Когда происходит объединение компаний, перед администраторами встает непростая задача: соединить инфраструктуры двух организаций. В предыдущей статье, опубликованной в Windows IT Pro/RE № 11 за 2009 год, был описан сценарий включения домена небольшой компании Old.local в домен более крупной организации New.local. В процессе подготовки к переходу можно следовать инструкциям, приведенным в той статье. А сейчас мы уже переходим непосредственно к слиянию сетей Active Directory (AD) и Exchange Server, которые эксплуатировались в двух компаниях.
Миграция пользователей и компьютеров
Администраторы, выполнившие всю подготовительную работу, описанную в первой части статьи, готовы к перемещению объектов AD из домена Old.local в домен New.local. Это важно делать не торопясь, у вас должно быть достаточно времени для решения всех возникающих проблем. Подготовьте все необходимое и начните с миграции собственных данных, затем переместите других пользователей и компьютеры ИТ-подразделения. Если вы начнете с себя, то сможете устранить все несообразности до того, как в процесс миграции будут вовлечены данные остальных сотрудников компании.
В ходе первой попытки перенести объект из одного домена в другой средство миграции AD Active Directory Migration Tool (ADMT) сообщит вам о некоторых дополнительных процедурах установки, которые ADMT выполняет за пользователя. Примите варианты, предлагаемые в диалоговых окнах; тем самым вы дадите санкцию на активацию средств аудита и на создание особой группы Domain$$$. При последующих попытках миграции объекта система уже не будет предлагать вам выполнить эти процедуры.
Чтобы переместить пользователей, сделайте следующее.
- Зарегистрируйтесь на выделенном сервере миграции, который был создан по инструкции, изложенной в первой части статьи, и запустите программу ADMT.
- Правой кнопкой мыши щелкните на элементе Active Directory Migration Tool и в открывшемся меню выберите пункт User Account Migration Wizard, как показано на экране 1.
- Введите имена исходного и целевого доменов. Выбранные контроллеры доменов DC должны быть объединены каналами связи с высоким быстродействием.
- Выделите учетные записи пользователей домена. Надо сказать, что объекты «пользователь» не перемещаются, а копируются; поэтому я рекомендую переносить пользователей большими группами — или даже всех сразу.
- Выберите целевую организационную единицу Organizational Unit (OU), где будут располагаться пользователи в новом домене.
- Перенесите пароли. Не забывайте, что для этого необходимо установить компонент Password Export Server (PES) в соответствии с инструкциями, изложенными в первой части статьи. Кроме того, проследите, чтобы служба PES выполнялась на исходном контроллере домена; по умолчанию эта служба NT настроена на выполнение в режиме Manual.
- Параметру Target Account State задайте значение Target same as source. Кроме того, можно отключить учетные записи в исходном домене, если вы не хотите, чтобы пользователи регистрировались в старом домене.
- Обязательно установите флажок Migrate user SIDs to target domains.
- Введите имя администратора домена и пароль для регистрации в исходном домене.
- На странице мастера Group Options установите флажки Update user rights и Fix users' group memberships.
- Ни одно свойство на странице Group Object мастера не должно быть исключено. Проследите, чтобы все флажки были сброшены.
- Не переносите исходный объект при наличии конфликта.
Процесс миграции каждого объекта «пользователь» занимает всего несколько секунд; по завершении миграции вы получаете отчет с указанием числа исследованных и скопированных объектов, а также объектов, в которых были обнаружены ошибки. Осуществив миграцию нескольких пользователей, удостоверьтесь, что атрибут SID History заполнен корректно; для этого нужно просмотреть свойства пользователей в редакторе ADSI Edit.
По завершении миграции пользователей можно приступать к перемещению учетных записей их компьютеров. Помните: если при переносе пользователей данные копируются в новый домен, то при миграции компьютеров данные не копируются, а перемещаются. По этой причине мероприятия по переходу в новый домен следует планировать заблаговременно и все объяснить пользователям. Возможно, есть смысл коротко рассказать им о том, чем вы занимаетесь в данный момент. Чтобы пользователи могли без труда регистрироваться в домене New.local, предоставьте им соответствующий снимок экрана с необходимыми инструкциями.
