Strategie di migrazione da
Windows NT4 a Windows Server
2003
Fabrizio grossi
Agenda





Strategia di Migrazione
Preparazione della Migrazione
Scelta del percorso di Migrazione
Upgrade
Ristrutturazione
Identificare l’ambiente presente

Identificare







Modello di domini attuale
Relazioni di trust esistenti
Numero e disposizione dei domain controller
Utenti, gruppi, e computer account
Come vengono gestiti i profili utente
Amministrazione del Dominio
Standard di Sicurezza e procedure
Agenda





Strategia di Migrazione
Preparazione della Migrazione
Scelta del percorso di Migrazione
Upgrade
Ristrutturazione
Upgrade o Ristrutturazione ?
Domain Migration
Windows NT 4
Windows 2000
Domain
Upgrade
Windows 2000
Domain
Restructure
1
Kerberos
Kerberos
OU
2
2
Upgrade

Mantiene il modello di dominioattuale
Mantiene la maggior parte delle impostazioni,
preferenze e applicazioni installate

OU
3
3
Ristrutturazione

Riduce il numero dei domini

Può ridurre l’overhead amministrativo
Determinare un percorso di
Migrazione
Domain
Upgrade
Valutare
Percorsi di
Migrazione
possibili
Valutare
Domain
Restructure
Valutare
Upgrade e
Restructure
Ragioni per scegliere un
percorso

Upgrade



La struttura del dominio è adatta alle necessità
dell’organizzazione
Offre minori rischi, tempi ridotti, minori risorse da
utilizzare e non necessita di nuovi server ( … )
Ristrutturazione



La struttura del dominio non è adatta alle necessità
dell’organizzazione
L’organizzazione non può tollerare il downtime
E necessaria una struttura di domini ottimizzata
Agenda





Strategia di Migrazione
Preparazione della Migrazione
Scelta del percorso di Migrazione
Upgrade
Ristrutturazione
Recovery Plan
1. Aggiungete un BDC se il dominio
contiene un solo domain controller
2. Documentate la configurazione dei
servizi e delle applicazioni attive sui
PDC e sui BDC
3. Eseguite un Back up dei servizi e delle
applicazioni
4. Sincronizzate tutti i BDCs con il PDC
5. Mettete un BDC offline
6. Tenete questo BDC offline e
disponibile fino alla fine della
migrazione
Domain
Controller
Applicazioni
Dati
Backup
Backup
Backup
Determinare l’ordine con cui
fare l’upgrade dei Domini
Usare un dominio dedicato come
Forest Root
Windows
NT 4.0
Domain
Windows
NT 4.0
Domain
europe
asia
Windows NT 4.0
Domain
europe.contoso.com asia.contoso.com
Fare l’upgrade dell’Account Domain
 Dominio
dove avete l’accesso più
facile ai DC
 Per
primo il dominio più piccolo
 Domini
Fare l’upgrade di un dominio
esistente comeForest Root
Contoso.com
che conterranno gli
oggetti provenienti dai domini
ristrutturati
nwtraders
nwtraders.com
Fare l’upgrade del Resource Domains
 Domini
dove le applicazioni
richiedano le funzionalità di
Windows 2003
 Domini
con molte workstation
Domini che conterranno gli oggetti
provenienti dai domini ristrutturati

Determinare quando passare in
Native Mode o successivi
Eseguito
Upgrade del
PDC non
Eseguito
Upgrade del
PDC ma non di
tutti i BDC
Windows
NT
Domain
Mixed
Mode
Domain
Eseguito Upgrade
del PDC e di tutti i
BDC – mixed
mode
Mixed
Mode
Domain
Eseguito
Upgrade del
PDC e di tutti i
BDC – native
mode
Native
Mode
Domain
Mantenimento dei servizi di rete
durante l’Upgrade
Fornire
servizi DNS affidabili
Fornire un servizio di risoluzione NetBIOS
affidabile
Fornire servizi DHCP affidabili
Supporto della LAN Manager Replication
Supporto dei Servizi di Accesso Remoto
Pianificare l’interazione tra le Group Policy
e le System Policy
Migrazione e applicazione dei Logon Scripts
Fornire servizi DHCP affidabili
3
OU
1
DHCP
2
4
OU
OU
Pianificazione per l’upgrade del DHCP
1 Upgrade del DHCP Server
DHCP
Client
2 Il DHCP Server (Upgraded) non può
assegnare indirizzi IP, fornite un
backup dei servizi DHCP
3 Autorizzate il DHCP Server
4 L’assegnazione degli indirizzi IP è
riabilitata
Gestione dell’Accesso alle
Risorse
 S-15-48430FA4-18AC01D7-5301355C-3F3
Risorse
SID:
S-15-48430FA4-18AC01D7-5301355C-3F3
I
SID sono mantenuti
 DACL e Permission sono mantenute
 Le Group Membership sono mantenute
 Le relazioni di Trust sono mantenute
Pulizia del Database SAM

