Определение подходящего пути перехода
🕛 20.01.2009, 16:57
При выборе пути перехода имейте в виду, что это решение касается только одного домена, совершенно справедливо использовать различные пути перехода для различных доменов в пределах одной организации. Популярная стратегия перехода состоит в том, чтобы обновить домен Windows NT 4 с главными учетными записями, а затем реструктуризировать домен ресурсов Windows NT 4 в новый домен Windows Server 2003. Если модель вашего домена с Windows NT 4 ориентирована на географию, можно модернизировать один или несколько больших доменов, а затем реструктуризировать более мелкие домены, сохраняя их административную автономию через организационные единицы (OU). Оба эти сценария дают примеры консолидации доменов.Давайте рассмотрим критерии, которые используются при выборе наиболее подходящего пути.
Критерии выбора пути перехода
Следующие вопросы уместно задать при определении наиболее подходящего пути перехода для вашей организации.
1. Удовлетворены ли вы моделью вашего домена? Отвечает ли существующая модель домена Windows NT 4 вашим организационным и деловым потребностям? 2. Какую степень риска вы можете допустить при переходе к новой модели домена? 3. Сколько времени вы готовы потратить на выполнение перехода? 4. Какое количество рабочего времени системы потребуется на проект перехода? 5. Какие ресурсы доступны для выполнения перехода? 6. Каков бюджет проекта перехода? 7. Какое количество серверных приложений, которые не смогут выполняться на Windows Server 2003, должны быть поддержаны после перехода?
Представьте себе возможные ответы в виде спектра от низкого к высокому уровню, причем, путь обновления домена находится на самом низком уровне, а путь реструктуризации домена - на самом высоком. Для пути перехода, связанного с обновлением и последующей реструктуризацией вы, вероятно, увидите комбинацию деловых требований на каждой стороне спектра или посередине (см. рис. 7-1).
Рис. 7-1. Спектр критериев выбора пути перехода для домена
Выбор обновления домена в качестве пути перехода
Учитывая все вышесказанное, давайте рассмотрим условия, при которых обновление домена является наилучшим путем перехода для вашей организации.
Удовлетворение текущей моделью домена
Если нет никаких существенных изменений, которые хотелось бы сделать в доменной модели одновременно с переходом к Windows Server 2003, тогда обновление домена обеспечит самый легкий путь. Имя домена останется тем же самым, так же как и существование всех учетных записей пользователей и групп. Обновление домена - это безальтернативная сделка, просто будет реализована ваша текущая службы каталога в версии Windows Server 2003.
Низкий уровень риска
Являясь самым легким способом перехода, обновление домена представляет собой и метод с минимальным риском. Когда вы модернизируете контроллер домена с операционной системой Windows NT 4 Server, процесс выполняется автоматически. Без взаимодействия с пользователем возможностей для ошибок возникает немного. Методология восстановления после сбоя при обновлении домена также относительно проста. Если обновление прошло неудачно, выключите основной контроллер домена (PDC), назначьте любой резервный контроллер домена (BDC), имеющий свежие данные, на роль PDC, и начните процедуру снова.
Ограничение времени выполнения перехода
График времени перехода не является решающим фактором при выборе пути перехода, тем не менее, он может быть определяющим для небольших организаций с ограниченными ресурсами. Меньше действий требуется для обновления домена, чем для реструктуризации, и, соответственно, меньше времени требуется для выполнения всего перехода. Например, реструктуризация занимает много времени на создание и проверку инфраструктуры целевого домена, на перемещение всех учетных записей с исходного домена на целевой домен. Крупные организации, возможно, не смогут переместить все объекты за один раз, так что достаточно часто реструктуризация домена производится в несколько этапов. Напротив, обновление домена - это линейный процесс, если он был начат, то должен быть закончен.
Требование малых затрат рабочего времени
Другое соображение, касающееся временного графика, - это количество рабочего времени службы каталога, которое необходимо затратить на процесс перехода. В процессе обновления домена объекты учетных записей самостоятельно модернизируются в объекты Windows Server 2003. В результате эти ресурсы становятся недоступными непосредственно в процессе. Обновление домена вызывает простой в сетевом доступе к ресурсам в течение времени, необходимого для полного обновления NOS. В зависимости от размера вашего домена Windows NT 4 и количества заложенных шагов проверки процедура может занять лучшую часть дня (если все идет согласно плану). Таким образом, организация, которая
выберет путь перехода, связанный с обновлением домена, должна быть готова к простою службы каталога.
Наличие ограниченных ресурсов
Поскольку обновление домена является менее сложной, автоматизированной операцией, то на реализацию этого пути перехода потребуется меньшее количества ресурсов. Организации, которые не в состоянии набрать кадры на выполнение более сложной задачи реструктуризации домена, могут выбирать этот путь.
