Инструмент для миграции учетных записей и паролей
Microsoft выпустила Active Directory Migration Tool (ADMT) 2.0 в качестве дополнения к Windows Server 2003, и большинство администраторов воспринимают его как средство для осуществления перехода от одной версии Windows к другой. ADMT — предпочтительный инструмент миграции с прежних версий Windows на Windows 2003 или Windows 2000 Server для крупных организаций. Однако следует уточнить, что ADMT проектировался для переноса схемы Active Directory (AD) из одного леса в другой, независимо от того, меняется ли при этом версия операционной системы. ADMT обеспечивает не только переход с Windows NT 4.0 на AD, но и миграцию между лесами (консолидацию доменов, распределенных по отдельным лесам) и внутри лесов (миграции доменов, составляющих часть одного леса).
В ADMT 2.0 появилось несколько новых функций, в том числе интерфейс командной строки и усовершенствованный интерфейс для работы с Microsoft Exchange Server. Кроме того, ADMT 2.0 обеспечивает миграцию паролей учетных записей пользователей.
Велика роль ADMT и как средства перемещения схемы, так как после реализации схемы AD ее нельзя изменить напрямую. Чтобы внести изменения, необходимо удалить структуру и начать заново или применить ADMT, который позволяет перейти к другой схеме, не выстраивая ее заново.
Отметив это важное обстоятельство, я расскажу, как перенести домен NT 4.0 в Windows 2003 с использованием ADMT 2.0. Я сформировал простую виртуальную среду, затем дополнил ее доменом-источником NT 4.0 с именем IKDOM01 и целевым доменом Windows 2003 с полным именем (Qualified Domain Name, FQDN) IKDOM2.ORG. ADMT должен работать на целевом основном контроллере домена (PDC). Если целевой каталог реплицирован, то выбранный сервер должен также быть мастером операций — эмулятором PDC.
ADMT 2.0 совместим как с Windows 2003, так и с Windows 2000 Server. Инструмент можно загрузить с Web-узла Microsoft. Содержимое загружаемого файла admt2.exe следует извлечь в каталог ADMT, например. Один из извлеченных файлов, admigration.msi, устанавливает ADMT на выбранном сервере. По умолчанию ADMT разворачивается в подкаталоге Program FilesActive Directory Migration Tool корневого системного каталога. После установки инструмента следует подготовить два домена к миграции.
Подготовка к миграции
В Windows 2003 предусмотрено два режима работы AD: однородный (native) и смешанный (mixed). В Windows 2003 появилось несколько функций безопасности, отсутствовавших в прежних версиях. В чистой среде Windows 2003 можно настроить AD на работу в однородном режиме, который лучше защищен, но несовместим со старыми контроллерами домена (DC). В смешанном режиме серверы AD и NT 4.0 могут работать с общей средой безопасности, но многие новейшие функции системы безопасности для однородного режима недоступны. Для того чтобы убедиться, что в новом домене используется однородный режим, следует открыть оснастку Active Directory Users and Computers консоли управления Microsoft Management Console (MMC) и щелкнуть правой кнопкой мыши на объекте domain. Из контекстного меню следует выбрать пункт Raise Functional Level, если он доступен; в противном случае нужно выбрать пункты All Tasks, Raise Functional Level. На экране появится диалоговое окно, в котором показан текущий функциональный уровень домена и можно изменить режим работы на однородный. Более подробные сведения о функциональных уровнях домена содержатся в статье Microsoft «HOW TO: Raise Domain and Forest Functional Levels in Windows Server 2003» (http://support.microsoft.com/?kbid=322692). Следует помнить, что, подняв уровень функционирования домена, снизить его нельзя.
Затем необходимо создать двусторонние доверительные отношения между целевым и исходным доменами. На компьютере Windows 2003 требуется открыть оснастку Active Directory Domains and Trusts и щелкнуть правой кнопкой мыши на целевом домене (IKDOM2.ORG). Выбрав пункт Properties из контекстного меню, открываем диалоговое окно Properties. На вкладке Trusts следует щелкнуть на кнопке New Trust, чтобы запустить мастера New Trust Wizard, который поможет пользователю установить первую часть двусторонних доверительных отношений с доменом IKDOM01 NT 4.0.
Чтобы создать вторую часть доверительных отношений (от исходного домена к целевому), следует открыть окно User Manager for Domains из меню Administrative Tools на PDC NT 4.0 домена IKDOM01. В меню Policies нужно выбрать функцию Trust Relationships, затем определить двусторонние доверительные отношения с целевым доменом. Изменив оба домена, следует закрыть консоль Active Directory Domains and Trusts на PDC Windows 2003, но оставить открытой User Manager for Domains на IKDOM01.