Cancellate




Disabilitate



Account utente duplicati
Utenti, Gruppi e Computer account non utilizzati
Gruppi associati a risorse che non esistono
Gli account non utilizzati a breve
Per mantenere diritti, permission, e group membership
Consolidate gli account che fanno le stesse cose
Agenda





Strategia di Migrazione
Preparazione della Migrazione
Scelta del percorso di Migrazione
Upgrade
Ristrutturazione
Scenari di ristrutturazione InterForest
Sorgente
 Ristrutturazione
di
un Account
Domain Windows
NT 4.0
 Ristrutturazione di
un Resource
Domain Windows
NT 4.0
Account
Domain
Sorgente
Resource
Domain
Target
Target OU
OU
OU
OU OU
OU
OU OU
Benefici nell’uso dell’ Active
Directory Migration Tool
Perchè usare ADMT?
Analizza l’impatto della
migrazione sia prima che dopo
il processo di migrazione
Possibilità di test prima della
migrazione
Supporta la migrazione tra
foreste diverse e tra domini
della stessa foresta
Fornisce un wizards per
supportare i compiti di
migrazione più comune
Operazioni di migrazione
supportati da ADMT
Migrazione di utenti gruppi e
computer account tra domini
Security translation su gruppi
locali, profili utente, e risorse
(file e stampanti)
Popolazione dell’attributo SIDHistory
Security translation sui
computer
Opzioni per la migrazione degli
utenti in ADMT
Option
Traduzione dei profili roaming
Scopo
Copia i profili roaming dal dominio sorgente al
dominio target per gli utenti selezionati
Modifica dei diritti utente
Imposta i diritti utente assegnati ai nuovi account
nel dominio destinazione in modo che siano uguali
a quelli dell’utente originale
Migrazione dei gruppi associati
agli utenti
Migra i gruppi dell’utente nello stesso momento in
cui migra l’utente
Modifica degli oggetti
precedentemente migrati
Modifica i gruppi di cui sono membri gli utenti
migrati
Non rinomina gli account
Cerca di assegnare aglli account migrati lo stesso
nome che avevano nel dominio sorgente
Rinomina con prefisso
Aggiunge un prefisso specifico al nome di ogni
utente migrato nel dominio target
Rinomina con suffisso
Aggiunge un suffisso specifico al nome di ogni
utente migrato nel dominio target
Migrazione delle Password con
ADMT
E’ possibile utilizzare il Password Encryption Service per
migrare le password utilizzando lo User Account Migration
Wizard
Opzioni
Scopo
Password complesse
Genera automaticamente una password
complessa per ogni account migrato
Uguali al nome utente
Imposta la password per ogni utente migrato alle
prime 14 lettere dell’account utente
Migrazione delle password
Posizione del file delle password
Mantiene le password utente durante la
migrazione
Specifica un file per le password dove vengono
scritte le password assegnate o generate
I password filter non riescono a verificare la complessità o la
lunghezza delle password perchè nel dominio sorgente esiste
solo un a hash della password
Sequenza per Collassare i Domini
Target OU
1
Account
Domain
Migrazione dell’ account
domain
OU
Sorgente
Resource
Domain
Resource
Domain
OU
OU
OU
OU
OU
OU
Target OU
2
Migrazione del resource
domain
Concetti di sicurezza
Access Token
User:
SID primary
dell’utente
S-1-5-21-397955417-626881126-188441444-2812048
Groups:S-1-5-21-645522239-1957994488-725345543-1108
S-1-5-21-397955417-626881126-188441444-101018
S-1-5-21-645522239-1957994488-725345543-1109
....
sIDHistory
dell’utente
SID dei
gruppi di cui
l’utente fa
parte
SIDhistory garantisce l’accesso per gli utenti spostati
ACL su una cartella condivisa
Allow R W S-1-5-21-645522239-1957994488-725345543-1108
Clonazione dei Security
Principals in uno Scenario
Inter-Forest
Clonazione
degli utenti
Clonazione dei
gruppi Globali
Clonazione dei gruppi
Universali
Clonazione dei gruppi
Domain Local
Spostamento dei
Computer Account
Clonazione dei
gruppi Locali
Migrazione dei gruppi Globali
New Object
New SID
Domain1
SID-History
Domain2
Gruppi Globali
Windows NT 4.0
Domain3
Windows Server
2003 Domain

