Solution Accelerator für die Konsolidierung und Migration von Domänenservern von Windows NT 4.0 nach Windows Server 2003
Planungshandbuch
Auf dieser SeiteEinführungDieses Dokument enthält einen prozessorientierten Leitfaden zu den Konzepten und Überlegungen für die Migration oder Konsolidierung von Domänen. In diesem Handbuch werden hauptsächlich die Optionen beschrieben, die Ihrer Organisation für die Umstellung von einer Windows NT® 4.0-Umgebung auf eine Windows Server™ 2003-Umgebung zur Auswahl stehen. Das Dokument erläutert diese Optionen lediglich; es enthält keine Empfehlungen, welche konkreten Entscheidungen Sie in diesem Zusammenhang treffen sollten. Hinweis: In diesem Dokument wird der Name Windows Server 2003 für alle Windows Server 2003-Versionen verwendet (eine Ausnahme bildet Windows Server 2003 Web Edition, da diese Version nicht als Domänencontroller eingesetzt werden kann). Dieses Dokument beschreibt den Prozess für die Migration von Windows NT 4.0 nach Windows Server 2003. In dem begleitenden Implementierungshandbuch für die Konsolidierung und Migration von Domänen wird ein Beispielszenario behandelt, das der Veranschaulichung des Prozesses dient. In diesem Handbuch wird der Prozess in Bezug auf die Entscheidungen einer IT-Abteilung auf Grundlage der in diesem Handbuch behandelten Optionen dargestellt. In einem größeren Unternehmen kann es allerdings vorteilhaft sein, für einige Domänen eine Domänenaktualisierung und für andere eine Domänenneustrukturierung durchzuführen. In diesem Kapitel wird beschrieben, wie die im Handbuch Übersicht über die Konsolidierung und Migration von Domänen dargestellten Unternehmensanforderungen mithilfe des Microsoft® Operations Framework (MOF) und Microsoft Solutions Framework (MSF) vom Migrations- und/oder Konsolidierungsprozess erfüllt werden können. In den nächsten Kapiteln werden die Vorteile einer Migration und Konsolidierung sowie die Ziele des Projektteams während der Migration behandelt. Anschließend werden in diesem Handbuch die wesentlichen Optionen für eine Migration und eine Konsolidierung sowie die Schritte und empfohlenen Prozesse für eine erfolgreiche Migration beschrieben. Am Anfang der Migrationsprozesse steht eine Beurteilung der aktuellen Umgebung und eine Analyse der Einschränkungen einer Windows NT 4.0-basierten Umgebung sowie der Vorteile einer Migration nach Windows Server 2003. In diesem Handbuch werden die auf bewährten Methoden basierenden, verfügbaren Optionen für den Entwurf sowie die Überlegungen für eine Migration von Windows NT 4.0-Domänen nach Windows Server 2003 Active Directory® (einschließlich der Migration unterstützender Netzwerkdienste) ausführlich behandelt. Nachdem Sie die verfügbaren Optionen kennen, müssen Ihre Testumgebung entwerfen, bevor die Implementierung gemäß den gefällten Entscheidungen beginnt. Microsoft Operations Framework (MOF)Microsoft ist sich seit langer Zeit bewusst, dass die IT Infrastructure Library (ITIL) vom Office of Government Commerce (OGC) in Großbritannien die beste Dokumentation der aktuellen, in der Industrie bewährten Methoden für die Verwaltung von IT-Diensten bildet. Diese Richtlinien beziehen sich jedoch hauptsächlich auf die Verwaltung und den Betrieb von Diensten. Das OGC führt dazu zusammen mit führenden IT-Unternehmen auf der ganzen Welt regelmäßig Projekte durch, um optimale Methoden in den Bereichen für die Verwaltung von IT-Diensten zu dokumentieren und zu überprüfen. ITIL umfasst zurzeit sieben Hauptpublikationen, die durch eine reihe von spezialisierten Publikationen ergänzt werden. Die Hauptbereiche von ITIL sind: Service Support (Dienstunterstützung); Service Delivery (Dienstbereitstellung); Planning to Implement Service Management (Implementierungsplanung für die Dienstverwaltung); Information and Communication Technology (ICT) Infrastructure Management (Infrastrukturverwaltung für die Informations- und Kommunikationstechnologie); Security Management (Sicherheitsverwaltung); Application Management (Anwendungsverwaltung) und Business Perspective (Unternehmensperspektive). Da die ITIL-Richtlinien plattformunabhängig sind, müssen sie für die jeweiligen Betriebsumgebungen mit den jeweiligen Plattformen und Produkten angepasst werden. MOF erweitert die ITIL-Richtlinien für optimale Methoden im Bereich der Dienstverwaltung für eine Vielzahl von Unternehmensszenarios auf Microsoft-Plattformen. MOF erweitert außerdem die ITIL-Ausführungsrichtlinien dahingehend, dass auch verteilte IT-Umgebungen und aktuelle Branchentrends, wie z. B. Anwendungshosting, mobile Computer sowie webbasierte Transaktions- und E-Commerce-Systeme unterstützt werden. Da MOF in einer Vielzahl von Unternehmensszenarios eingesetzt werden soll, werden in diesem Handbuch die Prozesse und Verfahren für eine problemlose Migration im Kontext von MOF behandelt. ZielgruppeDieses Handbuch richtet sich an die Personen, die am Entwurf des endgültigen Domänen- und Active Directory-Aufbaus mitwirken, einschließlich der Unterstützungsdienste wie DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol) und WINS (Windows® Internet Name Service). Daher wird den verantwortlichen IT-Administratoren, dem mit der Migration nach Windows Server 2003 Active Directory beauftragten Team und allen am Infrastrukturentwurf Beteiligten die Lektüre dieses Handbuchs empfohlen. Alle Mitglieder des Migrationsteams sollten dieses Handbuch lesen, damit sie die Entscheidungen von den in Frage kommenden Optionen unterscheiden können. Vorausgesetzte KenntnisseDieses Dokument geht davon aus, dass Sie ein Microsoft Certified Systems Engineer (MCSE) für Windows Server 2003 oder Windows® 2000 mit mindestens zwei Jahren Erfahrung sind. Darüber hinaus werden ein umfassendes Wissen über die Unternehmensanforderungen und Einschränkungen sowie umfangreiche Kenntnisse über die für die Domänenmigration und/oder –konsolidierung verfügbaren Ressourcen vorausgesetzt. Die Unternehmensanforderungen müssen bekannt sein, um die Vor- und Nachteile aus der Sicht der eigenen Situation gewichten zu können. Die Kenntnis der Einschränkungen ist für die richtige Zuordnung der Ressourcen und den für die Unternehmensanforderungen geeigneten Entwurf der Prozesse wichtig. Zu den Ressourcen zählen nicht nur Personal, sondern auch Zeit, Ausrüstung und finanzielle Mittel. Da dieses Handbuch die optimalen Migrationsprozesse und –verfahren im Kontext von MOF behandelt sowie die Konzepte und Terminologie von MOF verwendet werden, erleichtern umfassende Kenntnisse über MOF das richtige Verständnis dieses Handbuchs. Eine übergeordnete Übersicht über MOF finden Sie im MOF Executive Overview. Um Ihr Wissen zu vertiefen, sollten Sie die zusätzlichen Whitepaper zum Prozessmodell, zum Teammodell und zur Risikoverwaltung lesen. Features und Vorteile von Windows Server 2003Jede Organisation, die zurzeit Windows NT 4.0 einsetzt, kann von einer Aktualisierung auf die höhere Stabilität und den vielfältigen integrierten Features der Windows Server 2003-Betriebssystemfamilie profitieren. Organisationen können unmittelbar von Windows Server 2003 profitieren, da das Betriebssystem von Microsoft so entwickelt wurde, dass es problemlos neben Windows NT Server 4.0 existieren kann. Die höhere Zuverlässigkeit von Windows Server 2003 aufgrund der verbesserten Speicherverwaltung und anderen wesentlichen Erweiterungen des Kernelprogramms sind so auffallend, dass der Vorteil dieses Features für die meisten Organisationen eine Aktualisierung rechtfertigt. Weitere Informationen zu den Features und Vorteilen von Windows Server 2003 (nur auf Englisch verfügbar) finden Sie unter dem folgenden URL: http://www.microsoft.com/windowsserver2003/evaluation/features/default.mspx TerminologieADMT v2: Active Directory Migration Tool, Version 2. Dieses Microsoft-Tool unterstützt den Administrator bei der Durchführung von Migrationsaufgaben. Mit diesem Tool können Administratoren viele Migrationsaufgaben durchführen, ohne Drittanbietertools kaufen zu müssen. Die Version 2 wurde um eine grafische Benutzeroberfläche erweitert. Das Tool kann über die grafische Benutzeroberfläche oder über Skripts gesteuert werden. Version 2 wurde außerdem um die Möglichkeit erweitert, Benutzerkennwörter zu migrieren. Klonen: In diesem Handbuch bezeichnet der Begriff Klonen das Erstellen von Kopien der Sicherheitsprinzipale einer Domäne und deren Übertragung in eine andere Domäne. Ein Administrator kann so eine neue Domänenumgebung erstellen und überprüfen, ohne dass die Funktionalität der ursprünglichen Domäne beeinträchtigt wird. Konsolidierung: In diesem Handbuch bezeichnet der Begriff Konsolidierung das Zusammenfassen der Objekte aus zwei oder mehr Domänen in einer Domäne. Dies kommt bei der Umstellung einer Windows NT 4.0-Domänenumgebung häufig vor, da die Anzahl der Objekte in der Windows NT 4.0-Datenbank für die Sicherheitsprinzipale aufgrund der Maximalgröße von 40 MB auf 40.000 Objekte beschränkt war. Sie können auch Server konsolidieren, indem Sie die Anzahl der Server für die Durchführung einer bestimmten Aufgabe bzw. die Unterstützung einer Anwendung reduziert wird. DNS: Domain Naming System. Das System für die Auflösung von Namen, das im Internet verwendet wird. IT: Information Technology. Dieser Begriff weist auf einen Zusammenhang mit Computern und bisweilen mit Mobilkommunikation hin. ITIL: Information Technology Infrastructure Library. ITIL ist eine Sammlung veröffentlichter Richtlinien, die allgemein optimale Methoden für die IT beschreiben. Diese Richtlinien sind plattformunabhängig und beschäftigen sich hauptsächlich mit Dienstunterstützung und Dienstübermittlung, enthalten jedoch keine plattformspezifischen Betriebsanleitungen und müssen daher entsprechend angepasst werden. Migration: In diesem Handbuch bezeichnet der Begriff Migration die Aufgabe, die Sicherheitsprinzipale aus einer Domäne in eine andere zu verschieben. Im Gegensatz dazu werden beim Klonen in der anderen Domäne Kopien der ursprünglichen Sicherheitsprinzipale erstellt. MOF: Microsoft Operations Framework. Die von Microsoft übernommenen und angepassten Anleitungen für die den problemlosen IT-Betrieb mit Microsoft-Produkten. MOF verwendet einen IT-Lebenszyklusansatz, der in Prozessmodell beschrieben wird, mit 20 Dienstverwaltungsfunktionen (Service Management Function, SMF) und vier Betriebsverwaltungsüberprüfungen. Darüber hinaus gibt es ergänzende Fachbereiche für Teammodell und Risikoverwaltung. Quelldomäne: In diesem Handbuch bezeichnet die Quelldomäne die Ursprungsdomäne. Dieser Begriff wird in Zusammenhang mit einer Migration sowie einer Konsolidierung verwendet. Die andere Domäne ist die Zieldomäne. Zieldomäne: In diesem Handbuch bezeichnet die Zieldomäne die Domäne, in die die Sicherheitsprinzipale verschoben bzw. kopiert werden. Bei dieser Domäne handelt es sich normalerweise um die aktualisierte oder neu erstellte Windows Server 2003-Domäne, da Windows Server 2003-Domänen Millionen von Objekten in der Active Directory-Datenbank enthalten können. WINS: Windows Internet Naming Service. Der Microsoft NetBIOS-Namensdienst, der von Microsoft-Systemen vor der Windows Server 2000-Familie verwendet wurde. WINS wurde mit der Windows Server 2000-Produktfamilie nicht überflüssig, da viele Anwendungen WINS für die Namensauflösung verwenden. Vorteile der Konsolidierung und Migration von DomänenIn den Planungsphasen eines Konsolidierungs- und Migrationsprojekts für Domänen müssen betriebswirtschaftliche Faktoren und IT-Faktoren berücksichtigt werden. Durch Ausrichtung der IT- und Unternehmensziele kann der Erfolg eine Technologieimplementierung sichergestellt werden. Betriebswirtschaftliche FaktorenBei der Bewertung von Änderungen der IT-Umgebung mit ITIL- (IT Infrastructure Library) oder MOF-Prozessen muss der Hauptzweck der Änderung darin liegen, die Anforderungen des Unternehmens zu erfüllen. Bei der Bewertung einer Migration von Windows NT 4.0 nach Windows Server 2003 muss sich der erste Teil der Analyse auf die betriebswirtschaftlichen Gründe konzentrieren, die dazu geführt haben, dass Sie als IT-Experte diese Migration in Betracht ziehen. Die betriebswirtschaftlichen Anforderungen werden von einer Vielzahl von Faktoren beeinflusst, wie z. B. die Notwendigkeit einer IT-Umgebung mit höherer Sicherheit, größerer Zuverlässigkeit, geringeren Kosten oder weniger Risiken. Bei der Aktualisierung auf ein moderneres Betriebssystem wird häufig der Grund genannt, dass das Unternehmen eine neue Anwendung oder eine neue Version einer Anwendung benötigt und diese neue Version nur unter einem moderneren Betriebssystem installiert und verwaltet werden kann. Das Ende der Unterstützung für ein Element (Hardware oder Software) in der IT-Infrastruktur löst oftmals die Entscheidung für eine Aktualisierung aus, auch wenn keine betrieblichen Vorfälle oder Probleme aufgetreten sind. Die Aktualisierungsentscheidung ergibt sich aus der Risikobeurteilung möglicher Probleme. Die Entscheidungsträger vergleichen die möglicherweise auftretenden Verluste, wenn kein Support mehr zur Verfügung steht, mit den Vorteilen einer Aktualisierung und der Vermeidung einer solchen Situation. Mit zunehmender Komplexität der IT-Umgebung und zunehmender Abhängigkeit des Unternehmens von den durch die IT bereitgestellten Dienste steigt die Anfälligkeit des Unternehmens für Probleme, die in der IT entstehen. Dies bildet einen weiteren Grund für die Migration nach Windows Server 2003: die Möglichkeit der IT, mehr, leichter und sicherer zu erledigen sowie in Notfällen schneller eine Wiederherstellung durchzuführen. Die besseren Möglichkeiten der IT, das Unternehmen zu unterstützen, bilden somit einen weiteren betriebswirtschaftlichen Grund für die Migration nach Windows Server 2003. Darüber hinaus können weitere betriebswirtschaftliche Gründe für die Migration nach Windows Server 2003 in Frage kommen, die direkt im IT-Bereich entstehen, wie z. B. technologische Verbesserungen, die der IT die Bereitstellung der gleichen oder höheren Dienstgüte mit weniger Servern ermöglicht, sodass weniger Personal benötigt wird. IT-FaktorenWenn die für die IT-Infrastruktur verantwortliche Abteilung die Gründe für eine Konsolidierung oder Migration von Servern bewertet, kommen die Gründe häufig direkt aus der Abteilung. Diese Abteilung muss aber in erster Linie die Unternehmensanforderungen betrachten. Wenn die IT-Abteilung das Microsoft-Prozessmodell von MOF verwendet, werden zuerst die Unternehmensanforderungen bewertet und erst dann die Vorteile der Migration für die IT-Infrastruktur. Die Beziehung zwischen Unternehmen und IT sowie MOFDie IT-Abteilung muss bewerten, wie die Anforderungen des Unternehmens am besten erfüllt werden. Die meisten Unternehmen fordern heute umfassendere Dienste und eine Reduzierung der Kosten. Obwohl diese Forderungen in einigen Fällen unrealistisch sein können, kann die IT-Abteilung durch Implementierung von MOF-Prozessen sowie die ständige Verbesserung von Prozessen und Verfahren eine höhere Dienstgüte mit größerer Zuverlässigkeit erreichen. Durch die Einbeziehung der Unternehmensleitung in die Bewertung und Beurteilung der Änderungen kann die IT-Abteilung ihre Bemühungen außerdem nicht nur mehr am Unternehmen ausrichten, sondern auch die Freigabe von mehr Geldmitteln für die IT erreichen. Wenn die Unternehmensleitung (gemäß MOF) an allen Betriebsverwaltungsüberprüfungen teilnimmt, kann sie beim Überprüfen von SLAs (Service Level Agreements, Dienstgütevereinbarungen), bei Vorschlagen, Priorisieren und Planen sowie Implementieren von Änderungen feststellen, dass ihre Anforderungen berücksichtigt werden. Wenn die Unternehmensleitung keine Gründe oder Vorteile für IT-Ausgaben erkennt, ist sie bei der Budgeterstellung wesentlich kritischer. Wenn die IT-Änderungen auf betriebswirtschaftlichen Gründen basieren, tritt der Teil der Unternehmensleitung, der die Änderungen gefordert hat, für das geforderte IT-Budget ein, mit dem die benötigten Dienste realisiert oder verbessert werden. RisikenDie Risiken, denen ein Unternehmen bei Windows NT 4.0 aufgrund der Einstellung des Supports ausgesetzt ist, betreffen ebenfalls die IT. Das Risiko für die IT besteht darin, dass bei einer Entscheidung des Unternehmens, weiterhin Windows NT 4.0 einzusetzen, die Anforderungen an die IT-Abteilung dann zunehmen, wenn die Abteilung zu Kosteneinsparungen angehalten wird. Durch veraltete Hardware und die Aktualisierung von Anwendungen auf Versionen, die moderne Betriebssysteme erfordern, veraltet auch die IT-Infrastruktur. Die Hersteller stellen immer seltener Software- oder Hardwaretreiber für Betriebssysteme wie Windows NT 4.0 bereit. Parallel zu den Herstellern wechselt auch das IT-Personal zu neuen Betriebssystemen. So kann es für das Unternehmen schwierig werden, neues Personal einzustellen, das umfassende Kenntnisse über Windows NT 4.0 besitzt, damit die Funktionsfähigkeit und Effizienz der IT-Infrastruktur gewährleistet bleibt. VorteileSie müssen die Vorteile einer Migration nach Windows Server 2003 für das Unternehmen basierend auf den Problemen in der aktuellen Windows NT 4.0-Umgebung erwägen. Sie können aufgrund des erhöhten Drucks durch das Management überlegen, wie die Anzahl der von der IT-Abteilung verwalteten Server reduziert werden kann, sodass die Supportkosten sowie die erforderlichen Stellflächen reduziert werden. Neben einer möglichen Reduzierung der Supportzeiten durch die Reduzierung der Server können weitere Verbesserungen realisiert werden. So können beispielsweise weniger Administratoren die konsolidierte Domäne verwalten, wenn die Domänenverwaltung aufgrund der Windows NT 4.0-Multidomänenumgebung nicht verteilt sondern zentral durchgeführt wurde. Darüber hinaus entsteht eine Umgebung, in der die Verwaltung vereinfacht werden kann, z. B. im Bereich domänenweiter Richtlinien. In einer Umgebung mit einer einzigen Domäne können die IT-Administratoren mithilfe von Gruppenrichtlinien einmalig Firmenrichtlinien auf Domänenebene implementieren, sodass Konsistenz sowie schnellere und einfachere Implementierung gewährleistet werden. Darüber hinaus ist das IT-Personal durch die Konsolidierung von Servern und Domänen besser in der Lage, schnell auf ein geändertes Unternehmensumfeld zu reagieren, da eine IT-Umgebung mit geringerer Komplexität leichter verwaltet werden kann. Weiterhin wird durch die Reduzierung der Anzahl von Domänen und Domänenadministratoren die Sicherheit erhöht, da weniger Domänenadministratoren und weniger Domänen vorhanden sind, deren Sicherheit konfiguriert werden muss. Bei der Migration von einer Windows NT 4.0-Implementierung mit mehreren Domänen zu einer Windows Server 2003 Active Directory-Umgebung können einige erhebliche Verbesserungen realisiert werden. Durch die Migration können Domänen konsolidiert und so die Anzahl der zu verwaltenden Domänencontroller reduziert werden. Die Serverkonsolidierung bieten den Vorteil, dass aufgrund der Verringerung der zu unterstützenden Server einfacher gewährleistet werden kann, dass die vorhandenen Server eine standardisierte Installation und standardisierte Prozesse aufweisen. Beides erleichtert die Bereitstellung von Servern sowie deren Verwaltung und Wartung. Eine solche Umgebung kann einfacher verwaltet werden, da weniger Personal erforderlich ist, das die einfacheren Prozesse von einem zentralen Standort aus durchführen kann. Die geringere Komplexität der IT-Umgebung führt auch zu schnelleren und einfacheren Wiederherstellungsprozessen bei Ausfall eines Standorts oder eines Servers. Mithilfe von Risikoverwaltungsmethoden können Sie Serverausfälle in einer konsolidierten Umgebung einfacher verhindern, da sich Planung und Personal auf weniger Einzelpunktversagen konzentrieren können. Die Planung einer höheren Verfügbarkeit kann nach einer Serverkonsolidierung einfacher sein, da weniger Server vorhanden sind, die einen Failoverschutz benötigen. Die Risikobeurteilung muss allerdings die größeren Risiken berücksichtigen, die durch die größeren Auswirkungen der zahlenmäßig geringeren Einzelpunktversagen entstehen. Obwohl weniger Server vorhanden sind, die ausfallen können, kann sicher der Ausfall eines unternehmenswichtigen Servers weitreichender und schmerzhafter auswirken. Bei einer Konsolidierung von Domänen und einer Migration auf eine Windows Server 2003-Domänenumgebung ist die Auswirkung eines Domänencontrollerausfalls geringer, da die Domänencontroller in dieser Umgebung die Multimasterreplikation verwenden. Wenn der primäre Domänencontroller (PDC) in Windows NT 4.0-Domänen ausfällt, können keine Änderungen an der Kontendatenbank vorgenommen werden, obwohl die Authentifizierung weiter funktioniert, wenn Sicherungsdomänencontroller verfügbar sind. Durch eine Migration nach Windows Server 2003 kann mithilfe von Active Directory-Gruppenrichtlinien auch die Sicherheit erhöht werden. Windows Server 2003 ermöglicht das Erstellen und zentrale Verwalten von Gruppenrichtlinien. Sie können die Verwaltung des Zugriffs auf Ressourcen vereinfachen, indem eine einfachere, logischere Struktur für Sicherheitsgruppen erstellt wird. Sie können die in den Windows NT 4.0-Domänen erstellten Gruppen vor der Migration vereinfachen und bereinigen oder alle Gruppen migrieren und deren Struktur nach der Migration vereinfachen. Die Beseitigung von mehreren Benutzerdomänen führt oftmals zu weniger Benutzergruppen. KurzzusammenfassungDie Beurteilung der Vorteile einer Domänenmigration beginnt mit den Anforderungen des Unternehmens und den entstehenden Risiken, wenn keine Migration erfolgt. Bei dieser Beurteilung ist eine Beteiligung der Unternehmensleitung und des IT-Managements erforderlich. Informationen zum Teilnehmerkreis dieser Beurteilung finden Sie im MOF-Whitepaper zum Teammodell. Durch Einbeziehung eines Mitglieds aus den einzelnen Teamfunktionen ist die Wahrscheinlichkeit größer, dass die bedeutendsten Risiken und Vorteile einer Migration des Unternehmens gegenüber keiner Migration ermittelt und bewertet werden können. Da die Notwendigkeit einer Migration des Unternehmens nach Windows Server 2003 festgestellt wurde, können Sie den Migrationsprozess mit dem Bewusstsein fortsetzen, dass Ihr Plan auf dem besten verfügbaren Informationen basiert. Ziele der Domänenkonsolidierung und -migrationEs gibt zwei Arten von sich überlappenden und gegenseitig beeinflussenden Zielen, die berücksichtigt werden müssen. Hierbei handelt es sich um die Projektziele während der Migration und die Ziele nach der Migration. Projektziele während der DomänenmigrationDie Ziele des Migrationsprojekts und der dazu gehörigen Prozesse können in personenbezogene, prozessbezogene und technologische Ziele unterteilt werden. Personenbezogene Ziele für das MigrationsteamDie personenbezogenen Ziele des Migrationsprozesses können in Auswirkungen auf die Endbenutzer sowie in Auswirkungen auf Administratoren und IT-Personal aufgeteilt werden. Die Auswirkungen hängen von den Entscheidungen bei der Planung ab. Unabhängig von der Komplexität des Migrationsprojekts sollten jedoch die folgenden Ziele berücksichtigt werden:
