Strategie di migrazione da Windows NT4 a Windows Server 2003 Fabrizio grossi Agenda Strategia di Migrazione Preparazione della Migrazione Scelta del percorso di Migrazione Upgrade Ristrutturazione Identificare l’ambiente presente Identificare Modello di domini attuale Relazioni di trust esistenti Numero e disposizione dei domain controller Utenti, gruppi, e computer account Come vengono gestiti i profili utente Amministrazione del Dominio Standard di Sicurezza e procedure Agenda Strategia di Migrazione Preparazione della Migrazione Scelta del percorso di Migrazione Upgrade Ristrutturazione Upgrade o Ristrutturazione ? Domain Migration Windows NT 4 Windows 2000 Domain Upgrade Windows 2000 Domain Restructure 1 Kerberos Kerberos OU 2 2 Upgrade Mantiene il modello di dominioattuale Mantiene la maggior parte delle impostazioni, preferenze e applicazioni installate OU 3 3 Ristrutturazione Riduce il numero dei domini Può ridurre l’overhead amministrativo Determinare un percorso di Migrazione Domain Upgrade Valutare Percorsi di Migrazione possibili Valutare Domain Restructure Valutare Upgrade e Restructure Ragioni per scegliere un percorso Upgrade La struttura del dominio è adatta alle necessità dell’organizzazione Offre minori rischi, tempi ridotti, minori risorse da utilizzare e non necessita di nuovi server ( … ) Ristrutturazione La struttura del dominio non è adatta alle necessità dell’organizzazione L’organizzazione non può tollerare il downtime E necessaria una struttura di domini ottimizzata Agenda Strategia di Migrazione Preparazione della Migrazione Scelta del percorso di Migrazione Upgrade Ristrutturazione Recovery Plan 1. Aggiungete un BDC se il dominio contiene un solo domain controller 2. Documentate la configurazione dei servizi e delle applicazioni attive sui PDC e sui BDC 3. Eseguite un Back up dei servizi e delle applicazioni 4. Sincronizzate tutti i BDCs con il PDC 5. Mettete un BDC offline 6. Tenete questo BDC offline e disponibile fino alla fine della migrazione Domain Controller Applicazioni Dati Backup Backup Backup Determinare l’ordine con cui fare l’upgrade dei Domini Usare un dominio dedicato come Forest Root Windows NT 4.0 Domain Windows NT 4.0 Domain europe asia Windows NT 4.0 Domain europe.contoso.com asia.contoso.com Fare l’upgrade dell’Account Domain Dominio dove avete l’accesso più facile ai DC Per primo il dominio più piccolo Domini Fare l’upgrade di un dominio esistente comeForest Root Contoso.com che conterranno gli oggetti provenienti dai domini ristrutturati nwtraders nwtraders.com Fare l’upgrade del Resource Domains Domini dove le applicazioni richiedano le funzionalità di Windows 2003 Domini con molte workstation Domini che conterranno gli oggetti provenienti dai domini ristrutturati Determinare quando passare in Native Mode o successivi Eseguito Upgrade del PDC non Eseguito Upgrade del PDC ma non di tutti i BDC Windows NT Domain Mixed Mode Domain Eseguito Upgrade del PDC e di tutti i BDC – mixed mode Mixed Mode Domain Eseguito Upgrade del PDC e di tutti i BDC – native mode Native Mode Domain Mantenimento dei servizi di rete durante l’Upgrade Fornire servizi DNS affidabili Fornire un servizio di risoluzione NetBIOS affidabile Fornire servizi DHCP affidabili Supporto della LAN Manager Replication Supporto dei Servizi di Accesso Remoto Pianificare l’interazione tra le Group Policy e le System Policy Migrazione e applicazione dei Logon Scripts Fornire servizi DHCP affidabili 3 OU 1 DHCP 2 4 OU OU Pianificazione per l’upgrade del DHCP 1 Upgrade del DHCP Server DHCP Client 2 Il DHCP Server (Upgraded) non può assegnare indirizzi IP, fornite un backup dei servizi DHCP 3 Autorizzate il DHCP Server 4 L’assegnazione degli indirizzi IP è riabilitata Gestione dell’Accesso alle Risorse S-15-48430FA4-18AC01D7-5301355C-3F3 Risorse SID: S-15-48430FA4-18AC01D7-5301355C-3F3 I SID sono mantenuti DACL e Permission sono mantenute Le Group Membership sono mantenute Le relazioni di Trust sono mantenute Pulizia del Database SAM Cancellate Disabilitate Account utente duplicati Utenti, Gruppi e Computer account non utilizzati Gruppi associati a risorse che non esistono Gli account non utilizzati a breve Per mantenere diritti, permission, e group membership Consolidate gli account che fanno le stesse cose Agenda Strategia di Migrazione Preparazione della Migrazione Scelta