Далее необходимо убедиться, что административные учетные записи, которые будут использоваться процессом миграции, располагают полномочиями в обоих доменах. В окне User Manager for Domains следует дважды щелкнуть мышью на объекте Administrators под объектом IKDOM01 и ввести администраторов для целевого домена (IKDOM2.ORGDomain Admins), чтобы предоставить им полномочия в исходном домене. В процессе настройки исходного домена можно сформировать группу, связанную с переносом идентификаторов SID, но ADMT автоматически создает эту группу на исходном домене и присваивает ей имя, соответствующее домену (в моем случае было задано имя IKDOM01$$$). После этого утилиту User Manager for Domains следует закрыть.
Затем необходимо назначить административные полномочия в домене Windows 2003. Нужно открыть оснастку Active Directory Users and Computers на машине Windows 2003, развернуть узел Builtin (в котором содержатся локальные группы сервера) под IKDOM2.ORG и добавить администраторов домена из исходного домена (IKDOM01Domain Admins) в локальную группу Administrators.
Следующий этап подготовки к миграции включает редактирование реестра на IKDOM01 PDC для поддержки клиента TCP/IP. Необходимо открыть редактор реестра, перейти в раздел HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLsa и ввести новый параметр TcpipClientSupport типа DWORD. Новому параметру следует присвоить значение 1 и перезапустить IKDOM01 PDC.
Теперь можно приступать к миграции информации пользовательских учетных записей. На Windows 2003 PDC следует открыть оснастку Active Directory Migration Tool консоли MMC. Консоль MMC выглядит на экране довольно скромно: в ней нет почти ничего, кроме узла Active Directory Migration Tool, где хранятся отчеты. Инструмент ADMT работает под управлением мастеров; любое действие ADMT запускает один из 11 мастеров. Чтобы увидеть список мастеров, достаточно щелкнуть правой кнопкой мыши на узле Active Directory Migration Tool (экран 1). Существуют следующие мастера:
- User Account Migration Wizard - миграция учетных записей пользователей
- Group Account Migration Wizard - миграция учетных записей групп
- Computer Migration Wizard - миграция компьютеров
- Security Translation Wizard - преобразование безопасности
- Reporting Wizard - мастер отчетов
- Service Account Migration Wizard - миграция учетных записей служб
- Exchange Directory Migration Wizard - миграция каталога Exchange Directory
- Undo Last Migration Wizard - отмена предыдущей миграции
- Retry Task Wizard - повторная попытка выполнить задание
- Trust Migration Wizard - миграция доверительных отношений
- Group Mapping and Merging Wizard - отображение и слияние групп.
Некоторые мастера, такие как Trust Migration Wizard, позволяют выбрать исходный домен, а затем отображают единственный экран, функционирующий как диалоговое окно. Другие мастера, такие как User Account Migration Wizard, сложнее, но во всех используется один базовый процесс.
Миграция учетных записей пользователей
Я подробно расскажу об этапах работы мастера User Account Migration Wizard, предназначенного для миграции учетных записей пользователей (перенос паролей — отдельная операция). После запуска User Account Migration Wizard появляется малый экран заголовка. На следующем экране пользователю предоставляется возможность запустить мастер в тестовом режиме. Данная функция, которой нет ни в одном из других мастеров, позволяет настроить все параметры, связанные с миграцией пользователей, протестировать миграцию и получить отчет о потенциальных проблемах. Я рекомендую запустить мастер в тестовом режиме, чтобы сначала устранить любые неполадки, которые могут возникнуть в процессе миграции учетных записей пользователей, а потом настроить процедуру миграции паролей (она будет описана в следующем разделе) и, наконец, вновь запустить User Account Migration Wizard для переноса учетных записей пользователей и паролей одновременно.
На следующем этапе User Account Migration Wizard просит указать исходный и целевой домены. Следует отметить, что мастер отыскивает только домены AD и пропускает домен NT 4.0, с которым были установлены доверительные отношения в раскрывающемся окне доступных доменов. Имя домена NT 4.0 необходимо ввести вручную.
На следующем экране можно выбрать учетные записи пользователей. По щелчку на кнопке Add на этом экране открывается диалоговое окно с небольшим количеством функций, позволяющих выбирать объекты AD. Чтобы не вводить имя каждого пользователя вручную, следует щелкнуть на кнопке Advanced, и на экране появится расширенное диалоговое окно Select Users (экран 2). По щелчку на кнопке Find Now можно получить список всех учетных записей в целевом домене. К сожалению, нельзя отфильтровать встроенные учетные записи, такие как Administrator и Guest, поэтому при выборе их следует пропустить или удалить из списка после возвращения к мастеру.