Einheitliches EndbenutzererlebnisDas Endbenutzererlebnis muss einheitlich und kontrolliert sein. Wenn die Domänenkonsolidierung als Option ausgewählt und bei der Domänenkonsolidierung Konflikte auftreten, ändern sich die Anmeldenamen einiger Benutzer. Benutzerkonten, die von einer Domäne in eine andere verschoben werden, weisen ebenfalls neue Domänennamen auf. Diese geringfügigen Unterschiede sollten zu keiner merklichen Störung der betrieblichen Abläufe führen. Für die betroffenen Benutzer wäre eine geringfügige Schulung sowie Supportpersonal im Helpdesk erforderlich. Keiner Vergrößerung der VerwaltungskomplexitätDie Migration nach Windows Server 2003 bietet die Möglichkeit, eine Windows NT 4.0-Struktur mit mehreren Domänen in eine einzige Domäne zu konsolidieren. Wenn Sie sich für diese Option entscheiden, müssen Sie das Projekt sorgfältig planen, damit jede Phase der Migration aufgrund der Berücksichtigung anderer Verantwortungsbereiche im Betrieb dem geeigneten Verwaltungspersonal zugewiesen wird. Durch die geeigneten Tools und eine Automatisierung in einem sorgfältig ausgelegten und überprüften, an die Unternehmens- und IT-Infrastruktur angepassten Migrationprozess kann sichergestellt werden, dass das aktuelle Verwaltungspersonal eine problemlose Migration nach Windows Server 2003 bewerkstelligen kann. Definiertes Team mit klaren Funktionen und VerantwortungsbereichenDamit alle Schritte der Migration in der richtigen Reihenfolge und am richtigen Ort ausgeführt werden, ist nicht nur ein detaillierter Plan der durchzuführenden Schritte erforderlich, sondern alle Verfahren und Aufgaben müssen klar zugewiesen werden. Für diesen Teil der Planung, ein Teil der laufenden Risikobeurteilung, ist die Zuweisung von Ersatzpersonal, das die Aufgaben bei Ausfällen übernimmt. Für eventuell auftretende Probleme muss ein Eskalationsprozess entwickelt werden. Gemeinsame VisionDer letzte Teil der personenbezogenen Migrationsziele ist eine gemeinsame Vision. Das ganze Team muss die Ziele des Teams während der Migration sowie die Ziele und Gründe kennen, warum das Unternehmen eine Migration nach Windows Server 2003 durchführt. Der Erfolg des Projekts hängt direkt von der Erkenntnis jedes Teammitglieds ab, das es für den Erfolg des gesamten Projekt Verantwortung trägt, da ein Fehler in einem Teil der Migration zu einem Fehlschlag der ganzen Migration führen kann. Teamgeist, Kooperation und Bereitschaft, zielgerichtet auf die gemeinsame Vision hinzuarbeiten, sowie klare Funktionen und Verantwortungsbereiche sorgen dafür, dass die Migration problemlos von statten geht. Prozessbezogene Ziele für das MigrationsteamNachdem Unternehmens- und IT-Management über die Notwendigkeit einer Migration nach Windows Server 2003 entschieden haben, besteht jetzt eine Situation, die in MOF als Änderungsanforderung (Request for Change, RFC) bezeichnet wird. Aufgrund des Arbeitsaufwands und der Komplexität der Änderung sollten Sie bei der Migration Projektmanagementverfahren einsetzen. Microsoft verfügt über ein ergänzendes Framework für Entwicklungs- und Bereitstellungsprojekte, das Microsoft Solutions Framework. Wie bei MOF handelt es sich um ein Lebenszyklusmodell mit integrierten Fachbereichen für Teammodell und Risikoverwaltung. Der MSF-Lebenszyklus begleitet ein Projekt von der Konzeptphase über Planung, Entwicklung, Stabilisierung und Bereitstellung. Durch eine strukturierte Vorgehensweise bei einem Projekt wie einer Migration erhöhen Sie die Chancen einer problemlosen Bereitstellung, die die Unternehmensanforderungen erfüllt (unabhängig davon, ob MSF oder eine andere Methodik verwendet wird). So sinken die Chancen, dass unvorhergesehene Probleme die Migration verzögern oder gefährden. Dieses Framework ist im Änderungsquadranten in den MOF-Lebenszyklus integriert. Dort können Sie die Prozesse für eine genehmigte Änderung so gestalten, dass die Freigabe und Bereitstellungen problemlos erfolgen, die Unternehmensanforderungen erfüllt werden und kaum oder keine unbeabsichtigten Folgen auftreten. Das Ziel des Migrationsprozesses ist einfach ausgedrückt eine problemlose, störungsfreie Migration. Sie können diese Ziele in spezifischere Ziele aufteilen, wie z. B.:
Sie können und müssen spezielle Ziele für Personen, Prozess und Technologie festlegen. Sicherstellen, dass die Verfahren nicht den Geschäftsbetrieb beeinflussenDa das primäre Ziel des Migrationsprojekts in einer Verbesserung des Dienstes für das Unternehmen liegt, darf es während des Migrationsprozesse zu keiner vermeidbaren Beeinträchtigung des Dienstes kommen. Dies setzt eine sorgfältige Auswertung der Auswirkungen der Verfahren auf Dienste und Infrastruktur voraus. Wie weiter unten erläutert wird, umfasst einer der ersten Schritte des Migrationsprojekts eine Beurteilung der Umgebung, die viele erforderliche Informationen zu der verfügbaren Kapazität für die Migrationsaktivitäten bereitstellt. Während der Planung ist außerdem eine Beteiligung der Unternehmensleitung an der Planung des Zeitplans und dessen Bewilligung erforderlich, damit das Team sich nicht nur der normalen Geschäftsaktivitäten bewusst ist, die nicht beeinträchtigt werden dürfen (z. B. Quartalsende), sondern auch anderer Termine, die andernfalls aus Unwissenheit nicht von der IT berücksichtigt werden. Minimieren der AusfallzeitenBei der Planung der Migration, bei der zeitlichen Planung der Schritte und bei der Zuweisung von Verantwortungsbereichen muss darauf geachtet werden, dass Ausfallzeiten während der Migration vermieden bzw. minimiert werden. Die Dauer der Ausfallzeiten, die sich aus einer Planungsentscheidung ergibt, kann u. U. zu lang sein. Dies kann bedeuten, dass auf diese Option verzichtet werden muss und Sie gezwungen sind, einen anderen Migrationsweg zu wählen. Automatisieren der Migrationsverfahren und -aufgabenDie Automatisierung von Verfahren und Aufgaben unterstützt Sie dabei, eine problemlosere Migration zu erreichen, da die Prozesse einwandfrei definiert und überprüft werden können. Dadurch wird außerdem sichergestellt, dass Änderungen aufgrund individueller Entscheidungen minimiert werden. Sorgen für eine reibungslose KommunikationIm folgenden Abschnitt wird das Ziel klarer Funktionen und Verantwortungsbereiche behandelt. Eine klare Kommunikation ist wesentlich einfacher, wenn die Mitglieder des Teams wissen, mit wem sie wann kommunizieren müssen. Dabei ist nicht nur eine klare Kommunikation über den Fortschritt des Projekts innerhalb des Teams von Bedeutung, sondern auch mit den Benutzern und der Unternehmensleitung. Durch Einsatz eines Projektmanagementsystems wie MSF mit seinen internen und externen Prüfpunkten wird eine klare Kommunikation mit den entsprechenden Personen bzw. Zielgruppen sichergestellt. TechnologieWie bei jeder umfangreicheren Infrastrukturänderung entstehen technologische Probleme. Das Ziel der Migration aus der Unternehmenssicht liegt u. U. in einer Reduzierung der Kosten. Bei der Konsolidierung von Domänen kommt es sicherlich zu technologischen Problemen. Diese können von Änderungen der Hardware und Infrastruktur reichen, die sich aufgrund einer Verringerung der benötigten Domänencontroller ergeben, bis hin zu untergeordneten Problemen, die lediglich während des Migrationsprozesses entstehen. Einige Probleme treten nur bei der Migration von Benutzern und anderen Sicherheitsprinzipalen auf, andere Probleme treten bei der Aktualisierung von Domänen auf. Für jede Windows NT 4.0-Domäne in einer Umgebung mit mehreren Umgebungen muss ein primärer Domänencontroller (PDC) verfügbar sein, damit Änderungen an der Domänenkontodatenbank vorgenommen werden können. Diese Änderungen umfassen u. a.: Benutzer, die Kennwörter ändern, sowie Administratoren, die Benutzerkonten, Computerkonten und Sicherheitsgruppen hinzufügen bzw. die Mitgliedschaft von Sicherheitsgruppen ändern. in jeder Domänen müssen außerdem Sicherungsdomänencontroller (Backup Domain Controller, BDC) für die Authentifizierung vorhanden sein, falls der PDC während der Aktualisierung für kurze Zeit nicht verfügbar ist. Bei der Durchführung des Prozesses – insbesondere bei der Reduzierung von Domänen – werden Sie feststellen, dass die Verwaltung und die Prozesse einfacher werden. Weil diese Prozesse geändert werden, müssen Sie jedoch die Dokumentation der Betriebsprozesse aktualisieren, da die Beschreibungen für die Windows NT 4.0-Prozesse nicht mehr ausreichen. Entwickeln einer erklärten ProjektvisionDer Zweck der erklärten Vision für das Projekt besteht darin, die übergeordnete Richtung für das Projekt festzulegen. Das Konzept einer „Produktmentalität“ für ein Produkt ermöglicht es, den Aufgabenbereich zu begrenzen und zu verwalten sowie zielorientierte Projektmanagementverfahren zu nutzen. So wird ein größerer Erfolg bei der Bereitstellung von Lösungen erreicht. Das Einrichten einer „Vision“ bildet den ersten Schritt bei dieser Vorgehensweise. Das Vorhandensein einer erklärten Vision am Anfang ermöglicht es, am Ende den Erfolg zu bestimmen. Wenn Sie und Ihr Team nicht ihr Ziel kennen, ist der Erfolg nicht messbar. Ohne eine erklärte Vision ist ihr Team nicht in der Lage, das Ende des Migrationsprojekts oder die Vollständigkeit des Projekts zu ermitteln. Mit einer erklärten Vision können Sie klar den Zeitrahmen des Projekts und die Aufgaben innerhalb und außerhalb des Aufgabenbereichs des Migrationsprojektteams definieren. So kann ihr Team während der Migration oder Konsolidierung vor Änderungen des Aufgabenbereichs für das Projekts isoliert werden. Es ist nahezu unmöglich, ein Projekt zu beenden, wenn die Aufgaben des Projekts vom Unternehmens- oder IT-Management erweitert werden können. Die erklärte Vision muss daher klar und knapp formuliert sein. Nachstehend finden Sie ein Beispiel einer klaren erklärten Vision für ein Migrationsprojekt: "Durch Unterstützung des Ziels, einen unternehmensweiten Verzeichnisdienst bereitzustellen, stellt das Domänenmigrationsprojekt eine zuverlässige, effiziente und einheitliche Verzeichnisdienstlösung zur Verfügung, die die Grundlage zukünftiger Projekte bildet." Mögliche SchwierigkeitenWie oben beschrieben, gehört zu guten Planungsprozessen eine Risikoverwaltung. MOF verfügt über einen eigenen Fachbereich für eine Risikoverwaltung, der anderen Risikoverwaltungsverfahren ähnlich ist. Die Risikobeurteilung, die vor Beginn der Migration durchgeführt wird, muss während der Migration laufend neu bewertet werden. Die Risiken in der Unternehmens- und IT-Umgebung unterscheiden sich von denen anderer Unternehmen. Allerdings weist der eigentliche Prozess einige Risiken auf, unabhängig davon, ob eine Aktualisierung oder Neustrukturierung durchgeführt und Sicherheitsprinzipale migriert werden sollen. Mögliche Schwierigkeiten bei der Migration und Konsolidierung von Verzeichnisdiensten, die auftreten können, umfassen u. a.:
Sie müssen alle diese Risiken bewerten, während das Projekt von der Projektgenehmigung, über die Erstellung einer Vision und weiter durch die einzelnen Projektphasen bis zum Projektabschluss fortschreitet. Die Bewertung der bei der Migration oder Konsolidierung auftretenden Risiken gibt Ihnen die Gelegenheit, den Beteiligten die möglichen Probleme und Fehlerpunkte mitzuteilen. Durch eine Diskussion mit den Beteiligten und eine Präsentation Ihrer Pläne für die Reduzierung dieser Risiken (bzw. Eingehen des Risikos, wenn Abhilfemaßnahmen zu kostspielig sind) erhalten Sie Unterstützung im Unternehmen für Ihre Pläne zur Reduzierung der Risiken. Sie ermöglichen es dem Unternehmen weiterhin, die Risiken zu benennen, die als besonders wichtig angesehen werden, sodass die Priorität der Abhilfemaßnahmen richtig festgelegt werden kann. Sollte das Projekt einen unvorhergesehenen Rückschlag erleiden, können die politischen Konsequenzen auf alle übertragen werden, die Ihrer Risikoplanung zugestimmt haben. Durch die ständige Neubewertung der Risiken unter Einbeziehung aller Beteiligten einschließlich der Unternehmensführung können Sie sicherstellen, dass sich Ihre Projektplanung und die Maßnahmen zur Reduzierung der Risiken an den Unternehmensanforderungen orientieren. Weitere Informationen zur Risikoverwaltung finden Sie im MOF-Whitepaper zur Risikoverwaltung (nur auf Englisch verfügbar), das unter dem folgenden URL zur Verfügung steht: http://www.microsoft.com/technet/itsolutions/cits/mo/mof/mofrisk.mspx Finanzielle ZieleDie finanziellen Ziele des Migrationsprojekts und der dazu gehörigen Prozesse können in personenbezogene, prozessbezogene und anlagenbezogene Einsparungsziele unterteilt werden. PersonaleinsparungenWenn die Anzahl der Domänen reduziert werden soll, besteht die Möglichkeit, dass die Anzahl der Domänencontroller reduziert wird. Diese Reduzierung der Domänencontroller wiederum führt zu einer Reduzierung von Hardwarewartung, Serversicherung sowie Verwaltung von Service Packs und Hotfixes, sodass die Anzahl der erforderlichen Domänenadministratoren reduziert werden kann. HardwareeinsparungenDurch die Rationalisierung der Anzahl von Servern, die Domänendienste für weniger, größere Server bereitstellen, können die Hardwareauslastung verbessert und so die Speicherkosten reduziert werden. Bei der Berechnung müssen die Unternehmen die aktuelle Nutzung der zu konsolidierenden Server berücksichtigen. Eine Konsolidierung zu weniger Servern führt zu geringeren Miet- oder Abschreibungskosten. Diese Reduzierung der Domänencontroller führt wiederum zu einer Reduzierung von Hardwarewartung, Serversicherung sowie Wartung von Service Packs und Hotfixes. Die geringere Anzahl von Servern reduziert die Speicherkosten für Datensicherungen und verbessert die Hardwareauslastung. SoftwareeinsparungenWeniger Domänencontroller bedeutet weniger Lizenzen für Serversoftware, weniger Lizenzen für Antivirusprogramme und eine Reduzierung der Sicherungssoftware. AnlageneinsparungenDurch Reduzieren der Serveranzahl in Rechenzentren werden Stellflächen eingespart und Kosten reduziert. Es ist weniger Unterstützungshardware in der Form von Servergestellen, KVM-Schaltern und Klimaanlagen erforderlich. Betriebliche ZieleDie betrieblichen Ziele konzentrieren sich auf die Dienstverwaltungsfunktionen (Service Management Function, SMF) von MOF, wie z. B. Änderungsverwaltung, Konfigurationsverwaltung und Verfügbarkeit. Verbesserungen der ÄnderungsverwaltungIn einer einfachen Umgebung wird die Implementierung einer formalisierteren Änderungsverwaltung erleichtert. In einer komplexen Umgebung setzt eine ausreichende Änderungsverwaltung sehr umfassend definierte Funktionen und Prozesse voraus. Verbesserungen der KonfigurationsverwaltungBei Vorhandensein einer gewissen Konfigurationsverwaltung kann der Migrationsprozess Widersprüche in der Konfigurationsverwaltungsdatenbank (Configuration Management Database, CMDB) aufdecken. Diese nicht autorisierten Änderungen müssen überprüft werden. Weiterhin muss der Änderungsverwaltungsprozess überarbeitet werden, damit die CMDB in Zukunft die vorhandene IT-Infrastruktur wiedergibt. Wenn keine umfassende CMDB vorhanden ist, bietet diese Migration die Möglichkeit, eine zu erstellen bzw. die vorhandene zu erweitern. Als Eingabe für die CMDB kann die gesamte Projektdokumentation verwendet werden. Wenn einwandfreie Änderungsverwaltungsprozesse vorhanden sind, kann dies während der Migration erfolgen, andernfalls nach der Migration. Administrative KonsolidierungDie Vorteile der einfacheren Verwaltung von weniger Domänen wurde bereits betrachtet. Diese Konsolidierung wirkt sich auf alle Bereiche des IT-Betriebs aus, wie z. B. die Verwaltung von Kapazität, Verfügbarkeit und Dienstkontinuität. VerfügbarkeitDie Auswirkung eines Dienstausfalls kann nach der Migration größer sein, da sich die Benutzer und Ressourcen in einer konsolidierten Active Directory-Gesamtstrukturumgebung befinden. Dennoch liegt einer der Hauptziele eines konsolidierten Dienstes in einer höheren Verfügbarkeit. Windows Server 2003 mit moderner Hardware bietet eine Reihe von speziellen Technologien, die einen Verzeichnisdienst mit hoher Verfügbarkeit gewährleisten, wie z. B. Multimasterreplikation von Active Directory, SAN-Unterstützung (Storage Area Network), unterbrechungsfreie Stromversorgung (USV) sowie redundante Komponenten wie Stromversorgungs- und Netzwerkkomponenten. In früheren Versionen von Windows NT 4.0 Server konnte nur ein einziger Domänencontroller, der PDC, Aktualisierungen der Domänendatenbank übernehmen. In einer Organisation mit einem umfangreichen Netzwerk erschwerte diese Einschränkung die Gewährleistung einer hohen PDC-Verfügbarkeit, da ein Netzwerkausfall verhindern konnte, dass Administratoren in einem Teil des Netzwerks die Domäne aktualisieren konnten. Active Directory-Domänencontroller unterstützen Multimasterreplikation, Synchronisierung von Daten auf allen Domänencontrollern und Gewährleistung der Konsistenz von Informationen im Laufe der Zeit. Bei der Multimasterreplikation werden Active Directory-Informationen zwischen Partnerdomänencontrollern repliziert, die jeweils über ein Lese-/Schreibexemplar des Verzeichnisses verfügen. Größere Organisationen mit mehreren Domänen, Domänencontrollern und Standorten oder Organisationen, die einen kritischen Dienst ausführen und sich die Kosten einer geringen Produktivität aufgrund eines Dienstausfalls nicht leisten können, müssen eine Überwachungslösung auf Unternehmensebene wie Microsoft Operations Manager (MOM) einsetzen. Verwenden Sie die Überwachungslösung, die Ihre Anforderungen optimal erfüllt, aber überwachen Sie die wichtigen Indikatoren, um zu gewährleisten, dass alle Aspekte von Active Directory einwandfrei funktionieren. MOM überwacht alle wichtigen Indikatoren. Implementieren Sie die Überwachungslösung in einem Labor, bevor sie in der Produktsumgebung bereitgestellt wird. SicherheitVon vielen Kunden wurde klar gesagt, dass die Sicherheit einen entscheidenden Faktor für Verzeichnisdienstmigration und –konsolidierung darstellt. Die Verzeichnisdienstkonsolidierung bietet eine gute Gelegenheit, veraltete Objekte zu bereinigen, strengere Authentifizierungsverfahren zu implementieren und die Anzahl privilegierter Konten durch Delegierung der Verwaltung zu reduzieren. Die Sicherheitsrichtlinien müssen eingehalten werden, und die vorhandene Umgebung darf während der Migration nicht durch eine herabgesetzte Sicherheit gefährdet werden. Im Laufe der Migration kann eine Vielzahl der neuen Sicherheitsfunktionen von Windows Server 2003 implementiert werden. Mithilfe der gegenseitigen Authentifizierung können Clients jetzt die Identität eines Servers überprüfen, bevor sensible Daten übertragen werden. Wenn die Unterstützung der Sicherheit durch öffentliche Schlüssel verwendet wird, können sich die Benutzer anstatt mit Kennwörtern mit Smart Cards anmelden. Die Verzeichnisdienstkonsolidierung ermöglicht eine bessere Verwaltung von Wachstum sowie eine bessere Kontrolle von Sicherheit und Informationszugriff und ermöglicht eine schnelle Reaktion auf geänderte Unternehmensanforderungen. KapazitätDer konsolidierte Verzeichnisdienst muss Kapazität für vorhandene und zukünftige Authentifizierungsanforderungen bereitstellen. Die Kapazitätsüberwachung muss so ausgelegt sein, dass zukünftige Trends bei der Verzeichnisreplikation und bei Benutzerforderungen, wie z. B. Verbesserung der Geschwindigkeit von Verzeichnisabfragen, modelliert werden können. Die Kapazitätsüberwachung muss den vollständigen „End-to-End“-Dienst abdecken, der den Benutzern bereitgestellt wird. Umfassende Leistungsdaten ermöglichen es Administrators, genaue Berichte über den Dienst bereitzustellen, der den Benutzern zur Verfügung gestellt wird. Dies ist von entscheidender Bedeutung, da die Benutzer davon überzeugt sein müssen, dass ein Dienst mit einer höheren Qualität bereitgestellt wird, wie dies bei der Konsolidierung eines Dienstes normalerweise der Fall ist. Windows Server 2003 Active Directory weist im Vergleich mit Windows NT 4.0 und Windows 2000 Server eine erheblich höhere Kapazität und Leistung auf. Die SAM-Datenbank (Security Accounts Manager) in Windows NT 4.0 war praktisch auf ca. 40.000 Objekte pro Domäne begrenzt. Active Directory kann leicht Millionen von Objekten pro Domäne verarbeiten. In der Regel ist es daher nicht erforderlich, weitere Domänen zu erstellen, um mehr Objekte verarbeiten zu können. KurzzusammenfassungBevor Sie mit dem Migrations- oder Konsolidierungsprojekt beginnen, müssen Sie die Vorteile für die Organisation ermittelt haben. Ohne eine klare Kenntnis der Gründe der IT-Organisation für dieses Projekt besteht nicht nur die Wahrscheinlichkeit, dass das Projektteam das Ziel aus den Augen verliert, sondern in der Planungsphase schwerwiegende Probleme entstehen. Wenn Sie die Vorteile kenne, die erreicht werden sollen, können Sie die verschiedenen Wege auswerten, auf denen das Ziel erreicht werden kann. Im nächsten Kapitel werden die Optionen der Domänenmigration sowie die Optionen in Bezug auf untergeordnete Dienste und Anwendungen behandelt. MigrationsplanungWenn die Migrationsplanung für die Umstellung der vorhandenen Windows NT 4.0-Domänenstruktur auf Windows Server 2003 Active Directory beginnt, müssen Sie die verfügbaren Optionen zum Erreichen des migrierten Zustands ermitteln und berücksichtigen. Bei der Durchführung dieser Art von Migration müssen Sie u. U. auch die verschiedenen Aspekte der Konsolidierung bedenken, die erreicht werden können, und entsprechend einplanen. In den folgenden Abschnitten werden die verfügbaren Migrationsoptionen bei einer Umstellung von Windows NT 4.0-Domänen auf Active Directory behandelt. Optionen für die DomänenmigrationBei der direkten Aktualisierung einer Windows NT 4.0-Domäne wird Windows Server 2003 auf einem vorhandenen Windows NT 4.0-Domänencontroller installiert und so eine Active Directory-Domäne erstellt. Bei der Neustrukturierung einer Domäne werden die Sicherheitsprinzipale aus der Windows NT 4.0-Quelldomäne in eine neu erstellte oder aktualisierte Windows Server 2003 Active Directory-Domäne geklont. Um den endgültigen Active Directory-Zustand zu erreichen, kann auch eine Kombination aus Aktualisierung und Neustrukturierung verwendet werden. Option 1: Direkte AktualisierungIn diesem Dokument wird eine Domänenaktualisierung als Prozess der Aktualisierung der Software auf dem PDC einer Domäne sowie die Aktualisierung einiger oder aller BDCs von Windows NT 4.0 auf Windows Server 2003 definiert. Der größte Unterschied zwischen einem Update und einer Konsolidierung besteht darin, dass die vorhandene Domänenstruktur bei einer Aktualisierung beibehalten wird. Bei Erwägung einer direkten Aktualisierung müssen Sie unbedingt die Auswirkungen und Änderungen auf Domänencontrollern und Sicherheitsprinzipalen kennen. Bei einer direkten Aktualisierung bleibt die aktuelle Konfiguration wie Domänenvertrauensstellungen, Benutzer-, Gruppen- und Computerkonten erhalten. Die vorhandene Domänenstruktur einschließlich des vorhandenen NetBIOS-Domänennamens wird nicht geändert. Wenn der NetBIOS-Name für die Organisation nicht mehr relevant oder politisch inkorrekt ist, kommt eine direkte Aktualisierung von Windows Server 2003 dennoch in Frage, da der NetBIOS-Name mit der Domänenumbenennungsfunktion einer Windows Server 2003-Gesamtstrukturfunktionsebene geändert werden kann. Weitere Informationen zur Domänenumbenennungsfunktion von Windows Server 2003 finden Sie im Knowledge Base-Artikel 819145, der unter dem folgenden URL zur Verfügung steht (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;de;819145 Als erster Server muss der PDC der Windows NT 4.0-Domäne aktualisiert werden. Dieser aktualisierte PDC kann weiterhin die Sicherheitsprinzipale mit den verbleibenden Windows NT 4.0-BDCs synchronisieren, da er von den Windows NT 4.0-BDCs als Replikationsmaster erkannt wird. Die Aktualisierung einer Domäne ist unter den folgenden Umständen geeignet:
Die Vorteile einer direkten Aktualisierung einer Windows NT 4.0-Domäne sind:
Die Nachteile einer direkten Aktualisierung sind:
Option 2: Neustrukturierung der DomänenDie zweite Option besteht in einer Domänenneustrukturierung. Bei dieser Option werden die Sicherheitsprinzipale von einer Windows NT 4.0-Domäne in eine neue oder zuvor aktualisierte Windows Server 2003 Active Directory-Domäne kopiert oder geklont. Das Klonen von Konten mit Tools wie ADMT (Active Directory Migration Tool) ist nicht destruktiv, die Konten bleiben also in der Windows NT 4.0-Quelldomäne unverändert erhalten. In einem Migrationsprojekt gibt es drei Situationen, in denen die Neustrukturierung von Domänen verwendet wird:
Die drei Situationen für eine Domänenneustrukturierung sind in der folgenden Abbildung 1 veranschaulicht: Die verfügbaren Tools für eine Domänenneustrukturierung wie ADMT v2 bieten die Möglichkeit eines nicht-destruktiven Klonens der Windows NT 4.0-Quellkonten in die Windows Server 2003 Active Directory-Zieldomäne. Darüber hinaus ermöglicht das Klonen von Konten mit ADMT v2 das Erstellen neuer Konten in Windows Server 2003 Active Directory, während auch die Sicherheitskennungen (Security Identifier, SID) der Windows NT 4.0-Quellkonten gespeichert werden. Durch Speichern der Windows NT 4.0-SID im SIDHistory-Attribut des geklonten Windows Server 2003-Kontos bleibt der Zugriff auf die Windows NT 4.0-Domäne bei der Anmeldung bei Active Directory erhalten. Weiterhin ergibt sich so die Möglichkeit einer Migration, die im Laufe der Zeit durchgeführt werden kann. Die Neustrukturierung einer Domäne ist in den folgenden Situationen geeignet:
Die Vorteile einer Domänenneustrukturierung anstelle einer Aktualisierung sind:
Die Nachteile einer Domänenneustrukturierung anstelle einer Aktualisierung sind:
Die Migrationsstrategie vieler Organisationen besteht oftmals aus einer Mischung von Aktualisierung und Neustrukturierung, wobei nach mindestens einer Kontendomänenaktualisierung eine Neustrukturierung (und Stilllegung) der Windows NT 4.0-Ressourcendomänen folgt. Diese Migrationsstrategie bietet der Organisation die Vorteile einer Aktualisierungsmigration für Kontendomänen, wie z. B. kurzer Zeitrahmen und geringes Risiko, aber auch die Vorteile einer Neustrukturierung, wie z. B. eine einfachere Domänenumgebung. KonsolidierungsoptionenBei der Konsolidierung müssen physische, anwendungsbezogene und standortbezogene Konsolidierungsoptionen unterschieden werden. Diese Konsolidierungsarten ermöglichen alle aus verschiedenen Gründen Kosteneinsparungen bei den Gesamtbetriebskosten. Option 1: Physische KonsolidierungDurch eine Konsolidierung der Server können Sie die Anzahl der physischen Komponenten reduzieren, die einen Dienst bereitstellen. Dies wiederum führt zu einer Kostenreduzierung und Verbesserung der Dienstqualität. Große Unternehmen haben festgestellt, dass die Vermehrung von kleineren Serverressource dem Unternehmen wegen der laufenden Wartungskosten und der Isolierung vom Unternehmensgeschehen keine Vorteile bringt. Durch die technologischen Fortschritte bei der Unterstützung einer Windows-Serverumgebung ist es jetzt problemlos möglich, den Umfang der erforderlichen Systeme für die Bereitzustellung eines bestimmten Dienstes zu reduzieren. Bei der Durchführung der Windows NT 4.0-Domänenmigration erfolgt wahrscheinlich eine Serverkonsolidierung, da die Windows NT 4.0-Ressourcendomänen in die Active Directory-Umgebung konsolidiert werden. Darüber hinaus ist es aufgrund der höheren Leistungsfähigkeit von Windows Server 2003 Active Directory-Domänencontrollern wahrscheinlich, dass sie eine höhere Anzahl von Authentifizierungsanforderungen von Clients verarbeiten können und so eine weitere Möglichkeit für eine Konsolidierung entsteht. Option 2: Konsolidierung von AnwendungenDie Konsolidierung von Anwendungen in diesem Handbuch bezieht sich auf die Konsolidierung der Verzeichnisdienstanwendung. Die Aktualisierung oder Neustrukturierung von Windows NT 4.0-Domänen in eine Active Directory-Gesamtstruktur stellt also eine Konsolidierung dar. Dieser Migrationsprozess führt in der Regel zu einer Verringerung der Windows NT 4.0-Domänen. Windows NT 4.0-Ressourcendomänen können beispielsweise in eine Active Directory-Organisationseinheit umstrukturiert werden. Option 3: Zentralisierung von StandortenEine Option, die bei der Konsolidierung von Servern besteht, liegt in einer Reduzierung der Standorte, die Serverressourcen bereitstellen. Eine Standortkonsolidierung bietet die folgenden Vorteile:
Die Standortkonsolidierung beinhaltet einen Neuentwurf der Verzeichnisinfrastrukturen, um die Anzahl der physischen Standorte und der erforderlichen Datenübertragungsleitungen für die Bereitstellung von Domänencontrollerdiensten zu reduzieren. Ein Großteil der domänenrelevanten Standortkonsolidierungen umfasst die Verschiebung von Domänencontrollern und deren Unterstützungsinfrastruktur von geografisch getrennten Standorten in neue oder vorhandene regionale oder nationale Rechenzentren. Die Standortkonsolidierung von Domänencontrollern wird in diesem Handbuch nicht behandelt. Weitere Informationen zur Positionierung von Domänencontroller finden Sie jedoch in Windows Server 2003 Virtual Conference: Branch Office Deployment (nur auf Englisch verfügbar) unter dem folgenden URL: KurzzusammenfassungIn diesem Kapitel wurden die Optionen vorgestellt, die bei der Planung der Migration einer Windows NT 4.0-Domäne berücksichtigt werden müssen. Bevor Sie eine Entscheidung fällen, welche Optionen verwendet werden sollen, benötigen Sie grundlegende Informationen zu IT-Infrastruktur, z. B. Netzwerkinfrastruktur, Sicherheit, Clients und Unterstützungsdiensten (Sicherungs- und Wiederherstellungsdienste, Messagingdienste sowie Datei- und Druckdienste). Nachdem Sie den Ausgangspunkt der Migration kennen, können Sie mit der Planung des Migrationweges in die Windows Server 2003-Domänenumgebung beginnen. Beurteilen der VerzeichnisdienstumgebungDie Beurteilung der aktuell vorhandenen Unternehmensumgebung unterstützt die Entscheidungsfindung der Migration. Wenn die aktuelle Umgebung bekannt ist, kann das Migrationsplanungsteam die vorhandene Hardware effizient einsetzen und fundierte Entscheidungen zum Kauf neuer oder zusätzlicher Hardware treffen. Beurteilen der aktuellen UmgebungVor Beginn einer detaillierten Migrationsplanung müssen eine Reihe von Umgebungen beurteilt und dokumentiert werden, z. B.:
Für die Beurteilung der Umgebung gibt es eine Vielzahl von Möglichkeiten. Einige Hersteller bieten automatisierte Tools an, die Informationen über die Konfigurations- und Sicherheitseinstellungen eines vorhandenen Netzwerks und den daran angeschlossenen Systemen erfassen. Die Kombination dieser Tools mit Interviews von IT-Schlüsselpersonal bildet oftmals eine sinnvolle Vorgehensweise. Weiter unten in diesem Dokument werden spezielle Methoden für die Beurteilung der verschiedenen Aspekte der aktuellen Umgebung behandelt. Prüflisten für die Aufzeichnung der vorhandenen Systeme und deren Konfigurationen finden Sie als Komponente des Windows Server 2003 Deployment Kit (nur auf Englisch verfügbar) unter dem folgenden URL: Bestandserfassung der UmgebungUm eine möglichst genaue Beurteilung der aktuellen Umgebung in der Organisation und möglichst viele Informationen zu erhalten, müssen Sie unterschiedliche Prozesse verwenden. Diese Prozesse werden während der Beurteilung durchgeführt und umfassen den Einsatz von Automatisierungstools, Arbeitsblättern, Vorlagen und Befragungen des Personals. Organisation und VerwaltungDie kulturelle und administrative Struktur der Organisation besitzt großen Einfluss auf den Entwurf der IT-Infrastruktur. Die Kenntnis dieser einmaligen Bedingungen im Migrationsteam bildet einen wesentlichen Bestandteil der Beurteilung der Umgebung vor dem Planen der Migration. Folgende Bereiche müssen untersucht werden:
UnternehmensplanungWie bei jeder Technologieänderung müssen Sie bei der Migrationsplanung die Geschäftspläne und Zeitpläne beurteilen, damit der zeitliche Ablauf der Migration um die Geschäftspläne herum entwickelt werden kann. In Bezug auf die Unternehmensplanung müssen die folgenden Informationen erfasst und bestätigt werden:
VerzeichnisdienstinfrastrukturDie Konfigurationen der vorhandenen Windows NT 4.0-Domänenumgebung müssen beurteilt und dokumentiert werden, bevor eine detaillierte Migrationsplanung erfolgen kann. Dazu gehören:
Netzwerkinfrastruktur und -diensteSie müssen unbedingt eine präzise Beurteilung der Netzwerkinfrastruktur und –dienste erhalten, da das Unternehmen darauf angewiesen ist, dass Verzeichnisdienste und Netzwerk effektiv funktionieren, damit die Dienste den Clients bereitgestellt werden können. Zu wichtigen Informationen, die in Bezug auf die Netzwerkinfrastruktur erfasst werden müssen, zählen:
NetzwerkdiensteNetzwerkdienste dienen der Namensauflösung und stellen IP-Konfigurationsinformationen bereit, die die Funktionsfähigkeit von Anwendungen und Infrastruktur ermöglichen. Für jedes Projekt, das sich mit der Aktualisierung oder Migration von Verzeichnisdiensten beschäftigt, sind die Netzwerkdienste DNS, WINS und DHCP von Bedeutung. Für die Namensauflösung werden in Organisation verbreitet DNS und WINS eingesetzt. Wichtige Beurteilungsinformationen für DNS und WINS umfassen:
Der DHCP-Dienst stellen Clients von einem zentralen Serverstandort aus IP-Adressen bereit. DHCP wird hauptsächlich für die Arbeitsstationen in einer Organisation verwendet, da die Server mit statischen IP-Adressen konfiguriert sind. Bei einer Beurteilung der DHCP-Umgebung müssen die folgenden Konfigurationselemente dokumentiert werden:
SicherheitsinfrastrukturDie Informationssicherheit ist ein komplexes Thema. So kann es für Sie durchaus schwierig sein, die Art der Sicherheitsinformationen der aktuellen Umgebung zu bestimmen, die bei der Planung der Domänenmigration oder –neustrukturierung von Nutzen sind. Sie können die Sicherheit wie Microsoft anhand der drei Kategorien Personen, Prozesse und Technologie analysieren. Die vorhandene Sicherheitsinfrastruktur kann basierend auf diesen drei Kategorien ausgewertet werden. PersonenDie folgenden Fragen können Ihnen helfen, die Sicherheitsinfrastruktur in Bezug auf die Benutzer zu organisieren:
ProzessDie Prozesssicherheit umfasst Sicherheitsverfahren, die Sicherheitsrichtlinien durchsetzen oder überwachen, um deren einheitliche Anwendung sicherzustellen. Diese Prozesse und Verfahren werden über technische und administrative Mittel angewendet. Die folgenden Fragen helfen Ihnen, die Prozesssicherheit zu bestimmen:
TechnologieDie technologische Sicherheit betrifft hauptsächlich die Domänencontroller (sowie Infrastrukturserver für Verzeichnisdienste wie DNS-Server). Sie müssen die folgenden Fragen stellen:
Zusätzlich zu diesen Fragen unterteilt der MSA 2.0 Planning Guide im MSA Implementation Kit sicherheitsrelevante Unternehmensdienste in mehrere Kategorien, von denen die Verzeichnisdienstkategorie besonders relevant ist. Die Microsoft-Dokumentation Best Practices for Enterprise Security umfasst mehrere Whitepaper, die Methoden beschreiben, die bei der Auswertung der bestehenden technologischen Sicherheitsstellung der Organisation nützliche Anhaltspunkte bieten. Weitere Informationen finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/technet/archive/security/bestprac/bpent/bpentsec.mspx ClientinfrastrukturEs ist schwierig, ein genaues Bild der im Netzwerk verwendeten Clients zu erstellen. In Netzwerken mit einem hohen Verwaltungsgrad werden in der Regel Inventur- und Kontrolltools wie Microsoft Systems Management Server (SMS) oder Scripting und Windows Management Instrumentation (WMI) eingesetzt, um einen aktuellen Stand über die vorhandenen Systeme, deren Hardware und deren Konfiguration zu gewährleisten. Umgebungen mit einem geringeren Verwaltungsgrad verfügen in der Regel über weniger genaue bzw. weniger häufig aktualisierte Konfigurationsdaten. Die genauen technischen Daten der Clients sind für die Domänenmigration weitgehend belanglos. Allerdings gibt es einige Ausnahmen:
Sicherungs- und WiederherstellungsinfrastrukturDie interessierenden Informationen betreffen bei dieser Beurteilung die Systeme und Prozesse für Sicherung und Wiederherstellung der vorhandenen Domäne und der Unterstützungsdienste. Die Sicherungssysteme können von zentralen, sehr komplexen, automatisierten Systemen bis hin zu lokal verwalteten, einfachen Systemen reichen. Ein komplexes System kann beispielsweise ein zentrales Sicherungssystem sein, das mehrere Server (oftmals über ein SAN oder ein dediziertes LAN, das ausschließlich für die Datensicherung verwendet wird) automatisch auf einer Bandgerätefarm oder Silos sichert. Demgegenüber kann ein dezentrales und lokal verwaltetes System ein System mit lokalen Bandlaufwerken sein, deren Bänder von einem technisch versierten Endbenutzer gewechselt werden. Die Sicherungsprozesse reichen von detaillierten und genau dokumentierten Prozessen bis zu zwanglosen Prozessen. Der Aufbau von Sicherungssystemen wird ausführlich im Backup and Recovery Services Blueprint(nur auf Englisch verfügbar) im MSA Reference Architecture Kit behandelt. Bei einer Auswertung, die sich hauptsächlich auf Verzeichnisdienste bezieht, müssen die folgenden Themen untersucht werden:
MessaginginfrastrukturWenn eine Messagingumgebung vorhanden ist, muss deren Funktionalität beurteilt werden. Die bisherigen Beurteilungselemente in diesem Abschnitt behandelten untergeordnete oder unterstützende Systeme, von denen das Messagingsystem abhängt. Diese Parameter umfassen:
Datei- und DruckdiensteBei einer Änderung der Verzeichnisdienste müssen Sie die Datei- und Druckinfrastruktur genau kennen, damit der Zugriff auf die Unternehmensdaten nicht gefährdet wird. Zu den Informationen über Datei- und Druckdienste, die Sie beurteilen und dokumentieren müssen, zählen:
Beurteilen des ZielstatusDie Beurteilung des Zielstatus muss aus den Unternehmens- und IT-Zielen der Migration kommen. Wenn das primäre Ziel eine Konsolidierung ist, führt dies zu einer Migration und Stilllegung von ganzen Windows NT 4.0-Domänen. Das Migrations- bzw. Konsolidierungsprojekt ist erst dann abgeschlossen, wenn der Zielstatus erreicht wurde. Der Projektrahmen bestimmt den Zielstatus. Es kann sein, dass der Zielstatus die gleiche Anzahl von Domänen aufweist wie der Ausgangsstatus. Andererseits können Sie sich entscheiden, in diesem Projekt einige Domänen zu konsolidieren. In jedem Fall bestimmt der Projektplan den jeweiligen Zielstatus. Bei der Migrationsplanung müssen Sie jedoch Entwurf, Aufbau und Überprüfung der Zielumgebung berücksichtigen. Dazu gehören der Entwurf des neuen Dienstes, Hardwareauslegung und –planung sowie Testkriterien. Entwurf, Aufbau oder Überprüfung der Zielumgebung werden in diesem Handbuch nicht behandelt. Anleitungen für Entwurf, Implementierung und Konfiguration eines Zielstatus enthält die MSA 2.0-Dokumentation. Die MSA 2.0-Dokumentation enthält Anleitungen für den Modellentwurf von Active Directory-Gesamtstruktur und –Domänen, die Positionierung von Domänencontrollern und Netzwerkdiensten sowie deren Verwaltung. Weitere Informationen finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Entwurf des Zielstatus der VerzeichnisdiensteBei der Migration nach Windows Server 2003 Active Directory müssen Sie die Position der Objekte aus den Windows NT 4.0-Domänen in der Planung berücksichtigen. Sie müssen außerdem einen Plan der Verwaltungs- und Sicherheitsanforderungen erstellen. Der Active Directory-Entwurf sowie die Position von Benutzern, Gruppen und Computern beeinflusst den Migrationsprozess der Windows NT 4.0-Domänen. Der Migrationsprozess muss auch die betriebswirtschaftlichen Ziele der Organisation erfüllen. Das Migrations- oder Konsolidierungsprojekt bietet die Gelegenheit, strengere Sicherheitsrichtlinien durchzusetzen, neue Namenskonventionen zu erstellen und zu implementieren sowie Verwaltungsaufgaben in der Organisation zu delegieren, sofern dadurch die Dienste für das Unternehmen verbessert werden. Die Planung des Entwurfs des Zielstatus muss folgende Aufgaben umfassen:
Prüfkriterien für den ZielstatusNach dem Entwurf des Zielstatus muss sichergestellt werden, dass der Zielstatus die Endziele des Migrationsprojekts erfüllt. Sie müssen dazu:
KurzzusammenfassungDie Beurteilung des aktuellen Status der IT-Infrastruktur bildet einen wichtigen Schritt bei der einwandfreien Planung des Migrations- oder Konsolidierungsprojekts. Diese Informationen müssen vor der Festlegung des gewünschten Endstatus der Migration vorhanden sein. Sie stoßen u. U. auf Unternehmensanforderungen, die es erforderlich machen, einige Domänen zu belassen, d. h., eine direkte Aktualisierung durchzuführen. In anderen Fällen können Sie zu dem Schluss kommen, dass die Unternehmensanforderungen durch Entwurfsänderungen des Verzeichnisdienststruktur erfüllt werden können. Dies wirkt sich wiederum auf die Schritte während des Migrationsprozesses aus. Ein wichtiger Bestandteil der Beurteilung ist neben der Betrachtung des jetzigen Zustands auch eine Abschätzung des gewünschten Status am Ende des Projekts. Wenn die einzelnen Schritte der Migration in einer Testumgebung durchgeführt werden, steigt die Gewissheit für IT-Team und Unternehmensleitung, dass die eigentliche Migration problemlos und im geplanten Zeitraum durchgeführt werden kann. Planen der Konsolidierung und MigrationVor Beginn des Projekts muss eine geeignete Planung durchgeführt werden. Dies umfasst die Kenntnis des Endstatus der Umgebung, wie z. B. Verzeichnisdienste, Messagingdienste, Netzwerkdienste und Clientkonfigurationen. Neben den Problemen beim Infrastrukturentwurf müssen weitere Entscheidungen gefällt werden. So müssen beispielsweise die zu verwendenden Tools, der Zeitpunkt, an dem ein Dienst verschoben werden soll, sowie alle Risiken des Gesamtprojekts bestimmt werden. Entwurf der VerzeichnisdiensteEine der wichtigsten Komponenten der technologischen Infrastruktur einer Organisation bildet der Verzeichnisdienst. Bei einem Verzeichnis handelt es sich um eine Informationsquelle, in der Informationen zu bedeutenden Objekten für eine Organisation wie Drucker, Anwendungsserver, Datenbanken, Benutzer und Gruppen gespeichert sind. Dieser Speicher stellt Benutzern Informationen zur Verfügung, die diese Objekte suchen und verwenden möchten. Darüber hinaus wird Administratoren eine Verwaltung dieser Objekte ermöglicht. Der Verzeichnisdienst besteht aus dem Verzeichnis und den Diensten, die die Informationen zur Verfügung stellen. Ein Verzeichnisdienst weist folgende Merkmale auf:
Der Verzeichnisdienst Active Directory ist ein fester Bestandteil von Windows Server 2003. Der Bereich einer Active Directory-Bereitstellung in einer Organisation ist häufig sehr umfangreich, da Informationen über die Benutzer in der Organisation, die Gruppen für die Sicherheit von Unternehmensdaten und Anwendungen, die zugänglichen Computer und sogar Anwendungsdaten (z. B. Messagingsysteme, Branchenanwendungen) enthalten sind. Ein Active Directory-Entwurf für eine Organisation muss die folgenden Komponenten berücksichtigen:
Ermitteln der Ziele für den VerzeichnisdienstVor Beginn eines Projekts für den Entwurf von Verzeichnisdiensten müssen Sie die Ziele für den Verzeichnisdienst ermitteln. Diese Ziele müssen auf Informationen aus dem Unternehmen und aus der IT-Gruppe basieren. Die Ziele müssen kurzfristige Ziele, wie z. B. Berücksichtigung des Zeitrahmens für die Bereitstellung des Active Directory-Dienste, sowie langfristige Ziele umfassen, wie z. B. eine Verbesserung der Sicherheit durch Delegierung der Verwaltung. Planen des Active Directory-NamespaceBevor Active Directory in einer Windows Server 2003-Umgebung bereitgestellt wird, müssen Sie die logische Active Directory-Struktur der Umgebung planen und entwerfen. Die logische Active Directory-Struktur bestimmt die Organisation der Verzeichnisobjekte und bietet eine effektive Methode für die Verwaltung von Netzwerkkonten und gemeinsam genutzten Ressourcen. Beim Entwurf der logischen Active Directory-Struktur wird ein wesentlicher Teil der Netzwerkinfrastruktur der Organisation festgelegt. Für den Entwurf der logischen Active Directory-Struktur muss die Anzahl der in der Organisation erforderlichen Gesamtstrukturen ermittelt werden. Anschließend müssen die Entwürfe für Domänen, DNS und Organisationseinheiten erstellt werden. Nach dem Entwurf der logischen Struktur der Active Directory-Infrastruktur muss die Standorttopologie für das Netzwerk entworfen werden. Die Standorttopologie ist eine logische Darstellung des physischen Netzwerks, die in Active Directory gespeichert wird. Sie enthält Informationen zur Position von Active Directory-Standorten, zu den Active Directory-Domänencontrollern in den einzelnen Standorten sowie zu den Standortverbindungen, die die Active Directory-Replikation zwischen den Standorten unterstützen. Um eine effiziente Funktionsweise von Active Directory sicherzustellen, müssen Sie die geeignete Anzahl von Domänencontrollern für die einzelnen Standorte ermitteln und überprüfen, ob die Hardwareanforderungen für Windows Server 2003 erfüllt werden. Eine sorgfältige Kapazitätsplanung für die Domänencontroller gewährleistet, dass die Hardwareanforderung nicht unterschätzt werden, was eine unbefriedigende Leistung der Domänencontroller sowie lange Reaktionszeiten der Anwendungen zur Folge haben kann. Die Funktionsebenen in Windows Server 2003 Active Directory ermöglichen es, neue Features zu aktivieren, wie z. B. verbesserte Replikation der Gruppenmitgliedschaft, Deaktivierung und Neudefinition von Attributen und Klassen im Schema sowie Gesamtstrukturvertrauensbeziehungen, bei denen auf allen Domänencontrollern in der betreffenden Domäne oder Gesamtstruktur Windows Server 2003 ausgeführt werden muss. Ein Teil des Active Directory-Entwurfsprozesses dient dazu, die in der Organisation erforderlichen Domänen- und Gesamtstrukturfunktionsebenen zu bestimmen. Um diese Windows Server 2003 Active Directory-Features in der Organisation zu implementieren, muss zuerst Windows Server 2003 Active Directory bereitgestellt werden. Anschließend müssen Gesamtstruktur und Domäne auf die entsprechende Funktionsebene heraufgestuft werden. Planen von Verzeichnisdiensten für Exchange Server 2003Im vorangegangenen Abschnitt wurden die Grundlagen für den Entwurf einer Active Directory-Umgebung vorgestellt. Wenn Active Directory bereits bereitgestellt wurde, müssen Sie die vorhandene Active Directory-Struktur kennen und wissen, wie Exchange in diese Struktur hineinpasst. Wenn Active Directory noch nicht bereitgestellt wurde, ist der Entwurf der Active Directory-Infrastruktur unter Berücksichtigung von Exchange wesentlich einfacher. Im Gegensatz zu früheren Versionen von Exchange und Windows NT enthält Active Directory ein einzelnes Objekt, das die Standardbenutzerattribute sowie die Exchange-spezifischen Attribute enthält. Wenn Active Directory mit den Benutzerobjekten in einer Organisation gefüllt wird, in der eine frühere Version von Exchange vorhanden ist, enthalten die Benutzerobjekte in Active Directory keine Exchange-spezifischen Attribute. Bei der Installation von Exchange Server 2003 werden die Benutzerobjekte in Active Directory um die Exchange-spezifischen Attribute erweitert. Da Exchange 5.5 über einen eigenen Verzeichnisdienst verfügt, der standardmäßig nicht mit Active Directory und Exchange Server 2003 kommunizieren kann, muss der Active Directory Connector (ADC) installiert werden. Der Exchange Server 2003 ADC ermöglicht die Kommunikation und Synchronisierung zwischen dem Exchange 5.5-Verzeichnis und Active Directory. Die Informationen zu Postfächern, benutzerdefinierten Empfängern, Verteilerlisten und Öffentliche Ordner aus dem Exchange 5.5-Verzeichnis werden über den ADC in Active Directory eingetragen und synchronisiert. Genauso werden die Benutzer-, Kontakt- und Gruppeninformationen aus Active Directory über den ADC in das Exchange 5.5-Verzeichnis eingetragen und synchronisiert. Eine Active Directory-Gesamtstruktur kann nur eine einige Exchange-Organisation enthalten. Dies liegt daran, dass die gesamte Authentifizierung innerhalb der Gesamtstrukturgrenzen durchgeführt und die globale Adressliste (GAL) aus dem Inhalt des globalen Katalogs erstellt wird. Alle Exchange-Server in der Gesamtstruktur verwenden gemeinsam einen einheitlichen Sicherheitskontext und die gleiche GAL. Jede Active Directory-Gesamtstruktur kann mehrere Domänen enthalten. Die Exchange-Konfigurationsdaten werden als Bestandteil des Konfigurationsnamenskontextes der Gesamtstruktur gespeichert. Die Exchange-Server sowie die Benutzerkonten können sich daher in jeder Domäne befinden. Der globale Katalog ist dafür verantwortlich, dass die Informationen aller Domänen in der Gesamtstruktur für verzeichnisfähige Anwendungen wie Exchange zugänglich sind. Für die Bereitstellung von Exchange ist zunächst eine stabile, funktionsfähige Active Directory-Infrastruktur erforderlich. Bei der Aktualisierung aus einer Windows NT 4.0-Umgebung wäre es für die Bereitstellung von Exchange optimal, wenn alle Windows NT-Konten und –Ressourcen nach Active Directory migriert wurden. Exchange kann jedoch auch dann bereitgestellt werden, während die Migration der Windows NT-Objekte nach Active Directory erfolgt, bzw. wenn eine Windows NT-Domäne für bestimmte Ressourcenobjekte erhalten bleiben muss. Organisationen, die zurzeit Exchange 5.5 einsetzen, sollten die vorhandenen Exchange 5.5-Standorte keinesfalls als Grundlage für die Active Directory-Struktur verwenden. Stattdessen sollte die Active Directory-Umgebung entsprechend dem gewünschten Verwaltungsmodell geplant werden. Für die Integration von Exchange in Active Directory gibt es vier Hauptoptionen:
Weitere Informationen finden Sie im technischen Dokument Best Practice Active Directory Design for Exchange 2000 (nur auf Englisch verfügbar), das unter dem folgenden URL zur Verfügung steht: http://go.microsoft.com/fwlink/?LinkId=17837 Dieses Dokument bezieht sich zwar auf Exchange 2000, die Informationen gelten aber auch für Exchange Server 2003. Anforderungen für die Migration nach Exchange Server 2003Vor einer Migration nach Exchange Server 2003 muss sichergestellt sein, dass Netzwerk und Server die folgenden systemweiten Anforderungen erfüllen:
Platzieren von Exchange-Objekten in Active DirectoryOrganisationseinheiten bieten eine einfache Möglichkeit, verwandte Ressourcen und Konten für Richtlinien und Verwaltungszwecke zu gruppieren. Die Platzierung von Objekten in Active Directory muss vor der Installation von Exchange Server 2003 oder Active Directory Connector überlegt werden. Die Objekttypen, wie z. B. E-Mail-fähige Benutzer, E-Mail-fähige Sicherheits- und Verteilerlisten sowie Kontakte, sollten sich in Organisationseinheiten befinden, um die Verwaltung und die Anwendung von Gruppenrichtlinien zu vereinfachen. Sie sollten das Erstellen zusätzlicher Organisationseinheiten für die Verwaltung von Exchange-spezifischen Objekten und die erforderliche Benutzerverwaltung in Betracht ziehen, die Active Directory- und Exchange-Administratoren benötigen. In Exchange 5.5 liegt die Grenze für die Benutzerverwaltung auf Standortebene. In Active Directory erfolgt die Delegierung der Benutzerverwaltung normalerweise auf der Ebene von Organisationseinheiten. Sie können die Ressourcen für die Verwaltung von Windows Server 2003 und Exchange in den einzelnen Gesamtstrukturen kombinieren oder diese Ressourcen getrennt verwalten. Die Kombination von Ressourcen wird durch die Integration von Exchange und Windows Server 2003 ermöglicht. Erstellen Sie zur Unterstützung von Exchange für die folgenden Objekttypen jeweils eigene Organisationseinheiten:
SchemaerweiterungenViele Organisationen entschließen sich kurz nach dem Beginn der Active Directory-Bereitstellung zu einer Erweiterung des Active Directory-Gesamtstrukturschemas. Wenn die Organisation die Bereitstellung von Softwareprodukten beabsichtigt, die das Active Directory-Schema erweitern, wie Exchange, SMS und Office Live Communications Server, sollten Sie das Active Directory-Schema von vorneherein erweitern, um die Auswirkungen des Verkehrsaufkommens durch die Schemareplikation zu reduzieren. Exchange Server 2003-ErweiterungenDie Exchange Server 2003-Schemaerweiterungen definieren eine Reihe von neuen Objektklassen und Attributen. Anzahl, Art, Datentyp und zulässige Werte für diese Exchange-Attribute (sowie alle anderen Verzeichnisattribute) werden durch das Active Directory-Schema definiert. In einer Gesamtstruktur gibt es ein einziges Schema, das von einem Domänencontroller mit der speziellen Funktion als Schemamaster verwaltet wird. Bei der Installation von Exchange wird das Active Directory-Schema erweitert, indem die Definitionen für die Exchange-relevanten Attribute hinzugefügt werden. Die Vorbereitung der Gesamtstruktur wird ausführlich im Bereitstellungshandbuch für Exchange Server 2003 beschrieben: http://www.microsoft.com/germany/technet/datenbank/articles/600270.mspx Dabei werden das Schema dauerhaft geändert und die neuen Schemadefinitionen auf die anderen globalen Katalogserver in der Exchange-Organisation repliziert. Deshalb wird der Schemamaster in vielen Organisationen in einem getrennten Active Directory-Standort mit einem längeren Replikationszeitraum angeordnet, damit die Änderungen überprüft und rückgängig gemacht werden könne, wenn sie andere Systeme beeinflussen. Ermitteln der Anforderungen für VerzeichnisdienstclientsIn Windows 95/98-basierten und Windows NT 4.0-basierten Clients fehlen viele Features von Windows 2000/XP Professional, die sich auf Active Directory beziehen. Beim Verzeichnisdienstclient handelt es sich um ein Update bzw. einen Patch für Windows® 95, Windows® 98 und Windows NT 4.0. Sie müssen die im Verzeichnisdienstclientpaket bereitgestellten Features überprüfen und deren Notwendigkeit in der Organisation ermitteln. Das Verzeichnisdienstclientpaket ermöglicht die folgenden Active Directory-Features:
Planen der NetzwerkdiensteBei der Planung des Active Directory-Namespace muss ebenfalls eine Planung des DNS-Namespace erfolgen. Active Directory weist eine direkte Abhängigkeit von DNS aus und kann durch eine unzureichend geplante DNS-Infrastruktur nachteilig beeinflusst werden. Darüber hinaus werden Active Directory-spezifische Zonen erstellt, die nicht öffentlich zugänglich sein dürfen. Ohne eine ordnungsgemäße Planung ist es möglich, dass der DNS-Dienst diese Zonen öffentlich zugänglich macht. Die Implementierung eines effektiven DNS-Dienste umfasst Entscheidungen zu den folgenden Fragen:
Nachdem diese Fragen geklärt wurden, kann eine detailliertere Planung erfolgen, insbesondere bei komplexeren Namespaces, wie sie für Unternehmen erforderlich sind. Weitere Entwurfsentscheidungen umfassen:
Die Beantwortung dieser Fragen führt Sie zu den folgenden Entwurfsentscheidungen und den entsprechenden Optionen:
Tabelle 1: DNS-Entwurfsentscheidungen und -optionen Nachdem die Notwendigkeit einer NetBIOS-Namensauflösung festgestellt wurde, müssen einige Faktoren berücksichtigt werden, die sich auf den Entwurf auswirken. Um eine geeignete Konfiguration für eine bestimmte Lösung zu ermitteln, müssen die folgenden Erwägungen berücksichtigt werden:
Anhand dieser Informationen ist es möglich, eine geeignete Namensauflösungstechnologie für NetBIOS festzulegen. Wenn WINS als Option in Frage kommt, müssen Sie ein Replikationsverfahren für WINS auswählen.
Tabelle 2: WINS-Entwurfsentscheidungen und -optionen Die Entscheidung, einen bestimmten Dienst für die Zuweisung und Verwaltung von IP-Adressen wie DHCP einzusetzen, erfolgt nicht losgelöst von anderen Entscheidungen, sondern stellt einen Schritt im Entscheidungsprozess für die Netzwerkarchitektur des Unternehmens das. DHCP bildet in der Regel für die meisten Organisationen die am besten geeignete Option. Allerdings gibt es auch andere Optionen. Daher muss zuerst eine Entscheidung gefällt werden, welche Methode für die Zuweisung von IP-Adressen am besten geeignet ist. Weitere Informationen zum Entwurf der Netzwerkarchitektur und den darin enthaltenen Schritten finden Sie im Kapitel MSA Network Architecture (nur auf Englisch verfügbar) im Handbuch Architecture Blueprints, das unter dem folgenden URL zur Verfügung steht: http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Nachdem die Notwendigkeit einer Zuweisung und Verwaltung von IP-Adressen festgestellt wurde, bestimmen die folgenden Überlegungen eine geeignete Konfiguration:
Anhand dieser Informationen ist es möglich, die geeigneten Optionen für IP-Adressen festzulegen.
Tabelle 3: DHCP-Entwurfsentscheidungen und -optionen In Kapitel 6, Network Services (nur auf Englisch verfügbar), des Handbuchs Service Blueprints werden die Entwurfsprozesse für DNS, WINS und DHCP ausführlich beschrieben. Darüber enthält das Windows Server 2003 Deployment Kit ebenfalls Entwurfsinformationen für die wichtigen Netzwerkdienste. Weitere Informationen finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Planen der MigrationsbereitschaftVor dem Beginn der Migration muss gewährleistet sein, dass alle Personen, Prozesse und Technologien vorhanden sind, die während der eigentlichen Migration benötigt werden. Planen der Ausführung von Konsolidierung und MigrationBei der Projektplanung sollten Sie sicherstellen, dass die Ressourcen (Hardware, Software, Personal oder Netzwerkbandbreite), die Sie nutzen möchten, während der geplanten Migrationsaktivitäten zur Verfügung stehen. Obwohl alle diese Faktoren bereits frühzeitig beim Erstellen der ersten Planung berücksichtigt wurden, müssen Sie überprüfen, ob sich die Randbedingungen im Unternehmen während des laufenden Projekts geändert haben. Überprüfen der Servicedeskbereitschaft während der MigrationEs muss sichergestellt sein, dass geeignetes Supportpersonal während der Migration zur Verfügung steht. Dazu gehört Helpdesk-, Desktopsupport- und Infrastruktursupportpersonal. Das Supportpersonal muss die zugewiesenen Verantwortungsbereiche und die entsprechenden Ansprechpartner im Migrationsteam kennen, wenn Probleme bei der Migration auftreten. Sie können sich abhängig von der Supportstruktur entscheiden, ein Helpdesk für die Migration einzurichten, und die Benutzer informieren, sich an diese Nummer zu wenden, wenn unmittelbar nach der Benachrichtigung über die Verschiebung ihres Kontos bzw. ihrer Arbeitsstation Verbindungsprobleme auftreten sollten. Wenn Domänen konsolidiert werden, muss das Supportpersonal über eine Liste der Benutzer verfügen, die sich bei einer anderen Domäne anmelden müssen, sowie über eine Liste der Kontonamen, die aufgrund von Namenskonflikten geändert wurden. Wenn eine Domänenkonsolidierung als Migrationsoption gewählt wurde, können u. U. die Verantwortungsbereich neu zugewiesen werden, z. B. für die Befugnis, Kennwörter in den einzelnen Standorten, Domänen und Organisationseinheiten zurückzusetzen, und die Befugnis, Berechtigungen für Freigaben und Drucker zuzuweisen, usw. Unabhängig davon, ob Domänen konsolidiert werden, muss das Supportpersonal in der Anwendung der neuen Verfahren und Tools geschult werden, da sie sich von Windows NT 4.0 erheblich unterscheiden. Unter Umständen muss vor der Migration auch eine Schulung für maßgeschneiderte Tools wie Taskpads oder Dienstprogramme von Drittanbietern erfolgen. Überprüfen und Anpassen der Prozesse für die Verfolgung von ProblemenAlle Probleme, die während oder nach der Migration entstehen, müssen protokolliert und bis zur Lösung verfolgt werden. Der vorhandene Prozess für die Protokollierung und Lösung von Problemen muss dahingehend überprüft werden, ob er in der neuen Umgebung geeignet ist. Andernfalls muss eine Schulung in Bezug auf den neuen Prozess und ggf. die neuen Tools eingeplant werden. Die Verantwortung für die Verfolgung von Migrationsproblemen muss einem bestimmten Personenkreis zugewiesen werden. Das ganze Netzwerksupportpersonal muss wissen, wer Probleme protokolliert und für die Lösung der einzelnen Probleme zuständig ist sowie die Probleme überprüft, damit sie rechtzeitig gelöst werden. Nach der Lösung der Probleme müssen sie dokumentiert werden. Die Informationen zu diesem Problem und dessen Lösung müssen dem ganzen Supportpersonal zur Verfügung stehen, falls das Problem erneut auftreten sollte. Tools für die MigrationDie Neustrukturierung von Domänen kann abhängig von der Größe und Anzahl der Kontendomänen sowie der Anzahl der Ressourcendomänen von routinemäßigen und einfachen Aufgaben bis hin zu komplexen Aufgaben reichen. Microsoft und mehrere ISV-Partner (Independent Software Vendor, unabhängiger Softwarehersteller) bieten Tools, die Sie bei der Domänenneustrukturierung unterstützen. ADMT v2 von Microsoft bietet eine einfache, sichere und schnelle Möglichkeit für die Aktualisierung von Windows NT 4.0 auf den Active Directory-Dienst bzw. die Neustrukturierung von Active Directory-Domänen zwischen Gesamtstrukturen oder in einer Gesamtstruktur. Das Tool migriert Benutzer, Gruppen und Computer zwischen Domänen so, dass die Benutzer jederzeit auf ihre Ressourcen und Anwendungen zugreifen können. Version 2.0 enthält neue Features, wie z. B. Kennwortmigration, eine Skriptschnittstelle und eine Befehlszeilenschnittstelle, die Migrationen erleichtern. Sie sollten die verfügbaren Tools auswerten und die am besten geeigneten Tools für die Umgebung ermitteln. Eine vollständige Liste der Aktualisierungstools finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/windowsserver2003/upgrading/nt4/tooldocs/default.mspx. Aktualisieren der Dokumentation zur RisikobeurteilungBeim Durchlaufen der verschiedenen Projektphasen müssen Sie die Risiken gemäß MSF (Microsoft Solutions Framework) bei jedem wichtigen Meilenstein neu beurteilen. Am Ende der Planungsphase müssen Sie die Liste der Risiken neu bewerten, unabhängig davon, ob Sie das MSF-Verfahren für die Verwaltung des Projekts verwenden. Daran muss sich das gesamte Team beteiligen, damit alle, zuvor nicht erkannten Risiken bewertet und hinsichtlich deren Auswirkung auf das Unternehmen sowie deren Wahrscheinlichkeit eingestuft werden können. In MSF ergibt das Produkt aus Auswirkung und Wahrscheinlichkeit eine Kennzahl, die Gefährdung genannt wird. Durch Einstufung der Risiken entsprechend der möglichen Gefährdung können Sie feststellen, ob einige Risiken, die vom Team frühzeitig ermittelt wurden, nicht mehr von Bedeutung sind. So kann z. B. das Risiko, dass der Hardwarehersteller nicht in der Lage ist, die benötigten Server zu einem bestimmten Termin zu liefern, nicht mehr relevant sein, da der Hersteller rechtzeitig geliefert hat. Die Risiken der neuen Umgebung ändern sich erheblich. Die Gefährdung ändert sich bei der Migration von Windows NT 4.0 beispielsweise insofern, als dass der Zugriff auf einen DNS-Server und einen globalen Katalogserver für die Funktion der Windows Server 2003-Domäne unabdingbar ist. Ein weiteres Beispiel für eine mögliche Änderung ist die Tatsache, dass kein Netzwerkzugriff auf den PDC mehr erforderlich ist, da alle Domänencontroller in Windows Server 2003 über ein beschreibbares Exemplar der Active Directory-Datenbank verfügen. Die Risiken werden in einigen Bereichen reduziert, in anderen Bereichen verändert. Sie müssen daher die Beurteilung der Risiken und die Abhilfemaßnahmen des Teams für diese Risiken vor dem Beginn der eigentlichen Migration aktualisieren. Überprüfen der Pläne und Erneuern der Genehmigung durch das ManagementWenn Sie gemäß MSF vorgehen, findet am Ende der Planungsphase eine Besprechung mit den wichtigsten Teammitgliedern und der Unternehmensleitung statt, damit alle die erarbeiteten Pläne überprüfen können. Für die möglichen Risiken wurden Aufgaben geplant, Ressourcen zugewiesen und Pläne für Abhilfemaßnahmen entwickelt. Unabhängig davon, ob Sie nach MSF vorgehen, gewährleistet eine solche Überprüfung unmittelbar vor Beginn der ersten Migrationsaktivitäten, dass das Projekt weiterhin die Anforderungen des Unternehmens erfüllt und alle eventuellen Probleme bedacht und entsprechend eingeplant wurden. KurzzusammenfassungDie Planung der Migration ist damit abgeschlossen, und die Entscheidungen basierend auf den Migrationzielen unter Berücksichtigung der IT-Infrastruktur wurden gefällt. Die Risiken für die Migration wurden neu beurteilt, und Pläne für die Reduzierung dieser Risiken wurden erstellt. Alle Pläne wurden mit den wichtigsten Mitgliedern des Migrationsteams und der Unternehmensleitung überprüft. Nachdem die Pläne überprüft und genehmigt wurden, können Sie mit der Durchführung der vorbereitenden Migrationsaufgaben beginnen. Aufgaben vor der MigrationVor dem Durchführen der Migration müssen einige Aufgaben erledigt werden, um eine erfolgreiche Migration sicherzustellen. Dazu zählen technologiespezifische Überlegungen wie das Bereinigen der Domäne, das Erstellen von Sicherungskopien für eine eventuelle Wiederherstellung und Gewährleisten der Sicherheit der Umgebung. Darüber hinaus müssen geeignete Kommunikationspläne implementiert werden, um die Endbenutzer über die sie betreffenden Änderungen in der Umgebung zu informieren. Bereinigen veralteter ObjekteViele Organisationen mit Windows NT 4.0-Domänen weisen eine Vielzahl veralteter Objekte auf, wie z. B. Computerkonten für Computer, die nicht mehr im Netzwerk vorhanden sind, oder Benutzerkonten für Benutzer, die die Organisation verlassen haben. Bevor die Bereinigung durchgeführt wird, müssen die veralteten Objekte ermittelt werden. Anschließend können sie gemäß den Unternehmensrichtlinien entfernt oder geändert werden, sofern die Bereinigung vor der Migration durchgeführt werden soll. Wenn die Bereinigung vor der Migration erfolgt, wird sichergestellt, dass die SAM-Datenbank in Windows NT 4.0 einwandfrei organisiert ist und keine unnötigen Benutzerkonten, Gruppenkonten oder Computerkonten enthält. Wenn die Bereinigung der SAM-Datenbank von Windows NT 4.0 zu diesem Zeitpunkt problematisch ist, können Sie alle Objekte nach Windows Server 2003 Active Directory migrieren. Sobald die Funktionsebene der Domäne Windows Server 2003 erreicht hat, wird der Anmeldezeitstempel auf alle Domänencontroller repliziert. Sie können dann die Active Directory-Domäne auf Benutzer- oder Computerkonten durchsuchen, deren Anmeldezeitstempel älter ist als ein festgelegter Wert, sodass die Ermittlung veralteter Objekte erleichtert wird. Erstellen und Überprüfen einer SicherungskopieVor Beginn jeglicher Migrations- oder Aktualisierungsaktivitäten muss eine aktuelle Sicherungskopie verfügbar sein. Vor den nächsten Schritten sollte auf allen Servern, auf die sich die Migration auswirkt, eine vollständige Sicherung von Systemstatus und Daten durchgeführt werden. Die Sicherungskopie ermöglicht es der Organisation, bei Bedarf den vorherigen Zustand wiederherzustellen. Nach Abschluss der Sicherung sollten die Sicherungskopien außerdem unbedingt überprüft werden. Optimieren des MigrationszeitplansEine erfolgreiche Migration setzt eine entsprechende Planung voraus. Sie müssen die Schritte, deren Reihenfolge sowie die Zuständigkeiten für die einzelnen Schritte festlegen. Wenn Schritte nicht abgeschlossen oder in der falschen Reihenfolge durchgeführt werden, können sowohl die Migration, als auch das Rollback zum ursprünglichen Szenario fehlschlagen. Vor dem Aktualisieren oder Neustrukturieren einer Windows NT 4.0-Domäne sollten Sie über einen ausführlichen Migrationszeitplan verfügen. Dieser Migrationszeitplan sollte Folgendes einbeziehen:
Aspekte zur Sicherheit während der MigrationFür den Großteil der Organisationen ist eines der Ziele für eine Windows NT 4.0-Domänenmigration, dass diese keine negativen Auswirkungen auf die Sicherheitsrichtlinie hat. Damit dieses Ziel erreicht wird, muss die Sicherheit während und nach der Migration im Vergleich zum Windows NT 4.0-Domänenmodell gleichwertig oder besser sein. In diesem Abschnitt werden potenzielle Änderungen erläutert, die Sie in Abhängigkeit vom gewählten Migrationspfad an Ihrer Umgebung vornehmen müssen. Es wird auch die erforderliche Zeitdauer angezeigt, für die die Änderung erforderlich ist. Wenn Sie verstehen, wie sich diese Änderungen auf Ihre Organisation auswirken, können Sie den Migrationsvorgang sowie die Reihenfolge so planen, dass die Sicherheit gewahrt bleibt. Dienstverwaltung und physische SicherheitDamit sich eine Organisation oder eine Ressourcen einer Gesamtstruktur oder einer Domäneninfrastruktur anschließen kann, muss sie sich dazu entscheiden, allen Dienstadministratoren in der Gesamtstruktur sowie in allen Domänen zu vertrauen. Da Dienstadministratoren äußerst vertrauenswürdig sein müssen, ist es wichtig zu verstehen, bei welchen administrativen Gruppen es sich in Active Directory um Dienstadministratoren handelt und welchen optimalen Vorgehensweisen diese Gruppen folgen sollen. Dienstadministratoren in Active Directory umfassen alle Gruppen, die Folgendes können:
Für Active Directory von Windows 2000 und Windows Server 2003 umfassen diese Gruppen Folgendes:
Die folgenden optimalen Vorgehensweisen werden empfohlen, um die Möglichkeit von Angriffen durch Dienstadministratoren oder durch den physischen Zugriff auf Domänencontroller zu verringern.
