2003-Domäne, da Windows Server 2003-Domänen Millionen von Objekten in der Active Directory-Datenbank enthalten können. WINS: Windows Internet Naming Service. Der Microsoft NetBIOS-Namensdienst, der von Microsoft-Systemen vor der Windows Server 2000-Familie verwendet wurde. WINS wurde mit der Windows Server 2000-Produktfamilie nicht überflüssig, da viele Anwendungen WINS für die Namensauflösung verwenden. Szenario "Woodgrove National Bank"Das hier beschriebene Szenario soll als Leitfaden zum besseren Verständnis der fiktiven Organisation mit Namen WG Holding Company (im Folgenden als "die Firma" bezeichnet) dienen. Das Hauptaugenmerk liegt hierbei auf einer der Tochterfirmen, nämlich der Woodgrove National Bank (im Folgenden als "die Bank" bezeichnet). Die Bank als unser Kunde hat uns mit der Durchführung einer Domänenkonsolidierung und -migration beauftragt. Die Bank soll den zentralen Punkt bei der Migration und Konsolidierung darstellen. Sämtliche Anweisungen, Entwurfsansätze und Beispiele beziehen sich direkt auf die Bank. Auf diese Weise lernen Sie, wie der Prozess auf das gewählte Szenario angewendet wird und wie der gleiche Prozess oder Teile hiervon erweitert und so für Ihr spezielles Szenario angepasst werden kann. In diesem Rahmen sollen die bei der Bank vorzufindenden Bedingungen natürlich nicht bis ins Detail erläutert werden. Die Bank soll lediglich als Beispiel dienen, um die Migrations- und Konsolidierungsszenarien für Geschäfts- und IT-Kunden besser veranschaulichen zu können. Im vorliegenden Szenario werden bei der Bank Domänencontroller unter Windows NT 4.0 eingesetzt. HintergrundFür diesen Testfall wurde das Beispielszenario der Woodgrove National Bank gewählt, da es für eine große Zahl von Firmen repräsentativ ist, die ggf. Interesse an einer Domänenmigration haben könnten. Die Bank ist groß genug, und die Geschäftsabläufe sind ausreichend komplex, um die Prozesse und Tools vorzustellen, die bei einer Migration zum Einsatz kommen. Die bereitgestellten Beispiele und Prozesse können für größere und kleinere Unternehmen bedarfsgerecht skaliert werden, sodass es keine Rolle spielt, ob das Szenario der beim jeweiligen Leser anzutreffenden Konfiguration exakt entspricht. Die Woodgrove National Bank ist ein Konzern, der 15.000 Mitarbeiter in mehr als 400 Zweigstellen weltweit beschäftigt. Es sind mehrere Windows NT 4.0-Domänen, externe Vertrauensstellungen und zahlreiche Standorte vorhanden. Darüber hinaus gibt es eine erhebliche Anzahl fest angestellter Mitarbeiter, die entweder eine DFÜ- oder eine VPN-Verbindung (virtuelles privates Netzwerk) benötigten. Die Woodgrove National Bank verfügt über regionale Firmenzentralen in New York (5.000 Mitarbeiter), London (5.200 Mitarbeiter) und Tokio (500 Mitarbeiter). In jeder Region befinden sich zudem noch kleinere Zweigstellen, wie z. B. in Boston und Atlanta (Nordamerika). Neben den kleineren Zweigstellen gibt es auch noch zwei weitere Zentralen in Sydney und Johannesburg. Diese beiden Standorte verfügen jeweils über dedizierte Datei-, Druck- und Anwendungsserver, Sydney betreibt zudem einige Domänencontroller. Am Standort Johannesburg befinden sich nicht genug Benutzer, um einen Domänencontroller zu rechtfertigen. FirmenprofilDie WG Holding Company (nachfolgend "die Firma") ist ein global agierender Finanzdienstleister mit Stammsitz in London. Im Dachverband der Firmengruppe befinden sich fünf kleinere Firmen: Woodgrove National Bank ("die Bank"), NorthWind Trading, Contoso Ltd., Litware Financials und Humongous Insurance. Alle in der Gruppe befindlichen Firmen sind große Unternehmen mit jeweils mehr 5.000 Mitarbeitern. Die Firma ist wie alle Finanzinstitute ständig bestrebt, die Kosten zu senken und die für die Erschließung neuer Märkte benötigte Zeit zu verkürzen. Die Bank ist eine hundertprozentige Tochtergesellschaft der Firma und das größte Unternehmen in der Gruppe. Rollen in der IT-OrganisationDa die Bank über große Niederlassungen in New York sowie London, Tokio, Sydney und Johannesburg verfügt, deren IT-Umgebungen jeweils betreut werden müssen, befinden sich an allen diesen Standorten IT-Gruppen mit nachstehender Zusammensetzung. Die Stellenbeschreibungen der unterschiedlichen IT-Teams folgen auf die Beschreibung der IT-Gruppe an jedem Standort. In jedem für einen Standort angegebenen Team gibt es (abgesehen vom IT-Manager) eine oder mehrere Personen, die diese Aufgaben ausführen. Im Verlauf der Migration befasst sich ein Teil der Mitarbeiter mit der Domänenmigration. Diese Mitarbeiter werden als das Migrationsteam bezeichnet. Dieses Team umfasst Verzeichnisdienst-Administratoren, Windows Server-Administratoren sowie Desktopkonfigurationsadministratoren als Vollzeit-Teammitglieder. Darüber hinaus gibt es auch für den Administrator für Organisationsmessaging und den Speicheradministrator einige Aufgaben zu erledigen. Am Standort Johannesburg ist die Mitarbeit des technischen Keyusers gefragt, da hier vor Ort kein IT-Supportteam zur Verfügung steht. Zu den firmenweiten Rollen bei der Woodgrove Bank gehören die folgenden:
Die folgende Tabelle enthält eine Liste der IT-Supportrollen und deren Position bei der Woodgrove Bank.
Tabelle 1: IT-Rollen und deren Standorte bei der Woodgrove Bank IT-ManagerIT-Manager verfügen in der Regel über langjährige Erfahrung (15–25 Jahre) im Kundensupport, in den Bereichen Netzwerke, UNIX und/oder Windows sowie über umfassende Managementerfahrungen in der IT- oder einer verwandten Branche. Sie sind zudem die technischen Entscheidungsträger der Organisation. SystemarchitektenDer IT-Systemarchitekt gehört der Abteilung "Globaler Infrastrukturentwurf" an, die dem CIO der Bank direkt unterstellt ist. Diese Rolle wird in der Regel mit mehreren Personen besetzt, die gemeinsam für die Entwicklung und Durchsetzung von unternehmensweiten Richtlinien für technologische Lösungen verantwortlich sind. Ihr Aufgabenbereich umfasst die Telefonie, die Vernetzung (unter Windows und UNIX), die Sicherheitsrichtlinien des Unternehmens (Vertrauensstellungen zwischen Firmen), die Kapazitätsplanung und die Messaginginfrastruktur. Jeder der für die Bank tätigen Systemarchitekten verfügt über mehr als 10 Jahre Berufserfahrung in der Systemadministration. Einige haben ein Zertifikat als MSCE, die meisten sind jedoch davon überzeigt, dass Erfahrung der beste Lehrmeister ist. Der Architekt ist in keiner Weise in die praktische Systemadministration eingebunden. Zuständigkeiten und Aufgaben umfassen Folgendes:
In der Active Directory-Gesamtstruktur der Woodgrove Bank sind die Systemarchitekten für die Dienste zuständig. NetzwerkadministratorenSystemadministratoren sind in der Regel erfahrene Mitarbeiter, die vielfach über ein Zertifikat als MCSE verfügen. Die meisten haben UNIX-Kenntnisse und arbeiten mit Befehlszeilen- und Skripttools ebenso wie mit der grafischen Benutzeroberfläche. Zuständigkeiten und Aufgaben umfassen Folgendes:
OrganisationssicherheitsadministratorSicherheitsadministratoren sind erfahrene IT-Experten, die üblicherweise über 10 oder mehr Jahre IT-Erfahrung verfügen. Es handelt sich in aller Regel um geschulte Administratoren, die normalerweise allerdings nicht mehr in das Tagesgeschäft eingebunden sind. Zuständigkeiten und Aufgaben umfassen Folgendes:
Windows Server-AdministratorDieser Personenkreis ist zuständig für die praktische Bereitstellung und die tägliche Verwaltung einer Untermenge der Server der Organisation. Windows Server-Administratoren müssen zahlreiche Skripts für die Remoteinstallation von Serveranwendungen vom Desktop aus erstellen. Sie verwenden Perl und Windows-Skriptsprachen, von anderen Personen geschriebene Skripts und schreiben Batchdateien. Serververwaltungsaufgaben werden in der Regel remote ausgeführt. Zuständigkeiten und Aufgaben umfassen Folgendes:
VerzeichnisdienstadministratorVerzeichnisdienstadministratoren sind erfahrene und gut geschulte Administratoren mit 5 bis 10 Jahren Berufserfahrung in der IT. Viele sind zertifizierte MCSEs, können Skripts und Batchdateien schreiben und setzen Befehlszeilentools sowohl interaktiv als auch remote über die Terminaldienste ein.
Verzeichnisdienstadministratoren sind die Dienstadministratoren in der Active Directory-Gesamtstruktur der Woodgrove Bank. Administrator für OrganisationsmessagingExchange-Administratoren verfügen über sehr viel Erfahrung und haben häufig 5 bis 10 Jahre Berufspraxis in der IT. Viele sind zertifizierte MCSEs und haben ein IT-Fach studiert; sie schreiben Skripts und Batchdateien, arbeiten mit Befehlszeilentools und setzen Terminal Server für die Remoteadministration ein. Zuständigkeiten und Aufgaben umfassen Folgendes:
Betreuung des NetzwerkbetriebsNetzwerkoperatoren sind in der Regel erfahrene und gut geschulte Administratoren. Zuständigkeiten und Aufgaben umfassen Folgendes:
SpeicheradministratorDer Speicheradministrator verfügt in der Regel über einige Jahre Berufserfahrung (fünf oder mehr Jahre) und einen Studienabschluss in einem IT-Fach. Sofern verfügbar, arbeitet der Speicheradministrator lieber mit Befehlszeilentools. Zuständigkeiten und Aufgaben umfassen Folgendes:
DesktopkonfigurationsadministratorDer Desktopkonfigurationsadministrator ist häufig ein erfahrener IT-Experte mit zwei oder mehr Jahren Berufserfahrung in der Branche. Viele verfügen über einen Hintergrund als Entwickler oder haben ein IT-Fach studiert. Gelegentlich müssen Skripts geschrieben werden, in der Hauptsache arbeitet er jedoch mit den Skripts anderer Personen. Zuständigkeiten und Aufgaben umfassen Folgendes:
BenutzerkontenverwalterDer Benutzerkontenverwalter verfügt nur über begrenzte Erfahrungen und wurde ggf. organisationsintern zum Helpdeskoperator ausgebildet. Zuständigkeiten und Aufgaben umfassen Folgendes:
Die Benutzerkontenverwalter sind die Datenadministratoren in der Active Directory-Domäne der Woodgrove Bank. Helpdeskunterstützung (Desktop und Messaging)Die Mitarbeiter im Bereich Helpdeskunterstützung verfügen über moderate Berufserfahrung und wurden häufig organisationsintern zu Administratoren ausgebildet, wobei die Helpdeskunterstützung den Ausgangspunkt darstellt. Zuständigkeiten und Aufgaben umfassen Folgendes:
Technischer KeyuserAn den meisten Remotestandorten wurde eine Person zum Remoteadministrator für die am Standort befindlichen Server ernannt; diese Person verfügt in der Regel nicht die entsprechende Ausbildung und ist üblicherweise ein Endbenutzer. Zuständigkeiten und Aufgaben umfassen Folgendes:
Definition des SzenariosObwohl die Bank Teil der größeren Firmenumgebung von WG Holdings ist, hat die IT-Gruppe der Bank entschieden, dass der Schwerpunkt beim Testen der Bereitstellung auf den zentralen Bereichen des Prozesses liegen soll. Daher umfasst das "Szenario" zum Testen der Bereitstellung auch nur einen Teilbereich der gesamten Firmenumgebung. Das Szenario – wie getestet und im verbleibenden Handbuch erläutert – verfügt über alle Komponenten, die getestet werden müssen, damit die Bereitstellung bei der Bank erfolgreich durchgeführt werden kann. Demgemäß werden zwei Kontendomänen getestet, von denen die eine aktualisiert und die andere neu strukturiert wurde. Darüber hinaus gibt es weitere spezialisierte Domänen in Tokio und London, die aus rechtlichen Gründen erstellt wurden und für die jeweils lokale Administratoren zuständig sind. Wenn diese Domänen einmal migriert werden müssen, kann entweder das direkte Update- oder das Neustrukturierungsverfahren angewendet werden. Ebenso wird im Testszenario nicht jede regionale Niederlassung oder jede Zweigstelle nachgestellt; stattdessen wird eine oder werden in einigen Fällen zwei Instanzen getestet. So ist Johannesburg beispielsweise ein Remotebüro ohne IT-Supportpersonal, bei dem die Migration remote erfolgen wird. Sydney andererseits ist eine regionale Niederlassung, die über eine eigene IT-Gruppe verfügt. Da die Verfahren für jede dieser Niederlassungen unterschiedlich sind, müssen beide Verfahren geprüft werden. Im weiteren Planungsverlauf der eigenen Testumgebung können Sie den gleichen Entscheidungsprozess einsetzen, um den Testumfang in Ihrem Migrationsszenario zu reduzieren. Es ist allerdings von wesentlicher Bedeutung, dass Sie alle Situationen berücksichtigen, die in Ihrer Firmenumgebung auftreten können, und dass Sie Pläne zum Testen dieser Teile des Szenarios vorbereiten. Aus diesem Grund hat die IT-Gruppe bei Woodgrove, als es darum ging zu entscheiden, ob eine oder zwei Ressourcendomänen getestet werden sollten, den Entschluss gefasst, zwei zu testen, da diese beiden Domänen Kontoduplikate aufweisen könnten. Im Szenario wurden Namensduplikate verwendet, um sicherzustellen, dass die Verfahren für diesen Fall ordnungsgemäß funktionieren. Ein weiterer Grund für das Testen zweier Kontendomänen ist die Tatsache, dass bei der einen Domäne eine Aktualisierung auf Windows Server 2003 erfolgt ist und bei der zweiten Domäne die Sicherheitsprinzipale in die neue Domäne migriert wurden. Dies ist allerdings nur ein Beispiel. In Ihrem Szenario können die Gründe ganz andere sein und ggf. müssen Sie auch ganz andere Tests ausführen, für die mehr oder weniger Quelldomänen benötigt werden. Vorhandenes Windows NT 4.0-DomänenmodellDie Bank verwendet ein geografisch angelegtes Multimaster-Domänenmodell mit zwei Master-Benutzerdomänen (Master User Domain, MUD), eine für die USA (New York) und eine weitere für den Rest der Welt (London). Die erste, in New York angelegte und befindliche Kontendomäne erhält den Namen WNB-ACCT-A. Eine Zeit lang war diese eine Kontendomäne durchaus ausreichend, allerdings ergab sich mit dem Wachstum der Firma der Bedarf für eine zweite Kontendomäne. Der ausschlaggebende Punkt für die Erstellung einer zweiten geografischen Domäne war der Netzwerkverkehr, der sich durch die Kontenreplikation zwischen dem primären Domänencontroller (PDC) in New York und alle anderen Bankstandorten in der Welt zwangsläufig ergab. Zur Optimierung dieser Replikation legten die Administratoren eine zweite Kontendomäne WNB-ACCT-ROW an, wie Sie der nachstehenden Abbildung entnehmen können. In Anbetracht der Historie der Bank im Hinblick auf Übernahmen und Fusionen wurde überlegt, dass geografisch basierte Domänenmodelle den Vorteil haben, dass Änderungen hieran weniger häufig auftreten als an der Firmenstruktur. Und schließlich wurden Ressourcendomänen bei der Bank implementiert, um Anwendungsressourcen wie Datei- und Druckserver sowie Microsoft Exchange 5.5 aufzunehmen. In den Ressourcendomänen befinden sich zudem die Arbeitsstationskonten. Zwei KontendomänenDie Kontendomänen WNB-ACCT-A und WNB-ACCT-ROW sind von der IT unterstützte Kontendomänen, die mit dem zunehmenden Wachstum der Domänen der Bank angelegt wurden. Diese Domänen enthalten sämtliche Benutzer- und Gruppenkonten der Bank. Die IT-Gruppe der Bank hat sich für die Erstellung zweier großer Kontendomänen entschieden, da aus administrativen Gründen möglichst große Domänen angelegt werden sollen, der Domänenverkehr zwischen den USA und der restlichen Welt (Europa und Südpazifik) jedoch nicht repliziert werden soll. Diese beiden Kontendomänen umfassen insgesamt ca. 6.000 globale Gruppen. Diese Gruppen dienen in erster Linie dazu, die Zugriffssteuerung auf Geschäftsdaten zu ermöglichen und während der Anmeldung die Mitgliedschaft zu überprüfen, um dann die entsprechenden Anmeldeskripts auszuführen. Im Folgenden eine Zusammenfassung der Kontendomänen:
Tabelle 2. Master-Benutzerdomänen der Woodgrove Bank Beschreibung der RessourcedomänenDie Bank verfügt über eine Reihe von Ressourcedomänen, die im Großen und Ganzen anhand der geografischen Region erkannt werden können, in der sie sich befinden – WNB-RES-SYD steht zum Beispiel für Sydney. Ein Vorteil der Erstellung von Computerkonten in Ressourcendomänen anstelle der beiden großen Benutzerkontendomänen besteht darin, dass hiermit sichergestellt ist, dass die Größe der SAM-Datenbank (Security Accounts Manager, Sicherheitskontenverwaltung) der Benutzerkontendomänen nicht ansteigt und daher den empfohlenen Höchstwert nicht erreicht. Eine Ausnahme von dieser Namenskonvention für Ressourcendomänen stellt WNB-MESSAGING dar, die für Exchange 5.5-Server erstellt wurde, um den Zugriff für Benutzer in Nicht-Standarddomänen zu ermöglichen, die bei der ursprünglichen Implementierung von Exchange und vor der vollständigen Inbetriebnahme des neuen Modells vorhanden waren. Das für Messaging zuständige Team wollte die Messagingressourcen zentral steuern können, wofür die Erstellung einer separaten Messagingdomäne die ideale Lösung darstellt. Wie bereits erwähnt, ist diese Domäne Bestandteil des Testszenarios, obwohl sie zum gegenwärtigen Zeitpunkt weder migriert noch neu strukturiert werden soll. In Ihrem Szenario könnten Sie sich durchaus für die Migration dieser Domäne entscheiden; in diesem Fall müssen Sie diesen Teil der Migration ebenfalls testen. Jede Ressourcendomäne umfasst die unterschiedlichsten Ressourcen, die in der folgenden Tabelle aufgeführt sind.
Tabelle 3. Ressourcendomäne der Woodgrove Bank Windows-Modell der DomänenvertrauensstellungenDie Vergangenheit hat gezeigt, dass Vertrauensstellungen verwaltet werden müssen. Vertrauensstellungen, die beschädigt werden, müssen neu erstellt werden. Es gibt zudem Vertrauensstellungen, die im Verlauf der Problembehandlung erstellt wurden und nicht mehr benötigt werden. Dies ist in vielen Umgebungen mit mehreren Windows NT 4.0-Domänen der Fall; es gibt Vertrauensstellungen, die zwar nicht benötigt, aber auch von niemandem entfernt werden, weil die Auswirkungen nicht abgesehen werden können. Die Anzahl der Domänencontroller steigt für gewöhnlich, ohne dass die strategische Platzierung adäquat durchdacht würde, was wiederum Auswirkungen auf die Replikation, die Bandbreite und die Latenz hat. Eine unüberlegte Planung von Domänencontrollern sorgt zudem für mehr Anrufe beim Benutzersupport, da es ggf. zu Problemen mit dem Zugriff auf Ressourcen kommt. Es kann also zur Verschwendung von Serverhardware und Supportzeit kommen. Woodgrove verfügt über eine Konfiguration mit mehreren Kontendomänen, was die Pflege von zwei Kontendatenbanken erforderlich macht. Aktuelles DNS-ModellGegenwärtig verwenden der externe und interne Namespace den gleichen Namen, nämlich woodgrovebank.com. Die DNS-Server unter Windows NT 4.0 bedienen den internen und den externen Namespace. Zurzeit befinden sich zwei DNS-Server in New York sowie einer in Sydney, einer in Genf und einer in Johannesburg. NetzwerkdiensteZur Unterstützung der Verzeichnis- und Anwendungsumgebung werden Netzwerkdienste verwendet; Woodgrove verwendet DHCP zur Unterstützung der dynamischen IP-Adresszuweisung, WINS für NetBIOS-Namensauflösungsdienste und DNS für Domänennamenauflösungsdienste. Innerhalb der Woodgrove Bank wird in erster Linie DHCP verwendet; die beiden DHCP-Server in New York werden auch von den kleineren Niederlassungen wie z. B. Johannesburg verwendet. Die beiden DHCP-Server sind mit geteilten Bereichen konfiguriert, um größere Verfügbarkeit für die Adresszuweisungsdienste zu gewährleisten. Die größeren Niederlassungen wie Sydney haben einen eigenen DHCP-Server für die Adresszuweisung an die IP-Knoten in der Niederlassung. WINS wird eher dezentral eingesetzt; es gibt zwei WINS-Server für die NetBIOS-Namensauflösung für New York und die anderen Niederlassungen in den USA sowie die kleineren Zweigstellen wie Johannesburg und Genf. Die größeren Niederlassungen wie Sydney verfügen über einen eigenen WINS-Server für die NetBIOS-Namensauflösung. Die Replikationstopologie der WINS-Datenbanken ist so konfiguriert, dass die NetBIOS-Auflösung für die gesamte Woodgrove-Bank sichergestellt wird. Arten von ArbeitsstationenIn der Bank kommen zahlreiche Windows-Desktopbetriebssysteme wie Windows® 98, Windows NT Workstation 4.0, Windows® 2000 Professional und Windows® XP zum Einsatz. Bei der Woodgrove Bank läuft zurzeit ein Projekt, in dessen Rahmen alle Arbeitsstationen auf Windows XP aktualisiert werden sollen. Alle Desktopcomputer sind Mitglieder der verschiedenen Ressourcendomänen. Bei der Namensvergabe für Arbeitsstationen wurde kein Benennungsstandard zugrunde gelegt. MessagingumgebungDie gegenwärtige Messagingumgebung der Woodgrove Bank basiert auf Microsoft Exchange Server 5.5, allerdings soll in naher Zukunft eine Aktualisierung auf Exchange Server 2003 erfolgen. Zurzeit setzt sich die Messagingarchitektur also aus vielen Exchange 5.5-Sites zusammen, die alle den gleiche Exchange-Organisationsnamen aufweisen (Abbildung 2). Sitenamen entsprechen in der Regel dem Namen der Stadt oder der Region, in der sich die Exchange 5.5-Server befinden. An den meisten Standorten befindet sich nur ein Server, auf dem Exchange ausgeführt wird, allerdings gibt es auch einige größere Standorte mit Rechenzentren. Alle Server in der Umgebung, auf denen Exchange ausgeführt wird, sind mit Microsoft Exchange 5.5, Service Pack 4 mit Hotfixes ausgestattet. Die Postfächer befinden sich an jedem Standort auf dedizierten Postfachservern. Das primäre Windows NT-Konto für jedes Postfach befindet sich in einer der Domänen WNB-ACCT-A oder WNB-ACCT-ROW. Sämtliche Exchange 5.5-Server und -Dienstkonten befinden sich in der Domäne WNB-MESSAGING. Öffentliche Ordner werden bei der Woodgrove Bank eher selten eingesetzt, mit Ausnahme des Marketingordners, der zwischen allen Postfachservern am Standort New York repliziert wird. Zusammenfassung des KapitelsDieses Kapitel enthält Details über die Woodgrove National Bank, einen Konzern mit ca. 15.000 Beschäftigten an 400 Standorten. Das Kapitel beschreibt das Profil der Organisation, die Rollen der vorhandenen Mitarbeiter sowie die vorhandene NT 4.0-Mehrdomänenumgebung. Es befasst sich zudem mit den vorhandenen Netzwerkdiensten zur Unterstützung der Infrastruktur und mit der physischen Auslegung des Netzwerkes der Woodgrove Bank. Die IT-Gruppe von Woodgrove möchte nicht die gesamte Migration der Bank testen, sondern es sollen lediglich einzigartige und notwendige Bereiche der Bankstruktur simuliert werden, die Teil der Migration sind, um unter Beweis zu stellen, dass die Migrationsprozesse und -verfahren auch bei der eigentlichen Migration der Bank problemlos funktionieren. Nach der Vorstellung des Testszenarios befasst sich das nächste Kapitel im Migrationshandbuch nun mit den Zielen des Migrationsprozesses. Hierzu gehören neben der Verfügbarkeit von Ressourcen, der Sicherheit und der Skalierbarkeit von Tools und Verfahren zur Durchführung der Migration auch die vorhandenen Einschränkungen. Darüber hinaus werden auch die Verfahren erläutert, die erforderlich sind, um Risiken möglichst minimal zu halten und um einen Wiederherstellungskonzept bereitzustellen. Migrieren von Windows NT 4.0 zu den Verzeichnisdiensten von Windows Server 2003Dieses Kapitel erläutert die Ziele der Migration im Hinblick auf die Prozesse, Verfahren und Aufgaben, die im Verlauf der Migration der Umgebung der Woodgrove Bank zum Einsatz kommen. Diese Ziele sollen sicherstellen, dass die Geschäfte auch während der Migration mit nur minimalen Einschränkungen weitergeführt werden können. Die Ziele der Migration berücksichtigen Bereiche wie Verfügbarkeit, Sicherheit, Skalierbarkeit, Verwaltbarkeit, Datensicherung und -wiederherstellung, Systemleistung, Interoperabilität, Supportfähigkeit, Einschränkungen und Risiken. Vision des MigrationsteamsIn Unterstützung des Ziels, einen unternehmensweiten Verzeichnisdienst bereitzustellen, stellt das Domänenmigrationsprojekt bei der Woodgrove Bank eine zuverlässige, effiziente und einheitliche Verzeichnisdienstlösung zur Verfügung, die die Grundlage zukünftiger Projekte bildet. Anforderungen an die MigrationBei der Migration soll die Netzwerkinfrastruktur auf ein Betriebssystem aktualisiert werden, das für die absehbare Zukunft die Grundlage für einen sicheren Computereinsatz, für Anwendungen, Hardware und Support liefert. Das aktuelle Netzwerkbetriebssystem ist zwei Generationen alt und kann diesen Anforderungen nicht mehr gerecht werden. Die Migration darf sich nicht störend auf das Tagesgeschäft auswirken. Geschäftliche AnforderungenDie geschäftliche Anforderung lautet, die IT-Kosten zu reduzieren und gleichzeitig bessere Dienste bereitzustellen. Die Geschäftsleitung wünscht sich eine Umgebung, die mehr Sicherheit bei einfacherem Zugriff auf Ressourcen bietet. Die IT-Gruppe konnte nachweisen, dass das Unternehmen durch die Verringerung des administrativen Overheads Kosten einsparen kann. VerwaltungsanforderungenDie Verwaltungsanforderungen lauten wie folgt:
Anforderungen der BenutzerDie Erfahrungen des Benutzers sollten verbessert werden, insbesondere was die Authentifizierung und den Zugriff auf Ressourcen betrifft. Hierfür sollte kein oder nur minimaler Neuschulungsbedarf erforderlich werden.
