Четыре инструмента миграции облегчают развертывание AD

Компания Microsoft прекратила работу над исправлениями для Windows NT 4.0 и постепенно сворачивает ее поддержку. Одновременно выпущен пакет Windows Server 2003 Service Pack 1 (SP1), и для администраторов, все еще не отказавшихся от доменов NT, пришло время задуматься о переходе к Active Directory (AD). Чтобы упростить процесс миграции, Microsoft выпустила бесплатный инструмент Active Directory Migration Tool (ADMT), который можно загрузить на сайте компании. Продукты независимых поставщиков, таких как Quest Software, BindView и NetIQ, располагают функциями управления проектами, удаления истории SID и более удобным графическим интерфейсом. Все эти достоинства действительно способны окупить затраты на их приобретение.

В процессе миграции учетные записи пользователей и компьютеров из одного или нескольких исходных доменов перемещаются в целевой домен. Предприятия выполняют миграцию при переходе с NT либо для консолидации двух или нескольких доменов AD. Перемещенные учетные записи получают новый SID в целевом домене, поэтому инструменты миграции должны обеспечить новым учетным записям наследование всех прежних разрешений доступа к ресурсам. Все испытанные инструменты отслеживают предысторию SID и заново генерируют разрешения для файлов, папок и реестра, а также располагают типовой функциональностью для выполнения необходимых задач миграции. С помощью всех рассмотренных продуктов можно переносить учетные записи пользователей, пароли, локальные и глобальные группы, учетные записи компьютеров и доверительные отношения; восстановить прежние разрешения для файловой системы, реестра и почтовых ящиков Microsoft Exchange Server; вводить рабочие станции в новый домен; отслеживать историю SID и запускать сценарии миграции. В табл. 1 представлена сводка характеристик каждого продукта.

В ходе тестирования каждый продукт применялся для миграции пользователей и групп NT, общего каталога и рабочей станции в AD-домен Windows 2003. Каждый продукт оценивался с точки зрения простоты использования, удобства планирования (управление проектом миграции) и возможности доступа из новых учетных записей целевого домена к нужным ресурсам как в общем каталоге, так и в рабочей станции после миграции.

ADMT

ADMT обеспечивает все базовые функции, необходимые для миграции пользователей и компьютеров между доменами, но располагает минимальными процедурами настройки и незатейливым графическим интерфейсом. Особенно заметно отсутствие функций управления проектом, очистки истории SID и исчерпывающей отчетности. ADMT приемлем для миграции небольших масштабов, но если нужно отслеживать сотни пользователей, то администратору потребуется выполнить дополнительную работу как по диагностике, так и по управлению проектом.

Установить ADMT не так просто, как может показаться на первый взгляд. Поначалу мне казалось, что необходимо лишь развернуть пакет Windows Installer. Однако после внимательного изучения документации выяснилось, что требуется настроить множество разрешений и параметров реестра, назначить и настроить Password Export Server в исходном домене и перезагрузить контроллер домена (DC) как в исходном, так и в целевом домене. Оглядываясь назад, можно сделать вывод, что по сравнению с простыми процедурами настройки других инструментов, установка ADMT была самой сложной и в ней чаще возникали ошибки.

Экран 1. Набор мастеров ADMT

Как показано на экране 1, ADMT состоит из набора мастеров, с помощью которых можно протестировать или выполнить любую задачу миграции. Однако инструмент не позволяет сохранить тестовые параметры, поэтому приходится заново запускать мастеров и восстанавливать параметры, выбранные в ходе тестирования. Из-за отсутствия функций управления проектом на тестах с малыми группами пользователей трудно выбрать из каждой группы пользователей, чьи системы подлежат миграции.

ADMT располагает минимальным, но полезным набором отчетов. Отчет Account Name Conflicts помог предсказать некоторые ошибки, а благодаря отчетам Migrated User and Groups и Migrated Computer Accounts проще отслеживать действия пользователей, уже прошедших процедуру миграции. Хотелось бы получить отчеты со сравнительными данными об исходном и целевом доменах (например, с информацией о еще не перемещенных учетных записях).