Group Account Migration Wizard
 Legge i gruppi globali nel dominio sorgente
 Crea un nuovo oggetto nel dominio target (con un nuovo SID)
 Aggiunge il SID originale all’attributo SID-History del nuovo
oggetto
 Registra un evento nel dominio sorgente e target
Opzione della Migrazione dei
gruppi
Opzione
Modifica i diritti utente
Scopo
Copia i diritti utente dal dominio sorgente al
dominio destinazione
Copia i membri dei gruppi
Copia i membri dei gruppi che avete
selezionate per essere migrati
Modifica gli oggetti
precedentemente migrati
Modifica i membri dei gruppi che avete
selezionate per essere migrati
Migra il SID del gruppo sul
dominio target
Aggiunge il SID degli account migrati
all’attributo SID-History del nuovo account
nel dominio destinazione
Non rinominare gli account
Cerca di assegnare al gruppo migrato lo
stesso nome che aveva nel dominio sorgente
Rinomina con un prefisso
Aggiunge un prefisso specificato al nome di
ogni gruppo migrato nel dominio target
Rinomina con un suffisso
Aggiunge un suffisso specificato al nome di
ogni gruppo migrato nel dominio target
Naming Conflicts Options
Opzioni
Ignora gli account in conflitto e
non migrare
Rimpiazza gli account in conflitto
Scopo
Non modifica l’account nel dominio di
destinazione
Cambia le proprietà dell’account esistente nel
dominio destinazione perchè abbia le stesse
proprietà dell’account nel dominio sorgente
Rimuove i diritti utente esistenti
Garantisce che l’account nel dominio destinazione
non abbia più diritti utente dell’account con lo
stesso nome nel dominio sorgente
Rimuove i membri dei gruppi che
vengono rimpiazzati
Garantisce che i membri dei gruppi migrati nel
dominio destinazione siano gli stessi dei membri
dei gruppi associati nel dominio sorgente
Rinomina gli account in conflitto
aggiungendo
Aggiunge un suffisso o un prefisso specificati al
nome dell’account migrato nel dominio
destinazione
Opzioni di transizioni
dell’Account
Opzioni
Disabilita gli account sorgente
Scopo
Disabilita l’account utente originale nel
dominio sorgente
Disabilita gli account destinazione
Disabilita il nuovo account utente nel dominio
destinazione
Lascia entrambi gli account attivi
Lascia attivi entrambi gli account (nel dominio
sorgente e destinazione)
Giorni dopo i quali l’account
sorgente scade
Migra il SID utente nel dominio
destinazione
Imposta il numero di giorni dopo i quali
l’account sorgente non è più disponibile
Aggiunge il SID dell’utente migrato
all’attributo SID-History del nuovo account nel
dominio destinazione
Migrazione dei Service Account
service1
Domain1
service2
service3
Domain2
Windows NT 4.0
Domain3
Service Accounts
service1
service2
service3



Identificate i service accounts
Migrate i service accounts
Modificate i servizi perchè si
validino utilizzando gli account
migrati
Windows Server
2003 Domain
Migrazione dei Computer Account
Domain1
Domain2
Windows NT 4.0
Domain3
SAM DBs
Computer Accounts



I Computer account includono workstation e
member server
Workstation e member server hanno il loro
database SAM locale
Gli account locali vengono spostati
automaticamente con il computer account
Windows Server
2003 Domain
Opzione di migrazione dei
profili
Opzioni
Scopo
Traduci gli oggetti
Specifica il tipo di oggetti per cui vuoi che
ADMT traduca la security
Opzioni di Security
Translation
(1)
Selezionate Previously migrated objects per
attivare la security translation sugli oggetti
precedentemente migrati, selezionate Other
objects specified in a file per gestire atri oggetti
che siano specificati in un file
Opzioni di Security
Translation(2)
Selezionate Replace per cambiare il SID per
l’account nel dominio sorgente con il SID per
l’account nel dominio destinazione
Selezionate Add per includere sia il vecchio SID
che il nuovo SID nella chiave di registry della lista
dei profili sul client computer Windows NT 4.0
Selezionate Remove per cancellare il SID per
l’account nel dominio sorgente
Riconfigurare i permessi per le
risorse condivise


L’ attributo SID-History mantiene
l’accesso alle risorse
Riconfigurare le permission per usare i
nuovi security identifier, al fine di:




Decrementare le dimensioni del token di
accesso
Diminuire il tempo di logon
Cancellare l’attributo SID-History
Incrementare le performance
Migrazione delle System Policy
Effetti di un upgrade di dominio
Le Group Policy sono applicate se
il domain controller del dominio
Windows Server 2003 autentica i
computer client Windows Server
2003
Le System policy sono applicate
se il domain controller Windows
NT 4.0 autentica computers client
Windows Server 2003
Le System policy sono applicate
se un account utente o un
computer account sono in un
dominio Windows NT 4.0
Le Group Policy sono applicate se
un utente o un computer account
sono in un dominio
Windows Server 2003
Effetti di una ristrutturazione
Le System policy da un
dominio sorgente non sono
automaticamente applicate ai
computer client migrati
Le System policy sono
applicate se un account utente
o un computer account sono in
un dominio NT4
Le Group Policy sono applicate
se un utente o un computer
account sono in un dominio
Windows Server 2003
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Scarica

Strategie di migrazione da Windows NT4 a Windows