Festlegen von MigrationszielenFür die oberste Geschäftsführung ist die Netzwerkinfrastruktur von zentraler Bedeutung. Es werden immer mehr Netzwerkanwendungen für die Unterstützung von Vorgängen benötigt, und wenn Netzwerkdienste oder -anwendungen ausfallen, führt die verlorene Produktivität zu hohen Verlusten. Die Geschäftsführung der Woodgrove National Bank erwartet von der IT-Abteilung, dass die Kosten reduziert und die Wiederherstellungszeiten nach Ausfällen verkürzt werden. Die Geschäftsführung ist nun auch mehr auf Sicherheit bedacht, wenn es darum geht, Arbeitsbeziehungen mit Partnern zu knüpfen, von denen einige auf Ressourcen von Woodgrove zugreifen können müssen, jedoch noch längst nicht auf alle Ressourcen. Kurz gesagt, die Geschäftsführung hat der IT-Abteilung folgende Anweisungen gegeben:
VerfügbarkeitIm Verlauf der Migration ergeben sich natürlich – in begrenztem Maße – störende Auswirkungen auf die Produktionsumgebung. Die Migration muss außerhalb der normalen Geschäftszeiten stattfinden. Die Domänencontroller müssen kontinuierlich verfügbar sein, um Anmeldungen zu verarbeiten und um Authentifizierungsanfragen weiterzuleiten. Wie im nachstehenden Abschnitt "Verwaltbarkeit" dargelegt, ändern sich ggf. die Namen einiger Benutzerkonten, daher müssen sich einige Benutzer möglicherweise bei einer anderen Domäne anmelden. Alle weiteren täglichen Vorgänge während und nach der Migration, wie Desktopprofile laden, das Anmeldeverfahren, die Drucker, an die gedruckt wird oder der Zugriff auf Daten müssen weiterhin wie gewohnt ablaufen. SicherheitWährend und nach der Migration gibt es keine Auswirkungen auf die Sicherheitsrichtlinie, außer dass sie verbessert wird. Wie im Migrationsplan angemerkt, ist es den Benutzern gegenwärtig zwar gestattet, in den Windows NT 4.0-Domänen einfache Kennwörter zu verwenden, sie werden jedoch nach Abschluss der Migration gezwungen sein, in der Windows Server 2003-Domäne mit komplexen Kennwörtern zu arbeiten. Sämtliche Änderungen mit Auswirkungen für die Benutzer werden mehrfach per E-Mail, anhand von Schulungsmaßnahmen und per Helpdeskunterstützung bekannt gegeben. Aufgrund der Domänenkonsolidierung müssen sich einige Benutzer künftig an einer anderen Domäne anmelden und einige Benutzer werden feststellen, dass sich ihr Kontoname geändert hat. SkalierbarkeitDie Tools für die Migration, die sich stellenden Aufgaben und die geplanten Verfahren sind nutzbar, ungeachtet der Anzahl der zu verschiebenden Benutzer und Gruppen in der Quelldomäne. Die Schritte und Tools können dem Umfang entsprechend angepasst werden. Ebenso spielt es keine Rolle, ob die Migration einer Windows NT 4.0-Umgebung mit nur einigen wenigen Domänen oder mit einer Vielzahl von Domänen erfolgt. Der bei Woodgrove verwendete Ansatz sorgt dafür, dass die Anzahl der Administratoren auch während der Migration nicht erhöht werden muss. Die meisten der im Rahmen der Migration zu erledigenden Aufgaben können per Skript gesteuert und so mit Taskplaner und Batchjobs automatisiert werden. Auf diese Weise können die Administratoren in jedem Migrationszyklus mehr Sicherheitsprinzipale verschieben. Die Migrationsaufgaben werden – weitestgehend automatisiert – schrittweise und über Nacht erledigt, um sicherzustellen, dass das Migrationsprojekt so schnell wie möglich abgeschlossen ist. VerwaltbarkeitDie Migration erfolgt mithilfe von Skripts, die bereits im Vorfeld erstellt und getestet wurden. Die Ausführung dieser Skripts wird für die Nachstunden angesetzt und von einer minimalen Anzahl Administratoren überwacht. Auf diese Weise können die Sicherheitsprinzipale (Benutzer, Gruppen und Computer) in kontrollierbaren Schritten migriert werden, wodurch die Auswirkungen auf die Bandbreite minimal gehalten und Risiken vermindert werden. Der Zeitrahmen für den Abschluss der Migration wird verkürzt, wenn es gelingt, den Verwaltungsoverhead für die Administration zweier Netzwerkumgebungen wegfallen zu lassen. Durch Delegierung der OU-Administration und andere Delegierungen kann die Verwaltung der Benutzer in Händen der ursprünglichen Windows NT 4.0-Domänenadministratoren verbleiben, die dann zwar möglicherweise keine Domänenadministratoren mehr sind, jedoch immer noch über aller erforderlichen Rechte und Berechtigungen zum Verwalten der Benutzer verfügen. Die im Rahmen der Migration verwendeten Dienstprogramme ermöglichen die Migration der Historie von Benutzerkennwörtern und Sicherheits-IDs (SIDs) zusammen mit den Sicherheitsprinzipalen. Dies sorgt für eine faktisch nahtlose Benutzererfahrung. Die Namen von Benutzerkonten bleiben gleich, sofern es keine Benennungskonflikte gibt, die ggf. bei der Domänenkonsolidierung auftreten können. In diesem Fall erhalten einige Benutzer mit Abschluss der Migration neue Kontonamen. Viele Benutzer können weiterhin den ursprünglichen Benutzernamen verwenden, müssen sich jedoch an einer anderen Domäne anmelden, da die ursprünglichen Domänen nach Abschluss der Migration nicht mehr existent sind. Wie in der Windows NT 4.0-Domäne vor der Migration pflegen die Benutzer ihre eigenen Kennwörter. Die Kennwörter von Benutzerkonten werden aus den Windows NT 4.0-Domänen in die Windows Server 2003-Domäne migriert. Nach der Migration werden Kennwörter mit Gruppenrichtlinien gesteuert, und obwohl es auch andere Möglichkeiten gibt, besteht der Standard darin, die Benutzer weiterhin ihre eigenen Kennwörter verwalten zu lassen. Bei der Migration von Benutzerkonten und -gruppen sind Änderungen an den Benutzerdesktops nicht erforderlich, bei der Migration von Arbeitsstationen muss die Arbeitsstation neu gestartet werden. Hierfür könnte das Active Directory-Migrationstool, Version 2, verwendet werden (Steuerung per GUI oder Skript). Mit jeder der genannten Methoden können die SIDHistory-Informationen bei der Migration übernommen werden, sodass während und nach der Migration ein nahtloser Zugriff auf Ressourcen gewährleistet ist. Wenn ein Fortbestand der SIDHistory-Informationen über die Migration hinaus nicht erwünscht ist, können diese mithilfe von Visual Basic®-Skripts entfernt werden. Informationen über die Verwendung von Visual Basic-Skripts zum Entfernen von SIDHistory-Informationen finden Sie im Knowledge Base-Artikel "HOWTO: Use Visual Basic Script to Clear SIDHistory” unter dem folgenden URL (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;295758 Datensicherung und -wiederherstellungVor der eigentlichen Migration werden Datensicherungen geprüft und Rollbackverfahren getestet. Dienste wie DHCP, WINS und DNS werden geprüft und sind nach der Migration weiterhin funktionstüchtig. In der neuen Umgebung gelten die bisherigen Richtlinien für Datensicherung und -wiederherstellung unverändert. LeistungDie Netzwerkauslastung wird während der Migration nicht erhöht. Die Migration erfolgt außerhalb der Geschäftszeiten, und die Sicherheitsprinzipale werden in Teilmengen migriert, um zu verhindern, dass sich die Netzwerkbandbreite erschöpft. InteroperabilitätDie neue Windows Server 2003-Domäne wird im NT 4.0-Übergangsmodus betrieben, bis alle Domänencontroller migriert wurden. Solange es noch NT 4.0-Domänencontroller in der gemischten Umgebung gibt, werden Richtliniendateien und Anmeldeskripts zwischen den Domänencontrollern synchronisiert. SupportfähigkeitDie Migration erfolgt nach Maßgabe der bewährten Methoden, was auch die Verwendung von im Vorfeld getesteten Skripts für spezifische Sets von nicht mehr als 500 Benutzer und Computer gleichzeitig impliziert. Auf diese Weise kann die Netzwerkbandbreite gesteuert und können Risiken vermindert werden. Für die Migration werden auch nicht mehr Supportmitarbeiter benötigt, als bereits am Standort vorhanden sind. EinschränkungenIn Johannesburg gibt es keine Vor-Ort-Support. Das Migrationsteam ist allerdings in der Lage, die Migration des Standortes Johannesburg remote von New York aus mit Skripts zu steuern. Die Exchange 5.5-Ressourcendomäne (WNB-MESSAGING) wird erst aktualisiert in die Active Directory-Gesamtstruktur von Windows Server 2003 integriert, wenn ein Upgrade auf Exchange Server 2003 durchgeführt wurde. RisikenUm zu hindern, dass die täglichen Geschäftsabläufe beeinträchtigt werden, musste das Migrationsteam im Vorfeld der Migration mögliche Risiken aufdecken und Abhilfemaßnahmen entwickeln. Es gibt zahlreiche Arten von Risiken. Nachstehend einige mögliche Risiken, die das Team in Betracht zieht:
UmfangDas Systementwurfsteam hat als Umfang für die Migration bei Woodgrove die Konsolidierung von vier Domänen zu einer Domäne festgelegt. Benutzerkonten, Sicherheitsgruppen und Computerkonten werden aus den vorhandenen Quelldomänen in die Active Directory-Domäne unter Windows Server 2003 der Woodgrove Bank migriert. Dies schließt alle Arbeitsstationen und Server mit ein. Außerhalb des UmfangsDie Aktualisierung der Exchange 5.5-Umgebung auf Exchange Server 2003 und die Migration der Domäne WNB-MESSAGING wird, mit Ausnahme von Schemaänderungen, keine Auswirkungen auf das Domänenmigrationsprojekt haben – sie kann jederzeit erfolgen. Für Windows NT 4.0-Mitgliedsserver, auf denen Anwendungen ausgeführt werden, die mit Windows Server 2003 nicht kompatibel sind, oder für Mitgliedsserver, die den Hardwareanforderungen nicht genügen, wird keine Betriebssystemaktualisierung erforderlich. Diese Server werden lediglich Mitglieder der neuen Windows Server 2003-Domäne. Die Konsolidierung der Server in Zweigstellen ist nicht Bestandteil des Migrationsprojekts von Woodgrove. Wenn sich Server an Remotestandorten befinden, die die Benutzer an diesen Standorte unterstützen, laufen diese während und nach Abschluss der Migration unverändert weiter. Falls gewünscht, kann die Konsolidierung dieser Server in einem Folgeprojekt durchgeführt werden. Zusammenfassung des KapitelsDieses Kapitel erläutert die Ziele der Migration im Hinblick auf die Prozesse, Verfahren und Aufgaben, die im Verlauf der Migration zum Einsatz kommen. Diese Ziele sollen sicherstellen, dass die Geschäfte auch während der Migration mit nur minimalen Einschränkungen weitergeführt werden können. Die Ziele der Migration berücksichtigen Bereiche wie Verfügbarkeit, Sicherheit, Skalierbarkeit, Verwaltbarkeit, Datensicherung und -wiederherstellung, Systemleistung, Interoperabilität, Supportfähigkeit, Einschränkungen und Risiken. Im folgenden Kapitel wird die bei Woodgrove vorgenommene Bewertung der Technologieumgebung vor der Migration näher beleuchtet. Diese Bewertung wird von der IT-Abteilung durchgeführt. Hierzu gehört eine Beschreibung der vorhandenen Hardware, gehören die Standorte von Servern, Replikationspfade sowie eine Bewertung des geplanten Endstadiums nach der Migration. BewertungsphaseDieses Kapitel befasst sich mit der Bewertung der Unternehmensumgebung bei Woodgrove. Zu den in diesem Rahmen gesammelten Informationen gehören die aktuelle Infrastruktur sowie die Konfigurationen von Client und Server. Bewertung der aktuellen UmgebungDie Bereitstellung eines Verzeichnisdienstes oder eine Migration stellt einen wesentlichen Teil des Technologielebenszyklus in einem Unternehmen dar. Die erfolgreiche Einführung eines Verzeichnisdienstes beginnt daher mit der Bewertung der aktuellen Technologieumgebung. Diese Bewertung wurde von der IT-Abteilung der Woodgrove Bank durchgeführt. Die IT-Abteilung hat Unterlagen zusammengestellt, die historische und aktuelle Informationen über die Technologieumgebung umfassen. Die IT-Abteilung der Woodgrove Bank musste zudem mit weiteren Verfahren sicherstellen, dass die Bewertung auf dem neuesten Stand war. Basierend auf den Ergebnissen hat das Migrationsteam diverse Arbeitsblätter zur Infrastrtukturbewertung vorbereitet, die die für das Domänenmigrationsprojekt relevanten Informationen umfassen. VerzeichnisdienstinfrastrukturIm Migrationsplan müssen die Domänen und Domänencontroller der vorhandenen Windows NT 4.0-Umgebung bezeichnet und dokumentiert werden. Die Dokumentation des Plans muss Angaben zum Domänennamen, zum Zweck der Domäne, zum Standort des Domänencontrollers, zu den Spezifikationen für den Domänencontroller, zu den Replikationspfaden für Anmeldeskripts, zu den Vertrauensstellungen (einschließlich der Richtung der Vertrauensstellung sowie der involvierten Domänen), zur Anzahl der Konten in jeder Domäne sowie zu den Dienstbesitzern enthalten. Nachfolgend die wichtigsten Feststellungen in der Domänencontrollerumgebung:
Die folgenden Arbeitsblätter enthalten Informationen über die Windows NT 4.0-Domänenumgebung der Woodgrove Bank. Das erste Arbeitsblatt (Abbildung 3) ermöglicht dem Team, Informationen zum Endstatus der Domäne wie auch zum aktuellen Status der Windows NT 4.0-Kontendomänen zu dokumentieren. Da diese Domänen ausschließlich aufgrund der funktionellen Einschränkungen der SAM-Datenbank von Windows NT 4.0 (maximal 40.000 Objekte) angelegt wurden, plant das IT-Team von Woodgrove, sämtliche Konten in eine einzige Domäne zu verlegen, nämlich corp.woodgrovebank.com. Die zweite Spalte gibt die Quelldomänen an, aus denen die Konten stammen. Weitere Informationen über die Anzahl der Benutzer, Gruppen und Arbeitsstationen können Sie den verbleibenden Spalten entnehmen, so auch Informationen zu Vertrauensstellungen, die Benutzern den Zugriff auf Ressourcen in anderen Domänen ermöglichen. Abbildung 4 zeigt ein ähnliches Arbeitsblatt, dass zum Dokumentieren der gleichen Informationen zu Ressourcendomänen verwendet wird. Der Unterschied besteht lediglich darin, dass in diesem Arbeitsblatt nicht die Benutzer, Gruppen und Computer dokumentiert werden, sondern dass es eine separate Spalte für Server und eine für Arbeitsstationen aufweist. Da sich in der Ressourcendomäne in erster Linie die Server befinden, auf denen die Ressourcen und Freigaben untergebracht sind und Zugriffssteuerung konfiguriert ist, hilft diese Unterscheidung bei der Migrationsplanung und -implementierung. Abbildung 5 setzt die Dokumentation fort, indem die notwendigen Informationen über die Domänencontroller zusammengetragen werden, wozu auch Angaben zur Hardware, zum Betriebsystem und zu den installierten Service Packs sowie eine Einschätzung gehören, ob der Domänencontroller aktualisiert werden kann. NetzwerkinfrastrukturDie Bewertung der Netzwerkinfrastruktur umfasst sowohl die IP-Vernetzung für die interne Kommunikation bei der Woodgrove Bank als auch Netzwerkdienste wie DHCP, WINS und DNS. Zu den wichtigen Informationen in diesem Abschnitt gehört die Bezeichnung der Server, die Netzwerkdienste (DHCP, WINS und DNS) bereitstellen, gehören die Spezifikationen dieser Server sowie deren Position im Netzwerk. Darüber hinaus müssen Bereichsinformationen zu den DHCP-Servern sowie Informationen zur IP-Konfiguration der DHCP-Bereiche gesammelt werden. WINS-Server und deren Replikationstopologie müssen ebenfalls bewertet und dokumentiert werden, ebenso wie die DNS-Konfiguration bei der Woodgrove Bank. Abbildung 6 zeigt das Arbeitsblatt mit Informationen über die aktuelle DHCP-Umgebung der Woodgrove Bank. SicherheitsrichtlinienDie Bewertung der bei der Woodgrove Bank geltenden Sicherheitsrichtlinien ist durchaus relevant, da die Migration zu Windows Server 2003 Active Directory das Kopieren oder Verschieben von Sicherheitsprinizipals wie Benutzer oder Sicherheitsgruppen von einer Domäne in eine andere umfasst. Das Arbeitsblatt in Abbildung 7 enthält Einzelheiten zur Sicherheitskonfiguration der Windows NT 4.0-Domänen der Woodgrove Bank. BereitstellungsinfrastrukturDie Bereitstellungsinfrastruktur bezieht sich auf die verwendeten Arbeitsstationen, deren Standort, Mitgliedschaft in Domänen und Konfigurationen. Diese Angaben sind für den Migrationsplanungsprozess unverzichtbar, da sowohl die Betriebssysteme der Arbeitsstationen als auch die Domänenmitgliedschaften ggf. geändert werden müssen, um die Ziele der Domänenkonsolidierung zu erreichen. Im vorstehenden Arbeitsblatt (Abbildung 8) hat das Migrationsteam die geplante Desktopbereitstellung bei der Woodgrove Bank im Detail dokumentiert. Sicherungs- und WiederherstellungsinfrastrukturDie Fähigkeit zur Wiederherstellung von Umgebungen oder Servern im Falle eines Hardwareproblems oder einer externen Katastrophe ist für die Woodgrove Bank zwingend erforderlich, daher müssen Informationen zur vorhandenen Sicherungs- und Wiederherstellungsinfrastruktur gesammelt werden. Zu den in diesem Abschnitt geforderten Informationen gehört die für die Domäneninfrastruktur und die Ressourcenserver verwendete Sicherungssoftware, gehören Sicherungszeitpläne, Zeitpläne für die Wiederherstellungsprüfung sowie Informationen zu den Besitzern von Wiederherstellungsprozessen (sofern der Katastrophenfall ausgerufen wird oder ein Server wiederhergstellt werden muss). MessaginginfrastrukturDie aktuelle Messaginginfrastruktur der Woodgrove Bank basiert auf Microsoft Exchange Server 5.5, und alle Exchange-Server befinden sich in der Domäne WNB-MESSSAGING. Dedizierte Exchange-Server an Standorten mit Rechenzentren dienen als Host für Postfächer, öffentliche Ordner und SMTP-Gateways/-Bridgeheads (Simple Mail Transfer Protocol). Bei kleinen Filialen werden diese Dienste auf einem einzigen Exchange-Server gehostet. Datei- und DruckdiensteDie Datei- und Druckdienste der Woodgrove Bank befinden sich zurzeit auf Windows NT 4.0-Servern, die Mitglieder der verschiedenen Ressourcendomänen sind. Die Systempartition ist als Laufwerk C konfiguriert, und der Druckerspooler wurde auf einer zweiten Festplatte, Laufwerk D, untergebracht. Sämtliche Dateisystemdaten befinden sich in (einer) eigenen Dateisystempartition(en). Freigaben werden generell nur auf der obersten Ebene der Verzeichnisstruktur erstellt, mit Ausnahme einiger eingeschränkter Ordner, die den standardmäßigen Windows NT 4.0-Zugriff "Jeder", "Vollzugriff" enthalten. Zur Bewertung der IT-Infrastruktur gehört zudem ein Arbeitsblatt, das detaillierte Informationen über die Datei- und Druckserver der Woodgrove Bank enthält. Die aktuelle Umgebung im ÜberblickFür das Migrationsszenario der Windows NT 4.0-Domänen wurde nur eine Teilmenge der Umgebung der Woodgrove Bank herangezogen. Dieser Anfangsstatus umfasst das Kernrechenzentrum der Woodgrove Bank sowie einige Zweigstellenstandorte. Die folgende Abbildung zeigt Details zum Windows NT 4.0-Anfangsstatus bei der Woodgrove Bank, der die Basis für den Domänenmigrationsprozess darstellt. Bewertung der MigrationstoolsJe nach Größe und Anzahl der Kontendomänen sowie Anzahl der betroffenen Ressourcendomänen kann sich das Neustrukturieren von Domänen ebenso routinemäßig und einfach wie außerordentlich komplex gestaltet. Microsoft stellt daher eine Reihe von Tools bereit, die Sie bei der Neustrukturierung von Domänen unterstützen sollen. Das Active Directory Migration Tool, Version 2.0 (ADMT v2) ist ein leistungsfähiges Tool, mit dem alle anstehenden Aufgaben erledigt werden können. Es bietet drei optionale Oberflächen:
Nach der Bewertung von ADMT, Version 2, und den hiervon gebotenen Funktionen hat sich das Migrationsteam bei der Woodgrove Bank entschieden, dieses Tool für die Windows NT 4.0-Migration zu verwenden. In einer Entwicklungsumgebung wird das Migrationsteam nun Skripts aus den Beispielen entwickeln, die zum Lieferumfang des Tools gehören und dazu beitragen, einen Großteil der Aufgaben zu automatisieren. Bewertung der ZielumgebungDie Vision des Windows NT 4.0-Domänenmigrationsprojekts bei der Woodgrove Bank ist es, die Windows NT 4.0-Domänen zu einer Active Directory-Umgebung unter Windows Server 2003 zu konsolidieren. Dieses Migrationsprojekt umfasst auch die Konsolidierung der Netzwerkdienste für Windows Server 2003. Anhand der Bewertung der IT-Umgebung und der Migrationsanforderungen der Woodgrove Bank kann der Zielstatus der Domänenmigration ermittelt werden. Es ist möglich, alle Windows NT 4.0-Domänen mit Ausnahme der Exchange 5.5-Ressourcendomäne in eine einzige Active Directory-Domäne zu migrieren. Im Zuge der Aktualisierung der Messaginginfrastruktur auf Exchange Server 2003 wird auch die Exchange 5.5-Ressourcendomäne in die Active Directory-Gesamtstruktur integriert. Die Domäne WNB-ACCT-A wird als erste als direktes Update aktualisiert, damit die Mehrzahl der Benutzer sobald wie möglich von Active Directory profitieren kann. Jede der vorhandenen Windows NT 4.0-Domänen wird im weiteren Verlauf der Migration nach Active Directory migriert, mit Ausnahme der Exchange 5.5-Ressourcendomäne, wie bereits im Vorfeld erläutert. Die folgende Abbildung zeigt Einzelheiten zum Zielstatus der Domänenmigration. Nach Abschluss der Migration stellt eine einzige Active Directory-Domäne mit Namen corp.woodgrovebank.com Verzeichnisdienste für den gesamten Konzern der Woodgrove Bank bereit. Zusammenfassung des KapitelsDieses Kapitel enthält die Bewertung der aktuellen Technologieumgebung. Diese Bewertung wurde von Mitgliedern der IT-Abteilung von Woodgrove vorgenommen. Die Bewertungen umfassen eine Beschreibung der vorhandenen Hardware, der Positionen von Servern, der Replikationspfade, der bei der Migration zu verwendenden Tools sowie des angestrebten Zielstatus nach Abschluss der Migration. Das nächste Kapitel befasst sich mit dem Active Directory-Entwurf des gewünschten Endergebnisses. In diesem Zusammenhang werden die physischen und logischen Entwürfe erläutert. Der physische Entwurf konzentriert sich auf die Sites und Dienste (DHCP, DNS und WINS) die zur Unterstützung von Netzwerkoperationen erforderlich sind. Der logische Entwurf befasst sich mit den OUs, die so einfach wie möglich gestaltet werden und die Delegierung von Verwaltungsautorität ebenso unterstützen wie die Anwendung von Richtlinien. Planen der MigrationDieses Kapitel erläutert im Detail den Migrationsplan, den die IT-Profis von Woodgrove implementiert haben. Das hierin dargelegte Konzept unterstützt die Ziele der Migration und bereitet den Weg, um das Unternehmen bis zum gewünschten Endstadium zu führen. Active Directory-EntwurfDer Active Directory-Entwurf der Woodgrove Bank wurde bereits in einem Vorläuferprojekt entwickelt und wird in diesem Abschnitt zusammengefasst. Die folgenden Abschnitte erläutern die Anforderungen des Entwurfs. Hier eine Zusammenfassung dieser Anforderungen:
Active Directory-Besitzer und -AdministratorenDie Active Directory-Besitzer nehmen eine eher strategische Managerrolle ein. Die Besitzer sind dafür zuständig, den Administratoren die Aufgaben zuzuteilen, die für die Implementierung und die kontinuierliche Verwaltung des Active Directory-Entwurfs erforderlich sind, z. B. die Erstellung neuer Domänencontroller in der Gesamtstruktur. Die Active Directory-Besitzer bei der Woodgrove Bank gehören der für den globalen Infrastrukturentwurf zuständigen Gruppe an. Die Besitzer verfügen nicht über die Zugriffsrechte, um die Verzeichnisinfrastruktur direkt zu bearbeiten. Nur die Administratoren verfügen über Netzwerkzugriff und die notwendigen Berechtigungen, um das Verzeichnis und dessen Infrastruktur zu bearbeiten. Wie Sie der nachstehenden Tabelle entnehmen können, handelt es sich bei Besitzer und Administrator in einigen Fällen um die gleiche Person, in anderen Fällen nicht. Die Verwaltung und der Betrieb von Active Directory auf täglicher Basis setzt die folgenden Rollen voraus:
Die nachstehende Tabelle 4 beschreibt die Rollen und die jeweiligen Besitzer in der Woodgrove-Umgebung im Einzelnen.