del percorso di Migrazione Upgrade Ristrutturazione Scenari di ristrutturazione InterForest Sorgente Ristrutturazione di un Account Domain Windows NT 4.0 Ristrutturazione di un Resource Domain Windows NT 4.0 Account Domain Sorgente Resource Domain Target Target OU OU OU OU OU OU OU OU Benefici nell’uso dell’ Active Directory Migration Tool Perchè usare ADMT? Analizza l’impatto della migrazione sia prima che dopo il processo di migrazione Possibilità di test prima della migrazione Supporta la migrazione tra foreste diverse e tra domini della stessa foresta Fornisce un wizards per supportare i compiti di migrazione più comune Operazioni di migrazione supportati da ADMT Migrazione di utenti gruppi e computer account tra domini Security translation su gruppi locali, profili utente, e risorse (file e stampanti) Popolazione dell’attributo SIDHistory Security translation sui computer Opzioni per la migrazione degli utenti in ADMT Option Traduzione dei profili roaming Scopo Copia i profili roaming dal dominio sorgente al dominio target per gli utenti selezionati Modifica dei diritti utente Imposta i diritti utente assegnati ai nuovi account nel dominio destinazione in modo che siano uguali a quelli dell’utente originale Migrazione dei gruppi associati agli utenti Migra i gruppi dell’utente nello stesso momento in cui migra l’utente Modifica degli oggetti precedentemente migrati Modifica i gruppi di cui sono membri gli utenti migrati Non rinomina gli account Cerca di assegnare aglli account migrati lo stesso nome che avevano nel dominio sorgente Rinomina con prefisso Aggiunge un prefisso specifico al nome di ogni utente migrato nel dominio target Rinomina con suffisso Aggiunge un suffisso specifico al nome di ogni utente migrato nel dominio target Migrazione delle Password con ADMT E’ possibile utilizzare il Password Encryption Service per migrare le password utilizzando lo User Account Migration Wizard Opzioni Scopo Password complesse Genera automaticamente una password complessa per ogni account migrato Uguali al nome utente Imposta la password per ogni utente migrato alle prime 14 lettere dell’account utente Migrazione delle password Posizione del file delle password Mantiene le password utente durante la migrazione Specifica un file per le password dove vengono scritte le password assegnate o generate I password filter non riescono a verificare la complessità o la lunghezza delle password perchè nel dominio sorgente esiste solo un a hash della password Sequenza per Collassare i Domini Target OU 1 Account Domain Migrazione dell’ account domain OU Sorgente Resource Domain Resource Domain OU OU OU OU OU OU Target OU 2 Migrazione del resource domain Concetti di sicurezza Access Token User: SID primary dell’utente S-1-5-21-397955417-626881126-188441444-2812048 Groups:S-1-5-21-645522239-1957994488-725345543-1108 S-1-5-21-397955417-626881126-188441444-101018 S-1-5-21-645522239-1957994488-725345543-1109 .... sIDHistory dell’utente SID dei gruppi di cui l’utente fa parte SIDhistory garantisce l’accesso per gli utenti spostati ACL su una cartella condivisa Allow R W S-1-5-21-645522239-1957994488-725345543-1108 Clonazione dei Security Principals in uno Scenario Inter-Forest Clonazione degli utenti Clonazione dei gruppi Globali Clonazione dei gruppi Universali Clonazione dei gruppi Domain Local Spostamento dei Computer Account Clonazione dei gruppi Locali Migrazione dei gruppi Globali New Object New SID Domain1 SID-History Domain2 Gruppi Globali Windows NT 4.0 Domain3 Windows Server 2003 Domain Group Account Migration Wizard Legge i gruppi globali nel dominio sorgente Crea un nuovo oggetto nel dominio target (con un nuovo SID) Aggiunge il SID originale all’attributo SID-History del nuovo oggetto Registra un evento nel dominio sorgente e target Opzione della Migrazione dei gruppi Opzione Modifica i diritti utente Scopo Copia i diritti utente dal dominio sorgente al dominio destinazione Copia i membri dei gruppi Copia i membri dei gruppi che avete selezionate per essere migrati Modifica gli oggetti precedentemente migrati Modifica i membri dei gruppi che avete selezionate per essere migrati Migra il SID del gruppo sul dominio target Aggiunge il SID degli account migrati all’attributo SID-History del nuovo account nel dominio destinazione Non rinominare gli account Cerca di assegnare al