Sie sollten die Benutzer in der Domäne kennzeichnen, die zur globalen Gruppe der Domänen-Admins gehören. Mitglieder der Gruppe der Domänen-Admins können die Domäne während des Aktualisierungsvorgangs verwalten. Achten Sie darauf, dass Mitglieder der Gruppe der Domänen-Admins nicht einen umfangreicheren Zugriff auf die Stammdomäne der Gesamtstruktur erben, als für das Durchführen von Auftragsaufgaben erforderlich ist. Dieser Fall tritt ein, wenn es sich bei der zu aktualisierenden Windows NT 4.0-Domäne um die erste Domäne in der Windows Server 2003-Gesamtstruktur handelt. Entfernen Sie alle Mitglieder aus der Gruppe der Domänen-Admins, denen Sie nicht die Benutzerrechte der Organisations-Admins erteilen möchten, bevor Sie ein Update auf Windows Server 2003 durchführen. VertrauensstellungenDamit Konten und Ressourcen einer Windows NT 4.0-Quelldomäne in eine Windows Server 2003-Zieldomäne migriert werden können, sind externe Vertrauensstellungen erforderlich. Die erforderlichen Vertrauensstellungen sind vom Typ der zwischen zwei Domänen zu migrierenden Objekte und vom verwendeten Toolset abhängig. Sie müssen möglicherweise für den Zeitraum der Domänenmigration weitere Vertrauensstellungen zu Ihrer Umgebung hinzufügen. Nachdem die Domänenmigration abgeschlossen ist, können alle temporär hinzugefügten Vertrauensstellungen entfernt werden. Zwischen der Windows NT 4.0-Kontendomäne und der Zieldomäne müssen zwei unidirektionale Vertrauensstellungen vorhanden sein.
Zwischen den Windows NT 4.0-Ressourcendomänen und der Zieldomäne muss eine unidirektionale Vertrauensstellungen vorhanden sein, damit Folgendes gilt:
SIDHistoryIn Windows 2000 und Windows Server 2003 existiert ein Verzeichnisattribut, "SIDHistory", das die Migration von Sicherheitsprinzipalen von einer Domäne zu einer anderen wesentlich vereinfacht. "SIDHistory" ist ein Attribut der Active Directory-Sicherheitsprinzipale und wird zum Speichern der vorherigen SIDs von verschobenen Objekten verwendet, z. B. Benutzer und Sicherheitsgruppen. Wenn sich der Benutzer am System anmeldet, ruft das System die Einträge in der "SIDHistory" sowie die Gruppenmitgliedschaften des Benutzers ab und fügt diese dem Zugriffstoken des Benutzers hinzu. Da Gruppen verschoben werden können, ruft das System auch die "SIDHistory"-Attribute aller Gruppen ab, bei denen der Benutzer Mitglied ist und fügt diese zum Zugriffstoken des Benutzers hinzu. Diese "SIDHistory"-Einträge im Token wirken für das System während der Autorisierungsprüfungen wie normale Gruppenmitgliedschaften, daher können sie auch den Zugriff auf ältere Betriebssysteme ermöglichen, ohne zusätzliche Software zu erfordern. Organisationen wird empfohlen, nach Abschluss der Domänenmigration die "SIDHistory"-Einträge zu entfernen. Weitere Informationen zum Entfernen von "SIDHistory" aus der Domäne finden Sie im Knowledge Base-Artikel 295758, der unter dem folgenden URL zur Verfügung steht (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;de;295758 Weitere Informationen zum SID-Filtern und die Auswirkungen auf "SIDHistory" finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/technet/security/bulletin/MS02-001.mspx Migrieren von KennwörternDamit der Vorteil der Features für die Kennwortmigration von ADMT v2 (Active Directory Migration Tool) genutzt werden, muss die DLL (Dynamic Link Library) für die Kennwortmigration auf einem Domänencontroller in der Quelldomäne installiert werden. Dieser Domänencontroller ist als Kennwortexportserver festgelegt. Durch die Ausführung in diesem geschützten Kontext von "LocalSystem" sind Kennwörter vor der Anzeige als unverschlüsselter Text auch durch das Betriebssystem gesichert. Die Installation der DLL wird durch einen geheimen Schlüssel geschützt, der von ADMT v2 erstellt wird und von einem Administrator installiert werden muss. Eine weitere Anforderung beim Installieren des Kennwortexportservers ist, dass die Gruppe Jeder zur integrierten Gruppe "Prä-Windows 2000 kompatibler Zugriff" hinzugefügt werden muss, um dieses Feature zu aktivieren. Durch Aktivieren der Option "Prä-Windows 2000 kompatibler Zugriff" sind anonyme Benutzer berechtigt, Informationen in dieser Domäne zu lesen. Die Gruppe Jeder sollte nach Abschluss der Kennwortmigrationen aus der Gruppe "Prä-Windows 2000 kompatibler Zugriff" entfernt werden. Entwickeln eines KommunikationsplanIhr Kommunikationsplan sollte einbeziehen, wann und wie oft Benutzer vor Änderungen bei Domänennamen benachrichtigt werden. Benutzer in Ihrer Ressourcendomäne müssen wissen, wann Domänenänderungen auftreten, wie der neue Domänenname lautet und wie die Anmeldung bei der neuen Domäne erfolgt. Die Benutzer, bei denen durch die Domänenkonsolidierung Konflikte bei den Kontennamen auftreten, sollten Sie nicht nur über den neuen Domänennamen informieren, sondern auch über ihre neuen Kontennamen. Geplante Änderungen können z. B. allen Benutzern per E-Mail vier Mal an aufeinanderfolgenden Tagen vor der eigentlichen Migration mitgeteilt werden. Ihre Planung umfasst die Entscheidung, wie häufig und wann die Mitteilungen erfolgen. Die an die Benutzer gesendete E-Mail sollte darüber informieren, welche Dienste während der Migration nicht zur Verfügung stehen und wie lange die Unterbrechung andauern wird. Vor der eigentlichen Migration muss das Supportpersonal im Helpdesk eine Liste der Benutzerkonten erhalten, die zu einem anderen Domänennamen migriert werden. Außerdem sollte auch die Benachrichtigung darüber erfolgen, welche Benutzerkontonamen geändert werden. Das Supportpersonal im Helpdesk muss auch dazu geschult werden, wie sich die Benutzer bei den neuen Domänen anmelden müssen. Sowohl die Arbeitsstationen als auch die Server der Ressourcendomänen müssen heruntergefahren und neu gestartet werden, damit die Änderungen an der Domänenmitgliedschaft wirksam werden. Das Herunterfahren und der Neustart sollte nur so lange wie der Neustart eines Systems dauern. Dieser Vorgang sollte dann erfolgen, wenn die Auswirkungen durch die Unterbrechung minimal sind. Entwickeln einer Matrix für Rollen und VerantwortungsbereicheEntwickeln Sie eine umfassende Matrix für Rollen und Verantwortungsbereiche, die Ihnen bei der Migrationsplanung und -bereitstellung hilft. Diese Matrix ist außerdem wichtig für das Zuweisen von und Informieren über Supportprobleme sowie beim Nachverfolgen dieser Probleme. Sperren der Windows NT 4.0-Kontendomäne für die AktualisierungVor der Aktualisierung einer Windows NT 4.0-Domäne auf Windows Server 2003 Active Directory sollte die Umgebung für die Dauer des Vorgangs gesperrt oder der Zugriff eingeschränkt werden. Das Sperren der Windows NT 4.0-Domäne bedeutet, dass das Migrationsteam vor dem Aktualisieren eine Zeitspanne angibt, in der weder Benutzer noch Administratoren Änderungen an den Konten und der Windows NT 4.0 SAM-Datenbank durchführen dürfen. Für die Domänenaktualisierung würde dieser Meilenstein unmittelbar nach der Synchronisation der Domäne und dem Deaktivieren des Fallback-Sicherungsdomänencontroller (offline stellen) erfolgen und den Administratoren anzeigen, dass keine weiteren Domänenänderungen durchgeführt werden, bis der primäre Domänencontroller (PDC) auf Windows Server 2003 und Active Directory aktualisiert wurde. KurzzusammenfassungSie haben jetzt die Planungsphase abgeschlossen und haben mit den ersten Schritten der Migration begonnen. Einige der oben beschriebenen Schritte können vor oder auch nach der Migration durchgeführt werden, z. B. das Entfernen von veralteten Konten. Andere Schritte, z. B. die Schritte für die Kennwortmigration, hängen von der von Ihnen getroffenen Auswahl bei der Kennwortmigration ab: Einige entscheiden sich für das Migrieren von Kennwörtern, andere nicht. Bei der Aktualisierung von Domänen sollte die Domäne für einen gewissen Zeitraum für Änderungen gesperrt werden. Nachdem diese Schritte zum Vorbereiten der Migration abgeschlossen wurden, sind Sie bereit, Gruppen und Benutzerkonten zu migrieren. Optionen für die MigrationsprozessplanungDas Migrieren der vorhandenen Domänen kann über eine Vielzahl von Optionen erreicht werden. Das für die Migrationsplanung zuständige Team muss für jede vorhandene Domäne sowie für jeden vorhandenen Dienst einen spezifischen Plan erstellen. Die für die Migration und Konsolidierung gewählte Methode schränkt die erforderlichen Schritte und möglicherweise die Reihenfolge der Migration ein. Planen des Domänenmigrationspfades für jede ZieldomäneDer Domänenmigrationspfad bezieht sich auf die bestimmte Methode, die zum Migrieren einer Windows NT 4.0-Domäne nach Windows Server 2003 verwendet wird. Große Organisationen verfügen im Allgemeinen über mehrere Windows NT 4.0-Domänen, einschließlich der Master User Domains (MUD – Master-Benutzerdomänen) und Ressourcendomänen. Da Sie Ihre Gesamtmigration für jede Domäne planen, müssen Sie den optimalsten Typ für die Migration festlegen – entweder eine direkte Aktualisierung oder eine Neustrukturierung. Die Entscheidung für den Domänenmigrationspfad ist unabhängig von Ihren Migrationszielen und den Unternehmenszielen Ihrer Organisation, Ihrem Active Directory-Entwurf für die Windows Server 2003-Domäne sowie der Konfiguration und Nutzung Ihrer vorhandenen Domäne. Aspekte der MigrationEs gibt eine Reihe von Faktoren, die Sie beim Auswerten der einzelnen Domänen hinsichtlich des geeigneten Migrationsverfahrens beachten sollten.
Im Allgemeinen ist ein idealer Kandidat für eine direkte Aktualisierung eine Kontendomäne, die viele Sicherheitsprinzipale der Organisation enthält, die für die Zugriffssteuerung auf Unternehmensdaten verwendet werden. Eine direkte Aktualisierung der Kontendomäne bietet eine Basis für die beabsichtigte Active Directory-Struktur. Hierbei handelt es sich für das Unternehmen auch um die schnellste Möglichkeit mit der geringsten Ressourcenauslastung, um damit zu beginnen, die Vorteile der Windows Server 2003-Domäne zu nutzen. Wenn Sie eine direkte Aktualisierung einer Kontendomäne auf Windows Server 2003 durchführen, können Sie zusätzliche Domänen in Ihrer Active Directory-Gesamtstruktur aktualisieren oder neu strukturieren. Der Grund hierfür ist die wesentlich verbesserte Skalierbarkeit von Active Directory, die viel mehr Sicherheitsprinzipale als die Windows NT-Domänendatenbank enthalten kann. Während Windows NT 4.0 nur ungefähr 40.000 Objekte enthalten kann oder diese eine maximale Größe von 40 MB annehmen dürfen, kann Windows Server 2003 Active Directory Millionen von Objekten enthalten. Nachdem Sie diesen Abschnitt des Planungsprozesses abgeschlossen haben, sollten Sie Gründe für die Auswahl eines bestimmten Migrationspfades für eine vorhandene Domäne nennen und erläutern. Ihr Team kann z. B. eine direkte Aktualisierung Ihrer primären Kontendomäne wählen, da es sich hierbei um die Option mit dem geringsten Risiko handelt und sie dem Unternehmen unmittelbar den Vorteil von Active Directory für ein Exchange Server 2003-Pilotprojekt bietet. Nachdem Sie den Migrationspfad für jede Ihrer Windows NT 4.0-Domänen gewählt haben, kann das Team als nächstes die Bereitstellung der einzelnen Domänen planen. Anschließend wird die Reihenfolge der Domänenmigration geplant. Erster Bereitstellungsplan für jede ZieldomäneWenn Sie zu diesem Zeitpunkt den Migrationsplan für jede Domäne als Eingabe verwenden, erstellen Sie einen halbwegs ausführlichen Bereitstellungsplan für die einzelnen Domänen. Dies hilft Ihnen bei der Überprüfung, ob Sie den richtigen Migrationspfad gewählt haben. Der Bereitstellungsplan für diese Phase muss die Aufgaben aufführen, die zum Migrieren der Windows NT 4.0-Domäne zur Windows Server 2003 Active Directory-Struktur erforderlich sind. Der Domänenbereitstellungsplan würde umfangreiche Strategien für Testen, Pilotphase, Migrationsfallback und Rollout einbeziehen. Planen der Reihenfolge für die DomänenmigrationNachdem sich das Migrationsteam für einen Migrationspfad und ausgefeilten Bereitstellungsplan für jede Domäne entschieden hat, müssen Sie die Reihenfolge zum Aktualisieren und Neustrukturieren der Domänen festlegen. Die Erstellung dieser Migrationsreihenfolge für die vorhandenen Windows NT 4.0-Domänen bildet die Basis für die Gesamtmigrationsstrategie für den Wechsel des Unternehmens zu Windows Server 2003 Active Directory. Die erste Frage, die Sie sich bei der Überlegung der Reihenfolge für die Domänenmigration stellen müssen, ist: "Wie wird die Basis bzw. die erste Domäne von Active Directory erstellt?" Die Erstellung der ersten Domäne erzeugt die Active Directory-Gesamtstruktur. Sowohl der Active Directory-Entwurf als auch der gewählte Migrationspfad für die vorhandenen Domänen beseitigen einige der Optionen für die Erstellung der ersten Domäne. Optionen für die MigrationsreihenfolgeFolgende Optionen sind zu berücksichtigen:
Kontendomänen enthalten normalerweise mehr Objekte als Ressourcendomänen und daher kann das Unternehmen die Vorteile und Features von Active Directory schnell nutzen, wenn die Kontendomäne im Migrationsprozess rechtzeitig migriert wird. Die vom Unternehmen nutzbaren Vorteile bei der Aktualisierung einer Kontendomäne umfassen die verbesserte Skalierbarkeit von Active Directory und die erhöhte Sicherheit beim Implementieren der Delegierung von Verwaltungsaufgaben. Wenn für Ihre Organisation mehrere Kontendomänen zu migrieren sind, können Sie die folgenden Entscheidungsfaktoren verwenden, die Ihnen beim Planen der Reihenfolge für die Domänenmigration helfen:
Im Allgemeinen werden Kontendomänen vor den Ressourcendomänen aktualisiert, da die Ressourcendomänen in den neuen Active Directory-Domänen aufgelöst oder neu strukturiert werden. Die Reihenfolge bei der Neustrukturierung von Ressourcendomänen ist abhängig von dem Vorteil, den jede Domäne mit sich bringt, d. h. die Einsparungen durch das Stilllegen einer Ressourcendomäne und ihre Verwendung von Windows Server 2003 Active Directory-Features. Ermitteln von Servern zum Aktualisieren und KonsolidierenIn dieser Phase des Planungsprozesses haben Sie den Migrationspfad für Ihre Domänen und die Reihenfolge ihrer Migration ermittelt. Die Domänencontroller der einzelnen Domänen müssen berücksichtigt werden, um zu ermitteln, ob sie aktualisiert, außer Betrieb gesetzt oder für andere Rollen erneut bereitgestellt werden. Ein Faktor, der den weiteren Ablauf für Ihre Windows NT 4.0-Domänencontroller bestimmt, ist die Möglichkeit der Hardware, das Betriebssystem Windows Server 2003 zu unterstützen. Die Hardwareeignung des primären Domänencontrollers ist besonders relevant bei der Betrachtung der Domänencontroller einer Windows NT 4.0-Domäne, für die Sie bestimmt haben, dass sie dem direkten Aktualisierungspfad folgen wird. Strategie für die DomänenmigrationIhr Domänenmigrationsplan muss die folgenden Entscheidungen dokumentieren:
In den folgenden Abschnitten wird der sowohl für die Aktualisierung als auch Neustrukturierung von Windows NT 4.0-Domänen für Windows Server 2003 erforderliche Bereitstellungsplan ausführlich erläutert. Aktualisieren von Windows NT 4.0-DomänenWenn Sie sich für eine direkte Aktualisierung einer Windows NT 4.0-Domäne entschieden haben, müssen Sie bei der Vorbereitung auf diese Aktualisierung der Domäne eine Auswahl treffen. Aspekte der AktualisierungEine primäre Anforderung bei der Planung für Ihre Aktualisierung ist das Konfigurieren und Überprüfen der DNS-Unterstützung für die Installation von Active Directory. Windows Server 2003 hängt von DNS als Locatordienst ab, der es Clientcomputern ermöglicht, andere Computer und Active Directory-Dienste zu suchen. Microsoft empfiehlt, dass Sie Windows Server 2003 DNS als den Active Directory unterstützenden DNS-Server verwenden. Diese Version von DNS ist jedoch nicht erforderlich. Der von Ihnen verwendete DNS-Server muss den SRV-Ressourcendatensatz (SRV RR) (RFC 2052) verwenden. Es wird empfohlen, dass Sie einen DNS-Server verwenden, der auch das dynamische Aktualisierungsprotokoll (RFC 2136) verwendet. Dadurch wird die Verwaltung und Konfiguration von Active Directory erheblich vereinfacht. BIND (eine beliebten DNS-Serverimplementierung), Version 8.1.2 und höher, unterstützt sowohl SRV RR als auch die dynamische Aktualisierung. Wenn Sie eine BIND-Version verwenden, die keine dynamischen Aktualisierungen unterstützt, müssen Sie dem DNS-Server manuell Einträge hinzufügen. Beachten Sie außerdem, dass die in Windows NT Server 4.0 enthaltene Version von DNS den SRV-Eintrag nicht unterstützt und somit nicht für die Unterstützung von Active Directory verwendet werden kann. Während der direkten Aktualisierung der Domäne ist es unbedingt erforderlich, dass der zu aktualisierende Domänencontroller auf einen DNS-Server verweist, der Active Directory unterstützen kann. Es gibt eine Reihe von Auswahlmöglichkeiten, wenn der aktuelle primäre DNS-Server die Anforderungen für Active Directory nicht unterstützt. Dazu zählen:
Beachten Sie, dass bei der Übertragung einer Windows Server 2003 Active Directory DNS-Zone auf einen Windows NT 4.0 DNS-Server die SRV-Einträge im DNS-Manager als Hosteinträge A-Einträge) angezeigt werden. Diese Hosteinträge ermöglichen, dass SRV-Abfragen an den Windows NT 4.0 DNS-Server erfolgreich durchgeführt werden können. Aktualisieren von DomänencontrollernEine direkte Domänenaktualisierung erfordert zumindest die Aktualisierung des Betriebssystems von Windows NT 4.0 auf Windows Server 2003. Die erste Aktualisierung muss auf dem primären Domänencontroller für die zu aktualisierende Domäne durchgeführt werden. Nachdem der primäre Domänencontroller aktualisiert wurde, stehen Ihnen eine Reihe von Optionen zur Konfiguration weiterer Domänencontroller zur Verfügung. Diese umfassen eine direkte Aktualisierung vorhandener NT 4.0-Sicherungsdomänencontroller, die Bereitstellung neuer Domänencontroller auf dem Betriebssystem Windows Server 2003 oder die Stilllegung der vorhandenen Sicherungsdomänencontroller. HardwareanforderungenZu einem früheren Zeitpunkt im Migrationsprojekt, während der Bewertungsphase, haben Sie Hardwarespezifikationen für die aktuellen Domänencontroller der Zieldomänen erfasst. Diese Bewertung der Hardware bietet wichtige Daten für die Entscheidung über die Eignung der Domänencontroller hinsichtlich einer Aktualisierung auf das Betriebssystem Windows Server 2003. Zu diesem Zeitpunkt ist es für Ihre IT-Organisation wichtig, eine minimale Hardwarespezifikation festzulegen, die für Windows Server 2003-Domänencontroller unterstützt wird. Mehrere Faktoren beeinflussen die Domänencontrollerkapazität, z. B. die Anzahl der Objekte in der Domäne, die Anzahl der Benutzer, die sich an der Domäne anmelden, die Rolle des Domänencontrollers sowie die darauf installierten Dienste und Anwendungen. In der folgenden Tabelle sind empfohlene Hardwareanforderungen für die Domänencontroller in Abhängigkeit von den nachfolgend aufgeführten Auslastungskategorien beschrieben.