Tabelle 4. Besitzer von Active Directory-Rollen bei der Woodgrove Bank Alle Mitglieder der Active Directory-Gesamtstruktur der Woodgrove Bank müssen dem Gesamtstrukturbesitzer und den Serviceadministratoren vertrauen. Der Gesamtstrukturbesitzer (aus der Gruppe "Globaler Infrastrukturentwurf") ist zuständig für die Auswahl und die Verwaltung der Dienstadministratoren. Diese Dienstadministratoren (Verzeichnisdienstadministratoren) haben Zugriff auf alle Ressourcen in der Gesamtstruktur. Die IT-Sicherheitsrichtlinien der Woodgrove Bank werden als Ergebnis des Active Directory-Entwurfsprojekts mit den folgenden Erweiterungen für Dienstadministratoren aktualisiert. Auf diese Weise wird Folgendes sichergestellt:
Anwendungsdienstkonten, die die Rechte eines Domänenadministrators erfordern, befinden sich im Besitz von Dienstadministratoren. Physischer EntwurfDer physische Active Directory-Entwurf muss die physische IT-Infrastruktur des Unternehmens widerspiegeln. Active Directory-Standorte und -Dienste werden zur Dokumentation des physischen Entwurfs verwendet. StandortentwurfBei der Woodgrove Bank wird für die Verbindung zwischen den Unternehmensstandorten eine heterogene WAN-Struktur verwendet. Der vorgeschlagene Standortentwurf gibt die physische WAN-Topologie, die Standorte mit Geschäftsvorgängen (Niederlassungen) der Woodgrove Bank sowie die Netzwerkdienste wieder, die erforderlich sind, um diese Geschäftsvorgänge zu unterstützen. Gemäß der klassischen Definition ist ein Standort eine "Sammlung von in geeigneter Weise (mit LAN-Geschwindigkeit oder schneller) verbundenen IP-Subnetzen". Der vorgeschlagene Standortentwurf folgt diesem Entwurfsprinzip insofern, als dass jeder physische Standort im Netzwerk der Woodgrove Bank eine "Sammlung von in geeigneter Weise verbundenen IP-Subnetzen" ist, die zu einem Active Directory-Standort gruppiert werden. Wird beim Standortentwurf die physische Netzwerktopologie zugrunde gelegt, eröffnet sich ein Optimum an Entwurfsflexibilität, wodurch alle nur denkbaren zukünftigen physischen Infrastrukturänderungen an der Umgebung der Woodgrove Bank möglich werden. Platzierung von Domänencontrollern und DNSIm Migrationsplan von Woodgrove wurde festgelegt, dass sich bei der Platzierung der Domänencontroller keine Änderungen gegenüber dem vorherigen Domänenmodell ergeben sollen. An jedem Standort, an dem sich gegenwärtig ein Domänencontroller mit Windows NT 4.0-Master-Benutzerdomäne befindet, soll in Zukunft ein Windows Server 2003 Active Directory-Domänencontroller stehen. Vor der Installation des Active Directory-Domänencontrollers müssen die Verzeichnisdienstadministratoren sicherstellen, dass in ausreichender Weise für physische Sicherheit gesorgt ist. Die Netzwerkadministratoren der Woodgrove Bank haben beschlossen, den DNS-Dienst mit dem in Active Directory integrierten DNS auf jedem Domänencontroller in der Domäne corp.woodgrovebank.com zu installieren. Auf diese Weise können die Clients der Woodgrove Bank an Standorten, an denen sich Domänencontroller befinden, mit lokaler Namensauflösung arbeiten. Jeder Domänencontroller wurde darüber hinaus zum Installationszeitpunkt für die Rolle des globalen Katalogs konfiguriert. WINS-EntwurfDer Entwurf der Woodgrove Bank sieht eine verteilte WINS-Bereitstellung unter Verwendung mehrerer WINS-Server in einer Hub-and-Spoke-Topologie vor. In diesem Entwurf befindet sich ein WINS-Server am Standort New York, der als zentraler Hub für die WINS-Infrastruktur des gesamten Unternehmens dient; andere WINS-Server wie die an regionalen Standorten, führen eine Replikation mit diesem Hub durch. Die Designer haben festgestellt, dass Datenkonvergenz und Replikationsoverhead bei einer Hub-and-Spoke-Topologie in einem angemessenen Verhältnis stehen. Die nachstehende Abbildung illustriert den physischen Entwurf für die WINS-Bereitstellung im Szenario der Woodgrove Bank. Zwei geclusterte Server bilden den zentralen WINS-Hub, wobei die WINS-Datenbank auf den Festplatten einer SAN-Lösung (Storage Area Network) gespeichert ist. Eigenständige WINS-Server werden als primäre WINS-Server für Clients bereitgestellt, und diese Server sind zwecks Fehlertoleranz und Leistungsfähigkeit mit gekoppelten Netzwerkadaptern ausgestattet. DHCP-EntwurfDie Woodgrove Bank verwendet DHCP als primäre Adresszuweisungstechnologie. Die Woodgrove Bank hat sich für DHCP entschieden, weil dies die umfassendste und flexibelste Lösung für das vorliegende Szenario ist. Im Entwurf der Woodgrove Bank kommt eine Kombination aus DHCP-Clustern zum Einsatz, um einen zentralen DHCP-Dienst nach Maßgabe der Anforderungen der Bank bereitzustellen. Im logischen DHCP-Entwurf wird eine Kombination aus manuell konfigurierten IP-Adressen, reservierten DHCP-Adressen und Adresszuweisung unter Verwendung von DHCP verwendet:
Die folgende Abbildung zeigt, wie die verschiedenen Methoden der IP-Adresszuweisung bei der Woodgrove Bank verwendet werden. Mit der Bereitstellung von geclusterten DHCP-Servern werden Fehlertoleranz und Verfügbarkeit gewährleistet. Die meisten Router unterstützen DHCP. In den Teilen der Umgebung, in denen die Router DHCP nicht unterstützen, sieht der Entwurf DHCP-Relay-Agenten vor, die im Namen der DHCP-Clients agieren und Unicasts direkt an den DHCP-Cluster senden. In der vorstehenden Abbildung wurden für die verschiedenen Clienttypen die folgenden Definition zugrunde gelegt:
Die nachstehende Abbildung illustriert den physischen Entwurf für die DHCP-Bereitstellung im Szenario der Woodgrove Bank. Zwei geclusterte Server bilden die Haupt-DHCP-Ressource, wobei die DHCP-Datenbank auf den Festplatten einer SAN-Lösung gespeichert ist. Logischer EntwurfDer logische Active Directory-Entwurf spiegelt die Domäneninfrastruktur wider, die sich von der physischen Verteilung der Geschäftsbereiche grundlegend unterscheiden kann. Dies umfasst den Entwurf der Gesamtstruktur, der Domänen und Vertrauensstellungen sowie den OU-Entwurf. Entwurf der GesamtstrukturEine Gesamtstruktur besteht aus einer Sammlung von Domänen, deren Konfiguration und Schema gemeinsam genutzt werden. Sie wird durch einen einzigen logischen globalen Katalog dargestellt und durch einen Spanning Tree von transitiven Vertrauensstellungen verbunden. Die Gesamtstruktur erhält den Namen der zugehörigen Stammdomäne. Standardmäßig ist die Gruppe der Domänen-Admins der Stammdomäne der Gesamtstruktur der administrative Besitzer dieser Gesamtstruktur. Bei der Woodgrove Bank sind dies die Verzeichnisdienstadministratoren. Auswahl des GesamtstrukturentwurfsBei der Auswahl des Active Directory-Gesamtstrukturmodells für die Woodgrove Bank werden folgende Faktoren berücksichtigt:
DomänenentwurfDomänen werden zum Partitionieren des Verzeichnisses verwendet, sodass die Informationen im Verzeichnis im gesamten Unternehmen in effektiver Weise verteilt und verwaltet werden können. Standardmäßig ist die Gruppe der Domänen-Admins für die Domäne der administrative Besitzer der Domäne. Da der Domänenbesitzer auch die Domänencontroller verwaltet, fällt diese Rolle einem Dienstadministrator zu. Auswahl des DomänenentwurfsIm Rahmen des Entwurfsprojekts bei Woodgrove wurde entschieden, dass das Windows Server 2003-Domänenmodell der Bank aus einer einzigen Active Directory-Domäne bestehen soll. Active Directory-Domänen verfügen über zwei Arten von Namen: DNS-Namen und NetBIOS-Namen. In der Regel werden beide Namen für die Endbenutzer angezeigt. Abbildung 15 illustriert das Active Directory-Gesamtstruktur- und -Domänenmodell der Woodgrove Bank. Die Windows NT 4.0-Domänen enthalten gegenwärtig zahlreiche veraltete Benutzer-, Gruppen- und Computerobjekte, die im Migrationsprojekt der Woodgrove Bank nicht berücksichtigt werden sollen. Tabelle 5 gibt die geschätzte Anzahl Objekte basierend auf den vorhandenen Windows NT 4.0-Domänen bei der Woodgrove Bank an.
Tabelle 5. Geschätzte Anzahl Objekte in den Domänen der Woodgrove Bank Vertrauensstellungen mit externen Windows NT 4.0-DomänenUm die Sicherheitsanforderungen der neuen Windows Server 2003-Umgebung zu erfüllen, wird es keine Vertrauensstellungen zwischen der Domäne corp.woodgrovebank.com und einer vorhandenen Windows NT-Domäne geben. Auf diese Weise wird sichergestellt, dass die für die Feststellung der Benutzeridentität, für Authentifizierung, Autorisierung und Prüfung eingeführten Maßnahmen nicht durch schwächere oder weniger konforme Sicherheitsmaßnahmen in vorhandenen Produktions-, Entwicklungs- oder Testumgebungen unterminiert werden. Sofern zukünftig der Bedarf besteht, können unidirektionale Vertrauensstellungen eingerichtet werden, bei denen ggf. verbleibende Ressourcen-, Entwicklungs- und Testdomänen der neuen Windows Server 2003-Domäne vertrauen können. Vertrauensstellungen können zudem auch vorübergehend eingerichtet werden, um die Migration in die neuen Domänen unter corp.woodgrovebank.com zu vereinfachen. Beispielsweise könnte für die Domäne WNB-RES-A eine Vertrauensstellung zur Domäne corp.woodgrovebank.com konfiguriert werden, damit Benutzer, die in die neue Domäne corp.woodgrovebank.com migriert wurden, während der Übergangsphase weiterhin auf die Anwendungsserver in der Windows NT-Domäne WNB-RES-A zugreifen können. Entwurf der OrganisationseinheitenDie OU-Struktur der Woodgrove Bank war von Beginn an darauf ausgelegt, die Delegierung der Verwaltung zu ermöglichen und den Migrationsprozess zu unterstützen. Die OU-Struktur bleibt für die Endbenutzer verborgen. Betrachten Sie die OU-Struktur als ein Verwaltungstool für Dienst- und Datenadministratoren, das einfach geändert werden kann. Der Gesamtstrukturbesitzer weist jeder OU in der Active Directory-Gesamtstruktur einen Besitzer zu. OU-Besitzer sind die Datenadministratoren, die die Unterstrukturen mit Objekten in Active Directory verwalten. OU-Besitzer können die Delegierung der Verwaltung und die Anwendung von Richtlinien auf die Objekte in ihren Organisationseinheiten steuern. Darüber hinaus können sie neue Unterstrukturen erstellen und die Verwaltung der OUs in diesen Unterstrukturen delegieren. Auswahl des OU-EntwurfsFür die Woodgrove Bank wurde ein OU-Entwurf entwickelt, der die in erster Linie zentral gesteuerten Abläufe des Unternehmens widerspiegelt. Das Modell soll Folgendes ermöglichen:
Die nachstehende Abbildung (Abb. 16) illustriert die OU-Struktur der Stammdomäne der Gesamtstruktur, corp.woodgrovebank.com. Ein wichtiger Vorteil dieser OU-Struktur für die Woodgrove Bank ist, dass die Verzeichnisdienstadministratoren die Kontrolle über die Objekte in der Ressourcendomäne an Mitglieder des Migrationsteams delegieren können. Auf diese Weise können die Desktopkonfigurationsadministratoren in Sydney beispielsweise die Neustrukturierung der Ressourcendomäne übernehmen, ohne Verwaltungsrechte für die Domäne corp.woodgrovebank.com zu benötigen. Den Desktopkonfigurationsadministratoren wird das Recht zum Verwalten von Benutzer-, Gruppen- und Computerobjekten unterhalb der OU Migrated Objects gewährt. DNS-EntwurfInterne Domänen, die untergeordnete Domänen der externen Domäne sind, stellen im Szenario der Woodgrove Bank den einfachsten Namespaceentwurf für Bereitstellung und Verwaltung dar. Mit diesem Entwurf erhält die Woodgrove Bank eine effektive und sichere DNS-Lösung, die auch Active Directory unterstützt. Im Entwurf der Woodgrove Bank gibt es zwei Namespaces, einen internen und einen externen. Alle internen Domänen sind untergeordnete Domänen des öffentlich auflösbaren externen Domänennamens. Der Name des externen Namespace lautet woodgrovebank.com, und der primäre interne Namespace wird mit corp.woodgrovebank.com bezeichnet. Die untergeordnete Domäne corp.woodgrovebank.com ist somit die übergeordnete Subdomäne aller Unternehmensressourcen. Alle Zonen im Entwurf der Woodgrove Bank sind in Active Directory-integrierte primäre Zonen; diese nutzen die von Active Directory gebotene sichere Multimasterreplikation. Standards und RichtlinienIm Active Directory-Entwurf der Woodgrove Bank wurde eine unternehmensweite Benennungskonvention für Sicherheitsgruppen eingerichtet. Hiermit soll sichergestellt werden, dass die sichere Zugriffssteuerung nicht gefährdet wird. Ohne diese universelle Benennungskonvention (Universal Naming Convention, UNC) erhöht sich das Potenzial für benutzerseitige Fehler beim Hinzufügen oder Entfernen von Mitglieder zu oder aus Gruppen um ein Vielfaches. Für sämtliche Benutzerkonten oder Gruppen, die im Verlauf des Migrationsprozesses umbenannt werden müssen, gelten die neuen Benennungsstandards.
Tabelle 6. Benennungsstandards bei der Woodgrove Bank HardwareanforderungenMehrere Faktoren beeinflussen die Domänencontrollerkapazität, z. B. die Anzahl der Objekte in der Domäne, die Anzahl der Benutzer, die sich an der Domäne anmelden, die Rolle des Domänencontrollers sowie die darauf installierten Dienste. Anhand der Bewertung der Domänencontroller (siehe abschließende Bewertung in Kapitel 4, Abbildung 3) wurde deutlich, dass einige der vorhandenen Windows NT 4.0-Domänencontroller Windows Server 2003 nicht unterstützen. In diesen Fällen muss neue Hardware angeschafft und müssen die vorhandenen Server außer Betrieb gesetzt werden. Auf dem aktuellen Windows NT 4.0-PDC für die Domäne WNB-ACCT-A kann Windows Server 2003 nicht ausgeführt werden. Vor dem direkten Update muss also ein neuer Server in die Umgebung integriert werden, der in der Lage ist, Windows Server 2003 auszuführen. Die folgende Tabelle enthält die Spezifikationskategorien der Woodgrove Bank für Domänencontroller.
Tabelle 7. Hardwarespezifikation der Domänencontroller der Woodgrove Bank MigrationsansatzDas Entwurfsteam ist zu dem Schluss gelangt, dass sich die Verwaltung langfristig wesentlich vereinfachen ließe, wenn für die Woodgrove Bank ein Modell mit einer einzigen Gesamtstruktur und einer einzigen Domäne eingeführt würde. Während der Migration der alten Domänen in die neue Windows Server 2003 Active Directory-Domäne befinden sich die Administratoren in einer Umgebung, in der sich Benutzer und Ressourcen in verschiedenen Domänen befinden. Dies verursacht einen verwaltungstechnischen Mehraufwand während der Migration. Wie in den Migrationszielen erläutert, ist die IT-Gruppe der Woodgrove Bank in der Pflicht, die Migration zügig fertig zu stellen, nachdem der Migrationsprozess einmal gestartet wurde. Das oberste Ziel während der Migration besteht darin, die Benutzergemeinde so wenig wie möglich zu stören. Die einzige Änderung aus dem Blickwinkel des Benutzers sollte die Domäne sein, an der er sich anmeldet. Bei sorgfältiger Planung ist dieses Ziel durchaus erreichbar. Der Migrationsplan sieht ein schrittweises Verfahren bei der Migration von Benutzern und der Außerbetriebsetzung vorhandener Windows NT 4.0-Domänen vor. Domänen, die migriert/konsolidiert werden sollenIn der Bewertungsphase haben die Migrationsentwickler bei Woodgrove festgestellt, dass die folgenden Domänen auf eine einzige Active Directory-Domäne reduziert werden können.
Die Domäne WNB-MESSAGING wird im Zuge des aktuellen Projekts nicht migriert, da sich hierin zurzeit die Exchange 5.5-Server befinden. Diese Domäne wird in einem Folgeprojekt migriert, und zwar wenn die Exchange 5.5-Server auf Exchange Server 2003 aktualisiert werden. Die folgende Tabelle erläutert die Migrationsmethode, die für jede Domäne verwendet wird, und gibt den Grund für die jeweilige Entscheidung an.