gruppo migrato lo stesso nome che aveva nel dominio sorgente Rinomina con un prefisso Aggiunge un prefisso specificato al nome di ogni gruppo migrato nel dominio target Rinomina con un suffisso Aggiunge un suffisso specificato al nome di ogni gruppo migrato nel dominio target Naming Conflicts Options Opzioni Ignora gli account in conflitto e non migrare Rimpiazza gli account in conflitto Scopo Non modifica l’account nel dominio di destinazione Cambia le proprietà dell’account esistente nel dominio destinazione perchè abbia le stesse proprietà dell’account nel dominio sorgente Rimuove i diritti utente esistenti Garantisce che l’account nel dominio destinazione non abbia più diritti utente dell’account con lo stesso nome nel dominio sorgente Rimuove i membri dei gruppi che vengono rimpiazzati Garantisce che i membri dei gruppi migrati nel dominio destinazione siano gli stessi dei membri dei gruppi associati nel dominio sorgente Rinomina gli account in conflitto aggiungendo Aggiunge un suffisso o un prefisso specificati al nome dell’account migrato nel dominio destinazione Opzioni di transizioni dell’Account Opzioni Disabilita gli account sorgente Scopo Disabilita l’account utente originale nel dominio sorgente Disabilita gli account destinazione Disabilita il nuovo account utente nel dominio destinazione Lascia entrambi gli account attivi Lascia attivi entrambi gli account (nel dominio sorgente e destinazione) Giorni dopo i quali l’account sorgente scade Migra il SID utente nel dominio destinazione Imposta il numero di giorni dopo i quali l’account sorgente non è più disponibile Aggiunge il SID dell’utente migrato all’attributo SID-History del nuovo account nel dominio destinazione Migrazione dei Service Account service1 Domain1 service2 service3 Domain2 Windows NT 4.0 Domain3 Service Accounts service1 service2 service3 Identificate i service accounts Migrate i service accounts Modificate i servizi perchè si validino utilizzando gli account migrati Windows Server 2003 Domain Migrazione dei Computer Account Domain1 Domain2 Windows NT 4.0 Domain3 SAM DBs Computer Accounts I Computer account includono workstation e member server Workstation e member server hanno il loro database SAM locale Gli account locali vengono spostati automaticamente con il computer account Windows Server 2003 Domain Opzione di migrazione dei profili Opzioni Scopo Traduci gli oggetti Specifica il tipo di oggetti per cui vuoi che ADMT traduca la security Opzioni di Security Translation (1) Selezionate Previously migrated objects per attivare la security translation sugli oggetti precedentemente migrati, selezionate Other objects specified in a file per gestire atri oggetti che siano specificati in un file Opzioni di Security Translation(2) Selezionate Replace per cambiare il SID per l’account nel dominio sorgente con il SID per l’account nel dominio destinazione Selezionate Add per includere sia il vecchio SID che il nuovo SID nella chiave di registry della lista dei profili sul client computer Windows NT 4.0 Selezionate Remove per cancellare il SID per l’account nel dominio sorgente Riconfigurare i permessi per le risorse condivise L’ attributo SID-History mantiene l’accesso alle risorse Riconfigurare le permission per usare i nuovi security identifier, al fine di: Decrementare le dimensioni del token di accesso Diminuire il tempo di logon Cancellare l’attributo SID-History Incrementare le performance Migrazione delle System Policy Effetti di un upgrade di dominio Le Group Policy sono applicate se il domain controller del dominio Windows Server 2003 autentica i computer client Windows Server 2003 Le System policy sono applicate se il domain controller Windows NT 4.0 autentica computers client Windows Server 2003 Le System policy sono applicate se un account utente o un computer account sono in un dominio Windows NT 4.0 Le Group Policy sono applicate se un utente o un computer account sono in un dominio Windows Server 2003 Effetti di una ristrutturazione Le System policy da un dominio sorgente non sono automaticamente applicate ai computer client migrati Le System policy sono applicate se un account utente o un computer account sono in un dominio NT4 Le Group Policy sono applicate se un utente o un computer account sono in un dominio Windows Server 2003 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.