Tabelle 4. Für Domänencontroller empfohlene Hardwareanforderungen Aktualisierungsreihenfolge für DomänencontrollerDie Ermittlung der Reihenfolge für die Aktualisierung der Domänencontroller hängt von den Hardwarekonfigurationen der Server, dem Standort der Server, den Auswirkungen des Active Directory-Entwurfs sowie der Kapazitätenplanung für Active Directory ab. Der erste Server, der für eine Windows NT 4.0-Domäne aktualisiert werden muss, ist der Server, der die Funktion des primären Domänencontrollers übernimmt. Wenn der aktuelle primäre Domänencontroller nicht über die entsprechende Hardware verfügt, muss ein Windows NT 4.0-Sicherungsdomänencontroller mit geeigneter Hardware eingesetzt werden, der für die Durchführung der Aktualisierung die Funktion des primären Domänencontrollers übernimmt. Nach der erfolgreichen Aktualisierung des primären Domänencontrollers aktualisieren oder ersetzen Sie die verbleibenden Sicherungsdomänencontroller oder setzen diese außer Betrieb. Ein bezeichnendes Merkmal für die Reihenfolge bei der Aktualisierung sind möglicherweise die auf den Sicherungsdomänencontrollern ausgeführten Anwendungen und deren Kompatibilität mit dem Betriebssystem Windows Server 2003. Andernfalls können Sie die Sicherungsdomänencontroller in beliebiger Reihenfolge aktualisieren. Eine Option für inkompatible Anwendungen auf Windows NT 4.0-Sicherungsdomänencontrollern ist es, die Anwendungen auf einen Windows NT 4.0-Mitgliedsserver zu verschieben, während die Kompatibilitätsprobleme der Anwendung gelöst werden. Der Standort des Sicherungsdomänencontrollers, falls es sich um einen Remotestandort handelt, kann sich auch auf die Zeitplanung der Aktualisierung, Ersetzung oder Stilllegung auswirken. Konfigurieren der InteroperabilitätWährend der Migration ist es für den Erfolg des Projekts und die Stabilität der Produktionsumgebung entscheidend, dass die Interoperabilität erhalten bleibt. Windows Server 2003 ist für den Erhalt der Interoperabilität konzipiert. Es gibt jedoch verschiedene Interoperabilitätsprobleme und Entscheidungspunkte, die Sie berücksichtigen müssen. Erhalten des Anmeldeskripts und der SystemrichtlinienreplikationDie Replikation von Anmeldeskripts und Systemrichtlinien in einer Windows NT 4.0-Domäne verwendet den LMRepl-Dienst. Windows Server 2003 unterstützt LMRepl nicht und verwendet FRS (File Replication Service) für die Replikation der Anmeldeskripts und Gruppenrichtlinienobjekte. Daher muss für die Replikation eine Brücke konfiguriert werden, um die Replikation von Anmeldeskripts und Systemrichtlinien mit Windows NT 4.0-Domänencontrollern nach einer direkten Aktualisierung zu erhalten. Der Windows NT 4.0-Domänencontroller, der die Exportfunktion für LMRepl ausführt, muss als letzter Domänencontroller aktualisiert werden. Wenn der Server in der Windows NT 4.0-Domäne, der als Host für die Exportfunktion dient, den primären Domänencontroller darstellt, sollten Sie entweder die Exportserverfunktion auf einen Sicherungsdomänencontroller verschieben oder den aktuellen primären Domänencontroller zurückstufen und einen neuen primären Domänencontroller für die Domäne einführen. Nachdem der primäre Domänencontroller auf Windows Server 2003 aktualisiert wurde, konfigurieren Sie die Brücke zwischen FRS und LMRepl gemäß dem Microsoft Knowledge Base-Artikel 317368, der unter folgendem URL zur Verfügung steht (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;317368 Vermeiden von Überlastungen auf dem ersten Domänencontroller während der DomänenaktualisierungNachdem Sie den ersten von mehreren Windows NT Server 4.0-basierten Domänencontrollern auf Windows Server 2003 aktualisiert haben, stellen alle auf Windows 2000 Professional und auf nachfolgenden Versionen basierende Clients der Domäne zu Authentifizierungszwecken eine Verbindung zu diesem Domänencontroller her. Diese Clients stellen keine Verbindung zu anderen Domänencontroller her. Dadurch kann der aktualisierte Domänencontroller möglicherweise überlastet werden. Möglicherweise zeigen sich auch negative Auswirkungen bei der Fehlertoleranz. Bevor Sie Windows Server 2003 auf dem primären Windows NT 4.0-Domänencontroller installieren, schützen Sie den Domänencontroller, indem Sie ihn so konfigurieren, dass er einen Windows NT 4.0-basierten Domänencontroller emuliert. Durch die Abschirmung des Domänencontrollers wird dieser von Clients, die Windows 2000, Windows® XP und Windows Server 2003 ausführen, nicht als Active Directory-Domänencontroller erkannt. Clients authentifizieren sich beim neuen Windows Server 2003-basierten Domänencontroller, als ob es sich um einen Windows NT 4.0-basierten Domänencontroller handeln würde und schützen ihn vor der Überlastung durch Authentifizierungsanfragen von Active Directory-Clients. Sie sollten die Emulierungseinstellung beibehalten, bis ausreichend Windows Server 2003-basierte Domänencontroller an jedem Standort bereit sind, um alle Active Directory-Clients zu betreuen. Sie sollten die Emulierungseinstellung bei Bedarf auf jedem Windows NT 4.0-basierten Domänencontroller konfigurieren, den Sie auf Windows Server 2003 aktualisieren möchten. Nachdem Sie den primären Domänencontroller vor der Überlastung geschützt haben, müssen Sie die Emulierung auf sämtlichen zusätzlichen Domänencontrollern aufheben, die Sie für eine Aktualisierung eingeplant haben. Damit die Active Directory-Installation erfolgreich durchgeführt werden kann, müssen zusätzliche Domänencontroller in derselben Domäne in der Lage sein, die Verbindung zu einem Active Directory-Domänencontroller in ihrer Domäne herzustellen. Wenn Sie auf Windows NT 4.0-Sicherungsdomänencontrollern den Registrierungsschlüssel "NT4Emulator" vor der Aktualisierung des Betriebssystems festlegen, wird der Domänencontroller vor der Überlastung geschützt. Wenn Sie den Registrierungsschlüssel "NeutralizeNT4Emulator" unmittelbar danach festlegen, kann der Sicherungsdomänencontroller die Verbindung zu einem Active Directory-Domänencontroller herstellen, für den der Registrierungsschlüssel "NT4Emulator" festgelegt ist, und Active Directory erfolgreich installieren. Weitere Informationen zum Aufheben der Windows NT 4.0-Emulierung finden Sie weiter unten in diesem Kapitel unter "Aufheben der Emulierung eines Windows NT 4.0-Domänencontrollers". Nachdem Sie alle Domänencontroller aktualisiert haben oder Sie über ausreichend Windows Server 2003-basierte Domänencontroller zum Authentifizieren der Clients in Ihrer Domäne verfügen, die Windows 2000, Windows XP und Windows Server 2003 ausführen, können Sie diese Konfiguration rückgängig machen, indem Sie die Registrierung erneut bearbeiten und den Registrierungsschlüssel "NT4Emulator" entfernen. Weitere Informationen zum Implementieren von "NT4Emulation" finden Sie im Microsoft Knowledge Base-Artikel 298713, der über folgenden URL verfügbar ist (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;298713 "Anhäufungs"-Szenarien in Active Directory-DomänenZusätzlich zum bereits beschriebenen Überlastungseffekt gibt es andere "Anhäufungs"-Szenarien, die in Abhängigkeit von den Konfigurationen in der zu aktualisierenden Domäne möglicherweise berücksichtigt werden müssen. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 305027, der über folgenden URL verfügbar ist (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;305027 Funktionsebenen von Windows Server 2003In Windows Server 2003 definiert die Funktionsebene einer Domäne oder Gesamtstruktur den Satz erweiterter Windows Server 2003 Active Directory-Funktionen, die in der betreffenden Domäne oder Gesamtstruktur verfügbar sind. Die Funktionsebene einer Domäne oder Gesamtstruktur definiert außerdem die Gruppe der Windows-Betriebssysteme, die auf den Domänencontrollern in der betreffenden Domäne oder Gesamtstruktur ausgeführt werden können. Es werden nicht die Client-Betriebssysteme definiert, die in der Gesamtstruktur unterstützt werden. Für Windows Server 2003-Domänen gibt es vier mögliche Funktionsebenen, während für die Gesamtstruktur drei Ebenen verfügbar sind. In Tabelle 5 werden die Funktionsebenen der Windows Server 2003-Domäne sowie die Betriebssysteme aufgeführt, die diese auf den einzelnen Domänenfunktionsebenen unterstützen.
Tabelle 5. Funktionsebenen der Windows Server 2003-Domäne In Tabelle 6 werden die Funktionsebenen der Windows Server 2003-Gesamtstruktur sowie die Betriebssysteme aufgeführt, die diese auf den einzelnen Gesamtstruktur-Funktionsebenen unterstützen.
Tabelle 6. Funktionsebenen der Windows Server 2003-Gesamtstruktur Weitere Informationen finden Sie im Microsoft TechNet-Artikel "Functional Levels Background Information", der über folgenden URL verfügbar ist (nur auf Englisch verfügbar): Bei der Erstellung der ersten Windows Server 2003-Domäne wird die Standardfunktionsebene für die Domäne und Gesamtstruktur auf die unterste Ebene festgelegt, wodurch die höchste Interoperabilität für Domänencontroller bereitgestellt wird – Windows 2000, gemischt. Die gemischten Funktionsebenen von Windows 2000 berücksichtigen Domänencontroller, die auf den Betriebssystemen Windows NT 4.0, Windows 2000 Server und Windows Server 2003 basieren. Wenn jedoch bekannt ist, dass die Aktualisierung der Domäne nur Windows NT 4.0- und Windows Server 2003-basierte Domänencontroller verwendet, wird empfohlen, den Windows Server 2003-Übergangsmodus zu verwenden, da eine höhere Funktionalität bereitgestellt wird. Gruppe "Prä-Windows 2000 kompatibler Zugriff" in Windows Server 2003Die Gruppe "Prä-Windows 2000 kompatibler Zugriff" wird für die Abwärtskompatibilität von Computern verwendet, die Windows NT 4.0 und frühere Versionen ausführen. Mitglieder dieser Gruppe verfügen über den Lesezugriff auf alle Benutzer und Gruppen in der Domäne. Fügen Sie dieser Gruppe nur Benutzer hinzu, wenn diese Windows NT 4.0 oder frühere Versionen ausführen. Wenn Sie einen Windows NT 4.0-basierten RAS- oder RRAS-Server als Mitglied einer Windows Server 2003-basierten Domäne einrichten, müssen Sie sicherstellen, dass der Server auf die Anmeldeinformationen für den Remotezugriff von Domänenkonten zugreifen kann. In diesem Artikel wird beschrieben, wie die spezielle Gruppe Jeder zur Gruppe "Prä-Windows 2000 kompatibler Zugriff" hinzugefügt wird. Dadurch gestatten Sie die Authentifizierung aller RAS-Aufrufer durch den Windows NT 4.0 RAS-Server. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 325363, der über folgenden URL verfügbar ist (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;325363 Windows 95- oder Windows NT 4.0-Clients in einer Windows Server 2003-DomäneDas Signieren von SMB-Paketen (Server Message Block) sowie der Daten des sicheren Kanals sind Sicherheitsrichtlinien, die standardmäßig auf Windows Server 2003-basierten Domänencontrollern aktiviert sind. Standardmäßig werden Sicherheitseinstellungen auf Domänencontrollern, die Windows Server 2003 ausführen, so konfiguriert, dass sie dabei helfen, das Abfangen oder Manipulieren der Domänencontrollerkommunikation durch unberechtigte Benutzer zu verhindern. Wenn in Ihrer Organisation Clients vorhanden sind, die Windows NT 4.0 mit SP2 oder früher oder Windows 95 ausführen, können sich diese aufgrund der Sicherheitsrichtlinien zum Signieren von SMB-Paketen nicht bei Windows Server 2003-Domänencontrollern authentifizieren. Wenn in der Organisation Computer vorhanden sind, die Windows NT 4.0 mit SP2 oder früher ausführen, wird empfohlen, das Betriebssystem zu aktualisieren oder Service Pack 6a zu installieren (die SMB-Signierung wird ab Service Pack 4 aktiviert). Wenn Computer vorhanden sind, die Windows 95 ausführen, wird empfohlen, das Betriebssystem zu aktualisieren, um dieses problematische Verhalten zu beheben oder den Active Directory-Client zu installieren. Obwohl Microsoft es nicht empfiehlt, können Sie verhindern, dass das Signieren von SMB-Paketen auf allen Domänencontrollern erforderlich ist, die Windows Server 2003 in einer Domäne ausführen. Folgen Sie den Anweisungen im Microsoft Knowledgebase-Artikel 811497, der unter folgendem URL verfügbar ist, um diese Sicherheitseinstellung zu konfigurieren (nur auf Englisch verfügbar): http://support.microsoft.com/default.aspx?scid=kb;DE;811497 Aspekte zum FallbackWenn Sie Änderungen an Produktionssystemen vornehmen, muss die Fallbackplanung vor der vollständigen Einführung getestet und überprüft werden. Bei einer direkten Aktualisierung einer Windows NT 4.0-Domäne auf Windows Server 2003 gibt es zwei grundlegende Möglichkeiten, um den Fallback zu realisieren:
Neustrukturieren von Windows NT 4.0-DomänenDie Domänenaktualisierung ist ein Prozess, bei dem die aktuelle Umgebung weitestgehend beibehalten wird, einschließlich der Domänenstruktur. Bei der Neustrukturierung der Windows NT 4.0-Domäne können Sie dagegen die Gesamtstruktur entsprechend den Bedürfnissen Ihrer Organisation neu entwerfen. Die Ergebnisse der Neustrukturierung können unterschiedlich ausfallen, aber im Allgemeinen führt sie zu einer Optimierung der aktuellen Struktur und hin zu weniger, jedoch größeren Domänen. Es gibt eine Reihe von Tools zur Verzeichnisverwaltung, die nicht von Microsoft stammen, die die Unterstützung der Domänenneustrukturierung für Windows NT bereitgestellt haben. Windows 2000 und Windows Server 2003 bieten eine einheitliche Funktionalität, um Szenarien zur Domänenneustrukturierung zu aktivieren:
Microsoft hat auch ein grafisches Tool zur Verfügung gestellt, ADMT v2, um die Domänenneustrukturierung zu vereinfachen sowie skriptfähige COM-Komponenten (Component Object Model) und Befehlszeilen-Dienstprogramme, die bei der Neustrukturierung von Operationen helfen. Das Migrationstool für Active Directory (ADMT – Active Directory Migration Tool) kann vielen Kunden beim Implementieren der nachfolgend beschriebenen Szenarien helfen. Für Kunden, die fortgeschrittenere und grafische Tools benötigen, bieten eine Reihe von ISVs (Independent Software Vendors – unabhängige Softwareanbieter) Tools von Drittherstellern an, die die Domänenneustrukturierung und Migrationsfunktionalität bereitstellen. Weitere Informationen finden Sie unter dem folgenden URL (nur auf Englisch verfügbar): http://www.microsoft.com/windowsserver2003/upgrading/nt4/tooldocs/default.mspx Im verbleibenden Rest dieses Kapitels wird ADMT v2 verwendet, um Beispiele von Migrationsprozessen während der Domänenneustrukturierung bereitzustellen. Optimale Methoden zum Durchführen der DomänenneustrukturierungIn diesem Abschnitt werden die optimalen Methoden zum Durchführen einer Domänenneustrukturierung mithilfe von ADMT aufgeführt, mit der übergreifenden Aussage, dass Sie den in den folgenden Abschnitten dargestellten Migrationsverfahren folgen sollten.
Vorbereiten der Quell- und Zieldomänen für die MigrationWenn Sie die Neustrukturierung der Domäne durchführen, impliziert dies, dass eine Windows Server 2003-Domäne erstellt wurde, um Windows NT 4.0-Domänen in die neue Umgebung zu migrieren. Diese neue Umgebung wird als Zieldomäne bezeichnet. Aktivieren der ÜberwachungWenn Sie Kennwörter aus der Quelldomäne in die Zieldomäne migrieren, müssen Sie für beide Domänen die Überwachung aktivieren. Die Überwachung muss in den Quell- und Zieldomänen aktiviert werden, da die Operationen der "SIDHistory"-API überwacht werden, um sicherzustellen, dass sowohl Administratoren der Quelldomäne als auch der Zieldomäne in der Lage sind zu erkennen, wann diese Funktion ausgeführt wurde. Die "SIDHistory"-API überprüft, dass der Überwachungsmodus für die jeweiligen Domänen sowie die Überwachung der Kontenverwaltung hinsichtlich erfolgreicher/fehlgeschlagener Ereignisse aktiviert ist. In der Zieldomäne wird für jede erfolgreiche oder fehlgeschlagene Operation der "SIDHistory"-API ein eindeutiges Überwachungsereignis "SID-Verlauf hinzugefügt" generiert. Konfigurieren des Prä-Windows 2000 kompatiblen ZugriffsWenn Sie Kennwörter aus der Quelldomäne in die Zieldomäne migrieren, müssen Sie den anonymen sitzungsfreien Zugriff auf die Zieldomäne zulassen. Die Gruppe "Jeder" sollte während der Migration in der Zieldomäne ein Mitglied der Gruppe "Prä-Windows 2000 kompatibler Zugriff" sein. Hinzufügen des Registrierungsschlüssels "TcpipClientSupport"Der folgende Registrierungswert muss zum primären Domänencontroller der Quelldomäne hinzugefügt werden, um RPC-Aufrufe über TCP zu aktivieren. Ändern Sie den folgenden Registrierungswert, um den DWORD-Wert "1" zu erhalten. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\TcpipClientSupport Durch die Änderung dieses Wertes wird die Systemsicherheit nicht verringert. Wenn dieser Wert erstellt oder geändert wird, muss der Quelldomänencontroller neu gestartet werden, damit diese Einstellung wirksam wird. Erstellen der lokalen Gruppe der QuelldomäneSie müssen eine neue lokale Gruppe, <Quelldomänenname>$$$, zu Überwachungszwecken in der Quelldomäne erstellen. Diese lokale Gruppe, <Quelldomänenname>$$$, deren Name sich aus dem NetBIOS-Namen der Quelldomäne und drei Dollarzeichen ($) zusammensetzt, muss vor dem Migrieren von "SIDHistory" auf dem Quelldomänencontroller erstellt werden. Jeder Quellbenutzer und jede globale Gruppe, die als Ziel dieses Vorgangs dienen, wird dieser Gruppe als Mitglied hinzugefügt und anschließend wieder entfernt. Dadurch werden die Überwachungsereignisse "Mitglied hinzufügen" und "Mitglied löschen" in der Quelldomäne generiert, die Sie über die Suche nach Ereignissen überwachen können, die auf den Gruppennamen verweisen. Installieren des 128-Bit High Encryption PacksDas 128-Bit High Encryption Pack ist sowohl auf Windows Server 2000- als auch Windows Server 2003-Computern erforderlich, die das ADMT ausführen sowie auf dem als Kennwortexportserver fungierenden Server, bei dem es sich um einen beliebigen Sicherungsdomänencontroller oder den primären Domänencontroller in der Quelldomäne handelt, auf dem die DLL zum Unterstützen der Kennwortmigration installiert ist. Bei Windows Server 2003 ist das 128-Bit Encryption Pack standardmäßig installiert. Sie müssen es möglicherweise auf Ihrem Windows NT 4.0-Kennwortexportserver installieren. Das 128-Bit High Encryption Pack kann über folgenden URL installiert werden (nur auf Englisch verfügbar): http://www.microsoft.com/ntserver/nts/downloads/recommended/SP6/128bitX86. Erstellen des KennwortexportserversDurch das Migrieren von Kennwörtern mithilfe des Active Directory-Migrationstools wird das Konzept des Kennwortexportservers (Password Export Server – PES) eingeführt, der als Host für die Unterstützungs-DLLs der Kennwortmigration fungiert. Der PES kann ein beliebiger Domänencontroller in der Quelldomäne sein. Wenn es sich bei dem PES nicht um den primären Domänencontroller handelt, müssen Sie die 128-Bit High Encryption-Software auch auf diesem Controller installieren. Wenn Sie keine Kennwörter migrieren möchten, müssen Sie den Kennwortexportserver nicht installieren. Stellen Sie sicher, dass der Kennwortexportserver den folgenden minimalen Softwareanforderungen entspricht: Windows NT 4.0 mit SP5, Windows 2000 oder Windows Server 2003 mit installiertem 128-Bit High Encryption Pack. Das Active Directory-Migrationstool kann in der Zieldomäne keine Kennwortrichtlinien überprüfen. Wenn die Quellbenutzerkonten Kennwörter aufweisen, die gegen die Kennwortbeschränkungen in der Zieldomäne verstoßen (z. B. die Längenbeschränkung), dann werden die betroffenen migrierten Konten dazu gezwungen, ihr Kennwort bei der nächsten Anmeldung zu ändern. Der PES sollte nach Beendigung der Migration deinstalliert werden, um die Angriffsmöglichkeiten auf die Umgebung zu verringern. Heraufstufen der DomänenfunktionsebeneDamit "SIDHistory" von der Quelldomäne in die Active Directory-Zieldomäne migriert werden kann, muss die Funktionsebene der Domäne auf Windows 2000, pur oder höher heraufgestuft werden. In einer Active Directory-Domäne, bei der die Funktionsebene dem Modus "Windows 2000, pur" oder höher entspricht, erstellt die Benutzeranmeldung ein Zugriffstoken, das die primäre Konto-SID sowie die Gruppen-SIDs des Benutzers enthält und außerdem die "SIDHistory" des Benutzers und der Gruppen, bei denen der Benutzer Mitglied ist. Bei der Quelldomäne kann es sich entweder um Windows NT 4.0- oder um eine beliebige Windows Server 2000- oder Windows Server 2003-Funktionsebene handeln. Die Quell- und Zieldomänen dürfen sich nicht in derselben Gesamtstruktur befinden (Windows NT 4.0-Domänen befinden sich definitionsgemäß nicht in einer Gesamtstruktur). Diese gesamtstrukturübergreifende Einschränkung stellt sicher, dass doppelte SIDs nicht in derselben Gesamtstruktur erstellt werden, unabhängig davon, ob sie als primäre SIDs oder "SIDHistory"-Werte angezeigt werden. Einrichten von VertrauensstellungenDamit Konten und Ressourcen einer Windows NT 4.0-Quelldomäne in eine Windows Server 2003-Zieldomäne migriert werden können, sind externe Vertrauensstellungen erforderlich. Die Gruppe der erforderlichen Vertrauensstellungen wird durch den Typ der migrierten Objekte bestimmt. Zwischen der Windows NT 4.0-Kontendomäne und der Zieldomäne müssen zwei unidirektionale Vertrauensstellungen vorhanden sein.