Tabelle 8. Domänenmigrationsmethoden der Woodgrove Bank Die Ressourcendomänen unter Windows NT 4.0 in der Umgebung der Woodgrove Bank wurden in erster Linie angelegt, um Verwaltungsfunktionen an verschiedene Supportgruppen delegieren zu können. Es ist möglich, diese Ressourcendomänen als einzelne Active Directory-Domäne neu zu strukturieren, indem eine OU-Struktur angelegt wird, die das gewünschte Verwaltungsmodell repräsentiert. Die OUs der neu strukturierten Ressourcendomäne können dann wieder an die verschiedenen Supportgruppen delegiert werden, so dass diese die ihnen anvertrauten Ressourcen weiterhin verwalten können. MigrationsreihenfolgeEin direktes Update stellt für die Domänen WNB-ACCT-A und WNB-ACCT-ROW eine sehr attraktive Option dar, da es sich hierbei um die beiden Masterkontendomänen handelt, in die die IT-Gruppe im letzten Jahr alle Benutzer und Gruppen verschoben hatte. Im Allgemeinen gestaltet sich die Konfiguration im Rahmen eines Updates einfacher, zumal in der Domäne vorhandene Benutzer, Einstellungen, Gruppen, Rechte und Berechtigungen erhalten bleiben. Darüber hinaus müssen bei einem Update auch keine Dateien und Anwendungen neu installiert werden. Da das Wunschziel jedoch eine einzige Active Directory-Domäne ist, muss eine der Domänen in die aktualisierte Domäne konsolidiert werden. Im Sinne einer schnellen und einfachen Erstellung der Active Directory-Domäne wurde die größte Masterbenutzerdomäne, WNB-ACCT-A, für das direkte Update ausgewählt. Bevor weitere Domänen neu strukturiert und in die Active Directory-Gesamtstruktur eingebunden werden, muss die Domäne corp.woodgrovebank.com auf die Funktionsebene von Windows Server 2003 gehoben werden, damit der SID-Verlauf genutzt werden kann. Dies bedeutet, dass alle Reservedomänencontroller (BDCs) unter Windows NT 4.0 in WNB-ACCT-A auf Windows Server 2003 aktualisiert werden müssen. Da die DNS-Daten auf den Active Directory-Domänencontroller unter Windows Server 2003 gehostet werden, muss die Neukonfiguration der DNS-Infrastruktur unmittelbar vor dem direkten Update der Domäne WNB-ACCT-A erfolgen. An diesem Punkt wird DNS bereits nach Vorgabe des finalen Entwurfsstadiums konfiguriert, demgemäß DNS-Daten nur auf Domänencontroller unter Windows Server 2003 gehostet werden. Um diese Änderung an der DNS-Struktur zu aktivieren, besteht der nächste Schritt der Migration darin, die DHCP-Bereiche neu zu konfigurieren, um Arbeitsstationen und Mitgliedsserver auf die neuen DNS-Server unter Windows Server 2003 zu verweisen. Nachdem diese Änderung an den DHCP-Bereichen an die Computer bei Woodgrove weitergegeben wurde, kann der DNS-Dienst auf den Windows NT 4.0-Servern deaktiviert werden. Es ist bekannt, dass die Geschäftsressourcen von Woodgrove wie Dateien und Drucker für den Zugriff über Sicherheitsprinzipale aus beiden Domänen WNB-ACCT-A und WNB-ACCT-ROW konfiguriert worden sind. Wenn also eine Ressourcendomäne in die Active Directory-Gesamtstruktur konsolidiert werden soll, bevor die Sicherheitsprinzipale migriert wurden, werden weitere Vertrauensstellungen erforderlich. Die Administratoren der Woodgrove Bank sind der Überzeugung, dass dies verwaltungstechnisch einen Mehraufwand bedeuten würde. Um also die Zusammenfassung der Ressourcendomänen zu vereinfachen, müssen die Sicherheitsprinzipale aller Benutzer und Gruppen zunächst in die Active Directory-Domäne corp.woodgrovebank.com übernommen werden. Daher muss die Masterbenutzerdomäne WNB-ACCT-ROW neu strukturiert werden, indem die Gruppen- und Benutzerprinzipale unmittelbar nach der Umschaltung der Gesamtstruktur auf die Funktionsebene von Windows Server 2003 in die Active Directory-Domäne corp.woodgrovebank.com migriert werden. Das Resultat des direkten Updates der Domäne WNB-ACCT-A und der Migration der Benutzer- und Gruppenkonten von WNB-ACCT-ROW ist, dass sich sämtliche Benutzer- und Gruppenkonten nun in der neuen Active Directory-Domäne corp.woodgrovebank.com befinden. Auch die Ressourcendomänen enthalten Arbeitsstationskonten und Serverkonten, die ebenfalls in die Domäne corp.woodgrovebank.com migriert werden müssen. Demzufolge besteht der nächste Schritt in der Migration der Arbeitsstationskonten mithilfe von ADMT, Version 2. Die Migration der Arbeitsstationen umfasst eine Reihe von Aufgaben:
Für die Migration der Datei- und Druckserver sind ebenfalls diverse Schritte erforderlich:
An diesem Punkt des Verfahrens sind die Ressourcendomänen bereits außer Betrieb gesetzt. Nach der Außerbetriebsetzung der Ressourcendomäne und wenn alle Dienste ordnungsgemäß funktionieren, kann die konsolidierte Kontendomäne WNB-ACCT-ROW außer Betrieb gesetzt und können die Domänencontrollerressourcen einem neuen Verwendungszweck zugeführt werden. Migrationsphasen bei der Woodgrove BankDer bei der Woodgrove Bank durchgeführte Migrationsprozess ist iterativ, d. h. er besteht aus sich wiederholenden Vorgängen, und an seinem Ende steht eine einzige Active Directory-Domäne unter Windows Server 2003. Abbildung 17 gibt eine Übersicht über die übergeordneten Migrationsphasen, die in späteren Kapiteln näher erläutert werden. Exchange 5.5Die IT-Abteilung bei der Woodgrove Bank hat beschlossen, die vorhandene Messagingumgebung unter Exchange 5.5 auf Exchange Server 2003 zu aktualisieren. Dieses Update kann jederzeit durchgeführt werden und hat keinen Vorrang vor dem Domänenmigrationsprojekt. Zur Unterstützung der Aktualisierung auf Exchange Server 2003 werden während des Domänenaktualisierungs- und Neustrukturierungsprozesses unter Windows NT 4.0 bereits Vorbereitungen für Exchange Server 2003 getroffen, indem das Active Directory-Schema für Exchange Server 2003 erweitert wird. Darüber hinaus wird auch die OU-Struktur für die geplante Integration des Active Directory Connectors entworfen und eingerichtet. Die in der Exchange 5.5 vorhandenen Benutzerpostfächer müssen geändert werden, wobei das primäre NT-Konto eines jeden Kontos in ein neues Active Directory-Benutzerkonto umgewandelt wird. Des Weiteren muss jede Berechtigung auf den Exchange 5.5-Servern mit Verweis auf die migrierten Konten aus WNB-ACCT-ROW so geändert werden, dass sich der Verweis nun auf die neuen Konten in corp.woodgrovebank.com bezieht. Erwartete ErgebnisseDie IT-Abteilung der Woodgrove Bank hatte schon im Planungsstadium erkannt, wie wichtig eine Definition der Ergebnisse sein würde, die mit dem Abschluss der Domänenmigration realisiert sein sollten:
Zusammenfassung des KapitelsDieses Kapitel befasst sich mit dem Active Directory-Entwurf für das gewünschte Endergebnis. In diesem Zusammenhang werden die physischen und logischen Entwürfe erläutert. Der physische Entwurf konzentriert sich auf die Standorte und Dienste (DHCP, DNS und WINS) die zur Unterstützung von Netzwerkoperationen erforderlich sind. Der logische Entwurf befasst sich mit Gesamtstruktur und Domänen sowie mit OUs. Die OU-Struktur wurde so einfach wie möglich gehalten und unterstützt die Delegierung von Verwaltungsrechten und die Anwendung von Richtlinien. Nachdem das gewünschte Endergebnis im Detail definiert wurde, kann das Migrationsteam mit den Aufgaben zur Vorbereitung der Migration fortfahren, die im nun folgenden Kapitel 6 näher erläutert werden und die sicherstellen, dass die alle vor dem Start der Migration erforderlichen Schritte unternommen wurden. Zu diesen abschließenden Schritten gehören Aufgaben wie das Auflösen bekannter Probleme mit der Clientkompatibilität, Sicherstellen, dass jeder Schritt im Migrationsplan unternommen wurde, und Verteilen der erforderlichen Aufgaben auf die jeweils geeigneten Mitarbeiter. Aufgaben vor der MigrationDieses Kapitel befasst sich mit den Aufgaben, die das Migrationsteam von Woodgrove vor dem Start der Migration im Unternehmen erledigen muss. ÜbersichtVor der Aktualisierung oder Neustrukturierung der Windows NT 4.0-Domänen der Woodgrove Bank führt das hierfür zuständige Migrationsteam bestimmte Schritte durch, um sicherzustellen, dass die Umgebung in geeigneter Weise vorbereitet ist. Nachstehend die übergeordneten Aufgaben, die vor der eigentlichen Migration durchgeführt werden müssen:
Rollen und ZuständigkeitenDie Aufgaben zur Vorbereitung der Migration werden auf drei Gruppen aus der IT-Organisation der Woodgrove Bank verteilt. Die nachstehende Tabelle enthält eine Liste der Rollen und Zuständigkeiten jeder Gruppe bei der Migrationsvorbereitung.
Tabelle 9. Rollen und Zuständigkeiten bei der Vorbereitung der Migration Lösen von Problemen mit der ClientkompatibiltätAufgrund der Probleme mit der Clientkompatibilität zwischen Arbeitsstationen unter Windows 95 und Windows NT 4.0 (Service Pack 2 oder älter) und der Mitgliedschaft in einer Active Directory-Domäne unter Windows Server 2003, besteht eine Anforderung bei Vorbereitung der Migration darin, diese Arbeitsstationen zu ermitteln und zu aktualisieren. Das Migrationsteam von Woodgrove ermittelt diese Arbeitsstationstypen mithilfe der vorhandenen Systemverwaltungsanwendung. Hierbei stellt sich heraus, dass es eine ganze Reihe von Arbeitsstationen unter Windows 95 und Windows NT 4.0 Service Pack 2 in der Organisation gibt. Daher erhalten die Desktopkonfigurationsadministratoren die Aufgabe, diese Arbeitsstationen auf die neue Standardumgebung von Woodgrove, Windows XP, zu aktualisieren. Diese Updates werden durchgeführt, bevor irgendeine Windows Server 2003-Domäne angelegt wird. Das Entwurfsteam der Woodgrove Bank hat festgestellt, dass es nicht erforderlich ist, den Active Directory-Client auf den Arbeitsstationen unter Windows 95 und Windows NT 4.0 zu installieren, da sämtliche dieser Clients auf Windows XP aktualisiert werden. Erstellen und Überprüfen einer SicherungskopieVor dem Update oder der Neustrukturierung einer Domäne müssen die Daten der Windows NT 4.0-Zieldomäne gesichert werden. Diese Aufgabe wird von der Gruppe der Speicheradministratoren erledigt, der auch die Aufgabe zufällt, die Datensicherungsprotokolle dahingehend zu prüfen, ob eine erfolgreiche Datenwiederherstellung möglich ist. Die Speicheradministratoren führen daher die folgenden Aufgaben für jede Domäne durch, die Ziel eines Updates oder einer Neustrukturierung ist.
Optimieren des MigrationszeitplansVor der Aktualisierung oder Neustrukturierung einer Windows NT 4.0-Domäne muss das Migrationsteam sicherstellen, dass sämtliche Überwachungsdaten auf dem neuesten Stand sind und eine Überprüfung des Migrationszeitplans durchführen. Wenn sich die letzten Überwachungsdaten geändert haben oder wenn etwas hinzugefügt wurde, muss der Migrationszeitplan angepasst werden, um sicherzustellen, dass die Verfahren dennoch nach Maßgabe der empfohlenen Methoden durchgeführt werden können. Überlegungen zur Sicherheit der MigrationVor der Aktualisierung oder Neustrukturierung einer Windows NT 4.0-Domäne prüft das Migrationsteam von Woodgrove die Migrationsverfahren und Zugriffsanforderungen des Teams, um sicherzustellen, dass die Sicherheit während des Update- oder Neustrukturierungsprozesses nicht vernachlässigt wird. Sperren der Windows NT 4.0-DomäneBevor irgendeine Aktualisierung oder Migration von Sicherheitsprinizipalen erfolgt, wird die Windows NT 4.0-Zieldomäne gesperrt. Auf diese Weise wird sichergestellt, dass keine weiteren Änderungen an der Domäne mehr vorgenommen werden können, bis das Update oder die Objektmigration erfolgreich abgeschlossen ist. Dies ist unmittelbar vor dem direkten Update des PDCs besonders bei der Masterkontendomäne WNB-ACCT-A von Bedeutung, da somit Folgendes gewährleistet ist:
Mit der Sperrung der Windows NT 4.0-Zieldomänen, die neu strukturiert werden sollen (WNB-ACCT-ROW, WNB-RES-A und WNB-RES-SYD), wird sichergestellt, dass die Überwachung der Sicherheitsprinzipale (Benutzer-, Gruppen- und Arbeitsstationskonten) korrekt ist, wenn diese Sicherheitsprinzipale mithilfe des Active Directory-Migrationstools ADMT, Version 2 in die neue Active Directory-Domäne corp.woodgrovebank.com verschoben werden. Die Sperrung einer Windows NT 4.0-Domäne setzt eine erfolgreiche Kommunikation innerhalb des Teams und Kenntnis der Aktualisierungs- und Migrationsprozesse voraus. Zusammenfassung des KapitelsDie in diesem Kapitel beschriebenen Aufgaben zur Vorbereitung der Migration werden auf drei Gruppen aufgeteilt. Die Aufgaben umfassen die Lösung von Problemen mit der Zeitplanung und die Lösung von Problemen mit der Desktopkonfiguration sowie die Prüfung, dass die Sicherheit nicht beeinträchtigt wird und dass funktionstüchtige Datensicherungen bereitstehen. Nachdem diese Probleme gelöst wurden, ist das Migrationsteam bereit, die für die eigentliche Aktualisierung erforderlichen Schritte zu unternehmen, die im nächsten Kapitel näher erläutert werden. Aktualisierung der KontendomäneIn diesem Kapitel werden die Schritte erläutert, die das Migrationsteam von Woodgrove für eine erfolgreiche Aktualisierung der vorhandenen Kontendomäne unternehmen muss. ÜbersichtBei der direkten Aktualisierung einer Windows NT 4.0-Domäne muss als erster Server der primäre Domänencontroller (PDC) aktualisiert werden. Vor dem Aktualisieren des PDCs auf Windows Server 2003 musste das Migrationsteam entsprechend dem Migrationsplan der Bank einen neuen PDC konfigurieren, dessen Hardware das Betriebssystem Windows Server 2003 unterstützt. Darüber hinaus muss die DNS-Infrastruktur zur Unterstützung dynamischer Aktualisierungen für die Active Directory-Installation neu konfiguriert werden. Für eine Aktualisierung der primären Kontendomäne WNB-ACCT-A führt das Migrationsteam die in Abbildung 18 illustrierten Verfahren und Aufgaben durch:  Abbildung 18. Ablaufdiagramm der Aktualisierung der Kontendomäne Rollen und ZuständigkeitenFür die Aktualisierung der Kontendomäne stellt die IT-Organisation der Woodgrove Bank drei Gruppen zusammen. Die folgende Tabelle erläutert die Rollen und Zuständigkeiten der einzelnen Gruppen bei der Aktualisierung der Kontendomäne.
Tabelle 10. Rollen und Zuständigkeiten bei der Aktualisierung der Kontendomäne Installieren neuer Hardware und Konfigurieren des DNS-NamespacesWährend der Aktualisierung des Windows NT 4.0-PDC auf Windows Server 2003 sucht der Assistent zum Installieren von Active Directory nach einem DNS-Server. Die Bereitstellung eines DNS-Servers unter Windows Server 2003 während dieses Prozesses ist nicht zwingend erforderlich, empfiehlt sich jedoch, da dieser Server sämtliche DNS-Dienste (z. B. SRV-Einträge und dynamische Aktualisierungen) unterstützt, die für die effiziente Ausführung von Active Directory benötigt werden. Das Entwurfsteam von Woodgrove stellte fest, dass der PDC während der Aktualisierung in die DNS-Datenbank schreiben muss, damit er die für Active Directory erforderlichen Zonen erstellen kann. Die DNS-Zone, woodgrovebank.com, wurde auf Windows NT 4.0-Servern gehostet, die weder dynamische Updates noch SRV-Einträge unterstützen. Das Migrationsteam bereitet den folgende Ablaufplan vor, der in der Testumgebung verwendet wird. Hierbei handelt es sich um eine Beschreibung der exakten Verfahren und Aufgaben, die das Migrationsteam durchzuführen hat.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Für die Installation neuer Serverhardware, die Windows Server 2003 unterstützt, sind folgende Schritte erforderlich:
DNS muss nun auf dem neuen Windows NT 4.0-BDC (NYC-WA-DC-05) konfiguriert werden. Zum Konfigurieren von DNS sind die folgenden Schritte erforderlich:
Heraufstufen des neuen primären DomänencontrollersBei der Bewertung der Domänencontroller in der Domäne WNB-ACCT-A hat sich gezeigt, dass die PDC-Hardware die Aktualisierung auf das Betriebssystem Windows Server 2003 nicht unterstützt. Daher entschloss sich das Migrationsteam der Woodgrove Bank, den neu aufgesetzten Reservedomänencontroller zum neuen PDC heraufzustufen, da dessen Hardware Windows Server 2003 besser unterstützt.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie die folgenden Schritte durch, um in der Domäne WNB-ACCT-A einen neuen PDC unter Windows NT 4.0 zu konfigurieren, der ein Update auf Windows Server 2003 unterstützt:
Konfigurieren für Fallbacks bei DomänenaktualisierungenDas Migrationsteam der Woodgrove Bank hat einen zweistufigen Fallbackplan implementiert. Der erste Teil umfasst eine vollständige Sicherung (Systemstatussicherung) des PDCs und zusätzlich mindestens des Offline-Ziel-BDCs (Fallback-BDC), bevor mit der Aktualisierung des PDCs begonnen wird. Bei einem Windows NT 4.0-Domänencontroller umfasst eine Systemstatussicherung das Sichern der Registrierung, der Betriebssystemdateien, der Freigabe NETLOGON sowie der SAM-Datenbank. Im Rahmen des Fallbackplans wählt das Migrationsteam der Woodgrove Bank einen der Reservedomänencontroller als Fallbackserver aus. Dieser Server wurde nach Durchführung der vollständigen Synchronisierung aus dem Netzwerk entfernt und an einem sicheren Standort platziert. Beachten Sie, dass der Server tatsächlich aus dem Netzwerk genommen und nicht nur heruntergefahren wurde. Auf diese Weise ist die SAM-Datenbank dieser Domäne für den Fall geschützt, dass die Aktualisierung fehlschlägt. Nachdem dieser Server aus dem Netzwerk entfernt wurde, wird die Domänendatenbank gesperrt. Alle Administratoren und Benutzer wurden benachrichtigt, dass weder neue Sicherheitsprinizipale hinzugefügt, noch irgendwelche Kennwortänderungen vorgenommen werden können. Die Aufgaben beim Fallback einer Domänenaktualisierung werden in Abbildung 19 im Detail dargestellt:  Abbildung 19. Ablaufdiagramm für die Fallbackkonfiguration bei einer Domänenaktualisierung Der Fallbackplan für die Domänenaktualisierung musste im Migrationslabor getestet werden. Der Wiederherstellungsplan muss ein "Verwendbar bis"-Datum aufweisen. Das Migrationsteam legt das "Verwendbar bis"-Datum auf einen Termin, der drei Tage nach dem direkten Update liegt; nach diesem Zeitpunkt muss das Update entweder akzeptiert werden oder es muss ein Rollback erfolgen.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Der Fallbackplan für das direkte Update der Kontendomäne umfasst die folgenden Schritte:
Wenn der Fallbackplan auf Basis des offline geschalteten Windows NT 4.0-BDCs durchgeführt werden muss, sind folgende Schritte erforderlich:
Aktualisieren des primären DomänencontrollersRolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Nach der Vorbereitung der DNS-Umgebung und dem umfassenden Testen des Fallbackplans besteht der nächste Schritt im eigentlichen direkten Update auf dem Windows NT 4.0-PDC.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Das direkte Update des PDCs wurde wie nachstehend erläutert ausgeführt:
Ein Neustart des Servers kann einige Zeit in Anspruch nehmen, da die DNS-Dienste erstmals gestartet werden und die Registrierung der DNS-Einträge erfolgen muss.
Funktionsebene Windows Server 2003-interimDas Entwurfsteam hat empfohlen, die Gesamtstrukturfunktionsebene während der Aktualisierung der ersten Windows NT 4.0-Domäne auf Windows Server 2003-interim festzulegen. Dies ist im Verlauf des Aktualisierungsprozesses geschehen (siehe vorherigen Abschnitt "Ablaufplan"). Im Modus Windows Server 2003-interim stehen alle Funktionen der nativen Gesamtstrukturfunktionsebene von Windows 2000 sowie zwei weitere wichtige Active-Directory-Funktionen zur Verfügung:
Die Gesamtstrukturfunktionsebene Windows Server 2003-interim unterstützt nur Domänencontroller unter Windows NT 4.0 und Windows Server 2003 und nicht unter Windows 2000. Konfigurieren der Replikation für die DNS-Zone unter Windows Server 2003Um sicherzustellen, dass alle vorhandenen Clients unter Windows 2000 und höher in der Domäne WNB-ACCT-A die DNS-Namen für die Domäne corp.woodgrovebank.com und deren Domänencontroller auflösen können, müssen die DNS-Server so konfiguriert werden, dass alle die DNS-Zone corp.woodgrovebank.com aufweisen. Die DNS-Server unter Windows NT 4.0 (NYC-WR-DHCP-01 und NYC-WR-DHCP-02) werden als sekundäre DNS-Server des aktualisierten PDCs konfiguriert, der als primärer DNS-Server fungiert. Das Migrationsteam überprüft die Namenservereinträge für die DNS-Server unter Windows NT 4.0 in der DNS-Zone corp.woodgrovebank.com. Außerdem wird überprüft, ob die Namenservereinträge für die DNS-Server unter Windows NT 4.0 in DNS auf dem Windows Server 2003-PDC so konfiguriert sind, dass die einwandfreie Replikation der DNS-Zonen sichergestellt ist.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Nach der Aktualisierung von NYC-WA-DC-05 auf Windows Server 2003 und Active Directory, muss die neue DNS-Zone auf die vorhandenen DNS-Server unter Windows NT 4.0 repliziert werden. Mit den folgenden Schritten wird sichergestellt, dass die vorhandenen Clients auf die neue Active Directory-Gesamtstruktur und -Domäne zugreifen können:
Planen der Lbridge-ReplikationWährend der Migration der Domäne WNB-ACCT-A gibt es eine Mischung aus Windows Server 2003-Domänencontrollern und Windows NT 4.0-Reservedomänencontrollern. Da der LAN Manager-Replikationsdienst (LMRepl) unter Windows NT 4.0 auf einem Windows Server 2003-Domänencontroller nicht unterstützt wird, wird eine Brücke zwischen dem LMRepl-Dienst und dem Dateireplikationsdienst (File Replication Service, FRS) unter Windows Server 2003 erstellt. Der herabgestufte PDC (NYC-WA-DC-01) wird als letzter Windows NT 4.0-Domänencontroller in der Domäne ausgewählt; er hostet das Exportverzeichnis für Windows NT 4.0-LMRepl als PDC (und danach als BDC). Durch regelmäßiges Ausführen des Skripts Lbridge.cmd wird erreicht, dass Daten zwischen LMRepl und FRS kopiert werden. Die Häufigkeit dieses Jobs wird beim Windows Server 2003-Domänencontroller auf alle zwei Stunden festgelegt. Das Administratorenteam der Woodgrove Bank verwendet das Skript Lbridge.cmd und das Dienstprogramm xcopy.exe, damit die unter Windows Server 2003 erstellten Dateien in der Freigabe NETLOGON auf den Windows NT 4.0-Exportserver repliziert werden. Schrittweise Anleitungen zum Erstellen des Dienstkontos für diese Aufgabe finden Sie im Abschnitt "Synchronize File Replication Services" im Deployment Guide im Windows Server 2003 Resource Kit (nur auf Englisch verfügbar) unter dem folgenden URL: http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en%2Dus/ (nur auf Englisch verfügbar). Das Verfahren stellt sicher, dass eine geplante Aufgabe zum Kopieren der Dateien aus der Freigabe NETLOGON des Windows Server 2003-Domänencontrollers eingerichtet wird.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Konfigurieren der Replikation des Ordners Sysvol auf dem Domänencontroller unter Windows Server 2003 auf den LMRepl-Exportserver unter Windows NT 4.0 folgende Schritte durch:
Anlegen einer OU-StrukturBei einem direkten Update werden Objekte zur Aufnahme der Konten und Gruppen aus der Windows NT 4.0-Domäne erstellt. Dieser Containerobjekte mit der Bezeichnung "Users", "Computers" und "Builtin" werden in der Active Directory-Domäne corp.woodgrovebank.com als Container angezeigt. Im entsprechenden Abschnitt des Assistenten zum Installieren von Active Directory während des direkten Updates des PDCs wurden die Benutzerkonten und Gruppen im Container "Users" abgelegt. Die Computerkonten wurden im Container "Computers" abgelegt. Die für Active Directory erstellten vordefinierten Gruppen wie die der Organisations-Adminis wurden im Container "Users" abgelegt. Diese drei Container sind daher keine Organisationseinheiten (OUs), sondern spezielle Containerobjekte. Sie können nicht verschoben, umbenannt oder gelöscht werden, und es können auch keine Gruppenrichtlinienobjekte auf diese Container angewendet werden. Daher wird nach Abschluss des direkten Updates des PDCs und der Domänenfunktionstests von WNB-ACCT-A wie in der Entwurfsphase beschrieben eine OU-Struktur angelegt. Abbildung 20 illustriert diese OU-Struktur:
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Erstellen der OU-Struktur die folgenden Schritte durch:
Erstellen der Struktur für Standorte und DiensteUm ein erfolgreiches Update der verbleibenden BDCs auf Windows Server 2003 sicherzustellen, wird an diesem Punkt nach Maßgabe des Migrationskonzepts die geplante Struktur für die Active Directory-Standorte und -Dienste angelegt. Die Struktur für Standorte und Dienste definiert die Replikationstopologie für Active Directory, indem die Subnetze, die Standorte und die Positionen der Domänencontroller zugeordnet werden. Abbildung 21 zeigt als Beispiel die vom Migrationsteam der Woodgrove Bank verwendeten Standorte und Dienste.  Abbildung 21. Konfiguration von Standorten und Diensten bei der Woodgrove Bank
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Erstellen der Struktur für Standorte und Dienste die folgenden Schritte durch:
Erweitern des Active Directory-SchemasAls die Woodgrove Bank die Aktualisierung auf Exchange Server 2003 plante, wurde das Active Directory-Schema gleich nach der Installation des ersten Active Directory-Domänencontrollers erweitert.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie die folgenden Schritte durch, um das Active Directory-Schema für die Installation von Microsoft Exchange 2003 zu erweitern:
Aktualisieren der verbleibenden ReservedomänencontrollerEntsprechend dem Migrationsplan der Woodgrove Bank muss der SID-Verlauf (Security Identifier, Sicherheitskennung) während der Migration der Sicherheitsprinzipale aus der zweiten Kontendomäne beibehalten werden. Zu diesem Zweck muss die Domäne auf die Funktionsebene von Windows Server 2003 umgeschaltet werden. Obwohl der native Windows 2000-Modus die Minimalanforderung für die Migration des Attributs SIDHistory ist, wird Windows Server 2003 als Funktionsebene gewählt, da keine Domänencontroller unter Windows 2000 vorhanden sind. Der Umstieg auf die Funktionsebene Windows Server 2003 setzt voraus, dass alle Domänecontroller mit Windows Server 2003 ausgestattet sind. Dementsprechend erfordert der Migrationsplan eine schnelle Bereitstellung oder Aktualisierung aller verbliebenen BDCs unter Windows NT 4.0 in der Domäne WNB-ACCT-A. Wie das Migrationsteam festgestellt hat, müssen einige Reservedomänencontroller aufgrund von Hardwareeinschränkungen ersetzt werden und können nicht direkt aktualisiert werden. Die Ersatzgeräte für diese Domänencontroller wurden an einem Bereitstellungsstandort aufgesetzt und sofort an den Zielort versendet. Der alte Reservedomänencontroller für diesen Standort wurde offline geschaltet und sicher entsorgt. Eine sichere Entsorgung setzt zumindest voraus, dass alle Partitionen auf der Festplatte mit Fdisk oder einem vergleichbaren Dienstprogramm gelöscht wurden und eine Low-Level-Formatierung der Festplatte vorgenommen wurde, bevor die Platte freigegeben oder entsorgt wird. (Die besonderen Schritte, die für den erfolgreichen Einsatz eines Bereitstellungsstandortes erforderlich sind, können Sie dem Planning Guide und dem Deployment Guide aus der Reihe "Active Directory Branch Office Guide" (nur auf Englisch verfügbar) entnehmen, die unter folgendem URL bereitstehen: Wenn festgestellt wurde, dass ein vorhandener BDC über mit Windows Server 2003 kompatible Hardware verfügt, führt der Verzeichnisdienstadministrator das Update durch. In der Planungsphase hat das Migrationsteam erkannt, dass die Erstreplikation von Active Directory über das Netzwerk erfolgen kann. Daher ist die Installation von Windows Server 2003 vom Medium nicht erforderlich. An diesem Punkt ist der offline geschaltete Reservedomänencontroller nicht mehr erforderlich und kann sicher entsorgt werden. (Als Fallback-Reservedomänencontroller dient der Controller, der offline geschaltet wurde und sicher aufbewahrt wird. Siehe früheren Abschnitt "Konfigurieren für Fallbacks bei Domänenaktualisierungen".) Da nun Windows Server 2003 auf jedem Domänencontroller in der Domäne WNB-ACCT-A ausgeführt wird, entfernen die Verzeichnisdienstadministratoren das zeitgesteuert ausgeführte FRS-Skript, das für den täglichen Export von Skripts zum LMRepl-Exportserver sorgt, vom Domänencontroller.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Aktualisieren der verbliebenen BDCs der Kontendomäne die folgenden Schritte durch:
Wenn Sie in der Domäne einen neuen Domänencontroller (NYC-WA-DC-06, SYD-WA-DC-01) implementieren, erstellen Sie den Server als einen Windows Server 2003-Mitgliedsserver, und starten Sie den Assistenten zum Installieren von Active Directory. Alle Domänencontroller unter Windows Server 2003 der Woodgrove Bank sind zudem mit DNS konfiguriert. DNS wurde vor dem Start des Assistenten zum Installieren von Active Directory installiert.