Выбрав учетные записи для миграции, нужно уточнить их будущее местонахождение в целевом домене. Мастер отображает имена FQDN, и администратор может отредактировать целевую организационную единицу (OU) для учетных записей.
После определения местонахождения можно указать метод обработки паролей пользовательских учетных записей (см. экран 3). В стандартном режиме Complex Passwords создаются новые сложные пароли на основе случайной последовательности символов. Альтернативный вариант — назначить пароли, совпадающие с именем учетных записей. В любом случае мастер записывает файл истории, в котором каждая учетная запись пользователя связана со своим новым паролем, и администратору следует попросить пользователей изменить пароли после регистрации в домене. Третий вариант — перенести пароли пользовательских учетных записей из исходного домена, хотя до тех пор, пока не будут выполнены действия, описанные в следующем разделе статьи, функция Migrate passwords практически недоступна. Если выбрать ее и щелкнуть на кнопке Next, на экране появится сообщение об ошибке. Пока следует принять стандартные параметры и перейти к следующему экрану мастера.
На следующем экране представлено несколько вариантов активизации учетной записи (см. экран 4). Я рекомендую выбрать режим Target same as source, чтобы программа ADMT создала в целевом домене учетные записи с тем же статусом запуска, какой они имели в исходном домене. Этот режим дает некоторую уверенность, что даже случайно перенесенная ненужная или неактивная учетная запись останется неактивизированной. Кроме того, ADMT может автоматически отмечать исходные учетные записи для блокирования. На этом же экране имеется функция для миграции SID пользовательских учетных записей. По умолчанию при создании учетной записи пользователя в целевом домене AD назначает новой учетной записи новый SID и лишает ее полномочий и ограничений, определенных в исходном домене. Функция Migrate user SIDs to target domain копирует SID исходной учетной записи в предысторию новой учетной записи. Затем Windows использует этот параметр, чтобы связать старую и новую учетные записи и предоставить пользователю те же полномочия, которые он имел в исходном домене. В этом режиме назначаются заданные функции аудита, которые мастер автоматически активизирует в исходном и целевом доменах. Очевидно, перенос SID имеет смысл, если полномочия групп в целевом домене такие же, как в исходном.
Миграция SID вносит в процедуру дополнительный этап. На данном этапе мастер просит ввести действительные административные данные для исходного домена (IKDOM01). ADMT нуждается в явном указании таких данных, так как доступ к SID учетных записей — привилегированная операция.
На следующем экране User Account Migration Wizard (см. экран 5) можно определить другие параметры учетной записи пользователя, в том числе два важных групповых параметра. Следует выбрать первый параметр (Migrate associated user groups), чтобы перенести, наряду с учетными записями пользователей, выбранные группы исходного домена, которые не были определены в целевом домене. Необходимо также выбрать сопутствующий подпараметр (Update previously migrated objects), тем самым мы поставим ADMT в известность, что после создания новой группы для первого перенесенного пользователя, члена данной группы, необходимо обновлять эту группу, а не создавать новую в процессе миграции остальных ее пользователей. ADMT автоматически сохраняет членство пользователей в специализированных группах; если переносятся и SID, то все полномочия остаются неизменными.
Второй групповой параметр — Fix users? group memberships. Он связывает учетные записи пользователей с существующей группой в целевом домене на основании их членства в исходном домене (таким образом, термин fix в данном случае означает присоединение, а не исправление). Например, если учетная запись пользователя принадлежит к группе Domain Administrators в IKDOM01, то после миграции новая учетная запись будет членом группы Domain Administrators в IKDOM2. ADMT достаточно интеллектуален, чтобы не дублировать такие встроенные группы (при миграции групп), и дает администратору возможность указать, следует ли автоматически переносить эти сведения.
На последнем экране мастер просит выбрать стандартный способ переименования любых пользовательских записей, дублирующих существующие учетные записи в целевом домене. Ответив на этот вопрос, следует щелкнуть на кнопке Finish, чтобы начать или протестировать процесс миграции. В ходе миграции в окне статуса отображаются объекты, перенесенные мастером, и любые ошибки. Мастер также создает файл журнала, который можно просмотреть в конце миграции. Журнал доступен лишь до того, как будет закрыто окно мастера. Когда окно будет закрыто, в распоряжении администратора останутся только отчеты, генерируемые ADMT.
Перенос пароля
Одна из самых интересных функций ADMT 2.0 — возможность переносить пароли. Функция миграции паролей заслуживает особого внимания, так как требует дополнительных настроек как исходного, так и целевого DC, а также запуска службы в исходном домене. Служба работает с ключом, который предоставляется целевым доменом исходному и используется для шифрования и восстановления информации о пароле. Благодаря разделению процедур настройки миграции паролей и учетных записей пользователей сокращается число неполадок и время диагностики неисправностей.