Zwischen den Windows NT 4.0-Ressourcendomänen und der Zieldomäne muss eine unidirektionale Vertrauensstellungen vorhanden sein, damit Folgendes gilt:
Konfigurieren der Struktur der ZielorganisationseinheitDie Organisationseinheitsstruktur basiert auf dem Entwurf der Organisationseinheit, das vom Entwurfsteam erstellt wurde. Konfigurieren Sie die Struktur der Organisationseinheit für die Verwaltung, indem Sie die Konsole "Active Directory-Benutzer und -Computer" verwenden. Sie legen die Zielorganisationseinheit für Objekte fest, die Sie Mithilfe von ADMT v2 migrieren. Da Objekte einfach zwischen Organisationseinheiten in Active Directory verschoben werden können, sollten Sie erwägen, Zielorganisationseinheiten als Platzhalter für die einzelnen Migrationen zu erstellen. Wenn Sie der Meinung sind, dass alle Probleme beseitigt wurden, können die Objekte an ihr endgültiges Ziel verschoben werden. Migrieren von ObjektenIn diesem Abschnitt wird die Windows NT 4.0-Domänenmigration von Objekten sowie die Konvertierung von Sicherheitsprinzipalen beschrieben. Es ist wichtig, die verschiedenen Objekttypen zu verstehen, die Sie während dieses Vorgangs aus der Windows NT 4.0-Domäne migrieren müssen. Sie sollten sich überlegen, die folgenden Migrationsverfahren für Ihre Windows NT 4.0-Quelldomäne durchzuführen:
Dieser Abschnitt handelt nicht von der Migration von Kontendomänen oder Ressourcendomänen, sondern eher von den Migrationsvorgängen, die in diesen Szenarios durchgeführt werden müssen. Die in Ihren Domänen vorhandenen Objekttypen (Benutzer, Gruppen, Computer) bestimmen die Migrationsvorgänge, die Sie durchführen müssen. Entwickeln eine Strategie für die ObjektmigrationDie Detailstufe der Migrationsstrategie und die Reihenfolge für Ihre Organisation hängen von vielen Faktoren aber, z. B. vom Domänenmodell, vom Verwaltungsmodell sowie der Größe des Migrationsteams. Ungeachtet dieser Variablen, folgt die Neustrukturierung einer Windows NT 4.0-Domäne zu einer Windows Server 2003 Active Directory-Domäne mithilfe des ADTMs v2 dem in Abbildung 2 dargestellten Verfahren. Wenn in Ihrer Organisation eine große Anzahl von Windows NT 4.0-Domänen neu strukturiert werden müssen, wiederholen Sie dieses Migrationsverfahren, bis Sie den gewünschten Endzustand erreicht haben. Dieses Verfahren bietet den Ansatz mit den optimalen Methoden für die Neustrukturierung einer Windows NT 4.0-Domäne. Nachdem Sie überprüft haben, dass die Migration wie gewünscht vorangeht, verwenden Sie die Assistenten zum Migrieren von Gruppen, Benutzern und Computern. Anschließend verwenden Sie den Sicherheitskonvertierungs-Assistenten in ADMT v2, um die ACLs auf den Computern zu aktualisieren. Folgendes führen Sie während des Migrationsverfahrens durch:
Wiederholen Sie dieses Verfahren aus Migration, Analyse und dem Beheben von Problemen, bis die Migration abgeschlossen ist. Migrieren von GruppenDas Migrieren von Gruppen aus der Quelldomäne in die Zieldomäne sollte von den Dienstadministratoren Ihrer Active Directory-Umgebung durchgeführt werden. Zu diesem Zeitpunkt erweist es sich optimales Verfahren, die Gruppenmitgliedschaft nicht zu migrieren, sondern nur die Gruppen selbst. Die Gruppenmitgliedschaft wird während des Migrationsverfahrens für die Benutzerkonten migriert (Migrieren von Benutzerkonten). Migrieren Sie alle Gruppen aus Ihrer Quelldomäne in die Active Directory-Zieldomäne. Dadurch wird sichergestellt, dass alle ACLs erhalten bleiben, die eine Quelldomänengruppe verwenden. Sie können veraltete Objekte zu einem späteren Zeitpunkt aus der Active Directory-Domäne entfernen. Globale Gruppen können als Mitglieder nur Benutzer aus ihrer eigenen Domäne aufnehmen. Wenn Benutzerkonten von einer Domäne in eine andere migriert werden, können die vom ADTM in der Zieldomäne erstellten neuen Konten keine Mitglieder der globalen Gruppen in der Quelldomäne sein. Damit die globale Gruppenmitgliedschaft von Benutzern erhalten bleibt, müssen zuerst die globalen Gruppen geklont werden. Dadurch wird für jede globale Gruppe in der Quelldomäne eine entsprechende globale Gruppe in der Zieldomäne erstellt. Die neu erstellte globale Gruppe der Zieldomäne erhält eine neue primäre SID, die die Domänenkennung der Zieldomäne als Teil der SID enthält. Die primäre SID der globalen Gruppe in der Quelldomäne wird zum Attribut "SIDHistory" der neu erstellten Gruppe hinzugefügt. Das Migrieren globaler Gruppen umfasst die folgenden Schritte:
Lokale Gruppen können in anderen Domänen definierte Mitglieder enthalten. Daher kann sich das Verarbeiten lokaler Gruppen etwas komplizierter erweisen als das Verarbeiten globaler Gruppen und Benutzerkonten. Beim Hinzufügen eines lokalen Gruppenmitglieds in der Zieldomäne verarbeitet das ADMT die Gruppenmitglieder in der folgenden Reihenfolge:
Gemeinsame lokale Gruppen werden manchmal auf Domänencontrollern verwendet, um Zugriffsrechte zu organisieren. Wenn gemeinsame lokale Gruppen verwendet werden, sollten Sie alle gemeinsamen lokalen Gruppen mit dem Gruppenmigrations-Assistent von ADMT v2 in die Zieldomäne migrieren, die Domänencontroller aktualisieren und diese dann in die Zieldomäne verschieben. Vor dem Migrieren von Gruppen können Sie den Assistenten zum Zuordnen und Zusammenführen von Gruppen des ADMT v2 verwenden, um eine Gruppe in der Quelldomäne zu einer anderen Gruppe in der Zieldomäne zuzuordnen. Beim Zuordnen einer Gruppe zu einer anderen wird im Wesentlichen die Mitgliedschaft einer Gruppe in der Quelldomäne in eine neue oder andere Gruppe in der Zieldomäne verschoben. Sie können auch die Mitgliedschaften mehrerer Gruppen in eine neue oder andere Gruppe in der Zieldomäne zusammenführen. Beim Zusammenführen mehrerer Gruppen in eine Gruppe werden die Mitgliedschaften verschiedener Gruppen in der Quelldomäne zu einer Gruppe in der Zieldomäne kombiniert. Bevor Sie die Migration für die Benutzerkonten durchführen können, wird Folgendes vorausgesetzt:
Erneutes Migrieren globaler GruppenEine umfangreiche Migration von Benutzerkonten kann erhebliche Zeit in Anspruch nehmen. Dies kann ein regelmäßiges erneutes Klonen von globalen Gruppen von der Quelldomäne zur Zieldomäne erforderlich machen, um die in der Quelldomäne vorgenommene Änderungen widerzuspiegeln. Sie würden z. B. wie folgt vorgehen, um die globale Gruppenmitgliedschaft ohne Überschreiben der zuvor migrierten Benutzerkonten zu aktualisieren:
Falls Konflikte bei den Kontonamen auftreten, gehen Sie wie folgt vor, um sicherzustellen, dass die neuen Mitglieder an die Gruppenmitgliedschaft angehängt werden:
Es stehen zahlreiche Migrationsoptionen zur Verfügung. Testen Sie Ihre Migrationsstrategie vor dem Migrieren von Gruppen und Benutzern sehr sorgfältig. Es ist auch möglich, einen geplanten Task festzulegen, um diesen Vorgang in der Nacht in Ihrer Organisation zu wiederholen. Dies umfasst die Verwendung der Befehlszeilenschnittstelle des ADMTs, um die globalen Gruppen erneut zu klonen. Migrieren von BenutzerkontenNachdem die Gruppen in die Zieldomäne migriert wurden, können Sie jetzt die Benutzerkonten aus der Windows NT 4.0-Umgebung in die neue Windows Server 2003 Active Directory-Domäne migrieren. Wenn Sie zum Migrieren von Kennwörtern bereit sind, ändern Sie den folgenden Registrierungswert, damit dieser dann den DWORD-Wert "1" besitzt. Führen Sie diesen Schritt erst aus, wenn Sie bereit sind, die Migration durchzuführen, um die maximale Sicherheit zu gewährleisten. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport Dies kann bei Bedarf schrittweise durchgeführt werden, aber Sie können mit einer Pilotgruppe von Benutzern beginnen, um zu testen, ob die neue Umgebung und sämtliche Ressourcenzugriffsmöglichkeiten erhalten bleiben. Nachdem Sie bestätigen konnten, dass die Pilotmigration erfolgreich durchgeführt wurde, können Sie mit dem Migrieren weiterer Benutzer in mehreren Schritten fortfahren. Wenn Sie Konten migrieren, müssen Sie die SIDs in die Zieldomäne migrieren. Dadurch wird die "SIDHistory" der Konten aktualisiert. Wenn Sie Konten migrieren, ohne die "SIDHistory" für diese Konten zu aktualisieren, verfügen die neuen Konten nicht über die Zugriffsmöglichkeiten wie die ursprünglichen Konten, bis Sie die Sicherheit und das Exchange-Verzeichnis konvertieren. Als optimale Methode empfiehlt es sich, das Benutzerkonto als deaktiviertes Benutzerobjekt in eine Windows Server 2003 Active Directory-Domäne zu migrieren. Das Benutzerkonto kann dann deaktiviert werden, wenn die Arbeitsstation des Benutzers nach Active Directory migriert wird. Bevor Sie die Gruppenmigration durchführen können, wird Folgendes vorausgesetzt:
Verwenden einer "Ablage"-OrganisationseinheitWährend einer direkten Aktualisierung werden die Sicherheitsprinzipale in der Domäne in den Standardcontainern abgelegt, Benutzer und Computer. Nachdem der primäre Domänencontroller aktualisiert wurde, muss die für Ihr Active Directory geplante Organisationseinheitsstruktur erstellt und die Sicherheitsprinzipale in die richtige Organisationseinheit verschoben werden, um sicherzustellen, dass die erforderliche Gruppenrichtlinie auf die Benutzer- und Computerkonten angewendet wird. Wenn Sie ebenfalls eine Migration für die Neustrukturierung einer zweiten Master-Benutzerdomäne durchführen, können Sie die migrierten Benutzer- und Gruppenkonten mit dem ADMT in einer "Ablage"-Organisationseinheit ablegen, z. B. \Migriert\<NetBIOS-Domänenname>\Benutzer und \Migriert\<NetBIOS-Domänenname>\Gruppen, wobei <NetBIOS-Domänenname> den NetBIOS-Domänennamen der Quelldomäne angibt. Nachdem die Objekte migriert wurden, können Sie diese in die richtige Organisationseinheit verschieben, die in Ihrem Entwurf angegeben ist. Ebenso legen Sie beim Verschieben von Computern aus den Windows NT 4.0-Ressourcendomänen diese in einer temporären Organisationseinheit ab, bis die Migration fast abgeschlossen ist und verschieben sie dann in die entsprechende endgültige Organisationseinheit. Migrieren von ArbeitsstationenNachdem sich die Benutzer und Gruppen jetzt in der Windows Server 2003 Active Directory-Umgebung befinden, können Sie Ressourcen, z. B. Arbeitsstationen, in die neue Domäne migrieren. Arbeitsstationen und Mitgliedsserver besitzen eine eigene SAM-Datenbank. Wenn sie zwischen Domänen verschoben werden, wird diese Datenbank immer mit verschoben. Wenn Sie Konten, die in der lokalen SAM-Datenbank definiert sind (z. B. lokale Gruppen), zum Erteilen des Zugriffs auf Ressourcen verwendet haben, werden sie immer zusammen mit dem Computer verschoben. Daher müssen Sie diese Konten nicht migrieren. Mithilfe der Assistenten für die Computermigration und der Sicherheitskonvertierung des ADMT v2 können Sie die Arbeitsstation des Benutzers zur Zieldomäne migrieren, während das Benutzererlebnis erhalten bleibt. Wie bei der Benutzer- und Gruppenmigration sollte eine Pilotgruppe mit Testarbeitsstationen migriert werden, bevor die Migration der restlichen Arbeitsstationen erfolgt. Nachdem die Pilotarbeitsstationen erfolgreich migriert wurden, können die verbleibenden Benutzerarbeitsstationen zur neuen Active Directory-Umgebung migriert werden. Wenn Sie Computerkonten aus Windows NT 4.0-Domänen migrieren, führt das ADMT keine Migration der Computerbeschreibungen durch, da das Attribut für die Computerbeschreibung nicht in der SAM-Datenbank der Windows NT-Domäne gespeichert wird. Die Beschreibung wird auf dem lokalen Computer gespeichert. (ADMT v2 migriert nicht leere Computerbeschreibungen von Computerkonten in Windows 2000- oder Windows Server 2003-Quelldomänen. ) Beim Migrieren von Arbeitsstationen aus einer Windows NT 4.0-Quelldomäne zur Windows Server 2003 Active Directory-Domäne führen Sie die folgenden Aufgaben durch. Die Migration der Arbeitsstationen kann von Mitarbeitern des lokalen Desktopsupports durchgeführt werden, die den Support für den Park der Arbeitsstationen übernehmen. Während die Migration auch remote über ein WAN (Wide Area Network) durchgeführt werden kann, ist es ebenfalls möglich, die Migration der Arbeitsstationen aufgrund höherer Leistungen lokal vorzunehmen. Auf den Arbeitsstationen sind lokale Administratorberechtigungen erforderlich, um die Migration durchführen zu können. Die Zielorganisationseinheit, zu der Arbeitsstationen migriert werden, kann mit übertragener Steuerung konfiguriert werden, damit die Mitarbeiter des Desktopsupports neue Computerobjekte mithilfe des ADMT v2 erstellen können. Der Assistent für die Computermigration weist keinen physischen Grenzwert für die maximale Anzahl an Arbeitsstationen auf, die gleichzeitig migriert werden können. Microsoft hat jedoch bei internen Tests ermittelt, dass bei einer praktische Einschränkung auf 500 Arbeitsstationen pro Migrationsschritt eine erfolgreiche Migration einfacher erreicht werden kann. Zusammenführen von Windows NT 4.0-SystemrichtlinienNach einer Neustrukturierung werden Systemrichtlinien der Quelldomäne nicht automatisch von migrierten Clientcomputern verarbeitet, die sich in der Zieldomäne authentifizieren. Damit Systemrichtlinien weiterhin Windows NT 4.0 ausführende Clientcomputer verarbeiten können, müssen Sie entweder den FRS mit dem Replikationsdienst des LAN-Managers (LMRepl) integrieren, damit die Synchronisation zwischen den beiden Dateireplikationsdiensten ermöglicht wird oder die Systemrichtlinien nach Windows Server 2003 migrieren. In der folgenden Tabelle werden die Auswirkungen auf Richtlinien beschrieben:
Tabelle 7. Auswirkungen durch das Migrieren von Systemrichtlinien Damit sichergestellt wird, dass Systemrichtlinien auch weiterhin Windows NT 4.0-basierte Computerkonten in einer Windows Server 2003-Domäne verarbeiten, müssen Sie die Systemrichtliniendatei von Windows NT 4.0, Ntconfig.pol, in den gemeinsamen Ordner NETLOGON von Windows Server 2003 migrieren. Sie müssen eine Brücke zwischen dem Replikationsdienst des LAN-Managers und dem Dateireplikationsdienst verwenden (Informationen finden Sie weiter oben unter "Konfigurieren der Interoperabilität"), um den gemeinsamen Ordner NETLOGON zu verbinden, damit die Systemrichtlinien im Windows Server 2003-Netzwerk verfügbar sind. Führen Sie die folgenden Schritte durch, um Systemrichtlinien zur Gruppenrichtlinie zu migrieren:
Löschen Sie die Datei Ntconfig.pol aus dem gemeinsamen Ordner NETLOGON eines Windows Server 2003-Domänencontrollers. Der Dateireplikationsdienst stellt sicher, dass die Datei von allen Domänencontrollern in der Domäne gelöscht werden. Generieren von SID-ZuordnungsdateienDer Zugriff auf Netzwerkressourcen (Drucker, Dateien, Ordner und Freigaben) ist durch ACLs geschützt, die in Sicherheitsbeschreibungen enthalten sind, die den einzelnen Ressourcen zugeordnet sind. Das ADMT v2 kann die Sicherheitsbeschreibungen ändern, die auf ein Benutzerkonto oder eine Gruppe in einer Quelldomäne verweisen, damit diese dann auf ein anderes Benutzerkonto oder eine andere Gruppe in der Zieldomäne verweisen. Wenn Ihre Organisation zahlreiche Konten- und Ressourcendomänen umfasst, müssen Sie für die Migration der Ressourcen Dateien für die SID-Zuordnung generieren. Bei der Konvertierung der Sicherheit verwendet ADMT v2 seine internen Daten zu migrierten Konten, um zu entscheiden, welche ACLs in welcher Weise konvertiert werden müssen. Sie können eine SID-Zuordnungsdatei verwenden, um diese Daten zu überschreiben und ein Quellobjekt einem Zielobjekt zuzuordnen. Diese SID-Zuordnungsdatei kann als Eingabedatei für Sicherheitskonvertierungen verwendet werden. Mit ihrer Hilfe können Sie die Sicherheit für Konten konvertieren, die nicht mit dem ADTM migriert wurden, z. B. Domänen-Admins, auf die in ACLs verwiesen wurde, oder Sie können Sicherheitskonvertierungen unabhängig von den migrierten Objekten durchführen. Eine SID-Zuordnungsdatei gibt den Namen oder die SID eines Quellobjekts an, dem ein Komma und anschließend der Name oder die SID eines Zielobjekts folgt. Jedes Paar aus Quelle/Ziel muss in einer eigenen Zeile stehen. Das nachfolgende Beispiel zeigt eine Zeile einer SID-Zuordnungsdatei, die zum Kennzeichnen des Quellobjekts eine SID sowie zum Kennzeichnen des Zielobjekts einen Namen verwendet: S-1-5-21-397955417-626881126-188441444-1234, DOMAINA\GRP4354 Da die Benutzer- und Gruppenobjektmigration über einen einzelnen Computer mit dem ADMT durchgeführt wurde, kann die einzelne ADMT-Datenbank, protar.mdb, zum Generieren der SID-Zuordnungsdatei verwendet werden. Das Implementierungshandbuch für die Konsolidierung und Migration von Domänen bietet ein Beispielpseudoskript zum Extrahieren einer SID-Zuordnungsdatei aus der ADMT-Datenbank. Es ist häufig einfacher, alle migrierten Benutzer und Gruppen in der Zuordnungsdatei zu erfassen, als die Sicherheitsprinzipale auszuwählen, die auf die zu migrierenden Arbeitsstationen angewendet wurden. Diese Datei wird nach ihrer Erstellung auf die ADMT-Arbeitsstation kopiert, die die Migrationen der Arbeitsstationen durchführt. Die SID-Zuordnungsdatei wird vom Assistenten für die Sicherheitskonvertierung verwendet. Alternativ können Sie die komplette Datei protar.mdb auf die Arbeitsstationen kopieren, die die Migration der Arbeitsstation durchführen. In diesem Szenario ist es wichtig, dass die protar.mdb-Masterdatenbank von ADMT nicht auf der Arbeitsstation überschrieben wird, auf der die Gruppen- und Benutzerobjektmigration durchgeführt wurde. Überprüfen der Voraussetzungen für die ArbeitsstationsmigrationBevor Sie die Migration durchführen, müssen Sie bestätigen, dass die Voraussetzungen in Ihrer Umgebung gegeben sind. Durchführen einer PilotmigrationDie Pilotmigration umfasst die Auswahl einer Pilotgruppe von Arbeitsstationen und ihre entsprechenden Benutzerkonten, um sicherzustellen, dass die Computer erfolgreich migriert werden und die Benutzer den Zugriff auf die Netzwerkressourcen behalten. Die Aktivitäten der Pilotmigration sind identisch mit den im Abschnitt Durchführen der Arbeitsstationsmigration aufgeführten Aufgaben, mit der Ausnahme, dass nur die Pilotarbeitsstationen und -benutzer migriert werden. Nachdem die Pilotarbeitsstationen migriert wurden und der Benutzerakzeptanztest abgeschlossen ist, können Sie die Arbeitsstationsmigration einleiten. Durchführen der ArbeitsstationsmigrationDie Arbeitsstationsmigration umfasst das Konvertieren lokaler Sicherheitsverweise und das Ändern der Domänenmitgliedschaft des Computers, wodurch ein Neustart des Computers erforderlich ist, damit die Änderungen wirksam werden. Da ein Neustart erforderlich ist, sollte während dieser Zeit kein Benutzer auf dem Computer angemeldet sein und die Migration sollte zu einem Zeitpunkt durchgeführt werden, zu dem die Auswirkungen auf den Endbenutzer minimal sind, z. B. außerhalb der Bürozeiten. Das ADMT v2 stellt dem Computer remote einen Agenten bereit, um die Migration durchzuführen. Der ADMT v2-Agent kann auf Computern eingesetzt werden, die folgende Betriebssysteme ausführen:
Der Agent führt die Sicherheitskonvertierung sowie die Änderung der Domänenmitgliedschaft für den Computer durch. Nachdem diese Vorgänge abgeschlossen sind, deinstalliert der Agent sich selbst automatisch von der Arbeitsstation. Die Protokolldatei des Agenten befindet sich zum Zweck der Problembehandlung auf der migrierten Arbeitsstation im temporären Verzeichnis von Windows. Konvertieren von Sicherheitsverweisen auf der Arbeitsstation.
Die Sicherheit auf den Arbeitsstationen wird vor der Änderung der Domäne konvertiert, damit die Migration der Arbeitsstation nach dem durch die Domänenmitgliedschaft erforderlichen Neustart abgeschlossen ist. Der Assistent für die Sicherheitskonvertierung aktualisiert die Sicherheitsverweise der Quelldomäne, die in folgenden Bereichen vorzufinden sind. Lokale Profile.
Windows NT 4.0, Windows 2000 und Windows XP unterstützen lokale Profile, die den Desktopstatus von Benutzern und Benutzerdaten enthalten. Die Migration lokaler Benutzerprofile ist nur auf Arbeitsstationen erforderlich, die Windows NT 4.0 ausführen. Andere Betriebssysteme, z. B. Windows 95, unterstützen keine lokalen Benutzerprofile und somit ist kein Migrationsvorgang erforderlich. Ändern der Domänenmitgliedschaft der Arbeitsstation.
Sie müssen einen Computer neu starten, damit Änderungen an der Domänenmitgliedschaft des Computers wirksam werden. Der ADMT v2-Agent wird automatisch auf der Arbeitsstation bereitgestellt und dieser leitet den Neustart nach einer festgelegten Zeitspanne ein. Wenn Sie Arbeitsstationen migrieren, die sich in derselben Domäne wie die Benutzer- und Gruppenobjekte befinden, die Sie zuvor zu Active Directory migriert haben, müssen Sie möglicherweise im Assistenten für die Computermigration des ADMT v2 die Konvertierung von Sicherheitsobjekten durchführen. Vorgänge nach der Migration von ArbeitsstationenNachdem die Arbeitsstation ein Mitglied der Windows Server 2003 Active Directory-Domäne ist, muss das Active Directory-Benutzerobjekt aktiviert, das Windows NT 4.0-Benutzerkonto deaktiviert und das Exchange 5.5-Verzeichnis aktualisiert werden. Der Benutzer muss sich jetzt mithilfe seines Active Directory-Benutzerobjektes in der Domäne anmelden. Dieser Vorgang sollte den Benutzern eindeutig über den Kommunikationsplan des Migrationsprojekts vermittelt werden. Aktualisieren des Exchange 5.5-Verzeichnisses.