Ein Neustart des Servers kann einige Zeit in Anspruch nehmen, da die DNS-Dienste erstmals gestartet werden und die Registrierung der DNS-Einträge erfolgen muss. Nach dem Neustart muss der Domänencontroller mit der Rolle des globalen Katalogs konfiguriert werden. So aktivieren Sie die Rolle des globalen Katalogs
Wenn der BDC nicht aktualisiert werden soll, führen Sie die folgenden Schritte durch, um ihn aus der Domäne zu entfernen:
Entfernen von Lbridge aus Windows Server 2003Nachdem nun alle verbliebenen Domänencontroller aktualisiert wurden, muss das Team die Datei Lbridge.cmd auf dem zuerst mit Windows Server 2003 aktualisierten Domänencontroller (NYC-WA-DC-05) löschen und die Aufgabe aus dem Taskplaner entfernen.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator
Heraufstufen der Gesamtstruktur- und DomänenfunktionsebeneDa nun alle Domänencontroller in der Active Directory-Domäne und der Gesamtstruktur nun mit Windows Server 2003 ausgestattet sind, wird die Funktionsebene auf Windows Server 2003 heraufgestuft. Der Verzeichnisdienstadministrator verwendet Active Directory-Domänen und -Vertrauensstellungen, um die Funktionsebene von Domäne und Gesamtstruktur auf Windows Server 2003 heraufzustufen.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Zum Heraufstufen der Funktionsebene von Gesamtstruktur und Domäne führen Sie die folgenden Aufgaben durch:
Konfigurieren von DNS in Active DirectoryDie DNS-Zonen, corp.woodgrovebank.com und _msdcs.corp.wnbcom, wurden automatisch erstellt, als der PDC der Domäne WNB-ACCT-A aktualisiert wurde. Beide Zonen sind als Active Directory-integriert konfiguriert. Die Zone corp.woodgrovebank.com wurde so konfiguriert, dass sie auf alle Domänencontroller in der Domäne corp. repliziert wird. Die Zone _msdcs ist so konfiguriert, dass sie auf alle Domänencontroller in der Gesamtstruktur repliziert wird. Nachdem diese Änderung vorgenommen wurde, muss das Team prüfen, dass die Replikation auf die anderen DNS-Server ordnungsgemäß erfolgt ist. Im Windows Server 2003-DNS-Entwurf der Woodgrove Bank ist festgelegt, dass die DNS-Zonen für die Verwendung von DNS-Anwendungsverzeichnispartitionen konfiguriert werden müssen, um mehr Flexibilität bei der Steuerung zu ermöglichen, auf welche Server DNS-Zonen repliziert werden sollen. Nach Abschluss der Aktualisierung müssen sich die Verzeichnisdienstadministratoren der Woodgrove Bank vergewissern, dass die Zone _msdcs.corp.woodgrovebank.com auf dem DNS-Server für die Verwendung der Anwendungsverzeichnispartition ForestDnsZones konfiguriert ist, was eine gesamtstrukturübergreifende DNS-Replikation ermöglicht. Im Entwurf der Woodgrove Bank ist eine einzige Domäne unter Windows Server 2003 vorgesehen. Dennoch gehört es zu den empfohlenen Methoden, für die Einträge des globalen Katalogs, die in der Zone _msdcs.corp.woodgrovebank.com enthalten sind, die Anwendungsverzeichnispartition der Gesamtstruktur zu verwenden, ungeachtet, ob die Gesamtstruktur eine oder mehrere Domänen enthält. Die anderen Zonen, corp.woodgrovebank.com und woodgrovebank.com, werden für die Verwendung der Anwendungspartition DomainDnsZones konfiguriert, wodurch eine domänenweite DNS-Replikation möglich ist.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator So ändern Sie den Replikationsbereich der domänenweiten DNS-Zone mithilfe einer DNS-Anwendungsverzeichnispartition
So ändern Sie den Replikationsbereich der DNS-Zone _msdcs.corp.woodgrovebank.com mithilfe einer DNS-Anwendungsverzeichnispartition
Zusammenfassung des KapitelsIn diesem Kapitel werden die Entscheidungen und Schritte erläutert, die das Migrationsteam von Woodgrove im Verlauf des direkten Updates einer Kontendomäne getroffen bzw. unternommen hat. Für die einzelnen Schritte der Migration wurden Mitarbeiter eingeteilt, und die erforderlichen Schritte wurden im Detail dokumentiert, um einen problemlosen Umstieg auf die Windows 2003-Domäne sicherzustellen. Es wurde ein neuer Server installiert, der das Update auf Windows Server 2003 unterstützt, und die abschließende DNS-Konfiguration wurde vorgenommen. Auch die verbleibenden Aufgaben, Replikation auf Interim-BDCs, Erstellen der OUs, Anlegen der Standort- und Dienststruktur und Heraufstufen der Gesamtstrukturfunktionsebene, wurde erledigt. Das nächste Kapitel befasst sich mit der Migration von Sicherheitsprinzipalen aus Kontendomänen. Migrieren der NetzwerkdiensteIn diesem Kapitel werden die Schritte erläutert, die das Migrationsteam von Woodgrove für eine erfolgreiche Aktualisierung der Kernnetzwerkdienste unternehmen muss. Die Dienste, die migriert und/oder konsolidiert werden müssen, sind DHCP, WINS und DNS. ÜbersichtGültige IP-Adressen und Namensauflösung sind eine der wichtigsten Anforderungen an eine Client/Server-Infrastruktur in TCP/IP-Netzwerken. Obwohl DNS die primäre Methode der Namensauflösung in Windows Server 2003 darstellt, gibt es bei der Woodgrove Bank noch verschiedene Anwendungen, für die eine NetBIOS-Namensauflösung über WINS erforderlich ist. DNS wurde bereits nach Windows Server 2003 migriert, während die DHCP- und WINS-Dienste noch unter Windows NT 4.0 gehostet werden. In diesem Kapitel wird der Prozess beschrieben, mit dem das Migrationsteam die DHCP- und WINS-Dienste nach Windows Server 2003 migriert. Rollen und ZuständigkeitenDie Aufgaben und der Prozess zum Migrieren der Netzwerkdienste von Servern unter Windows NT 4.0 werden von den Verzeichnisdienstadministratoren und Netzwerkadministratoren wie in Tabelle 17 erläutert ausgeführt.
Tabelle 17. Zuständigkeiten bei der Migration der Netzwerkdienste Vorbereitende Aktivitäten für die Migration von NetzwerkdienstenVor der Migration von Netzwerkdiensten von Servern unter Windows NT 4.0 müssen einige migrationsvorbereitende Aufgaben erledigt werden. Verkürzen der DHCP-LeasedauerUm den Administratoren der Woodgrove Bank eine schnellere Außerbetriebnahme der vorhandenen DHCP-Server zu ermöglichen, wird die Leasedauer der DHCP-Bereiche verkürzt. Clients empfangen die neue DHCP-Leasedauer bei der nächsten DHCP-Erneuerung.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Gehen Sie zur Verkürzung der Leasedauer des Windows NT 4.0-Bereichs wie folgt vor:
Konfigurieren des Windows Server 2003-ClustersDie Bank beabsichtigt, DHCP und WINS in einer Clusterkonfiguration bereitzustellen, um die Verfügbarkeit zu erhöhen. Sowohl der DHCP- als auch der WINS-Dienst sollen Windows Clustering in einer aktiven/passiven Konfiguration mit zwei Knoten verwenden. Abbildung 22 zeigt die DHCP- und WINS-Clusterserver der Woodgrove Bank. NYC-WA-MSP-01 soll der aktive DHCP- und WINS-Server und NYC-WA-MSP-02 der Sicherungsserver sein. Die folgende Tabelle enthält die grundlegende DHCP-Konfiguration, die zur Unterstützung der 15.000 Clients der Woodgrove Bank sowie der Konfiguration der geclusterten Server empfohlen wird.
Tabelle 18. Hardwareanforderungen für DHCP-/WINS-Cluster
Rolle, die die Aufgabe erfüllt: Windows Server-Administrator und Speicheradministrator Im MSA 2.0 Build Guide finden Sie detaillierte Informationen zur Installation eines DHCP-/WINS-Clusterservers.
Migrieren von DHCP nach Windows Server 2003Für die Migration der DHCP-Server bei der Woodgrove Bank wird das DHCP-Export-/Importtool verwendet. Dieses Tool bietet die Möglichkeit, die DHCP-Bereiche verschiedener Microsoft DHCP-Server zu kombinieren. Das Verschieben aller Bereiche von den verschiedenen DHCP-Servern mit diesem Tool entspricht dem Verschieben der Datenbank. Dieses Dienstprogramm steht mit Windows 2000 Resource Kit, Supplement 1 zur Verfügung. Darüber hinaus finden Sie Dhcpexim.exe auch auf der folgenden Microsoft-Website (nur auf Englisch verfügbar): Vor dem Beginn der Migration verfügt Woodgrove über zwei Server unter Windows NT 4.0 mit einer im Verhältnis 80 zu 20 aufgeteilten Bereichskonfiguration. Die DHCP-Bereiche der Server in New York und des einzelnen Servers in Sydney müssen für den in New York befindlichen DHCP-Cluster unter Windows Server 2003 migriert werden. Die Netzwerkadministratoren haben die Möglichkeit, eine der DHCP-Datenbanken unter Windows NT 4.0 mit dem Tool DHCPExIm für den Windows Server 2003-Clusterserver zu migrieren. Da nur einige wenige Bereiche migriert werden müssen, entscheiden sich die Netzwerkadministratoren für die manuelle Erstellung der neuen DHCP-Bereiche, wobei für die Dauer der Windows NT 4.0-Leases die DHCP-Konflikterkennung aktiviert wird. Hinzufügen der neuen DHCP-BereicheDie Netzwerkadministratoren der Woodgrove Bank aktivieren die DHCP-Konfliktbehebung als ein Mittel zur Migration der DHCP-Bereiche auf die neuen DHCP-Server unter Windows Server 2003. Obwohl es möglich wäre, die Bereichsinformationen der DHCP-Server unter Windows NT 4.0 mithilfe des Tools DHCPExIm zu exportieren, wird der manuelle Prozess als ausreichend angesehen.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Zum Hinzufügen der Bereiche zum DHCP-Cluster wird das folgende Verfahren verwendet:
Konfigurieren der DHCP-KonflikterkennungZur Sicherstellung, dass im Netzwerk der Woodgrove Bank keine IP-Adressen doppelt vergeben werden, wird auf dem DHCP-Clusterserver die DHCP-Konflikterkennung aktiviert.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Gehen Sie wie folgt vor, um auf dem DHCP-Clusterserver die DHCP-Konflikterkennung zu konfigurieren:
Autorisieren der DHCP-BereicheUm zu verhindern, dass unerwünschte DHCP-Server online geschaltet werden müssen die DHCP-Server in einer Active Directory-Domäne autorisiert werden.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator DHCP-Server müssen autorisiert werden, damit sie in einer Domäne ausgeführt werden können. Konfigurieren Sie die DHCP-Autorisierung anhand der Werte in der folgenden Tabelle. Übernehmen Sie die Standardeinstellungen, wenn keine Informationen angegeben werden.
Ändern der Konfiguration des Routers in SydneyDa die DHCP-Dienste der Woodgrove Bank am Standort New York konsolidiert werden sollen, muss die Routerkonfiguration zwischen New York und Sydney DHCP-Relays-Pakete zulassen. Auf diese Weise können DHCP-Anforderungen von Clients am Standort Sydney an den DHCP-Clusterserver in New York weitergeleitet werden. Aktivieren von BereichenDie Bereiche müssen aktiviert werden, bevor sie DHCP-Adressen für Clients bereitstellen können.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator
Deaktivieren der DHCP-Bereiche unter Windows NT 4.0Sobald die Bereiche auf dem DHCP-Clusterserver aktiviert worden sind, werden die DHCP-Bereiche unter Windows NT 4.0 deaktiviert.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Gehen Sie wie folgt vor, um die Bereiche auf allen DHCP-Servern unter Windows NT 4.0 zu deaktivieren:
Migrieren von WINS nach Windows Server 2003Die Push/Pull-Replikation von WINS ist die einfachste und effektivste Möglichkeit zum Migrieren der WINS-Datenbank auf den neuen Windows Server 2003-Cluster.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Verwenden Sie das nachstehende Verfahren zum Replizieren der WINS-Datenbank nach dem neuen Clusterserver unter Windows Server 2003:
Aktualisieren der IP-Adressen der WINS- und DNS-ServerDa die WINS-, DHCP- und DNS-Server unter Windows NT 4.0 außer Betrieb gesetzt werden müssen, müssen die TCP/IP-Informationen auf allen Computern aktualisiert werden. Der neue WINS-Server (10.34.4.34) und die neuen DNS-Server (10.34.4.25 und 10.34.4.26) werden manuell mit statischen IP-Adressen konfiguriert. Die in jedem DHCP-Bereich definierten WINS-Server werden ebenfalls aktualisiert.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Gehen Sie wie nachstehend beschrieben vor, um die in den DHCP-Bereichen definierten WINS-Server zu aktualisieren:
Aktualisieren von DNS-ZonenDa die Domänencontroller unter Windows Server 2003 nun als Host für beide DNS-Zonen woodgrovebank.com und corp.woodgrovebank.com fungieren, kann die Zonenreplikation nach den DNS-Servern unter Windows NT 4.0 entfernt werden. Zu diesem Zweck werden die DNS-Server unter Windows NT 4.0 (NYC-WR-DHCP-01 und NYC-WR-DHCP-02) als Namenserver für die Zone woodgrovebank.com entfernt.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Gehen Sie zum Entfernen der DNS-NS-Einträge für woodgrovebank.com und corp.woodgrovebank.com in Active Directory wie folgt vor:
Entfernen von WINS-ReplikationspartnernDa die WINS-Server unter Windows NT 4.0 demnächst außer Betrieb gesetzt werden sollen, müssen sie zunächst als Replikationspartner des WINS-Clusterservers entfernt werden.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Führen Sie die folgenden Schritte durch, um die WINS-Replikationspartner unter Windows NT 4.0 zu entfernen:
Außerbetriebsetzen der Netzwerkdienstserver unter Windows NT 4.0An diesem Punkt gibt es keine Verweise auf die WINS-, DHCP- und DNS-Server unter Windows NT 4.0 mehr, und die Server können außer Betrieb gesetzt und auf sichere Weise entsorgt werden. Zusammenfassung des KapitelsDNS ist bereits im vorherigen Kapitel nach Windows Server 2003 migriert worden, während die DHCP- und WINS-Dienste noch unter Windows NT 4.0 gehostet wurden. Dieses Kapitel erläutert das Verfahren zum Migrieren der DHCP- und WINS-Dienste nach Windows Server 2003. Dies ist ein wichtiger Teil der Migration, da einige bei Woodgrove eingesetzte Anwendungen weiterhin die NetBIOS-Namensauflösung voraussetzen. Das nächste Kapitel befasst sich mit der Neustrukturierung weiterer Kontendomänen ausgehend vom Startstadium mit mehreren Domänen. Dies umfasst vorbereitende Aufgaben, Ermittlung der Dienstkonten sowie Migration der globalen Gruppen und Benutzerkonten. Neustrukturieren zusätzlicher KontendomänenDieses Kapitel behandelt im Detail die Aufgaben, die das Migrationsteam von Woodgrove durchführen muss, um die verbleibenden Kontendomänen neu zu strukturieren, die nicht mit einem direkten Update aktualisiert werden sollen. ÜbersichtNach Abschluss des direkten Updates und nach dem Umschalten der Domäne corp.woodgrovebank.com auf die Windows Server 2003-Funktionsebene können zusätzliche Masterbenutzerdomänen unter Windows NT 4.0 in der Active Directory-Domäne neu strukturiert werden. Da in mehreren Ressourcendomänen auf die Sicherheitsprinzipale der Domäne WNB-ACCT-ROW verwiesen wurde, kann diese Benutzerdomäne erst dann außer Betrieb genommen werden, wenn sämtliche Ressourcen migriert und deren Sicherheitsverweise konvertiert worden sind. Außerdem ist davon auszugehen, dass Änderungen an nicht migrierten Benutzerobjekten während des Migrationsprozesses weiterhin in der Domäne WNB-ACCT-ROW vorgenommen werden. Um sicherzustellen, dass die Domäne WNB-ACCT-ROW und die Active Directory-Domäne corp.woodgrovebank.com eine einheitliche Darstellung von Benutzer- und Gruppenobjekten aufweisen, wird das Active Directory Migration Tool, Version 2, (ADMT v2) so zeitgesteuert, dass die Aktualisierung der Active Directory-Domäne mit eventuellen Änderungen über Nacht erfolgt. Das nachstehende Ablaufdiagramm illustriert die Einzelheiten des Neustrukturierungsprozesses der Masterbenutzerdomäne WNB-ACCT-ROW.  Abbildung 23. Ablaufdiagramm zur Neustrukturierung zusätzlicher Kontendomänen Rollen und ZuständigkeitenDie Vorbereitung zur Migration sowie die Migration der Benutzer und Gruppen aus der Windows NT 4.0-Domäne wird ausschließlich nur von Verzeichnisdienstadministratoren durchgeführt. Für die Ausführung der migrationsvorbereitenden Aufgaben ist der physische Zugriff auf den PDC unter Windows NT 4.0 erforderlich, wodurch die Zuständigkeit auf den Verzeichnisdienstadministrator beschränkt ist, der Mitglied der Gruppe der Domänenadministratoren ist. Tabelle 20 enthält Einzelheiten zu den Rollen und Zuständigkeiten, die für eine Neustrukturierung der Domäne WNB-ACCT-ROW erforderlich sind.
Tabelle 20. Zuständigkeiten für die Migration von WNB-ACCT-ROW Ausführen des MigrationstoolsDie Neustrukturierung der zusätzlichen Kontendomänen der Woodgrove Bank wird von den Verzeichnisdienstadministratoren im Migrationsteam am Standort New York durchgeführt. Das Migrationsteam führt die Neustrukturierung der Domäne mit dem Active Directory Migration Tool (ADMT) von einer einzigen Instanz in New York aus durch. Da das Attribut SIDHistory aus einer Domäne unter Windows NT 4.0 migriert werden soll, muss das Active Directory Migration Tool von einem Domänencontroller in der Domäne corp.woodgrovebank.com ausgeführt werden. Die Verwendung eines einzigen Domänencontrollers als Migrationscomputer für alle Gruppen und Benutzer bei der Woodgrove Bank ist auch für die anstehende Migration der Ressourcendomänen von Vorteil, da alle migrierten Sicherheitsprinzipale in der internen Datenbank von ADMT aufgezeichnet werden.
Das Active Directory Migration Tool, Version 2, (ADMT v2) wird auf dem Migrationsdomänencontroller unter Windows Server 2003 (NYC-WA-DC-05) installiert. (ADMT finden Sie auf der Installations-CD von Windows Server 2003.) Es wird eine Standardinstallation von ADMT durchgeführt.
Fallbackplan für die Neustrukturierung der KontendomäneFür den Fall, dass die migrierten Konten in der Windows Server 2003-Domäne den Anforderungen der Benutzer nicht entsprechen, ist es wichtig, einen Fallbackplan entwickelt zu haben. Die Benutzer- und Gruppenobjekte in der Domäne WNB-ACCT-ROW bleiben nach der Migration intakt und aktiviert; dies ermöglicht eine einfache Rückabwicklung zur gegenwärtig vorhandenen Umgebung. Da die Arbeitsstation des Benutzers für die Active Directory-Domäne migriert wird, wird das Benutzerkonto in WNB-ACCT-ROW deaktiviert, aber nicht gelöscht. Es ist wichtig, möglichst zeitnah nach Abschluss der Migration den Benutzerakzeptanztest durchzuführen wird, um festzustellen, ob die Migration erfolgreich verlaufen ist. Falls erforderlich, wird die Umgebung nach Maßgabe des Fallbackplans in das Stadium vor der Migration von NT 4.0 zurückversetzt, wobei alle neuen Änderungen an Active Directory verloren gehen. Zum Wiederherstellen der Benutzerobjekte in der Domäne WNB-ACCT-ROW unternimmt der Verzeichnisdienstadministrator die folgenden Schritte:
Vorbereitungen für die MigrationIn diesem Abschnitt werden die Konfigurationsaufgaben zur Vorbereitung der Migration im Detail erläutert, die von den Verzeichnisdienstadministratoren der Woodgrove Bank ausgeführt werden. Das nachstehende Ablaufdiagramm illustriert die Aufgaben zur Vorbereitung der Migration, die vor der Neustrukturierung einer zusätzlichen Kontendomäne durchgeführt werden.  Abbildung 24. Ablaufdiagramm der Vorbereitungen zur Neustrukturierung einer Kontendomäne Installieren der 128-Bit-VerschlüsselungAuf dem Migrationscomputer, auf dem ADMT, Version 2, installiert ist, und auf dem Kennwortexportserver in der Quelldomäne ist 128-Bit-Verschlüsselung erforderlich. Auf dem Migrationscomputer in der Domäne corp.woodgrovebank.com wird Windows Server 2003 ausgeführt, daher ist die 128-Bit-Verschlüsselung Standard. Das Paket für 128-Bit-Verschlüsselung, das für die Domänencontroller unter Windows NT 4.0 in der Domäne WNB-ACCT-ROW verwendet wird, steht unter dem folgenden URL zum Abruf bereit (nur auf Englisch verfügbar): http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/128bitX86
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Um die 128-Bit-Verschlüsselung auf Domänencontrollern unter Windows NT 4.0 zu installieren, gehen Sie folgendermaßen vor: Aufgabe wird durchgeführt von: Verzeichnisdienstadministratoren
Einrichten von VertrauensstellungenZum Migrieren von Objekten zwischen einer Windows NT 4.0-Kontendomäne und der Windows Server 2003 Active Directory-Domäne müssen externe Vertrauensstellungen vorhanden sein. Zwischen den Domänen WNB-ACCT-ROW und corp.woodgrovebank.com wurden zwei unidirektionale Vertrauensstellungen eingerichtet, sodass Folgendes möglich ist:
Da die Woodgrove Bank mit einem Multimaster-Domänenmodell arbeitete, besteht bereits eine bidirektionale Vertrauensstellung zwischen den Domänen corp.woodgrovebank.com und WNB-ACCT-ROW. Die unidirektionale Vertrauensstellung, die gegenwärtig zu den Ressourcendomänen eingerichtet ist, ist für die Migration der Ressourcengruppen- und -benutzerkonten vollkommen ausreichend. Vorbereiten der QuelldomänenkonfigurationIn der Quelldomäne muss eine neue lokale Gruppe, NameDerQuelldomäne$$$, erstellt werden. Für WNB-ACCT-ROW erstellen die Administratoren der Woodgrove Bank z. B. die lokale Gruppe WNB-ACCT-ROW$$$. Diese Gruppe muss nicht unbedingt Mitglieder aufweisen. Wenn die Gruppe nicht vorhanden ist, fordert ADMT, Version 2, den Benutzer im Bedarfsfall auf, die Gruppe zu erstellen. Wenn bereits eine globale oder eine andere Art von Gruppe mit diesem Namen vorhanden ist, kann das Tool die erforderliche neue lokale Gruppe nicht erstellen. Auf dem PDC in der Quelldomäne muss der Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa auf den Wert TcpipClientSupport:REG_DWORD:0X1 festgelegt sein. Wenn dieser Eintrag nicht vorhanden ist, fordert ADMT, Version 2, den Benutzer im Bedarfsfall auf, den Eintrag zu erstellen. Damit die Registrierungseinstellung wirksam werden kann, ist ein Neustart des PDCs erforderlich.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Gehen Sie wie nachstehend beschrieben vor, um die Quelldomäne für die Migration von Windows NT 4.0 vorzubereiten.