Малый бюджет проекта перехода
Обновление домена стоит дешевле, чем реструктуризация, потому что вы можете использовать существующие серверные аппаратные средства. Это вовсе не означает, что вы должны к этому стремиться; в действительности, обновление NOS - весьма подходящее время для модернизации аппаратных средств контроллеров домена и других серверов, выполняющих критические миссии (электронная почта, веб-серверы и т.д.). Однако если ваши имеющиеся серверные аппаратные средства функционально пригодны для работы с Windows Server 2003, вы можете потратить меньшее количество денег на обновление домена. Вы можете избежать необходимости покупать дополнительные серверы для создания среды «чистого» леса, которая требуется для реструктуризации домена. Среди других факторов, способствующих уменьшению необходимых бюджетных средств, будет более низкая стоимость ресурсов (включая минимальные контрактные расходы и стоимость «нереализованных возможностей» для постоянных служащих), а также уменьшение расходов на тестирование (поскольку нужно будет тестировать меньшее количество задач модернизации).
Серверные приложения, которые не будут выполняться на Windows Server 2003
Обновление домена - это хороший выбор, если на контроллерах домена, которые вы хотите модернизировать, не выполняется сетевая служба или коммерческие приложения, которым требуется Windows NT Server 4 как операционная система. Эти приложения могут включать обслуживание факса, бухгалтерии или любое серверное приложение, которое не модернизируется достаточно часто. Если такие службы и приложения существуют в вашей организации, то имеет смысл потратить время на их проверку на компьютере с Windows Server 2003 и определить, функционируют ли они должным образом. Если обнаружатся приложения, которые не смогут выполняться на Windows Server 2003, то возможны следующие варианты: вы можете отложить обновление до тех пор, пока не будет найдена совместимая версия приложения или подходящая замена; переместить приложение с контроллера домена на сервер-член домена (если возможно); не обновлять сервер, на котором выполняется
система Windows NT Server 4, пока не появится новая версия вашего приложения. Имейте в виду, что сервер, на котором выполняется Windows NT 4, может существовать неопределенно долго в качестве сервера-члена домена в сети, основанной на Windows Server 2003.
Примечание. Для поддержки BDC Windows NT 4 в вашей сети Windows Server 2003 помните, что не следует поднимать функциональный уровень домена выше заданного по умолчанию значения Windows 2000 mixed (смешанный) или, если в домене нет ни одного Windows Server 2000, выше функционального уровня Windows Server 2003 interim (временный).
Выбор реструктуризации домена в качестве пути перехода
Ниже приводятся характеристики организации, которой хорошо подходит реструктуризация домена в качестве пути перехода.
Неудовлетворенность текущей моделью домена
Если имеющаяся доменная модель Windows NT 4 больше не удовлетворяет организационным потребностям вашей организации: устарела из-за слияния компаний, приобретения, отделения дочерних компаний и пр., по другим причинам больше не является наиболее оптимальной сетевой платформой для служб вашей организации, то наилучшим выбором будет реструктуризация домена. Это даст вам возможность начать с нового проекта Active Directory, который будет удовлетворять вашим деловым и организационным потребностям. Учитывая время и усилия, которые потребуются для развертывания Active Directory в пределах вашего предприятия, начинать с проекта имеет смысл только в том случае, если он упростит вашу жизнь настолько, насколько это возможно.
Высокий уровень риска
Реструктуризация домена представляет собой путь с более высоким риском, чем обновление домена. Надо выполнить большее количество задач, и поэтому многие вещи могут идти не так, как надо. В результате растет недовольство пользователей, которые не могут войти в систему, обратиться к необходимым ресурсам или получить доступ к своим почтовым ящикам. Если вы достаточно оснащены, чтобы управлять этим риском, то не избегайте реструктуризации домена. Как можно управлять этим риском? Нужно тщательно планировать, тестировать, обучаться и пользоваться поддержкой.
Наличие времени, достаточного для выполнения перехода
Реструктуризация домена всегда занимает больше времени. Однако если график вашего проекта перехода разрешает включить необходимое пла
нирование, тестирование и выполнение задач, то не избегайте реструктуризации домена.
Высокие требования к сохранению работоспособности системы
Если вы работаете в организации, где рабочее время системы является критической величиной, например в бизнесе, связанным с электронной коммерцией, где каждая минута простоя пересчитывается бухгалтерами в размер потерянного дохода, то реструктуризация домена - хороший выбор. Так как она включает создание незаполненного, «чистого» леса и оставляет исходную среду, по существу, без изменений, то работоспособность службы каталога сохраняется, поскольку пользователи продолжают функционировать в существующей среде. Вы можете переносить большие или маленькие партии пользователей в течение непиковых часов работы и оставлять эти новые учетные записи бездействующими до того времени, как будете готовы покинуть старую систему.