Nachdem die Arbeitsstationen und Benutzer zur Windows Server 2003 Active Directory-Domäne migriert wurden, müssen Sie die primären Windows NT-Kontenverweise im Exchange 5.5-Verzeichnis aktualisieren. Der Assistent für die Migration des Exchange-Verzeichnisses durchsucht das Exchange 5.5-Verzeichnis und aktualisiert Verweise auf die alte Windows NT 4.0-Quelldomäne in der Eigenschaft für das primäre NT-Konto eines Postfachs. Diese Aufgabe sollte von den Exchange 5.5-Administratoren in Ihrer Organisation übernommen werden. Dieser Vorgang kann am Ende des Migrationsprozesses durchgeführt werden. In der Zwischenzeit können die Benutzer weiterhin mithilfe von "SIDHistory" auf ihr Exchange 5.5-Postfach zugreifen. Migrieren der MitgliedsserverDer Migrationsprozess von Windows-Mitgliedsservern aus der Ressourcendomäne zur Windows Server 2003 Active Directory-Domäne folgt demselben grundlegenden Prozess wie die Arbeitsstationsmigration. Es ist wichtig, zuerst auf den Mitgliedsservern vorhandene Anwendungen zu identifizieren, bevor die Migration gestartet wird. Einige Anwendungen unterstützen die Verschiebung von Computern zwischen Domänen nicht. In diesen Fällen wenden Sie sich an den Hersteller der Anwendung, um den für Ihre Organisation optimalen Prozess zu ermitteln. Sie müssen auch die Auswirkungen auf den Benutzer berücksichtigen, wenn Sie den optimalen Zeitpunkt zum Migrieren des Server zur Zieldomäne ermitteln. Da der Server einen Neustart erfordert, um die Änderung der Domänenmitgliedschaft zu bestätigen, sollten Sie diese Unterbrechung außerhalb der Bürozeiten einplanen und die Benutzer darüber informieren. Der Konvertierungsvorgang für die Sicherheit hat keine Auswirkung auf die Benutzer. Viele Organisationen entscheiden sich auch dazu, die Sicherheitsbeschreibungen während der Sicherheitskonvertierung hinzuzufügen, statt den Verweis zu ersetzen. Durch das Hinzufügen der SID für das Konto in der Zieldomäne zu den vorhandenen ACLs und SACLs in den Sicherheitsbeschreibungen enthalten die Objekte sowohl die SID für das ursprüngliche Konto in der Quelldomäne als auch für das Konto in der Zieldomäne. Diese Option bietet dem Konto in der Zieldomäne dieselben Berechtigungen für die ausgewählten Objekte wie das Konto in der Quelldomäne. Wenn Sie sicher sind, dass die richtige Sicherheit hinzugefügt wurde, können Sie den Assistenten für die Sicherheitskonvertierung des ADMT v2 erneut ausführen, um die Sicherheitsprinzipale der Quelldomäne zu entfernen. Dieser zwei Schritte umfassende Vorgang bietet Ihrer Organisation einen einfacheren Fallback, wenn dieser erforderlich wird. Aspekte zum FallbackEs ist wichtig, dass Sie über einen Fallbackplan verfügen, falls die migrierten Konten und Ressourcen in der Windows Server 2003-Domäne nicht den Akzeptanzkriterien der Benutzer entsprechen. Das Konto der Windows NT 4.0-Kontendomänen bleibt bis nach dem Migrationsvorgang erhalten und aktiviert und bietet die Möglichkeit, einfach zur vorherigen Umgebung zurückzukehren. Es werden während des Migrationsvorgangs keine Objekte aus den Quelldomänen entfernt. Wenn ein Fallback erforderlich ist, kann der letzte Migrationsvorgang entweder manuell oder mithilfe des Assistenten zum Rückgängigmachen des ADMT v2 einfach rückgängig gemacht werden. Sie können den Assistenten zum Rückgängigmachen ausführen, um die Effekte eines Migrationstasks rückgängig zu machen sowie die Migration der Benutzer, Gruppen und Computer zurückzunehmen. Der Assistent zum Rückgängigmachen des ADMT v2 kann nur die Migration von Benutzern, Gruppen und Computern rückgängig machen. Während der Migration durchgeführte Sicherheits- oder Profilkonvertierungen können nicht rückgängig gemacht werden. Sie können während des Migrationsvorgangs zusätzliche Vorkehrungen treffen, z. B. das Durchführen der Sicherheitsfunktion Hinzufügen, anstatt die vorhandenen Sicherheitsprinzipale in den ACLs zu ersetzen. Stilllegen von DomänencontrollernNachdem alle Ressourcen der Windows NT 4.0-Domänen migriert wurden, schließen Sie die Neustrukturierung der Kontendomäne ab. So schließen Sie die Neustrukturierung der Kontendomäne ab:
Nachdem Sie die Neustrukturierung der Windows NT 4.0-Ressourcendomänen abgeschlossen haben, sind Sie bereit, die Windows NT 4.0-Domänen außer Betrieb zu setzen. Hinweis: Stellen Sie sicher, dass Sie eine vollständige Systemsicherung des primären Domänencontrollers für jede Kontendomäne bewahren. Wenn Sie eine vollständige Systemsicherung für jede Kontendomäne bewahren, können Sie die Kontendomäne wieder online stellen. So legen Sie die Windows NT-Domänen still:
Migrieren der NetzwerkdiensteWenn Sie die Migration Ihrer Windows NT 4.0-Umgebung durchführen, müssen Sie die Änderungen berücksichtigen, falls vorhanden, die Sie hinsichtlich Ihrer DNS-, DHCP- und WINS-Infrastruktur vornehmen möchten. Domain Naming System (DNS)Das Migrieren von DNS-Diensten eines Windows NT 4.0-Servers zu einem DNS-Server, der Windows Server 2003 ausführt, wird durch eine von drei Möglichkeiten erreicht. Jede Möglichkeit wird ausführlich in der Onlinehilfe unter "Migrieren von Servern: DNS" beschrieben. Folgende drei Optionen stehen zur Verfügung:
Die von Ihnen gewählte Migrationsmethode hängt von der Hardware des aktuellen DNS-Servers sowie der Version der zu migrierenden DNS-Dienste ab. Das Migrieren eines BIND DNS-Servers erfordert beispielsweise, dass der Administrator Option 2 oder 3 der oben genannten Liste wählt. Wenn Sie einen Windows NT 4.0 DNS-Server besitzen, verwenden Sie die direkte Aktualisierungsoption, so lange die aktuelle Hardware Windows Server 2003 unterstützen kann und der Server in der neuen Infrastruktur weiterhin als DNS-Server eingesetzt wird. Dies ist die einfachste Methode für die Migration, da sie vollständig automatisiert abläuft, nachdem das Windows Server 2003-Installationsprogramm auf diesem Server gestartet wurde. Außerdem müssen Server, die mithilfe dieses DNS-Servers repliziert wurden, nicht aktualisiert werden, da dieser Server Teil der DNS-Infrastruktur bleibt. Die DNS-Zonendatei können manuell auf den Windows Server 2003 DNS-Server portiert werden. Der hauptsächliche Nachteil dieser Methode ist, dass die Zonendateien umbenannt werden müssen, damit sie vom Windows Server 2003 DNS erkannt werden. Zusätzlich folgen die manuell bearbeiteten Zonendateien möglicherweise der Standardformatierung für Einträge nicht konsistent, wodurch der DNS-Server beim Laden der Datei eine Fehlermeldung ausgeben kann. Die IP-Adresse des neuen DNS-Servers muss schließlich auch an geeigneten Positionen zur Infrastruktur in Abhängigkeit vom Verwendungszweck des DNS-Servers hinzugefügt werden. Clientkonfigurationen des DNS-Resolvers müssen z. B. geändert werden, während das Ändern von Weiterleitungen möglicherweise ebenso erforderlich ist wie das Aktualisieren von Delegierungseinträgen usw. Die dritte Methode zum Migrieren Ihrer DNS-Zone stellt die DNS-Zonenreplikation dar. Der neue DNS-Server wird als sekundärer Server für jede zu migrierende Zone konfiguriert. Der DNS-Server erhält über die normalen DNS-Zonenübertragungen eine Kopie aller Zonendaten. Zu diesem Zeitpunkt kann der Server als neuer primärer Server konfiguriert und die entsprechende Konfiguration für die DNS-Infrastruktur durchgeführt werden, um den neuen DNS-Server ordnungsgemäß einzusetzen. Diese Methode ist problemloser und möglicherweise einfacher zu implementieren anstatt die Zonendatendateien manuell zu verschieben. DHCPZum Migrieren der DHCP-Dienste stehen verschiedene Optionen zur Verfügung:
Wenn Ihr Windows NT 4.0 DHCP-Server über Hardware verfügt, die Windows Server 2003 unterstützt und der Server in der neuen Infrastruktur weiterhin als DHCP-Server dient, dann sollten Sie die Option der direkten Aktualisierung verwenden. Dies ist die einfachste Methode für die Migration, da sie vollständig automatisiert abläuft, nachdem das Windows Server 2003-Installationsprogramm auf dem Server gestartet wurde. Diese Methode stellt für die DHCP-Umgebung die geringste Störung dar. Sie verwaltet sowohl die Konfiguration der Aufgabenbereiche als auch die Daten dazu, welche IP-Adressen ausgegeben wurden. Die zweite Option betrifft das Exportieren der DHCP-Bereichsdaten vom DHCP ausführenden Windows NT 4.0-Server auf den neuen Server, der Windows Server 2003 ausführt. Bei dieser Methode werden nicht die eigentlichen IP-Zuordnungsdaten migriert. Diesen Vorgang müssen Sie sehr sorgfältig planen, da er zu IP-Konflikten und einer Störung der Netzwerkkonnektivität führen kann. Sie können die Auswirkungen dieser Änderung durch Verwenden der DHCP-Leasedauer und der serverseitigen Konflikterkennung von Windows Server 2003 minimieren. Sie können z. B. die folgenden Schritte durchführen:
Konfigurieren Sie die serverseitige Konflikterkennung auf Windows Server 2003. Zu dem Zeitpunkt, an dem der Wechsel erfolgen soll, müssen die folgenden Schritte ausgeführt werden:
Nach einer Dauer von X, wobei X die temporäre Leasedauer angibt, die für die Windows NT 4.0 DHCP-Serverbereiche festgelegt ist, kann die serverseitige Konflikterkennung auf dem Windows Server 2003 DHCP-Server deaktiviert werden. Es sollte beachtet werden, dass die serverseitige Konflikterkennung für die ordnungsgemäße Funktion ICMP-Pakete verwendet. Wenn ICMP entweder auf Client- oder Routerebene blockiert wird, schlägt diese Methode fehl, da IP-Adressen von DHCP zugewiesen werden könnten, die bereits erteilt wurden. Weitere Informationen zum eigentlichen Exportieren und Importieren der Datenbank finden Sie im Kapitel "Deploying DHCP" im "Deploying Network Services Guide" des Microsoft Windows Server 2003 Deployment Kit (nur auf Englisch verfügbar). Ihre dritte Option verhält sich ähnlich der vorherigen Option, übernimmt jedoch die Datenbank mit den ausgegebenen IP-Adressen ebenfalls zu Windows Server 2003. Die Schritte zum Migrieren des Dienstes umfassen Folgendes:
Diese Methode hat den Vorteil, dass sie keine Konflikterkennung erfordert, die möglicherweise fehlschlägt, wenn ICMP deaktiviert ist und sie erfordert außerdem keine Änderung der Bereichskonfigurationen. Dadurch wird weder das Problem beim Zusammenführen mehrerer Datenbanken in eine einzelne Datenbank behandelt, noch das Zusammenführen von Aufgabenbereichen, bei dem ein geteilter Bereichsentwurf in einen einzelnen Aufgabenbereich konsolidiert wird. Windows Internet Naming Service (WINS)Sie können WINS-Dienste von Windows NT 4.0-Server zu Windows Server 2003 mithilfe einer der folgenden drei Optionen migrieren:
Die von Ihnen gewählte Methode hängt hauptsächlich davon ab, ob die von Ihnen zum Ausführen des aktuellen Windows NT 4.0 WINS-Dienstes verwendete Hardware nach der Aktualisierung in der Umgebung als WINS-Server verbleibt. Vor dem Auswählen einer Migrationsmethode können Sie die aktuelle WINS-Implementierung auswerten, um zu prüfen, ob die momentan bereitgestellte Infrastruktur für die aktuellen Anforderungen der Organisation geeignet ist. Wenn z. B. NetBIOS-basierte Systeme stillgelegt wurden, beispielsweise auf Windows 9x basierende Betriebssysteme oder Anwendungen, die von NetBIOS abhängen, besitzt die aktuelle Infrastruktur möglicherweise im Vergleich zur momentanen Auslastung überschüssige Kapazitäten. Wenn dies der Fall ist, sollten Sie einen neuen Entwurf erstellen, bevor Sie sich entscheiden, welche Server erhalten bleiben oder entfernt werden. Informationen zum Entwerfen von WINS-Servern finden Sie im Kapitel "Network Services" (nur auf Englisch verfügbar) des MSA 2.0 Planning Guide, der unter folgendem URL verfügbar ist: http://www.microsoft.com/technet/itsolutions/wssra/raguide/default.mspx Verwenden Sie die direkte Aktualisierungsoption für Ihren Windows NT 4.0 WINS-Server, wenn die aktuelle Hardware Windows Server 2003 unterstützt und der Server in der neuen Infrastruktur weiterhin als WINS-Server eingesetzt wird. Dies ist die einfachste Methode für die Migration, da sie vollständig automatisiert abläuft, nachdem das Windows Server 2003-Installationsprogramm auf dem Server gestartet wurde. Außerdem müssen Server, die mithilfe dieses WINS-Servers repliziert wurden, nicht aktualisiert werden, da dieser Server Teil der WINS-Infrastruktur bleibt. Wenn der Server nicht in der Lage ist, Windows Server 2003 auszuführen, oder der Server in der neuen Umgebung nicht als WINS-Server fungiert, sollten Sie eine andere Option zum Migrieren der Datenbank verwenden. Die Datenbank eines Windows NT 4.0-Servers, der WINS ausführt, kann manuell auf einen Windows Server 2003 WINS-Server verschoben werden. Dadurch können Sie die Datenbank des stillzulegenden Windows NT 4.0 WINS-Servers auf den neuen Windows Server 2003 übernehmen, der WINS ausführt und sie dort aktualisieren. Die zum Durchführen dieses Vorgangs erforderlichen Schritte finden Sie in der Onlinehilfe, die auf jedem Server verfügbar ist, der Windows Server 2003 ausführt. Die Seite mit diesen Informationen besitzt den Titel "Migrating WINS to Windows Server 2003" unter "Implementing Your WINS Solution" (nur auf Englisch verfügbar). Diese Migrationsmethode bietet denselben Prozess, dem die Datenbank während der direkten Aktualisierung unterzogen wird. Außerdem wird wenig Netzwerkverkehr generiert, da die gesamte Verarbeitung auf dem neuen WINS-Server erfolgt. Mithilfe dieser Methode können Sie die Datenbank auf WINS-Servern migrieren, die sich möglicherweise hinter einer ausgelasteten Netzwerkverbindung befinden. Es ist jedoch möglicherweise eine zusätzliche Konfiguration erforderlich, insbesondere bei Replikationspartnerschaften und TCP/IP WINS-Clientkonfigurationen, damit der neue WINS-Server für die Namensauflösung mit den richtigen Datenbankinformationen zur Verfügung steht. Ihre dritte Option zum Migrieren der WINS-Daten verwendet die WINS-Replikation, um diese Aufgabe durchzuführen. Der neue Windows Server 2003 WINS-Server wird als Replikationspartner eines vorhandenen Windows NT 4.0 WINS-Servers konfiguriert. Die neue WINS-Datenbank wird über den Standardvorgang der WINS-Replikation mit den Daten gefüllt. Wie bei der manuellen Verschiebung der Datenbank müssen Sie möglicherweise zusätzliche Konfigurationen durchführen, insbesondere bei Replikationspartnerschaften und TCP/IP WINS-Clientkonfigurationen. Diese Methode generiert für eine gewisse Zeit höheren Netzwerkverkehr. Die Länge dieses Zeitraums hängt der Ausgangsgröße der Datenbank ab. Sie sollten diesen Netzwerkverkehr berücksichtigen, wenn Sie einen Replikationspartner für die erste Replikation auswählen. Wenn Sie z. B. zwischen dem Konfigurieren Ihres neuen WINS-Servers für die Replikation mit einem System in demselben Netzwerk oder einem anderen Server wählen müssen, der sich hinter einer ausgelasteten Netzwerkverbindung befindet, dann sollten Sie das System wählen, das sich in demselben Netzwerk befindet. Überprüfen, ob die Benutzerfunktionalität gewahrt bleibtNachdem die Migrationsvorgänge abgeschlossen sind, muss die Benutzerfunktionalität überprüft werden. Tests sollten mit einem Konto durchgeführt werden, dass keine Administratorberechtigungen besitzt, um sicherzustellen, dass Benutzer sich im Netzwerk anmelden, auf Stammverzeichnisse und Dateifreigaben zugreifen, auf Druckern drucken und die Unternehmensanwendungen ausführen können. Diese Tests stellen sicher, dass die Berechtigungen korrekt eingestellt wurden und der Übergang für die Benutzer so problemlos wie möglich verläuft. Mithilfe dieser Tests wird auch die Namensauflösung getestet. Wenn es dem Endzustand Ihrer Migration entspricht, sollte der Zugriff auf das Internet ebenfalls getestet werden. Testen der Verzeichnisdienste und neuen ServerIhre IT-Abteilung sollte die Active Directory-Dienste auf ihre Funktion hin testen. Dies umfasst das Anmelden, das Abfragen von Active Directory, das Hinzufügen von Benutzerkonten und Sicherheitsgruppen. Es bezieht auch das Testen der Replikation von Domänencontroller zu Domänencontroller mit ein, wobei die Zuordnung von Berechtigungen für Sites, Domänen und Organisationseinheiten geprüft wird. Sie sollten sicherstellen, dass die Netzwerkdienste betriebsbereit sind – DHCP, DNS und WINS. Wenn Datei- und Druckserver migriert werden, prüfen Sie nicht nur deren grundlegenden Funktionen, sondern im Fall der Drucker auch, dass lokale Benutzer mit Berechtigungen zum Verwalten der Drucker eingerichtet wurden. Ermitteln einer erfolgreichen MigrationAls abschließenden Schritt überprüfen Sie die Konzeptaussage und bestätigen, dass die festgelegten Ziele der Migration erreicht wurden. Wenn am Ende noch ausstehende Probleme bekannt sind, wie werden diese behandelt? Nachdem alle Probleme behandelt wurden, zeichnen die Hauptbeteiligten das Projekt ab. KurzzusammenfassungSie haben sich für Ihren Migrationspfad entschieden und die gesamte Planung abgeschlossen. Zu dieser Planung zählt auch die Entscheidung, für welche Domänen eine direkte Aktualisierung und für welche eine Neustrukturierung durchgeführt wird. Zusätzlich haben Sie für Domänen, bei denen eine Neustrukturierung durchgeführt wird, die Erhaltung des Zugriffs für Benutzer und Anwendungen während der Migrationsphase berücksichtigt und eingeplant. Bei Ihrer Planung wurde auch ein ausführlicher Zeitplan mit zugehörigem Kommunikationsplan erstellt, der das Migrationsteam, die Supportmitarbeiter und die Benutzer über den Fortschritt und die Auswirkungen des Plans informiert. Nachdem Sie eine Reihe von Migrationsschritten durchgeführt haben, wurden Zeitangaben einbezogen und Ressourcen zugeordnet, um die geeigneten Tests auszuführen, um sicherzustellen, dass die Migration fortgesetzt werden kann und ein Rollback nicht erforderlich ist. Nachdem die Migration jetzt abgeschlossen ist, kann das Migrationsteam mit der Migrationsnachbereitung fortfahren. Aufgaben nach der MigrationIm Anschluss an eine erfolgreiche Migration sollten weitere Aufgaben durchgeführt werden, um den fortlaufenden Betrieb der neuen Umgebung sicherzustellen und um Ressourcen wiederherzustellen, die vor der Migration vorhanden waren. Dies umfasst das Überwachen, Sichern und Wiederherstellen als auch das Aussondern von Hardware, die nicht länger von der neuen Umgebung verwendet wird. Überwachen der konsolidierten UmgebungIn Ihrer Organisation wurde die Anzahl der Server und der Domänen durch die Migration von Windows NT 4.0 zu Windows Server 2003 möglicherweise konsolidiert. Die Konsolidierung kann zu einer größeren Abhängigkeit von weniger Systemen führen. Daher wäre die Stabilität des konsolidierten Zieldienstes möglicherweise höher. Wenn Sie nicht bereits eines besitzen, sollten Sie den Erwerb eines Produkts zum Systembetriebsmanagement erwägen. Ein Produkt zum Systembetriebsmanagement bietet Ihnen die Möglichkeit, eine proaktive Überwachung der Umgebung durchzuführen. Microsoft Operations Manager 2000 unterstützt professionelles Systembetriebsmanagement für Unternehmen mithilfe von umfassendem Ereignismanagement, proaktiver Überwachung und Warnung, Berichterstellung sowie Trendanalysen. Es ist jedoch die umfassende, in Form von Management Packs implementierte Produktsupport-Knowledge Base, die in erster Linie dazu beiträgt, Kosten für täglich anfallenden Support für laufende Anwendungen und Dienste in einer Windows-basierten IT-Infrastruktur zu reduzieren. Microsoft Operations Manager 2000 Management Packs bieten das zum problemlosen Ausführen von wichtigen Anwendungen und Systemen, z. B. Ihrem Verzeichnisdienst, erforderliche Wissen. Überprüfen der Sicherungs- und WiederherstellungsprozesseAm Ende der Migration zu Windows Server 2003 Active Directory sollten Sie die Systeme und Verfahren für die Sicherung und Wiederherstellung überprüfen. Stellen Sie nicht nur sicher, dass Sicherungen der neuen Windows Server 2003-Domänencontroller geplant und durchgeführt werden, sondern testen und überprüfen Sie diese Sicherungen auch für den Fall, dass sie in der Zukunft erforderlich sind. Für einen sorgfältigen Test führen Sie probehalber Wiederherstellungsverfahren durch. Aussondern von Quellservern oder diese einem neuen Zweck zuführenNachdem Ihre Quellserver konsolidiert wurden, erscheint es Ihnen möglicherweise als sinnvoll, diese Server stillzulegen und die Hardware auszusondern oder sie dem Hardwarepool zurückzuführen. Sie können einen der folgenden Schritte für jeden der ausgesonderten Quellserver durchführen:
Einholen von Feedbacks sowie Einbeziehen der ErfahrungenHolen Sie nach der Migration das Feedback von allen Benutzern und Hauptbeteiligten ein. Die Ergebnisse sollten ausgewertet und in Berichten zusammengefasst werden. Es gibt immer Dinge, die Sie vergessen oder hätten besser machen können. Während der Migration werden Sie sicherlich Probleme und Optimierungsmöglichkeiten erkennen, die in zukünftigen Projekten berücksichtigt werden können – dokumentieren Sie diese. Wenn Sie neue Informationen hinsichtlich des Risikos aufdecken, sollten Sie Ihre Dokumente zur Risikobewertung mit diesen neuen Informationen aktualisieren. In MSF und MOF wird dieser Prozess als "Auf die Implementierung folgende Überprüfung" bezeichnet. Die auf die Implementierung folgende Überprüfung gibt dem Team und dem Unternehmensmanagement die Zeit zum Einschätzen, ob das Projekt die Zielsetzungen erreicht hat und ob weitere Schritte unternommen werden müssen. Die Auswertung kann zu einer von drei Entscheidungen führen:
KurzzusammenfassungNachdem das Migrationsprojekt abgeschlossen ist, müssen Sie die Prozesse und Verfahren ändern, damit Sie die neue IT-Umgebung erfolgreich verwalten und überwachen können. In den meisten Fällen müssen Sie einige Tests durchführen, einschließlich der in diesem Kapitel empfohlenen Tests. Da der Ausgangs- und Endstatus der Migration für Ihre Organisation einmalig ist, sollten Sie berücksichtigen, dass Sie möglicherweise weitere Tests durchführen müssen, um sich zu vergewissern, dass der Endstatus der Migration dem von Ihnen erwarteten Status entspricht. Nachdem Sie die grundlegende Funktionalität überprüft haben, können Sie eine proaktive Überwachungslösung einrichten. Die Verfahren zum Sichern und Wiederherstellen sind in Windows Server 2003 grundlegend anders. Überprüfen Sie die Sicherungs- und Wiederherstellungsverfahren in Ihrer neuen Umgebung. Nachdem Sie überprüft haben, dass die neue IT-Infrastruktur wie erwartet funktioniert, können Sie Ihre Aufmerksamkeit auf das Entfernen alter, überflüssiger Server richten. Nachdem Sie die auf die Implementierung folgende Überprüfung abgeschlossen haben und der erfolgreiche Abschluss der Migration von allen erforderlichen Personen abgezeichnet wurde, können Sie das Projekt schließen. KurzzusammenfassungDieses Planungshandbuch für die Migration stellt ein Dokument einer Reihe dar, die Anleitungen zur optimalen Vorgehensweise für Windows NT 4.0 IT-Organisationen bereitstellt, die eine Migration zu Windows Server 2003 erwägen. Das Dokument zur Übersicht über die Migration und Konsolidierung, das diesem Dokument in dieser Reihe vorausgegangen ist, hat den Bedarf nach einer Anleitung für die Vorbereitung bei der Migration von einer Windows NT 4.0-Domänenumgebung geschaffen. Diese Anleitung, das Planungshandbuch, konzentriert sich auf die Optionen, denen sich die Planer vor und während des Migrationsverfahrens gegenüber sehen. Dieses Dokument präsentiert seine Anleitung innerhalb des Frameworks des MOFs (Microsoft Operations Framework), dem Lebenszyklus-Framework, das Microsoft verwendet, um optimale Vorgehensweisen für eine Microsoft-Betriebsumgebung bereitzustellen. MOF wurde von der British IT Infrastructure Library angenommen und adaptiert, bei der es sich um einen weltweiten Standard für plattformunabhängige Anleitungen zu optimalen Vorgehensweisen im IT-Bereich handelt. Da sich diese Dokumentreihe auf die optimale Vorgehensweise beim Migrations- und Konsolidierungsverfahren konzentriert, wurde MOF als Rahmen für die Präsentation des Migrationsverfahrens verwendet. Die Anleitung beginnt mit der Definition der Zielgruppe und dem Wissensstand, der vor dem Lesen dieses Dokuments empfohlen wird und beschreibt dann die Gründe für eine Migration oder Konsolidierung. Nachdem Sie sich zu einer Migration entschlossen haben, befinden Sie sich bereits im Migrationsprozess. Damit Sie erfolgreich sind, müssen Sie die Unternehmensziele verstehen. Das bedeutet, Sie müssen sich über die Ziele der Migration und den Endstatus, auf den Sie sich zu bewegen, sehr klar sein. Diese Ziele unterscheiden sich von den Zielen des Migrationsteams während der Migration. Beide Arten von Zielen werden dargestellt. Nachdem Sie sich über die Ziele im Klaren sind, können Sie sich Gedanken über die Methode machen, mit der Sie von Windows NT 4.0 zu Windows Server 2003 migrieren möchten. In der Anleitung wurden die beiden Hauptoptionen aufgeführt – direkte Aktualisierung und Neustrukturierung – sowie deren gemeinsame Verwendung zum Erreichen Ihrer Unternehmensziele. Nachdem Sie sich für die Migrationsmethode(n) entschieden haben, fährt die Anleitung mit der Darlegung des Verfahrens fort, das Sie zu einer erfolgreichen Migration führen soll, einschließlich der Bewertung der aktuellen Umgebung und der auf die Migration vorbereitenden Planung. Wenn Sie alle geeigneten Schritte zum Vorbereiten der Migration durchgeführt haben, können Sie mit den Migrationsverfahren beginnen. In Kapitel 8 werden die Optionen ausführlich beschrieben, die Sie beim Entwerfen der Domänenmigrationsstrategie wählen können. Nachdem Sie Ihre Migration mit der erfolgreich bereitgestellten Windows Server 2003-Domänenumgebung abgeschlossen haben, gilt es einige, der Implementierung nachgeordnete Aufgaben durchzuführen. Die auf die Implementierung folgende Überprüfung stellt den Schritt dar, der die Planungsschleife schließt, indem ausgewertet wird, ob weitere Schritte erforderlich sind, um die Unternehmensziele zu erreichen. Verweise
|
In diesem Beitrag
|