Я потратил много времени на диагностику миграции. Если в процессе миграции встречается ошибка, то ADMT генерирует только текстовый журнал выполненных операций. Среди встретившихся мне ошибок были неполадки с настройками разрешений Password Export Server и SID History. В составе ADMT есть мастер Retry Task Wizard, но с его помощью нельзя изменить параметры неудачной операции перед повторным запуском задания. Кроме того, мастер позволяет повторить только некоторые задания, такие как миграция компьютеров; мне не удалось воспользоваться мастером для повторения неудавшихся переносов учетных записей пользователей или успешных тестовых миграций. Кроме того, ADMT обеспечивает отмену только последней миграции. Однако после отладки ADMT успешно перемещал учетные записи пользователей, без проблем с общими каталогами или локальными профилями.

BindView bv-Admin for Windows Migration

bv-Admin for Windows Migration — инструмент миграции на базе проектов с хорошими функциями планирования, который обеспечивает превосходную трансляцию параметров исходных учетных записей и сложное отображение перемещаемых объектов в организационные единицы (OU). Продукт — самый гибкий в данном обзоре с точки зрения организации учетных записей в целевой структуре AD и стандартизации имен и свойств учетных записей. Однако в ходе пробных миграций не были выявлены ошибки, встретившиеся при реальной миграции. Диагностика не была трудной, но досадно, что искать неисправности пришлось в ходе реальной миграции, а не во время испытательного прогона. Этот изъян, наряду с высокой ценой, не позволяет признать bv-Admin лучшим продуктом в данном обзоре.

Консоль bv-Admin состоит из набора проектов, организованных по типу перемещаемых объектов. Каждый подготовленный проект представлял набор учетных записей пользователей, групп, компьютеров и параметров миграции. Как показано на экране 2, можно выбрать отдельную целевую OU в целевом домене для каждого перемещаемого объекта и настроить свойства учетной записи, в том числе стандартное имя (common name, CN), SAM и полное имя пользователя (user principal name, UPN) с помощью выражения, охватывающего параметры исходной учетной записи. Кроме того, bv-Admin автоматически заполняет поля первого и последнего имен в AD, разбивая поле по пробелам в полном имени Full Name системы NT. Ни один другой продукт не заполняет эти поля AD автоматически.

Экран 2. BindView bv-Admin for Windows Migration

После подготовки проекта можно провести тестовую или реальную миграцию. Несмотря на успех тестовой миграции, при первой реальной попытке произошли две ошибки, одна была связана с разрешениями активизации истории SID, другая — с длиной поля CN. bv-Admin выдает полезные сообщения об ошибках, поэтому обе проблемы удалось быстро устранить, но, к сожалению, после успешного испытательного прогона в процессе миграции происходили сбои. После успешного проведения реальной миграции я превратил проект в шаблон и смог использовать те же параметры для нового проекта с другими учетными записями пользователей.

Для перемещения общего каталога и рабочей станции bv-Admin автоматически устанавливает агентов, чтобы применить списки управления доступом (ACL) и ввести рабочую станцию в новый домен. Перезагрузка после миграции необязательна, а ошибок в ходе процедуры не возникало.

Впечатляют функции подготовки отчетов. Инструмент под названием Action Reports располагает полезным набором настраиваемых шаблонов как для доменных, так и для миграционных проектов. В отчетах приводятся данные о неперемещаемых объектах, история SID, успешно выполненные проекты и ресурсы, пропущенные в ходе выполнения проекта. Отчеты можно настроить на получение данных из нескольких доменов или проектов. Кроме того, из отчетов можно запускать соответствующие операции. Например, по щелчку правой кнопки мыши на отчете SID History запускается операция очистки SID History.