Наличие адекватных ресурсов
Реструктуризация домена влечет за собой большее количество задач, чем обновление домена, и поэтому требуется большее количество ресурсов. Выбирая этот путь перехода, убедитесь, что ваш штат сотрудников адекватно укомплектован для выполнения дополнительной рабочей нагрузки, связанной с реструктуризацией домена. Не забудьте учесть, что ваш штат не будет выполнять обычные ежедневные обязанности из-за времени, потраченного на реструктуризацию. Велика вероятность того, что вы не сможете приостановить процедуры сетевого резервирования на несколько недель из-за того, что ваши техники будут налаживать испытательную лабораторию, поэтому не забудьте предусмотреть заполнение этих ролей, если вы осуществляете переход с внутренним штатом. В качестве альтернативы можно переложить часть задач или весь проект на внешних сотрудников, поскольку существует множество консультативных групп, которые специализируются на таких проектах. Это сэкономит время и деньги, необходимые для обучения ваших внутренних сотрудников.
Увеличение бюджета проекта модернизации
По многим причинам реструктуризация домена потребует большего бюджета, чем обновление домена. Аппаратные требования, необходимые для построения незаполненной среды леса, в которую вы будете переносить ваши объекты службы каталога, следует рассмотреть с точки зрения бюджетных затрат. Если вы находитесь на стадии обновления Windows NT 4, то эти аппаратные расходы, вероятно, произойдут в любом из трех сценариев перехода.
Серверные приложения, требующие Windows NT 4 Server
Если вы поддерживаете сетевые службы или коммерческие приложения, которые выполняются только на контроллерах домена с системой Windows NT 4 Server, вы, очевидно, не захотите выполнять обновление домена, который содержит эти компьютеры. Этот факт может повлиять на ваше решение переместить участников безопасности путем реструктуризации домена, а затем модернизировать контроллер домена, после того как приложение или служба будут перемещены на сервер-член домена, или после того как вы будете иметь версию приложения, совместимую с Windows Server 2003.
Путь обновления домена с последующей реструктуризацией
Если вы решите, что ваша компания не удовлетворяет условиям, позволяющим уверенно выбрать обновление или реструктуризацию домена в качестве пути обновления, или если для нее подходят оба пути, то, возможно, вы выберете третий путь - обновление с последующей реструктуризацией. Рассмотрите возможность обновления с последующей реструктуризацией, если хотите получить немедленную выгоду от перехода к Active Directory (включая делегирование администрирования, групповые политики, публикацию приложений и многое другое), а также долговременную выгоду от реструктуризации домена (меньшее количество доменов с увеличенным объемом домена, проект домена в соответствии с вашими деловыми и организационными целями).
Критический вопрос, на который нужно ответить при рассмотрении этого пути, следующий: «Будет ли текущая модель вашего домена адекватно функционировать в среде Windows Server 2003? » (понятие «адекватно» является очень субъективным, и каждый сетевой администратор должен решить для себя, может ли компания продолжать поддерживать конгломерат предыдущих операционных систем, если да, то как долго.) Если ответ - да, возможно, вы наилучшим образом достигните своих целей через путь обновления с последующей реструктуризацией.
Практический опыт. Консолидация доменов через реструктуризацию
Ваша цель может состоять в объединении несколько доменов в вашей организации. Большие организации могут иметь сотни доменов, отвечающих потребностям службы каталога их пользователей. Почему количество доменов растет, выходя из-под контроля? Одна из причин - довольно низкий размер базы данных SAM (предел в 80 Мб, выше которого происходит ухудшение производительности, для существующих аппаратных стандартов, 40 Мб - на более старых системах). По мере роста организации должны добавлять большее число доменов Windows NT 4, чтобы удовлетворить возрастающие требования к объему. Другая причина «раздувания домена» - это модель с одним хозяином домена. Она использует
домены учетных записей для учетных записей пользователей и групп, домены ресурсов для общедоступных ресурсов (компьютеров, принтеров и т.д.) и локальные группы, которые управляют доступом к ресурсам. По мере увеличения количества общедоступных ресурсов в сети растет и число доменов ресурсов. В результате возникает слишком много доменов, и административные заботы увеличиваются. Такая организация является хорошим кандидатом на реструктуризацию домена, причем сокращение количества доменов должно быть целью при проектировании Active Directory. Домены Active Directory Windows Server 2003 могут поддерживать миллионы объектов, возможно объединение такое количество доменов учетных записей, которое необходимо для удовлетворения потребностей вашего бизнеса. Через введение OU вы можете достичь того же уровня административной власти, какой вы имели в доменной модели системы Windows NT 4, без необходимости делать всех администраторов ресурсов членами группы Domain Admins (Администраторы домена). Организация с сотнями доменов Windows NT 4 может перейти к Active Directory с единственным доменом.
Как только вы определили лучший путь перехода для ваших доменов, пришло время работать. Следующие разделы уточняют действия, необходимые для модернизации инфраструктуры вашей службы каталога с Windows NT 4 к Windows Server 2003.