Для перемещения систем в новый домен выполните следующие действия.
- В оснастке AD Users and Computers консоли управления Microsoft Management Console (MMC) переместите объект «компьютер» в особую организационную единицу MigrationPrep, после чего перезапустите компьютер. В первой части статьи говорилось о том, что эта процедура отключает сетевой экран Windows Firewall и добавляет соответствующих пользователей или группы в группу Local Administrator Group.
- Зарегистрируйтесь на сервере миграции и запустите инструментальное средство ADMT.
- Правой кнопкой мыши щелкните на компоненте Active Directory Migration Tool и в открывшемся меню выберите пункт Computer Migration Wizard.
- Введите имена исходного и целевого доменов.
- Выделите имена компьютеров, которые вы хотите переместить из исходного домена. Поначалу я рекомендую перенести несколько компьютеров по одному, чтобы научиться уверенно выполнять эту операцию. Мой опыт подсказывает, что два человека могут осуществить миграцию 30 компьютеров примерно за час (это при том что системы расположены недалеко друг от друга). Поэкспериментируйте и определите, сколько времени занимает подобная операция в ваших условиях.
- Выберите целевую организационную единицу, в которую вы поместите компьютеры в новом домене. Для мониторинга этих систем я создал организационную единицу MigratedPC.
- Устанавливать какие-либо флажки на экране Translate Objects не следует. Параметры защиты компьютеров мы перенесем в новый домен в рамках отдельной операции.
- Флажок Replace в разделе Security Translation Options должен быть установлен. Чтобы открыть диалоговое окно User Rights Translate in Add Mode Only, нажмите ОК.
- В поле Minutes укажите количество минут, по истечении которых необходимо перезапустить компьютер после завершения работы мастера.
- Не следует исключать какие-либо свойства на странице мастера Group Object; все флажки должны быть сброшены.
- Не переносите исходный объект при наличии конфликта.
- Нажмите кнопку Finish.
- Проверьте страницу Migration Progress на наличие ошибок и устраните их. Начните с просмотра журнала ошибок.
До настоящего момента процедура миграции компьютеров весьма напоминала процедуру миграции пользователей. Однако по завершении копирования объекта «компьютер» в каталог AD нам предстоит выполнить еще одну дополнительную операцию: компьютер нужно внести в новый домен New.local. Это можно сделать вручную или же с помощью средства ADMT. Завершив копирование объектов, в окне Migration Progress программы ADMT нажмите кнопку Close; на экране появится диалоговое окно Active Directory Migration Tool Agent Dialog, в котором можно дистанционно добавлять компьютеры в новый домен. - В окне Directory Migration Tool Agent Dialog выполните предварительную проверку; для этого нужно нажать кнопку Start. Чаще всего сбои при выполнении предварительной проверки объясняются проблемами, связанными с брандмауэром и с разрешениями.
- Если предварительная проверка завершилась успешно, выделите пункт Run pre-check and agent operation и нажмите кнопку Start; тем самым вы добавите компьютер к новому домену и осуществите перезагрузку системы. Не забудьте заранее предупредить о своих планах пользователей.
Необходимо выполнить еще одну операцию. Перед тем как пользователи смогут впервые зарегистрироваться в системе, запустите мастер Security Translation Wizard с помощью компонента ADMT. Он обновляет настройки безопасности на рабочей станции; все файлы или папки, назначенные пользователю old\user, будут переназначены пользователю new\user. Профили пользователей также транслируются в домен New.local. Если пользователи зарегистрируются в компьютере до того, как вы выполните процедуру трансляции настроек безопасности, система создаст новый профиль, а все настройки пользователей останутся в старом профиле. Но если такое случится, не поддавайтесь панике. Просто зарегистрируйтесь в системе как пользователь с правами локального администратора, удалите новый профиль и запустите мастер Security Translation Wizard.
Для запуска Security Translation Wizard выполните следующие действия.
- Правой кнопкой мыши щелкните на компоненте ADMT и в открывшемся меню выберите пункт Security Translation Wizard.
- Выберите пункт Previously migrated objects.
- Введите имена исходного и целевого доменов.
- В новом домене выделите имена компьютеров, которые только что переместили. Если при выполнении описанного выше этапа 6 была создана организационная единица MigratedPC, найти эти компьютеры будет несложно.