NetIQ Migration Suite

Компания Microsoft купила первоначальную версию ADMT у компании NetIQ, поэтому ADMT и NetIQ Domain Migration Administrator, компонент комплекта NetIQ Migration Suite, имеют общую родословную, ясно различимую в пользовательских интерфейсах продуктов. Однако NetIQ Migration Suite располагает рядом существенных усовершенствований по сравнению с ADMT, как в функциональности, так и в графическом интерфейсе. NetIQ Migration Suite — инструмент корпоративного уровня, пригодный для планирования и проведения крупномасштабных миграций. Изо всех протестированных продуктов он располагает самыми мощными функциями планирования, а при проведении миграций потребовалась лишь незначительная диагностика. Благодаря этим функциям и доступной цене (6 долл. для одного пользователя) он был признан лучшим средством миграции в данном обзоре.

Как и ADMT, NetIQ Migration Suite требуется несколько ручных операций настройки доменов. Компонент Domain Migration Administrator (экран 3) располагает отличной поэтапной документацией, и первая попытка миграции была выполнена без ошибок. После установки NetIQ Migration Suite дал четкие указания по порядку запуска необходимых мастеров. На первых двух этапах был построен Migration Project и выбраны объекты для миграции. В любой момент можно увидеть статус всех выбранных объектов и изменить свойства, назначаемые во время миграции. Из главного вида проекта можно получить отчеты о числе перемещенных пользователей, групп и компьютеров, а также журнал каждого выполненного задания со ссылкой на функцию отмены (где это возможно).

Экран 3. Компонент Domain Migration Administrator из NetIQ Migration Suite

Функции подготовки отчетов NetIQ Migration Suite — самые полезные среди всех продуктов в данном обзоре. Пользоваться отчетами удобно, они содержат специализированную информацию по миграции и позволяют запрашивать информацию из исходных и целевых доменов, в частности о необходимых преобразованиях параметров безопасности и служебных учетных записей. Продукт не только предоставляет данные об истории SID и непереносимых объектах в доменах, но и сравнивает несколько проектов, отыскивая объекты, запланированные для миграции несколько раз. Превосходное управление проектами и подробные отчеты обеспечивают гибкость при создании проектов «на ходу». Впоследствии в проекты можно внести изменения, чтобы охватить все необходимые объекты и этапы.

NetIQ Migration Suite располагает дополнительными режимами миграции. Администратор может запускать сценарии до и после миграции пользователей, компьютеров и групп — отличный компромисс между полностью автоматической миграцией с помощью сценариев и процедурой, ограниченной функциями графического интерфейса. Единственный недостаток — принудительная перезагрузка перемещаемых компьютеров.

В состав NetIQ Migration Suite входит также Server Consolidator, инструмент на основе мастеров, с помощью которого можно перемещать файлы, папки, принтеры и общие каталоги (со всеми необходимыми разрешениями) между серверами. Этот инструмент полезен при перемещениях ресурсов между компьютерами, а не только в случае смены разрешений на файлы и папки.

Quest Migration Suite for Active Directory

В состав Quest Migration Suite for Active Directory входят Quest Domain Migration Wizard и Quest Reporter. Первый из этих компонентов — функциональный и удобный продукт для проведения миграции; второй располагает функциями подготовки отчетов по AD. Quest Migration Suite for Active Directory — самый простой в применении продукт в данном обзоре. Его функции управления проектами и отчетами не ориентированы на планирование миграции, но благодаря отличным сценариям, удобству эксплуатации и постмиграционным возможностям Quest Reporter комплект будет удачным выбором для администраторов, не склонных во что бы то ни стало экономить.

Мастер Domain Migration Wizard (экран 4) организует миграции в проекты и сеансы. Проект содержит сеансы и перемещенные учетные записи пользователей, групп и компьютеров. Сеанс можно остановить в любое время, чтобы изменить или продолжить его впоследствии. Domain Migration Wizard также генерирует отчеты, доступные на всех этапах работы мастера, но в них содержится информация только о текущем сеансе. Хотелось бы иметь возможность просмотреть объекты, запланированные для миграции в различных сеансах и проектах.