Erstellen des Migrationskontos für die RessourcendomäneDamit Ressourcen und lokale Gruppen kopiert werden können, setzt ADMT, Version 2, die Erstellung eines Ressourcenmigrationskontos mit Verwaltungsrechten in der Quelldomäne voraus. Demgemäß wird in jeder Ressourcendomäne ein Benutzerkonto mit Namen ADMT_<Ressourcendomäne> erstellt. Diesem Konto werden die Rechte eines Domänenadministrators in der Ressourcendomäne gewährt, und es wird vom jeweiligen Desktopkonfigurationsadministrator verwendet. Dem Migrationskonto werden die folgenden Berechtigungen für die Migration der Ressourcendomäne gewährt:
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Erstellen des Migrationskontos die folgenden Schritte durch:
Erstellen der OU-Zielstruktur und DelegierungIn der Domäne corp.woodgrovebank.com wird eine temporäre OU-Struktur (Organizational Unit – Organisationseinheit) als Repository für die migrierten Objekte erstellt. Die Objekte werden in eine temporäre Organisationseinheit migriert, damit die Benutzerkontenverwalter und Desktopkonfigurationsadministratoren bei der Woodgrove Bank eventuelle Namenskonflikte, die während der Migration auftreten, auf einfache Weise beheben können. Nach Behebung dieser Konflikte werden die Objekte durch die Benutzerkontenverwalter in die jeweils zutreffende Organisationseinheit verschoben. Die folgende Abbildung illustriert die OU-Zielstruktur für migrierte Objekte aus der Domäne WNB-ACCT-ROW.  Abbildung 25. OU-Zielstruktur der Domäne "WNB-ACCT-ROW" In dieser Phase des Migrationsprozesses wird die temporäre OU-Struktur für die migrierten Objekte an die Benutzerkontenverwalter und die Desktopkonfigurationsadministratoren delegiert. Der Gruppe <Quelldomäne> Datenadministratoren wird Vollzugriff auf Computerobjekte in der OU-Struktur Migrated Objects\<Quelldomäne>\Computer und Migrated Objects\<Quelldomäne>\Server gewährt. Vollzugriff auf Gruppenobjekte wird auch der Organisationseinheit Migrated Objects\<Quelldomäne>\Groups gewährt. Die Benutzerkontenverwalter werden der Gruppe <Quelldomäne> Datenadministratoren zugeordnet.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie zum Erstellen der OU-Zielstruktur die folgenden Schritte durch:
Mit dem folgenden Verfahren wird die Verwaltung der Ressourcen-OU an die neue lokale Gruppe delegiert, die das Migrationskonto und die Benutzerkonten der Desktopkonfigurationsadministratoren enthält.
Aktivieren der ÜberwachungADMT, Version 2, setzt voraus, dass in den Quell- und Zieldomänen die Überwachung der Kontenverwaltung (Erfolgs- und Fehlerereignisse) aktiviert ist. Zur Aktivierung der Überwachung der Kontenverwaltung muss die Standardrichtlinie für Domänencontroller geändert werden. In der Windows NT 4.0-Domäne wird der Benutzer-Manager für Domänen zum Ändern der Verwaltungsüberwachung für Benutzer und Gruppen verwendet.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie die folgenden Schritte durch, um die Überwachung in den Windows NT 4.0- und den Active Directory-Domänen zu aktivieren:
Aktivieren der KennwortmigrationMit der Migration von Kennwörtern mit ADMT, Version 2, wird das Konzept der Kennwortexportserver (Password Export Server, PES) eingeführt, auf denen sich die DLLs (Dynamic-Link Libraries) zur Unterstützung der Kennwortmigration befinden. Ein PES kann auf jedem Reservedomänencontroller (BDC) in den Quelldomänen installiert werden. Aus Konsistenzgründen hat das Migrationsteam der Woodgrove Bank entschieden, den PES auf einem BDC in jeder Windows NT 4.0-Domäne zu installieren, aus der Kennwörter migriert werden sollen. Auf diesem Domänencontroller muss dann auch die 128-Bit-Verschlüsselung installiert sein. Die folgende Tabelle enthält Details zu den PES-Domänencontrollern in jeder Domäne.
Tabelle 23. Kennwortexportserver in den Windows NT 4.0-Domänen
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie folgende Schritte durch, um die Kennwortmigration im Verlauf der Migration einer Windows NT 4.0-Domäne zu aktivieren: Fügen Sie die Gruppe Jeder der vordefinierten Gruppe Prä-Windows 2000 kompatibler Zugriff hinzu.
Bestätigen Sie die Kennwort- und Kontenrichtlinien der Domäne corp.woodgrovebank.com.
Bestätigen Sie die Kennwort- und Kontorichtlinien der Domäne WNB-ACCT-ROW.
Erstellen Sie die Kennwortdateien für den Kennwortexportserver.
Identifizieren von DienstkontenZur Unterstützung bei den anstehenden Computermigrationen ist es wichtig, die Anwendungen zu ermitteln, die ein Dienstkonto auf Mitgliedsservern und Domänencontrollern verwenden. Bei einem Dienstkonto handelt es sich um ein Benutzerkonto, das explizit erstellt wurde, um einen Sicherheitskontext für diese Anwendungen bereitzustellen, und das über die Rechte "Anmeldung als Dienst" verfügt. Das Migrationsteam erstellt eine Liste von Servern mit Anwendungen, die als Dienste im Sicherheitskontext eines Dienstkontos ausgeführt werden. Im Assistenten zum Migrieren von Dienstkonten werden die folgenden Werte verwendet.
Tabelle 24. Ermitteln von Dienstkonten auf Servern Die Vertrauensstellungen, die im Abschnitt "Einrichten von Vertrauensstellungen" angelegt wurden, können an diesem Punkt entfernt werden. Im Verlauf der Neustrukturierung der Ressourcendomäne werden weitere Vertrauensstellungen neu eingerichtet.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Mit dem folgenden Verfahren werden die Dienstkonten ermittelt, die gegenwärtig verwendet werden:
Migrieren globaler GruppenDie globalen Gruppen aus der Kontendomäne WNB-ACCT-ROW müssen als erste Sicherheitsprinzipale migriert werden, damit sie ihre Mitgliedschaft bei der im nächsten Schritt erfolgenden Migration der Benutzerkonten beibehalten. Das Migrationsteam der Woodgrove Bank hat entschieden, dass alle in der Domäne WNB-ACCT-ROW definierten Gruppen migriert werden, statt das Risiko einzugehen, den Unternehmenszugriff auf zu migrierende Daten zu verlieren. Bestätigen der Voraussetzungen für die GruppenmigrationADMT, Version 2, bietet die Möglichkeit, eine Testmigration durchzuführen, bei der die Domänendaten weder übergeben noch in irgendeiner Weise geändert werden. Mit dieser Testmigration wird geprüft, dass die von ADMT, Version 2, gestellten Anforderungen von den Quell- und Zieldomänen erfüllt werden. Das Migrationsteam der Woodgrove Bank hat beschlossen, manuell zu prüfen, dass die Voraussetzungen von ADMT, Version 2, von beiden Domänen erfüllt werden. Darüber hinaus verwendet das Migrationsteam den Bericht für Namenskonflikte von ADMT, Version 2, um die Benutzerkonten und Gruppen zu ermitteln, die in der Quell- und der Zieldomäne vorhanden sind.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die folgenden Faktoren wurden vom Migrationsteam vor der Gruppenmigration manuell geprüft:
Zum Erzeugen des Berichts zu Namenskonflikten im Active Directory-Migrationsprogramm wurden folgende Schritte durchgeführt:
Durchführen einer Pilotmigration von GruppenEine Pilotmigration wird durchgeführt, um sicherzustellen, dass die ausgewählten Migrationsoptionen zum erforderlichen Endstatus führen; zu diesen Optionen gehört die Benennung der Gruppen, die Ziel-OU, die Konfliktbehebung und die Migration des SID-Verlaufs. Die Migration umfasst die Auswahl von fünfzig globalen Gruppen und deren Migration aus der Domäne WNB-ACCT-ROW in den Active Directory-Verzeichnisdienst der Domäne corp.woodgrovebank.com. Anschließend wird eine sorgfältige Auswertung der Pilotmigration durchgeführt, um sicherzustellen, dass die Migration erfolgreich und wie erwartet verlaufen ist. Diese Gruppen werden wieder in die endgültige Gruppenmigration einbezogen, d. h., sie werden bei der nächsten Gruppenmigrationsphase erneut migriert.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die Pilotmigration von Gruppenkonten wird unter Verwendung der Einstellungen in der folgenden Tabelle durchgeführt.
Durchführen der GruppenmigrationADMT, Version 2, wird mit den in der folgenden Tabelle aufgeführten Optionen konfiguriert. Diese umfassen die Migration des SID-Verlaufs, die Erstellung von Gruppen in der Migrations-OU und das Umbenennen von Objekten im Falle eines Konflikts.
Tabelle 28. Gruppenmigrationsoptionen bei der Woodgrove Bank
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die eigentliche Migration der Gruppenkonten wird im Großen und Ganzen unter Verwendung der gleichen Einstellungen wie die Pilotmigration durchgeführt; hierbei gelten jedoch die folgenden Ausnahmen:
Tabelle 29. Angaben bei der Ausführung des Assistenten zum Migrieren von Gruppenkonten
Gruppenmigration mithilfe der Befehlszeilenoption von ADMT, Version 2Da die Gruppenmigration mit einer großen Anzahl von Gruppenobjekten verbunden ist, hält es das Migrationsteam der Woodgrove Bank für sinnvoll, die Gruppenkonten mithilfe der Befehlszeilen- und -Skriptoptionen von ADMT, Version 2, zu migrieren. Die nachstehende Tabelle enthält eine Liste aller Aktionen sowie die zugehörigen Befehlszeilenparameter. Diese Optionen werden dem Befehl ADMT GROUP angefügt.
Tabelle 30. Befehlszeilenoptionen für die Gruppenmigration Hinweis: Die Datei PilotGroups.txt enthält eine Liste der ersten 50 Gruppen, die bei der Pilotmigration migriert wurden. Diese Gruppen werden bei der Gruppenmigration ignoriert. Nach der erfolgreichen Abarbeitung eines Befehls wird die Meldung "Operation completed" (Vorgang abgeschlossen) angezeigt. Wird diese Meldung nach der Eingabe eines Befehls nicht angezeigt, wird das Migrationsprotokoll auf weitere Informationen zu Fehlern geprüft, die ggf. aufgetreten sind. Diese Migration kann auch unter Verwendung des COM-Objekts CreateGroupMigration durchgeführt werden. Migrieren globaler Gruppen aus anderen DomänenIn der Umgebung der Woodgrove Bank befinden sich in jeder Domäne Gruppen, daher muss der Prozess für jede Domäne wiederholt werden.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Das vorstehend erläuterte Verfahren wird auch zum Migrieren der Gruppenkonten aus anderen Domänen verwendet.
Migrieren von BenutzerkontenNachdem die Gruppen aus der Domäne WNB-ACCT-ROW migriert worden sind, können die Benutzer der Domäne mithilfe von ADMT, Version 2, migriert werden. Die Verzeichnisdienstadministratoren migrieren die Benutzerkonten unmittelbar nach dem erfolgreichen Abschluss der Gruppenmigration. Bestätigen der Voraussetzungen für die BenutzerkontenmigrationADMT, Version 2, bietet die Möglichkeit, eine Testmigration durchzuführen, bei der die Domänendaten weder übergeben noch in irgendeiner Weise geändert werden. Mit dieser Testmigration wird geprüft, dass die von ADMT, Version 2, gestellten Anforderungen von den Quell- und Zieldomänen erfüllt werden. Wie schon bei der Gruppenmigration hat das Migrationsteam der Woodgrove Bank beschlossen, manuell zu prüfen, dass die Voraussetzungen von ADMT, Version 2, von beiden Domänen erfüllt werden. Darüber hinaus verwendet das Migrationsteam den Bericht für Namenskonflikte von ADMT, um die Benutzerkonten und Gruppen zu ermitteln, die in der Quell- und der Zieldomäne vorhanden sind.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die folgenden Faktoren wurden vom Migrationsteam vor der Benutzerkontenmigration erneut manuell geprüft:
Zum Erzeugen des Berichts zu Namenskonflikten im Active Directory-Migrationsprogramm wurden folgende Schritte durchgeführt:
Durchführen einer Pilotmigration von BenutzerkontenEine Pilotmigration wird durchgeführt, um sicherzustellen, dass die ausgewählten Migrationsoptionen zum erforderlichen Endstatus führen; zu diesen Optionen gehört die Benennung der Benutzer, die Ziel-OU, die Konfliktbehebung und die Migration des SID-Verlaufs. Die Migration umfasst die Auswahl von fünfzig Benutzern und deren Migration aus der Domäne WNB-ACCT-ROW in den Verzeichnisdienst Active Directory der Domäne corp.woodgrovebank.com. Anschließend wird eine sorgfältige Auswertung der Pilotmigration durchgeführt, um sicherzustellen, dass die Migration erfolgreich und wie erwartet verlaufen ist. Diese Benutzer werden aus der endgültigen Migration der Benutzerkonten ausgeschlossen.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die Pilotmigration von Benutzerkonten wird unter Verwendung der Einstellungen in der folgenden Tabelle durchgeführt.
Durchführen der BenutzerkontenmigrationADMT, Version 2, wird wie in der nachstehenden Tabelle gezeigt konfiguriert. Diese Optionen umfassen die Migration des SID-Verlaufs, die Erstellung von Benutzer in der Migrations-OU und die Umbenennung von Konten im Falle von Namenskonflikten.
Tabelle 33. Migrationsoptionen für die Benutzerkonten der Woodgrove Bank
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die eigentliche Migration der Gruppenkonten (Fehler, siehe oben) wird im Großen und Ganzen unter Verwendung der gleichen Einstellungen wie die Pilotmigration durchgeführt; hierbei gelten jedoch die folgenden Ausnahmen:
Tabelle 34. Angaben bei der Ausführung des Assistenten zum Migrieren von Benutzerkonten
Benutzerkontenmigration mithilfe der Befehlszeilenoption ADTM, Version 2Da die Benutzerkontenmigration mit einer großen Anzahl von Benutzerobjekten verbunden ist, hält es das Migrationsteam der Woodgrove Bank für sinnvoll, die Benutzerkonten mithilfe der Befehlszeilen- und -Skriptoptionen von ADMT, Version 2, zu migrieren. Die nachstehende Tabelle enthält eine Liste aller Aktionen sowie die zugehörigen Befehlszeilenparameter. Diese Optionen werden dem Befehl ADMT USER angefügt.
Tabelle 35. Befehlszeilenoptionen für die Benutzermigration Hinweis: Die Datei PilotUsers.txt enthält eine Liste der ersten 50 Benutzer, die bei der Pilotmigration migriert wurden. Diese Benutzer werden aus der endgültigen Migration der Benutzerkonten ausgeschlossen. Nach der erfolgreichen Abarbeitung eines Befehls wird die Meldung "Operation completed" (Vorgang abgeschlossen) angezeigt. Wird diese Meldung nach der Eingabe eines Befehls nicht angezeigt, wird das Migrationsprotokoll auf weitere Informationen zu Fehlern geprüft, die ggf. aufgetreten sind. Diese Migration kann auch unter Verwendung des COM-Objekts CreateUserMigration durchgeführt werden. Zusammenführen von KontenDie Benutzerkontenverwalter müssen möglicherweise mehrere Konten aus der Quelldomäne in einem einzigen Zielbenutzerkonto zusammenführen. Das Zusammenführen von Konten ist erforderlich, wenn ein Mitarbeiter der Woodgrove Bank in jeder der beiden Domänen WNB-ACCT-A und WNB-ACCT-ROW über ein separates Benutzerkonto verfügt. Zum Konsolidieren der Benutzerkonten in einem einzigen Active Directory-Benutzerobjekt wird dem Objekt ein zusätzliches SIDHistory-Attribut hinzugefügt.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Verwenden Sie die Datei SIDHist.vbs aus den Windows Server 2003-Supporttols, um dem Konto, das bereits in der Domäne corp.woodgrovebank.com vorhanden ist, ein SIDHistory-Attribut hinzuzufügen.
Rekonstruieren von vordefinierten GruppenBeim Migrieren von Objekten aus der Windows NT 4.0-Domäne darf es sich bei den Quellobjekten nicht um vordefinierte Konten wie lokale Administratoren, Benutzer und Hauptbenutzer handeln. Die SIDs von vordefinierten Konten sind in jeder Domäne identisch; werden diese also einem SID-Verlauf hinzugefügt, wird damit gegen die Regel verstoßen, dass SIDs in der Gesamtstruktur eindeutig sein müssen. Im Hinblick auf die Ressourcendomänen der Woodgrove Bank liegt die Verwaltung von Domänencontrollern, Mitgliedsservern und Arbeitsstationen in der Zuständigkeit der Domänenadministratoren dieser Domänen. Nach der Konsolidierung diese Domänen in einer einzigen Active Directory-Domäne werden die Verwaltungsrechte über die Computerobjekte und Gruppen an die Domänenadministratoren der Ressourcendomänen delegiert. Zur Sicherstellung, dass die Administratoren der Ressourcendomänen weiterhin über die erforderlichen Rechte verfügen, wird die Mitgliedschaft der vordefinierten Gruppe der Domänen-Admins in der Domäne corp.woodgrovebank.com neu erstellt.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Mit dem folgenden Verfahren werden in der Domäne corp.woodgrovebank.com neue Verwaltungsgruppen für Ressourcendomänen erstellt:
Wenn es sich bei der Quelldomäne um eine Kontendomäne handelt, liegt die Dienstverwaltung weiterhin bei den Verzeichnisdienstadministratoren der Woodgrove Bank. In diesem Fall würde die Gruppe "corp.woodgrovebank.com Domänenadministratoren" verwendet.
Migrieren von Benutzerkonten aus anderen DomänenIn der Umgebung der Woodgrove Bank befinden sich in jeder Domäne Benutzerkonten, daher muss der Prozess für jede der Domänen wiederholt werden.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Das vorstehend erläuterte Verfahren wird auch zum Migrieren der Benutzerkonten aus anderen Domänen verwendet.
Zusammenfassung des KapitelsDieses Kapitel befasst sich mit der Neustrukturierung einer weiteren Kontendomäne ausgehend vom Startstadium mit mehreren Domänen. Hierin werden die vorbereitenden Maßnahmen aufgeführt, und es wird erläutert, wie Dienstkonten ermittelt und globale Gruppen und Benutzerkonten in die neue Domäne unter Windows Server 2003 migriert werden. Im nächsten Kapitel geht es um die Neustrukturierung weiterer Ressourcendomänen in der neuen Windows Server 2003-Domäne. Es behandelt zudem die notwendigen Vorbereitungen, den Prozess zum Migrieren der Arbeitsstationen und Mitgliedsserver und die abschließende Außerbetriebsetzung der ursprünglichen Ressourcendomäne. Neustrukturieren von RessourcendomänenIn diesem Kapitel werden die Aufgaben erläutert, die das Migrationsteam der Woodgrove Bank im Rahmen der Neustrukturierung der Ressourcendomänen in der neu erstellten Active Directory-Gesamtstruktur zu erledigen hat. ÜbersichtDurch die Neustrukturierung von Ressourcendomänen bei der Woodgrove Bank soll deren Anzahl in der Windows Server 2003-Gesamtstruktur verringert werden. Dies bedeutet, dass die Ressourcen in den Windows NT 4.0-Ressourcendomänen in den Active Directory-Organisationseinheiten der Domäne corp.woodgrovebank.com konsolidiert werden müssen. Normalerweise enthalten die Ressourcendomänen der Woodgrove Bank Arbeitsstationskonten, Serverkonten und eine begrenzte Anzahl von Dienstkonten. Im Woodgrove Bank-Szenario werden die Domänen WNB-RES-A und WNB-RES-SYD in der Domäne corp.woodgrovebank.com konsolidiert. Die Exchange 5.5-Domäne, WNB-MESSAGING, wird beibehalten, da geplant ist, diese Domäne während eines zukünftigen Exchange Server 2003-Bereitstellungsprojekts in der Active Directory-Gesamtstruktur zu konsolidieren. Das nachstehende Ablaufdiagramm zeigt das Konzept, dass die Woodgrove Bank bei der Konsolidierung der Ressourcendomänen zugrunde legte.  Abbildung 26. Ablaufdiagramm zur Neustrukturierung einer Ressourcendomäne Rollen und ZuständigkeitenDie Besitzer der Ressourcendomänen der Woodgrove Bank sind in erster Linie die Desktopkonfigurationsadministratoren am lokalen Standort des Unternehmens. Da die Neustrukturierung einer Ressourcendomäne das Ändern der Domänenmitgliedschaft von Computern und das Konvertieren von Sicherheitsprinzipalen umfasst, wird diese Arbeit wo immer möglich vor Ort erledigt. Die folgende Tabelle enthält die Rollen und Zuständigkeiten bei der Neustrukturierung von Ressourcendomänen.
Tabelle 36. Rollen und Zuständigkeiten bei der Neustrukturierung der Ressourcendomänen der Woodgrove Bank Fallbackplan für die Neustrukturierung der RessourcendomänenFür den Fall, dass die migrierten Ressourcen in der Windows Server 2003-Domäne den Anforderungen der Benutzer nicht entsprechen, ist es wichtig, einen Fallbackplan entwickelt zu haben. Im Verlauf der Neustrukturierung werden Benutzerobjekte in Active Directory, Sicherheitsprinzipale für lokale Ressourcen und die Domänenmitgliedschaften von Servern und Arbeitsstationscomputern geändert. Es ist zwar möglich, sämtliche Änderungen zurückzusetzen, die während des Prozesses vorgenommen werden, dennoch führt das Migrationsteam der Woodgrove Bank nach Abschluss bestimmter Schritte jeweils Überprüfungen durch, um das Risiko eines eventuell erforderlichen Rollbacks so gering wie möglich zu halten. Darüber hinaus werden die bei der Sicherheitskonvertierung verwendeten Migrationsoptionen gewählt, um die Auswirkungen der Ressourcenmigration zu mildern. Für ein Rollback der Ressourcenmigration in eine Active Directory-Domäne (wie die Migration eines Datei- und Druckservers) führt ein Verzeichnisdienstadministrator die folgenden Schritte durch:
Vorbereitungen für die MigrationIn diesem Abschnitt werden die Konfigurationsaufgaben zur Vorbereitung der Migration im Detail erläutert, die von den Verzeichnisdienstadministratoren der Woodgrove Bank ausgeführt werden. Das nachstehende Ablaufdiagramm illustriert die migrationsvorbereitenden Aufgaben, die bei der Neustrukturierung einer Ressourcendomäne anfallen.  Abbildung 27. Ablaufdiagramm der Vorbereitungen zur Neustrukturierung einer Ressourcendomäne Installieren der 128-Bit-VerschlüsselungSowohl auf der Arbeitsstation, auf der ADMT, Version 2, in der Domäne corp.woodgrovebank.com installiert ist, als auch auf dem PDC in der oder den Ressourcendomänen ist 128-Bit-Verschlüsselung erforderlich. Auf den Domänencontrollern von corp.woodgrovebank.com ist Windows Server 2003 installiert, daher ist die 128-Bit-Verschlüsselung Standard. Das Paket für 128-Bit-Verschlüsselung, das für die Domänencontroller unter Windows NT 4.0 in der Domäne WNB-RES-A verwendet wird, steht unter dem folgenden URL zum Abruf bereit (nur auf Englisch verfügbar): http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/128bitX86.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Zum Installieren des Pakets für die 128-Bit-Verschlüsselung in der Ressourcendomäne wird das in Kapitel 9 erläuterte Verfahren verwendet (siehe Abschnitt "Installieren der 128-Bit-Verschlüsselung").