Настройка процедуры миграции паролей начинается на целевом DC. Первый шаг состоит в распространении полномочий группы Everyone целевого домена на анонимных пользователей. Для этого следует открыть оснастку Domain Security Policy консоли MMC. Чтобы получить список доступных режимов безопасности, нужно развернуть Local Policies and Security Options. Требуется активизировать режим Network access: Let Everyone permissions apply to anonymous users (см. экран 6).
Следующий шаг — генерация ключевого файла пароля на целевом DC (в нашем примере — IKDOM2). Для генерации этого ключа в ADMT имеется утилита, запускаемая из командной строки; пример команды, генерирующей ключ:
admt key ikdom01 C: est *
где key — указание на необходимость генерировать ключ, ikdom01 — исходный домен, C: est — папка, в которой будет сохранен ключевой файл, а * выводит на экран приглашение задать пароль для ключевого файла в процессе генерации ключа. На экране 7 показано, что примером команды был создан ключевой файл C: est4A662TSJ.pes. В командной строке на целевом DC следует ввести еще одну команду
net localgroup "Pre-Windows 2000 Compatible Access" Everyone /Add
а затем перезапустить целевой DC.
Далее следует обратиться к исходному домену. Мы использовали PDC домена IKDOM01 в качестве машины-источника в процессе миграции учетной записи пользователя, но специалисты Microsoft рекомендуют задействовать производственный BDC (резервный контроллер домена) в качестве сервера для экспорта пароля. Последствия ошибки будут менее заметны, так как BDC обычно располагает свободными вычислительными ресурсами, а в процессе настройки требуется перезагрузка компьютера, что лучше делать на BDC, чем на PDC. Однако использовать BDC не обязательно, необходимое программное обеспечение можно развернуть и на PDC. Программы находятся в папке pwdmig, внутри папки, созданной файлом admt2.exe при запуске этого файла на целевом DC. Папку pwdmig и ключевой файл, подготовленный на целевом DC, следует скопировать на исходный DC, а затем запустить файл установки сервера экспорта пароля на исходном DC. На системе NT 4.0 необходимо запустить файл pwdmigpwdmig.exe, чтобы развернуть сервер экспорта пароля (на системе Windows 2003 или Windows 2000 нужно запустить файл pwdmigpwdmig.msi).
В процессе установки сервера экспорта пароля система попросит ввести путь к ключевому файлу *.pes. Другой запрос относится к паролю (если он имеется), назначенному для данного файла. После установки сервера экспорта пароля систему необходимо перезагрузить, но сначала нужно отредактировать реестр исходного DC таким образом, чтобы пришлось перезагружаться только один раз. Параметру AllowPasswordExport under the HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlLsa типа DWORD следует присвоить значение 1, чтобы разрешить экспорт пароля. После смены параметра необходимо перезагрузить исходный DC.
После перезагрузки можно воспользоваться мастером User Account Migration Wizard на целевом DC для миграции паролей вместе с учетными записями пользователей. Я обнаружил, что при миграции пароля часто происходят ошибки, поэтому советую познакомиться с рекомендациями по диагностике, приведенными в статье Microsoft «How to Troubleshoot Inter-Forest Password Migration with ADMTv2» (http://support.microsoft.com/?kbid=322981).
Вперед с ADMT
Я рассказал, как работать с ADMT 2.0 из графического интерфейса и, в меньшей степени, интерфейса командной строки. Одна из новых возможностей версии 2.0, о которой не упоминалось в данной статье, — сценарный интерфейс. Этот интерфейс не только позволяет обращаться к командной строке ADMT из сценария, но и открывает доступ к целому набору интерфейсов объектов. Чтобы использовать ADMT в сценарии, лучше всего начинать с тестового сценария, поставляемого вместе с инструментом. В сценарии Templatescript.vbs перечислены стандартные параметры для работы с различными интерфейсами и приведен текст примера для построения интерфейса ADMT.Migration.
ADMT 2.0 — мощный инструмент, который обеспечивает не только переход от старой версии Windows к более новой, но и текущее обслуживание и консолидацию доменов внутри предприятия. Благодаря расширенным функциям миграции объектов каталогов можно внести изменения в рабочий каталог и динамически расширить инфраструктуру. Несомненно, в будущих версиях ADMT появятся еще более мощные возможности консолидации — в конечном итоге даже отдельных элементов структуры каталогов.
Уильям Шелдон — ведущий инженер компании InterKnowlogy, имеет сертификаты MCSD и MCP+SiteBuilding. С ним можно связаться по адресу: mailto:bsheldon@interknowlogy.com