Экран 4. Мастер Domain Migration Wizard из Quest Migration Suite for Active Directory

Самое очевидное достоинство Quest Migration Suite for Active Directory — простота использования. Как установка, так и первая процедура миграции прошли без ошибок. В отличие от других испытанных продуктов, Quest не располагает функцией пробной миграции, но, поскольку я не столкнулся с ошибками, возможность просмотра прогнозируемых сбоев мне не понадобилась. С помощью функции Undo можно отменить изменения, внесенные в каждом сеансе. Для миграции компьютеров необязательно перезагружать их или завершать сеансы пользователей; в качестве домена последней регистрации автоматически указывается целевой домен, и пользователям не приходится выбирать новый домен при следующем входе в систему. Миграция прошла без ошибок и оказалась проще, чем в случае применения остальных продуктов.

Отчеты Quest Reporter не ориентированы специально на доменную миграцию, но некоторые из них, например о дублировании учетных записей пользователей и действующих разрешений NTFS, полезны для планирования миграций. В других отчетах содержится информация о безопасности AD и соответствии нормативным актам Health Insurance Portability and Accountability Act (HIPPA) и Sarbanes-Oxley (SOX) Act. Quest Reports — ценный инструмент для новой инфраструктуры AD, и благодаря ему цена комплекса (14 долл. за одного пользователя) становится более приемлемой.

Да, нелегко выбирать между превосходными функциями планирования NetIQ Migration Suite и простотой использования Quest Active Directory Migration Suite. bv-Admin for Windows Migration располагает такими же функциями предварительной настройки параметров миграции, как и NetIQ Migration Suite, но благодаря доступной цене NetIQ будет более выгодной покупкой. Но окончательное решение во многом зависит от конкретных требований предприятия.

Адам Гархеден - Редактор журнала Windows IT Pro acarheden@windowsitpro.com


Microsoft Active Directory Migration Tool 2.0

Компания: Microsoft

Web: http://www.microsoft.com

Цена: бесплатно.

Краткие характеристики

Достоинства:
выполняет самые необходимые задачи миграции; предоставляется бесплатно.

Недостатки: сложная процедура установки; нет функций управления проектом; отмена только последнего задания миграции; не очищает историю SID.

Оценка: 2 из 5.

Рекомендации: пригоден только для малых организаций или предприятий, у которых есть время и квалифицированные специалисты для подготовки сценариев крупных миграций.


BindView bv-Admin for Windows Migration 7.2

Компания: BindView

Web: http://www.bindview.com

Цена: 9,95 долл. за одного пользователя.

Краткие характеристики

Достоинства:
мощные функции трансляции учетных записей.

Недостатки: тестовая миграция не дает представления об успехе реальной миграции.

Оценка: 3 из 5.

Рекомендации: надежный инструмент миграции с хорошими функциями управления проектом, но из-за ошибок миграции и неточной тестовой функциональности пришлось потратить время на диагностику. Продукт заслуживает внимания, если требуется переименовать учетные записи в процессе миграции.


NetIQ Migration Suite 7.2

Компания: NetIQ

Web: http://www.netiq.com

Цена: 6 долл. за одного пользователя.

Краткие характеристики

Достоинства:
превосходные функции управления проектами и подготовки отчетов; сочетание удобного графического интерфейса со сценариями; доступная цена.

Недостатки: при миграции компьютеров требуется перезагрузка; некоторые этапы установки приходится выполнять вручную.

Оценка: 4 из 5.

Рекомендации: инструмент уровня предприятия, обеспечивает планирование и управление сложными процессами миграции.


Quest Migration Suite for Active Directory 6.1

Компания: Quest Software

Web: http://www.quest.com

Цена: 14 долл. за одного пользователя.

Краткие характеристики

Достоинства:
простота использования; подробные отчеты.

Недостатки: ограниченные функции планирования миграции; высокая цена.

Оценка: 3,5 из 5.

Рекомендации: быстрый удобный инструмент будет отличным выбором для любых (кроме самых сложных) случаев миграции, несмотря на высокую цену. Продукт заслуживает внимания администраторов, желающих использовать Quest Reporter для управления AD после миграции.