Einrichten von VertrauensstellungenZum Migrieren von Objekten zwischen einer Windows NT 4.0-Ressourcendomäne und der Active Directory-Domäne unter Windows Server 2003 müssen externe Vertrauensstellungen vorhanden sein. Da das Migrationsbenutzerkonto in der Ressourcendomäne vorhanden ist, wird eine bidirektionale Vertrauensstellung eingerichtet, um die Delegierung der Ressourcenorganisationseinheit in der Domäne corp.woodgrovebank.com zu ermöglichen. Das Einrichten der bidirektionalen Vertrauensstellungen in der Umgebung der Woodgrove Bank zur Migration der Ressourcendomäne ist akzeptabel, da die Domänen gleich nach der Migration der Objekte außer Betrieb genommen werden. Eine Alternative zum Einrichten der bidirektionalen Vertrauensstellung zwischen der Ressourcendomäne und der Domäne corp.woodgrovebank.com wäre die Migration mit einem Benutzerkonto in corp.woodgrovebank.com gewesen, das in der Ressourcendomäne und auf allen darin zu migrierenden Computern über Administratorrechte verfügt.
Rolle, die die Aufgabe erfüllt: Netzwerkadministrator Von den Verzeichnisdienstadministratoren und den Desktopkonfigurationsadministratoren werden zwischen jeder zu migrierenden Ressourcendomäne und der Domäne corp.woodgrovebank.com bidirektionale Vertrauensstellungen eingerichtet.
Aktivieren der ÜberwachungADMT, Version 2, setzt voraus, dass in den Quell- und Zieldomänen die Überwachung der Kontenverwaltung (Erfolgs- und Fehlerereignisse) aktiviert ist. Zur Aktivierung der Überwachung der Kontenverwaltung muss die Standardrichtlinie für Domänencontroller geändert werden. In der Windows NT 4.0-Domäne wird der Benutzer-Manager für Domänen zum Ändern der Verwaltungsüberwachung für Benutzer und Gruppen verwendet.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Zum Aktivieren der Überwachung in der Ressourcendomäne wird das in Kapitel 9 erläuterte Verfahren verwendet (siehe dortigen Abschnitt "Aktivieren der Überwachung").
Kommunikation mit den BenutzernDie Endbenutzer müssen lediglich während der Migration der Ressourcendomäne von Änderungen in Kenntnis gesetzt werden. Zu diesem Zeitpunkt müssen die Benutzer den Anmeldeprozess ändern. Während die alten Konten in der Domäne WNB-ACCT-ROW weiterhin aktiviert sind, werden die Benutzer aufgefordert, sich mit dem gleiche Benutzerkonto an der Windows 2003-Domäne anzumelden. Im Verlauf dieser Migration müssen die Benutzerarbeitsstationen zudem auch neu gestartet werden, da sich die Domänenmitgliedschaft der Computer geändert hat. Diese Aufgabe wird von den lokalen Desktopkonfigurationsadministratoren zu einem Zeitpunkt durchgeführt und geplant, der für die Benutzer nur minimale Störung bedeutet. Der Ausfall dauert nur so lange, wie für einen Neustart der Arbeitsstation benötigt wird. Für die Mitgliedsserver in der Ressourcendomäne ist ebenfalls eine geplante Abschaltung erforderlich, da auch deren Domänenmitgliedschaft geändert wurde. Mit der nachstehenden E-Mail werden die Benutzer vom Migrationsteam über die Änderungen informiert.  Abbildung 28. Benachrichtigung der Benutzer der Woodgrove Bank betreffend eine kurzfristige Abschaltung des IT-Systems Migrieren von ArbeitsstationenDer Prozess des Migrierens von Arbeitsstationen zur Domäne corp.woodgrovebank.com wird von den Desktopkonfigurationsadministratoren nach Möglichkeit vor Ort durchgeführt. Dieser Prozess umfasst das Erstellen eines neuen Computerkontos in der Domäne corp.woodgrovebank.com, das Transformieren der Sicherheitsprinzipale auf der Arbeitsstation sowie das Ändern der Domänenmitgliedschaft des Computers. Auf einer Migrationsarbeitsstation vor Ort wird ADMT, Version 2, installiert, und die zugehörigen Agenten werden für jeden Computer remote bereitgestellt. Obwohl es bei ADMT, Version 2, keine Einschränkungen hinsichtlich der Anzahl der Computer gibt, die auf einmal migriert werden könnten, entschließt sich das Migrationsteam von Woodgrove, die Menge der zu migrierenden Computer auf 500 zu begrenzen. Auf diese Weise können sie die migrierten Arbeitsstationen adäquat unterstützen, falls der vorherige Zustand wiederhergestellt werden muss. Zum Überprüfen der erfolgreichen Migration jeder Arbeitsstation wird das Dialogfeld Agentenüberwachung in ADMT, Version 2, verwendet. Wenn es an einem Standort der Woodgrove Bank keine Desktopkonfigurationsadministratoren gibt, können die Arbeitsstationen remote migriert werden. Die Standorte für die Remotedurchführung einer Arbeitsstationsmigration umfassen in der Regel weniger als 20 Arbeitsstationen. Das folgende Ablaufdiagramm illustriert das Verfahren der Arbeitsstationsmigration bei der Woodgrove Bank.  Abbildung 29. Ablaufdiagramm der Migration von Arbeitsstationen bei der Woodgrove Bank Generieren einer SID-ZuordnungsdateiBei der Konvertierung von Sicherheit verwendet ADMT, Version 2, die in der Datei protar.mdb gespeicherten internen Informationen zu migrierten Konten, um zu entscheiden, welche Zugriffssteuerungslisten (ACLs) auf welche Weise konvertiert werden müssen. Mithilfe einer SID-Zuordnungsdatei können diese Informationen überschrieben werden. Das Migrationsteam der Woodgrove Bank verwendet zum Konvertieren der Sicherheitsprinzipale in der Ressourcendomäne in die neuen Sicherheitsprinzipale der Domäne corp.woodgrovebank.com SID-Zuordnungsdateien. Da die Migration aller Benutzer und Gruppen von den Verzeichnisdienstadministratoren durchgeführt wird, verwalten diese auch die Masterkopie der Datenbank von ADMT, Version 2, protar.mdb. Vor der Migration der Ressourcendomäne haben die lokalen Desktopkonfigurationsadministratoren daher eine aktuelle SID-Zuordnungsdatei von den Verzeichnisdienstadministratoren angefordert. Diese Datei enthält eine vollständige Auflistung aller migrierten Benutzer und Gruppen im Format "Quelle\Ziel": S-1-5-21-397955417-626881126-188441444-1234, WNB-ACCT-A\JoeD Die Verzeichnisdienstadministratoren haben ein Visual Basic-Skript erstellt, mit dem diese Daten aus der ADMT-Datenbank extrahiert werden. Nachdem die SID-Zuordnungsdatei erzeugt wurde, wird sie an die Desktopkonfigurationsadministratoren übermittelt, um bei der Migration von deren Ressourcendomäne zugrunde gelegt zu werden. Da die Gruppen der Domänenadministratoren der Ressourcendomänen in der Domäne corp.woodgrovebank.com manuell angelegt wurden, werden die Verweise auf diese Gruppen am Schluss der SID-Zuordnungsdatei in folgendem Format angefügt: S-1-5-21-397955417-626881126-188441444-512, WNB-ACCT-A\WNB-RES-A_DomainAdmins wobei S-1-5-21-397955417-626881126-188441444 die SID der Windows NT 4.0-Domäne der Ressourcendomäne ist.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Die Verzeichnisdienstadministratoren von Woodgrove ziehen die Erzeugung einer SID-Zuordnungsdatei der Kopie der Masterdatei protar.mdb vor. Mit dem folgenden Beispielcode wird erläutert, wie die SID-Zuordnungsdatei aus der Masterdatenbank protar.mdb auf NYC-WA-DC-05 erzeugt wird:
Im folgenden Artikel in der Microsoft Knowledge Base finden Sie weitere Informationen sowie den vorstehenden Beispielcode zum Erzeugen einer SID-Zuordnungsdatei aus protar.mdb: http://support.microsoft.com/default.aspx?scid=kb;de;835991 Nach der Erzeugung der Datei werden Gruppenverweise auf die zuvor in der Domäne corp.woodgrovebank.com angelegten Gruppen der Domänenadministratoren der Ressourcendomäne(n) am Fuß der SID-Zuordnungsdatei in folgendem Format angefügt: S-1-5-21-397955417-626881126-188441444-512, WNB-ACCT-A\WNB-RES-A_DomainAdmins wobei S-1-5-21-397955417-626881126-188441444 die SID der Windows NT 4.0-Domäne der Ressourcendomäne ist. Diese SID-Zuordnungsdatei wird den Desktopkonfigurationsadministratoren übergeben, damit diese die Migration der Ressourcendomäne durchführen können.
Bestätigen der Voraussetzungen für die Migration von ArbeitsstationenADMT, Version 2, bietet die Möglichkeit, eine Testmigration durchzuführen, bei der die Domänendaten weder übergeben noch in irgendeiner Weise geändert werden. Mit dieser Testmigration wird geprüft, dass die von ADMT, Version 2, gestellten Anforderungen von den Quell- und Zieldomänen erfüllt werden. Das Migrationsteam der Woodgrove Bank hat beschlossen, manuell zu prüfen, dass die Voraussetzungen von ADMT, Version 2, von beiden Domänen erfüllt werden. Zudem verwendet das Migrationsteam die von ADMT, Version 2, bereitgestellten Berichte für Computer mit abgelaufenen Kennwörtern und für Kontoreferenzen, um veraltete Computerkonten und Sicherheitsprinzipale zu ermitteln, auf die von Arbeitsstationen verwiesen wird. Die folgenden Faktoren werden vom Migrationsteam vor der Migration der Arbeitsstationen manuell geprüft, um sicherzustellen, dass der Agent von ADMT, Version 2, installiert werden kann:
Um die Sicherheitskonvertierung auf den neu migrierten Computer abzuschließen, müssen die migrierten ADMT-Konten in der Domäne corp.woodgrovebank.com aktiviert werden. Darüber hinaus müssen die Migrationskonten auch der Gruppe der lokalen Administratoren auf den Migrationsarbeitsstationen hinzugefügt werden.
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie die folgenden Schritte durch, um im Active Directory-Migrationsprogramm den Bericht für Computer mit abgelaufenen Kennwörtern und den Bericht für Kontoreferenzen zu erzeugen:
Durchführen der Sicherheitskonvertierung bei ArbeitsstationenDas Migrationsteam der Woodgrove Bank führt die Migration von Arbeitsstationen in Batchverarbeitung mit maximal 500 Arbeitsstationen pro Batch durch. Der ADMT-Agent wird von der lokalen Migrationsarbeitsstation mit ADMT, Version 2, aus auf allen 500 Arbeitsstationen bereitgestellt. Abbildung 30 zeigt das Verfahren zur Migration von Arbeitsstationen an einem Standort der Woodgrove Bank. Durchführen der Pilotsicherheitskonvertierung bei ArbeitsstationenAn jedem Standort wird vor der eigentlichen Migration eine Pilotmigration von ca. zehn Arbeitsstationen durchgeführt. Diese Benutzer übernehmen bei der Migration der Arbeitsstationen die Benutzerakzeptanzprüfung am jeweiligen Standort der Woodgrove Bank. Bei der Pilotmigration muss der Standardmigrationsprozess für Arbeitsstationen eingehalten werden.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Die Pilotmigration von Arbeitsstationen wird unter Verwendung der Einstellungen in der folgenden Tabelle durchgeführt.
Durchführen der Sicherheitskonvertierung bei ArbeitsstationenAuf allen Arbeitsstationen bei der Woodgrove Bank muss eine Sicherheitskonvertierung durchgeführt werden. Auf diese Weise wird sichergestellt, dass alle Verweise auf migrierte Sicherheitsprinzipale wie die SID-Verweise von lokalen Benutzerprofilen in der Windows-Registrierung aktualisiert werden. Da bei der Sicherheitskonvertierung kein Neustart erforderlich ist, wird sie direkt vor der Änderung der Domänenmitgliedschaft der Arbeitsstationen durchgeführt. Weil sich die Arbeitsstationen der Woodgrove Bank in einer Ressourcendomäne befinden, werden Verweise auf migrierte Konten auf der lokalen Arbeitsstation mithilfe einer SID-Zuordnungsdatei identifiziert. Die SID-Zuordnungsdatei enthält alle migrierten Benutzerkonten und Gruppen der Domäne corp.woodgrovebank.com. Der Desktopkonfigurationsadministrator verwendet bei der Ausführung des Sicherheitskonvertierungs-Assistenten in ADMT die folgenden Werte für die Migration:
Tabelle 39. Einstellungen des Sicherheitskonvertierungs-Assistenten für Arbeitsstationen Nach der Verteilung der Agenten wird der Status jedes Agenten im Dialogfeld Agentenüberwachung angezeigt. Die Desktopkonfigurationsadministratoren müssen sämtliche Fehler beheben, die im Dialogfeld Agentenüberwachung angezeigt werden, um eine erfolgreiche Konvertierung sicherzustellen.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Die Migration der Arbeitsstationen wird im Großen und Ganzen unter Verwendung der gleichen Einstellungen wie die Pilotmigration durchgeführt; hierbei gelten jedoch die folgenden Ausnahmen:
Tabelle 40. Angaben beim Ausführen des Sicherheitskonvertierungs-Assistenten
Sicherheitskonvertierung bei Arbeitsstationen mithilfe der Befehlszeilenoption von ADMT, Version 2Da die Sicherheitskonvertierung mit einer großen Anzahl von Arbeitsstationen verbunden ist, hält es das Migrationsteam der Woodgrove Bank für sinnvoll, die Sicherheit auf den Arbeitsstationen mithilfe der Befehlszeilen- und -Skriptoptionen von ADMT, Version 2, zu konvertieren. Die nachstehende Tabelle enthält eine Liste aller Aktionen sowie die zugehörigen Befehlszeilenparameter. Diese Optionen werden dem Befehl ADMT SECURITY angefügt.
Tabelle 41. Befehlszeilenoptionen für die Sicherheitskonvertierung Hinweis: Die Datei ComputerList.txt enthält eine Liste der Arbeitsstationen für die Sicherheitskonvertierung in diesem Batch. Die Anzahl der Arbeitsstationen sollte weniger als 500 betragen. Nach der erfolgreichen Abarbeitung eines Befehls wird die Meldung "Operation completed" (Vorgang abgeschlossen) angezeigt. Wird diese Meldung nach der Eingabe eines Befehls nicht angezeigt, wird das Migrationsprotokoll auf weitere Informationen zu Fehlern geprüft, die ggf. aufgetreten sind. Diese Migration kann auch unter Verwendung des COM-Objekts CreateSecurityTranslation durchgeführt werden. Ändern der Domänenmitgliedschaft von ArbeitsstationenArbeitsstationen und Mitgliedsserver besitzen eine eigene SAM-Kontendatenbank. Wenn sie zwischen Domänen verschoben werden, wird diese Datenbank immer mit verschoben. Würden Konten, die in der lokalen SAM-Datenbank gespeichert sind (z. B. lokale Gruppen), zum Erteilen des Zugriffs auf Ressourcen verwendet, würden sie immer zusammen mit dem Computer verschoben. Deshalb ist eine Migration dieser Konten nicht erforderlich. In dieser zweiten Phase der Migration von Arbeitsstationen wird die Domänenmitgliedschaft der Arbeitsstationen auf corp.woodgrovebank.com geändert. Die Änderung der Domäne von Arbeitsstationen setzt einen Neustart voraus und soll zeitgesteuert eine Minute nach Abschluss der Migration durchgeführt werden. Der Desktopkonfigurationsadministrator verwendet bei der Ausführung des Computermigrations-Assistenten in ADMT die folgenden Werte für die Migration:
Tabelle 42. Einstellungen des Computermigrations-Assistenten für Arbeitsstationen Nach der Verteilung der Agenten wird der Status jedes Agenten im Dialogfeld Agentenüberwachung angezeigt. Wenn sich der Status in "Abgeschlossen" ändert, wird für die Desktopadministratoren auf der Arbeitsstation das Dialogfeld Das System wird herunterfahren angezeigt, in dem die vorstehend angegeben Zeit (1 Minute) heruntergezählt wird. Die Desktopkonfigurationsadministratoren müssen sämtliche Fehler beheben, die im Dialogfeld Agentenüberwachung angezeigt werden, um eine erfolgreiche Migration sicherzustellen. Die Freigabe für die Migration der Arbeitsstation seitens der Woodgrove Bank kann nur erfolgen, wenn keine Fehler zurückgemeldet werden. Durchführen der Pilotcomputermigration bei ArbeitsstationenAn jedem Standort wird vor der eigentlichen Migration eine Pilotmigration von ca. fünf Arbeitsstationen durchgeführt. Diese Benutzer übernehmen bei der Migration der Arbeitsstationen die Benutzerakzeptanzprüfung am jeweiligen Standort der Woodgrove Bank. Bei der Pilotmigration muss der Standardmigrationsprozess für Arbeitsstationen eingehalten werden.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Mit dem folgenden Verfahren wird die Domänenmitgliedschaft von Arbeitsstationen geändert:
Durchführen der Computermigration bei ArbeitsstationenDie Computermigration muss auf allen Arbeitsstationen der Woodgrove Bank durchgeführt werden. Auf diese Weise wird sichergestellt, dass die Computerkonten für die Arbeitsstation in der Domäne corp.woodgrovebank.com erstellt werden und dass auch die Domänenmitgliedschaft auf der Arbeitsstation aktualisiert wird. Der Desktopkonfigurationsadministrator verwendet bei der Ausführung des Computermigrations-Assistenten in ADMT die folgenden Werte für die Migration:
Tabelle 44. Einstellungen des Computermigrations-Assistenten für Arbeitsstationen Nach der Verteilung der Agenten wird der Status jedes Agenten im Dialogfeld Agentenüberwachung angezeigt. Die Desktopkonfigurationsadministratoren müssen sämtliche Fehler beheben, die im Dialogfeld Agentenüberwachung angezeigt werden, um eine erfolgreiche Konvertierung sicherzustellen.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Die Migration der Arbeitsstationen wird im Großen und Ganzen unter Verwendung der gleichen Einstellungen wie die Pilotmigration durchgeführt; hierbei gelten jedoch die folgenden Ausnahmen:
Tabelle 45. Angaben beim Ausführen des Computermigrations-Assistenten
Computermigration mithilfe der Befehlszeilenoption von ADMT, Version 2Da die Computermigration mit einer großen Anzahl von Arbeitsstationen verbunden ist, hält es das Migrationsteam der Woodgrove Bank für sinnvoll, die Arbeitsstationen mithilfe der Befehlszeilen- und -Skriptoptionen von ADMT, Version 2, zu migrieren. Die nachstehende Tabelle enthält eine Liste aller Aktionen sowie die zugehörigen Befehlszeilenparameter. Diese Optionen werden dem Befehl ADMT COMPUTER angefügt.
Tabelle 46. Befehlszeilenoptionen für die Computermigration Hinweis: Die Datei ComputerList.txt enthält eine Liste der Arbeitsstationen für die Sicherheitskonvertierung in diesem Batch. Die Anzahl der Arbeitsstationen sollte weniger als 500 betragen. Nach der erfolgreichen Abarbeitung eines Befehls wird die Meldung "Operation completed" (Vorgang abgeschlossen) angezeigt. Wird diese Meldung nach der Eingabe eines Befehls nicht angezeigt, wird das Migrationsprotokoll auf weitere Informationen zu Fehlern geprüft, die ggf. aufgetreten sind. Diese Migration kann auch unter Verwendung des COM-Objekts CreateComputerMigration durchgeführt werden. Entfernen der alten Sicherheitsverweise auf den ArbeitsstationenWenn die Sicherheitskonvertierung erfolgt ist und die Domänenmitgliedschaft der Arbeitsstation geändert wurde, können die alten Sicherheitsprinzipale von den Ressourcen entfernt werden. Zu diesem Zweck wird der Sicherheitskonvertierungs-Assistent von ADMT, Version 2, unter Verwendung der folgenden Werte für die Mitgliedsserver erneut ausgeführt.
Tabelle 47. Einstellungen des Sicherheitskonvertierungs-Assistenten zum Entfernen alter Sicherheitsprinzipale Die Migration und Sicherheitskonvertierung der Arbeitsstation ist hiermit abgeschlossen.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Die Sicherheitsverweise auf die Quelldomäne können ebenfalls auf den Arbeitsstationen entfernt werden.
Aktivieren des Active Directory-BenutzerobjektsNachdem die Benutzerarbeitsstation nach corp.woodgrovebank.com migriert und die Sicherheitsverweise konvertiert wurden, kann der Benutzer mit der Nutzung des Kontos in dieser Domäne beginnen. Wenn sich das Benutzerkonto vormals in der Domäne WNB-ACCT-ROW befunden hat, muss das duplizierte Active Directory-Benutzerkonto zunächst aktiviert werden, während das Konto in WNB-ACCT-ROW deaktiviert wird. Zu diesem Zweck wurden den Desktopkonfigurationsadministratoren delegierte Rechte über die OU Migrated Objects\Resssourcendomäne gewährt. Das Windows Server-Verwaltungsteam hat ein Visual Basic-Skript erstellt. Mit dem Skript wird die per Komma getrennte Datei analysiert, die die zu migrierenden Arbeitsstationen und die zugehörigen Besitzer enthält. Gleichzeitig wird mithilfe von ADSI (Active Directory-Dienstschnittstelle) die Eigenschaft IsEnabled der Benutzerkonten in den Domänen WNB-ACCT-ROW und corp.woodgrovebank.com geändert. Migrieren der MitgliedsserverDas Verfahren und die Tools zum Migrieren eines Mitgliedsservers wie eines Datei- und Druckservers sind mit dem Migrationsprozess für Arbeitsstationen identisch. Die Windows Server-Administratoren haben jedoch beschlossen, einige zusätzliche Vorsichtsmaßnahmen für den Sicherheitskonvertierungsprozess im Rahmen des Migrationsprozesses der Mitgliedsserver bei der Woodgrove Bank einzufügen, um die Fallbackverfahren zu vereinfachen. Darüber hinaus ist zusätzlicher Aufwand für Änderungskontrollprozesse und Benutzerkommunikaton erforderlich, da die Mitgliedsserver ebenfalls neu gestartet werden müssen, um die Änderung der Domänenmitgliedschaft abzuschließen. Das nachstehende Ablaufdiagramm illustriert den Migrationsprozess für Mitgliedsserver im Detail.  Abbildung 31. Ablaufdiagramm der Migration von Mitgliedsservern bei der Woodgrove Bank Ermitteln der für die Zugriffssteuerung verwendeten GruppenADMT, Version 2, ermöglicht die Erstellung eines Berichts für Kontoreferenzen, in dem die Konten aufgeführt sind, denen Berechtigungen für Ressourcen auf einem bestimmten Computer erteilt wurden. Die Ergebnisse dieses Berichts werden in der Datei AcctRefs.htm im Installationsverzeichnis von ADMT, Version 2, gespeichert. Anhand dieses Berichts können die Desktopkonfigurationsadministratoren sicherstellen, dass vor der Sicherheitskonvertierung alle Sicherheitsprinzipale in die Domäne corp.woodgrovebank.com migriert wurden. Zu diesem Zeitpunkt werden auch Änderungsanforderungen erstellt, um beim Migrieren von Mitgliedsservern zeitgesteuerte Neustarts zu ermöglichen. Bestätigen der Voraussetzungen für die Migration von MitgliedsservernADMT, Version 2, bietet die Möglichkeit, eine Testmigration durchzuführen, bei der die Domänendaten weder übergeben noch in irgendeiner Weise geändert werden. Mit dieser Testmigration wird geprüft, dass die von ADMT, Version 2, gestellten Anforderungen von den Quell- und Zieldomänen erfüllt werden. Das Migrationsteam der Woodgrove Bank hat beschlossen, manuell zu prüfen, dass die Voraussetzungen von ADMT, Version 2, von beiden Domänen erfüllt werden. Zudem verwendet das Migrationsteam die von ADMT, Version 2, bereitgestellten Berichte für Computer mit abgelaufenen Kennwörtern und für Kontoreferenzen, um veraltete Computerkonten und Sicherheitsprinzipale zu ermitteln, auf die von Mitgliedsservern verwiesen wird. Die folgenden Faktoren werden vom Migrationsteam vor der Migration der Mitgliedsserver manuell geprüft, um sicherzustellen, dass der Agent von ADMT, Version 2, installiert werden kann:
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Führen Sie die folgenden Schritte durch, um im Active Directory-Migrationsprogramm den Bericht zu Computern mit abgelaufenen Kennwörtern und den Bericht für Kontoreferenzen zu erzeugen:
Durchführen der Migration von MitgliedsservernBei der Woodgrove Bank werden die Mitgliedsserver einzeln migriert, um das Risiko, einen Fallback durchführen zu müssen, so gering wie möglich zu halten. Der Agent von ADMT, Version 2, wird wann immer möglich von der lokalen ADMT-Migrationsarbeitsstation aus auf den Mitgliedsservern bereitgestellt. Abbildung 32 zeigt das Verfahren zur Migration von Mitgliedsservern an einem Standort der Woodgrove Bank.  Abbildung 32. Verfahren zur Migration von Mitgliedsservern bei der Woodgrove Bank Die Sicherheitskonvertierung muss auf allen Mitgliedsservern der Woodgrove Bank durchgeführt werden. Auf diese Weise wird sichergestellt, dass eventuelle Verweise auf migrierte Sicherheitsprinzipale wie die Zugriffssteuerungslisten des Dateisystems aktualisiert werden. Da bei der Sicherheitskonvertierung kein Neustart erforderlich ist, wird sie direkt vor der Änderung der Domänenmitgliedschaft der Mitgliedsserver durchgeführt. Weil sich die Mitgliedsserver der Woodgrove Bank in einer Ressourcendomäne befinden, werden Verweise auf migrierte Konten auf der lokalen Arbeitsstation mithilfe einer SID-Zuordnungsdatei ermittelt. Die SID-Zuordnungsdatei enthält alle migrierten Benutzerkonten und Gruppen der Domäne corp.woodgrovebank.com. Damit die Anforderungen von ggf. notwendigen Fallbackverfahren erfüllt werden, werden auf dem Mitgliedsserver vorhandene Sicherheitsprinzipale nicht entfernt. Stattdessen wird der Ressource ein neues Sicherheitsprinzipal hinzugefügt. Auf diese Weise erhalten die Administratoren der Woodgrove Bank einfache Referenzen für den Fall, dass sie die Zustände vor und nach der Migration vergleichen müssen. Die alten Sicherheitsprinzipale werden in einem späteren Verfahrensschritt entfernt (siehe "Freigabe für Migration des Mitgliedsservers erhalten" an späterer Stelle in diesem Kapitel). Der Desktopkonfigurationsadministrator verwendet bei der Ausführung des Sicherheitskonvertierungs-Assistenten in ADMT die folgenden Werte für die Migration:
Tabelle 50. Einstellungen des Sicherheitskonvertierungs-Assistenten für Mitgliedsserver Nach der Verteilung der Agenten wird der Status jedes Agenten im Dialogfeld Agentenüberwachung angezeigt. Die Desktopkonfigurationsadministratoren müssen sämtliche Fehler beheben, die im Dialogfeld Agentenüberwachung angezeigt werden, um eine erfolgreiche Sicherheitskonvertierung sicherzustellen. Durchführen der Pilotsicherheitskonvertierung bei MitgliedsservernFür den Pilotprozess wird eine Sicherheitskonvertierung eines einzelnen Mitgliedsservers ausgewählt. Damit können die Desktopkonfigurationsadministratoren die Auswirkungen der Sicherheitskonvertierung untersuchen, bevor diese bei anderen Mitgliedsservern in der Domäne durchgeführt wird.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Die Sicherheitskonvertierung von Mitgliedsservern wird unter Verwendung der Einstellungen in der folgenden Tabelle durchgeführt.
Durchführen der Sicherheitskonvertierung bei MitgliedsservernDie Sicherheitskonvertierung muss auf allen Mitgliedsservern in der Woodgrove Bank durchgeführt werden. Auf diese Weise wird sichergestellt, dass eventuelle Verweise auf migrierte Sicherheitsprinzipale wie Druckerwarteschlangen und Zugriffssteuerungslisten für das Dateisystem aktualisiert werden. Da bei der Sicherheitskonvertierung kein Neustart erforderlich ist, wird sie direkt vor der Änderung der Domänenmitgliedschaft der Mitgliedsserver durchgeführt. Weil sich die Mitgliedsserver der Woodgrove Bank in einer Ressourcendomäne befinden, werden Verweise auf migrierte Konten auf dem Mitgliedsserver mithilfe einer SID-Zuordnungsdatei ermittelt. Die SID-Zuordnungsdatei enthält alle migrierten Benutzerkonten und Gruppen der Domäne corp.woodgrovebank.com.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Bei der Sicherheitskonvertierung der verbleibenden Mitgliedsserver kommt das gleiche Verfahren wie beim Pilotmitgliedsserver zum Einsatz.
Ändern der Domänenmitgliedschaft von MitgliedsservernMitgliedsserver besitzen eine eigene SAM-Kontendatenbank. Wenn sie zwischen Domänen verschoben werden, wird diese Datenbank immer mit verschoben. Würden Konten, die in der lokalen SAM-Datenbank gespeichert sind (z. B. lokale Gruppen), zum Erteilen des Zugriffs auf Ressourcen verwendet, würden sie immer zusammen mit dem Computer verschoben. Deshalb ist eine Migration dieser Konten nicht erforderlich. In dieser zweiten Phase der Migration von Mitgliedsservern wird die Domänenmitgliedschaft der Mitgliedsserver auf corp.woodgrovebank.com geändert. Die Änderung der Domäne von Mitgliedsservern setzt einen Neustart voraus und soll zeitgesteuert eine Minute nach Abschluss der Migration durchgeführt werden. Der Desktopkonfigurationsadministrator verwendet bei der Ausführung des Computermigrations-Assistenten in ADMT die folgenden Werte für die Migration:
Tabelle 52. Einstellungen des Computermigrations-Assistenten für Mitgliedsserver Nach der Verteilung der Agenten wird der Status jedes Agenten im Dialogfeld Agentenüberwachung angezeigt. Wenn sich der Status in "Abgeschlossen" ändert, wird für die Desktopadministratoren auf dem Mitgliedsserver das Dialogfeld Das System wird herunterfahren angezeigt, in dem die vorstehend angegeben Zeit (1 Minute) heruntergezählt wird. Die Desktopkonfigurationsadministratoren müssen sämtliche Fehler beheben, die im Dialogfeld Agentenüberwachung angezeigt werden, um eine erfolgreiche Migration sicherzustellen. Die Freigabe der Migration des Mitgliedsserver seitens der Woodgrove Bank kann nur erfolgen, wenn keine Fehler zurückgemeldet werden. Durchführen der Pilotcomputermigration bei MitgliedsservernAn jedem Standort wird vor der eigentlichen Migration eine Pilotmigration eines einzelnen Mitgliedsservers durchgeführt. Bei der Pilotmigration muss der Standardmigrationsprozess für Mitgliedsserver eingehalten werden.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Mit dem folgenden Verfahren wird die Domänenmitgliedschaft von Mitgliedsservern geändert:
Durchführen der Computermigration bei MitgliedsservernDie Computermigration muss auf allen Arbeitsstationen der Woodgrove Bank durchgeführt werden. Auf diese Weise wird sichergestellt, dass die Computerkonten für die Arbeitsstation in der Domäne corp.woodgrovebank.com erstellt werden und dass auch die Domänenmitgliedschaft auf der Arbeitsstation aktualisiert wird.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Bei der Computermigration der verbleibenden Mitgliedsserver kommt das gleiche Verfahren wie beim Pilotmitgliedsserver zum Einsatz.
Freigabe für Migration des Mitgliedsservers erhaltenWenn die Sicherheitskonvertierung erfolgt ist und die Domänenmitgliedschaft der Mitgliedsserver geändert wurde, werden die Besitzer der Mitgliedsserver aufgefordert zu bestätigen, dass die alten Sicherheitsprinzipale von den Ressourcen gelöscht werden können. Nachdem die Erlaubnis hierzu erteilt wurde, wird der Sicherheitskonvertierungs-Assistent von ADMT, Version 2, unter Verwendung der folgenden Werte für die Mitgliedsserver erneut ausgeführt.
Tabelle 54. Einstellungen des Sicherheitskonvertierungs-Assistenten zum Entfernen alter Sicherheitsprinzipale Die Migration und die Sicherheitskonvertierung der Mitgliedsserver ist damit abgeschlossen, und die Freigabe der Besitzer der Mitgliedsserver wurde erteilt.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Nachdem die Freigabe für die Migration der Mitgliedsserver erteilt wurde, können die Sicherheitsverweise auf die Quelldomäne entfernt werden.
Migrieren von Ressourcen aus anderen DomänenIn der Umgebung der Woodgrove Bank befinden sich die Konten von Mitgliedsservern und Arbeitsstationen in mehreren Ressourcendomänen, daher muss das Verfahren für jede dieser Domänen wiederholt werden.
Rolle, die die Aufgabe erfüllt: Desktopkonfigurationsadministrator Zum Migrieren der Mitgliedsserver und Arbeitsstationen aus den anderen Ressourcendomänen wurde ebenfalls das vorstehend beschriebene Verfahren verwendet.
Aktualisieren des primären Exchange NT-KontosADMT, Version 2, kann zudem verwendet werden, um das primäre Benutzerkonto eines jeden Postfachs so zu ändern, dass die SID des neuen Sicherheitsprinzipals in der Domäne corp.woodgrovebank.com wiedergegeben wird. Mit diesem Verfahren wird sichergestellt, dass das neue Sicherheitsprinzipal auf die gleichen Ressourcen und Exchange-Komponenten zugreifen kann wie das ursprüngliche. Zum Konvertieren der Exchange-Sicherheit muss das Microsoft Exchange-Administratorprogramm auf dem Migrationscomputer ausgeführt werden, auf dem ADMT installiert ist. Die Messagingadministratoren der Woodgrove Bank sind für die Ausführung des Assistenten zum Migrieren von Exchange-Verzeichnissen zuständig. Das primäre NT-Konto des Postfachs muss nicht konvertiert werden, bevor das Quellkonto gelöscht ist. Aus kosmetischen Gründen müssen die Administratoren für Organisationsmessaging die Sicherheit jedoch innerhalb von zwei Arbeitstagen nach der Migration der Arbeitsstationen konvertieren. Hinweis: Nach der Löschung des Quellkontos kann die Ressource die SID nicht mehr nach Namen auflösen. Als Sicherheitseigenschaft wird "Konto unbekannt" angezeigt. Der Zugriff ist weiterhin möglich, allerdings kann der SID-Name nicht mehr aufgelöst werden.
Rolle, die die Aufgabe erfüllt: Administrator für Organisationsmessaging Mit dem folgenden Verfahren wird die Domänenmitgliedschaft von Arbeitsstationen geändert:
Außerbetriebnehmen der RessourcendomäneDas Fernziel nach der Migration aller Konten und Ressourcen aus den Ressourcendomänen besteht darin, die Domäne außer Betrieb zu setzen und den Domänencontrollern einen neuen Einsatzbereich zuzuweisen. Die folgenden Voraussetzungen müssen erfüllt sein, um mit der Außerbetriebnahme der Domäne WNB-ACCT-ROW zu beginnen:
Erstellen einer SystemstatussicherungVor Beginn der Außerbetriebsetzung der Ressourcendomänen wird eine vollständige Datensicherung der Domänendaten einschließlich der Systemfestplatte und der Windows-Registrierung erstellt. Diese Datensicherung wird für den Fall archiviert, dass nach der Außerbetriebsetzung Daten aus der Domäne benötigt werden. Entfernen von VertrauensstellungenIm Rahmen der aktuellen Bewertung der Umgebung wurden die Vertrauensstellungen ermittelt, die für die Ressourcendomäne vorhanden waren. Die Vertrauensstellung zur Domäne corp.woodgrovebank.com wurde von den Desktopkonfigurationsadministratoren (für lokal verwaltete Ressourcendomänen) oder von den Verzeichnisdienstadministratoren (für kleinere, zentral verwaltete Ressourcendomänen) unter Verwendung des Windows NT 4.0-Tools Benutzer-Manager für Domänen entfernt, und die Verzeichnisdienstadministratoren haben auch die Vertrauensstellungen zu der Ressourcendomäne aus corp.woodgrovebank.com entfernt. Außerbetriebnehmen der DomänencontrollerDie Domänencontroller der Ressourcendomänen werden nacheinander heruntergefahren, wobei der PDC der letzte Domänencontroller ist, der außer Betrieb gesetzt wird. Zusammenfassung des KapitelsDieses Kapitel befasst sich mit dem Ziel der Woodgrove National Bank, durch Neustrukturierung die Anzahl der zusätzlichen Ressourcendomänen zu reduzieren und diese in einer neuen Windows Server 2003-Domäne zu konsolidieren. Es behandelt zudem die notwendigen Vorbereitungen, den Prozess zum Migrieren der Arbeitsstationen und Mitgliedsserver und die abschließende Außerbetriebsetzung der ursprünglichen Ressourcendomäne. Die Ressourcen in den Windows NT 4.0-Ressourcendomänen werden also in Active Directory-Organisationseinheiten der Domäne corp.woodgrovebank.com konsolidiert. Das nächste Kapitel erläutert das abschließende Ziel der Außerbetriebnahme der zusätzlichen Kontendomäne sowie die Voraussetzungen für dieses Verfahren. Außerbetriebnehmen der zusätzlichen KontendomäneIn diesem Kapitel werden die Aufgaben erläutert, die das Migrationsteam der Woodgrove Bank im Rahmen der Außerbetriebnahme der Kontendomänen zu erledigen hat, die in der neu erstellten Active Directory-Gesamtstruktur neu strukturiert wurden. ÜbersichtDas Endziel nach der Migration aller Konten und Ressourcen aus der zusätzlichen Kontendomäne (WNB-ACCT-ROW) und nach der Außerbetriebnahme der Ressourcendomänen ist die Außerbetriebnahme von WNB-ACCT-ROW und die erneute Bereitstellung der Domänencontroller. Die folgenden Voraussetzungen müssen erfüllt sein, um mit der Außerbetriebnahme der Domäne WNB-ACCT-ROW zu beginnen:
Rollen und ZuständigkeitenDie Besitzer der Kontendomänen in der Umgebung der Woodgrove Bank sind die Verzeichnisdienstadministratoren am zentralen Standort des Unternehmens. Da die Außerbetriebnahme der Kontendomäne WNB-ACCT-ROW das Entfernen von Vertrauensstellungen, die Außerbetriebnahme von Domänencontrollern und das Erstellen von Datensicherungsmedien zwecks Archivierung umfasst, sind in der Hauptsache die Gruppen der Verzeichnisdienstadministratoren und der Speicheradministratoren zuständig. Die Administratoren für Organisationsmessaging müssen beim Entfernen der Vertrauensstellung zur Messagingdomäne unterstützend zur Verfügung stehen. Die folgende Tabelle enthält die Rollen und Zuständigkeiten bei der Außerbetriebsnahme der Kontendomäne.
Tabelle 57. Rollen und Zuständigkeiten bei der Außerbetriebnahme der Kontendomänen der Woodgrove Bank Bereinigungsaufgaben nach der MigrationNach Abschluss der Objektmigration aus Domänen unter Windows NT 4.0 sollten die folgenden Aufgaben erledigt werden: Entfernen der SIDHistory-AttributeWenn die Migration abgeschlossen ist und alle Verweise auf alte Sicherheitsprinzipale geändert wurden, können die SIDHistory-Attribute von Gruppen und Benutzern entfernt werden. (Microsoft stellt eine Visual Basic-Skript zum Entfernen von SID(s) aus den SIDHistory-Attributen von Gruppen und Benutzern bereit. Weitere Informationen und das Skript stehen mit Artikel 295758 der Microsoft Knowledge Base an folgendem URL zum Abruf bereit (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;de;295758
Rolle, die die Aufgabe erfüllt: Verzeichnisdienstadministrator Das Visual Basic-Skript aus Artikel 295758 der Microsoft Knowledge Base wird zum Entfernen des SIDHistory-Attributs von allen Gruppen und Benutzern in der Domäne corp.woodgrovebank.com verwendet.
Aktivieren von SicherheitsrichtlinienDie Verzeichnisdienstadministratoren der Woodgrove Bank beziehen sich auf das Windows Server 2003-Sicherheitshandbuch, um auf den Domänencontrollern Sicherheitskonfigurationen nach Maßgabe der empfohlenen Methoden zu aktivieren. Im Kapitel "Die Domäneninfrastruktur konfigurieren" des Sicherheitshandbuchs finden Verzeichnisdienstadministratoren die Einstellungen für die jeweils geeignete Richtlinienkonfiguration. Das Windows Server 2003-Sicherheitshandbuch finden Sie unter folgendem URL: http://www.microsoft.com/germany/technet/datenbank/articles/900117.mspx. Darüber hinaus wurde im Verlauf des Migrationsprozesses festgestellt, dass die Windows NT 4.0-Domäne WNB-MESSAGING mit einer bidirektionalen Vertrauensstellung zur Domäne corp.woodgrovebank.com konfiguriert ist. Für das Vorhandensein einer bidirektionalen Vertrauensstellung gibt es keine Veranlassung, und eine solche Konfiguration entspricht auch nicht den Sicherheitsrichtlinien der Woodgrove Bank. Daher wird die Domäne WNB-MESSAGING lediglich mit einer unidirektionalen Vertrauensstellung zur Domäne corp.woodgrovebank.com konfiguriert. Entfernen von anonymen Zugriffskonten aus der Gruppe "Prä-Windows 2000-kompatibler Zugriff"Nach Abschluss der Migration und Heraufstufen der Funktionsebenen von Gesamtstruktur und Domäne auf Windows Server 2003 können die Gruppen "Jeder" und "Anonym" aus der Gruppe "Prä-Windows 2000-kompatibler Zugriff" entfernt werden. Entfernen von MigrationskontenDie Migrationskonten, die in der Domäne corp.woodgrovebank.com erstellt wurden, werden nun nicht länger benötigt. Dementsprechend entfernen die Verzeichnisdienstadministratoren diese Konten aus der Domäne. Entfernen von VertrauensstellungenDie einzig verbleibenden Vertrauensstellungen zur Kontendomäne WNB-ACCT-ROW, die an diesem Punkt noch existieren, gehen von WNB-MESSAGING aus (unidirektional) und bestehen zur Active Directory-Domäne unter Windows Server 2003 WNB-ACCT-ROW (bidirektional). Bevor die Domäne außer Betrieb genommen werden kann, müssen die Verzeichnisdienstadministratoren, die von der Kontendomäne WNB-ACCT-ROW aus arbeiten, die Vertrauensstellung zur Active Directory-Domäne (WNB-ACCT-A) unter Windows Server 2003 entfernen. Darüber hinaus wird die Vertrauensstellung von der Domäne WNB-ACCT-A zur Kontendomäne WNB-ACCT-ROW entfernt. Die einzige andere verbleibende Vertrauensstellung wird vom Administratorenteam für Organisationsmessaging von der Domäne WNB-MESSAGING entfernt. Erstellen einer SystemstatussicherungVor Beginn der Außerbetriebnahme der Kontendomäne wird eine Vollsicherung des Systemstatus der Domänendaten erstellt. Diese Datensicherung wird für den Fall archiviert, dass nach der Außerbetriebsetzung Daten aus der Domäne benötigt werden. Außerbetriebnehmen der DomänencontrollerDie Domänencontroller der Domäne WNB-ACCT-ROW wurden jeweils ordnungsgemäß heruntergefahren, wobei der PDC der letzte Domänencontroller ist, der außer Betrieb gesetzt wird. Zusammenfassung des KapitelsDieses Kapitel befasst sich mit den Voraussetzungen zur Außerbetriebnahme von zusätzlichen Kontendomänen. Diese Voraussetzungen umfassen die Einteilung des geeigneten Personals zum Entfernen von vorhandenen Vertrauensstellungen, zum Erstellen von Sicherungskopien und zum Herunterfahren der Windows NT 4.0-Domänencontroller. Nachdem das Update und die Neustrukturierung bei des Systems der Woodgrove Bank erfolgreich abgeschlossen wurde, muss das Projektteam die Migration nun bewerten und prüfen. Diese Verfahren werden im nächsten Kapitel beschrieben. In diesem Rahmen wird das Endergebnis bewertet, werden die Empfehlungen für zukünftige Projekte dokumentiert und ggf. erforderliche Entwurfsänderungen in der neuen Umgebung diskutiert. Nach der MigrationDieses Kapitel erläutert die Aufgaben, die das Migrationsteam von Woodgrove nach der Migration zu erledigen hat. ÜbersichtNach dem erfolgreichen Update und der Neustrukturierung führt das Migrationsteam eine abschließende Bewertung und Prüfung der Migration durch, bevor das Team aufgelöst wird. Mit einer Abschlussprüfung der Migration können die im Rahmen des Projekts gemachten Erfahrungen vertieft werden, um zukünftige Projekte der Woodgrove Bank zu vereinfachen. Rollen und ZuständigkeitenAn der Abschlussprüfung der Migration muss das gesamte Projektteam teilnehmen. Besprechung zur Prüfung der ImplementierungUnmittelbar nach dem erfolgreichen Abschluss des Migrationsprojekts wird eine Besprechung zur Prüfung der Implementierung angesetzt. In dieser Besprechung werden folgende Themen erörtert:
Der Erfolg eines Migrationsprojekts wird daran gemessen, wie nahe die Projektergebnisse der Zielsetzung kommen. Das Migrationsteam kommt zu dem Schluss, dass im Rahmen der Domänenmigration bei der Woodgrove Bank eine sichere, effiziente und konsolidierte Verzeichnisdienstlösung implementiert werden konnte. MigrationsabschlussberichtDer Migrationsabschlussbericht ist der letzte Bericht zur Bereitstellung. Er umfasst eine Zusammenstellung der letzten Freigaben der wichtigsten Komponenten des Projekts, wie Funktionsspezifikationen, Projektvision und Entwurfsdokumente. Der Migrationsabschlussbericht wird zusammengestellt und zwecks Freigabe und Feedback für zukünftige Projekte an die Hauptakteure bei der Woodgrove Bank übergeben. Zusammenfassung des KapitelsDer Migrationsabschlussbericht ist der letzte Schritt im Migrationsverfahren. Nach erfolgreichem Abschluss des Updates und der Neustrukturierung der Domänen der Woodgrove National Bank trifft das Team noch einmal zusammen, um die Migration abschließend zu bewerten und zu prüfen. In diesem Rahmen wird das Endergebnis bewertet, werden die Empfehlungen für zukünftige Projekte dokumentiert und ggf. erforderliche Entwurfsänderungen in der neuen Umgebung diskutiert. ZusammenfassungDas vorliegende Implementierungshandbuch von "Solution Accelerator für die Konsolidierung und Migration von Domänenservern: Windows NT 4.0 nach Windows Server 2003" legt als Beispielszenario die Woodgrove Bank, eine weltweit agierende Organisation, zugrunde. Im Gegensatz zum Planungshandbuch zeigt das Implementierungshandbuch, dass unter bestimmten Umständen diverse Wahlmöglichkeiten zur Verfügung stehen, um dem jeweiligen Unternehmensszenario gerecht zu werden. Dieses Handbuch zeigt nicht nur den Prozess, also die Verfahren, die das Migrationsteam ausführen muss, sondern erläutert auch die einzelnen Schritte und Aktionen, die die Mitglieder des Migrationsteams unternehmen müssen. Diese Schritte wurden vor Beginn des Migrationsprozesses in einer Testumgebung geprüft, um sicherzustellen, dass sie auch wirklich funktionieren. Während des gesamten Prozesses prüft das Team die Auswirkungen seines weiteren Vorgehens auf die Geschäftsabläufe und ist jederzeit bereit, ein Rollback durchzuführen, falls ein Verfahren nicht erfolgreich zum Abschluss gebracht werden kann. Während im Planungshandbuch in dieser Artikelreihe die Wahlmöglichkeiten und Optionen erläutert werden, die einem Unternehmen bei einer Migration oder Konsolidierung zur Verfügung stehen, zielt das vorliegende Implementierungshandbuch darauf ab zu zeigen, dass dieser Prozess bei sorgfältiger Planung und Implementierung nach umfassender Prüfung und mit einem gut durchdachten und getesteten Fallbackplan die Migration und Konsolidierung von Windows NT 4.0 nach Windows Server 2003 zu einer reibungslosen und erfolgreichen Bereitstellung machen kann. Verweise
|
In diesem Beitrag
|