- Выделите целевую организационную единицу в разделе «новый домен».
- Все флажки на странице мастера Translate Objects должны быть установлены.
- На странице мастера Security Translation Options выберите параметр Add.
- Не следует исключать свойства, указанные на странице мастера Group Object, — все флажки должны быть сброшены.
- Установите флажок Do not migrate source object if there is a conflict.
- Нажмите кнопку Finish.
- Дождитесь открытия диалогового окна Active Directory Migration Tool Agent Dialog.
- Выберите один компьютер для миграции в целях тестирования и выполните процедуру предварительной проверки, нажав кнопку Start. На это может уйти около минуты.
- Если предварительная проверка пройдет успешно, выберите пункт Run pre-check and agent operation и нажмите кнопку Start.
По завершении процесса перемещения в новый домен учетных записей всех пользователей и их компьютеров вы можете осуществить миграцию серверов и всех связанных с ними учетных записей служб. Этот процесс аналогичен процессу перемещения пользователей и компьютеров. В компоненте ADMT реализован мастер Service Account Migration Wizard, но я пришел к выводу, что проще переносить учетные записи служб так же, как перемещаются типичные учетные записи пользователей, а затем вручную настраивать службы NT (например, службу SQL Server service). Впрочем, если вы эксплуатируете большое число серверов с учетными записями служб, возможно, затраты времени, связанные с использованием мастера Service Account Migration Wizard, будут оправданны.
Копирование почтовых ящиков Exchange
Компьютеры пользователей и серверы поддержки перемещаются в новый домен. Но для серверов Exchange такое решение вряд ли подходит. Современные версии Exchange тесно интегрированы со службой AD. Если вы переместили организацию Exchange в домен New.local, у вас уже не будет возможности подключить почтовые ящики в основном хранилище к объектам «пользователь» в AD. Вместо перемещения серверов Exchange целесообразно скопировать содержимое отдельных почтовых ящиков из старой организации Exchange в новую организацию Exchange, расположенную в домене New.local.
В Exchange 2003 и в более новых версиях имеется встроенный мастер миграции, который превосходно справляется с копированием групп почтовых ящиков из одной организации Exchange в другую, даже если они расположены в различных лесах AD. Ниже приводится описание простой процедуры копирования содержимого одной организации Exchange 2003 в другую организацию Exchange 2003.
- Зарегистрируйтесь на сервере Exchange в домене New.local.
- Последовательно выберите пункты меню Start, Microsoft Exchange, Deployment, Migration Wizard.
- Выберите элемент Migrate from Microsoft Exchange.
- Выберите целевой сервер и банк данных, куда вы хотели бы переместить почтовые ящики.
- Сбросьте флажок для сервера Exchange 5.5 и введите данные исходного сервера Exchange. Помните, что учетную запись администратора следует вводить в формате domain\user, как показано на экране 2.
- Укажите диапазон дат (если это применимо).
- Выберите один или несколько почтовых ящиков, которые вы хотите переместить. Можете выбрать все или выделять некоторые почтовые ящики с помощью клавиши Ctrl.
После этого начнется процесс копирования почтовых ящиков из старого домена в новый. В зависимости от размеров почтовых ящиков индивидуальных пользователей этот процесс может занимать от нескольких минут до нескольких часов (или даже дней). Кроме того, я обратил внимание, что нефрагментированный банк данных функционирует гораздо быстрее, чем фрагментированный. Скажем, если взять пустой почтовый ящик и направить туда 3000 сообщений, содержимое такого ящика может быть перемещено в течение нескольких минут. С другой стороны, для миграции почтового ящика с длительной историей эксплуатации (если он содержит те же 3000 сообщений, но полученных на протяжении последнего года) потребуется значительно больше времени, так как сообщения записаны на несмежных участках диска (не одно после другого). Большое влияние на скорость копирования содержимого почтовых ящиков могут иметь и другие факторы, такие, как производительность системы и быстродействие сети. Поэтому обязательно выполните несколько тестовых копирований почтовых ящиков, чтобы получить представление о том, какое время занимает этот процесс.
Приготовились — вперед!
Электронная почта — важный канал делового общения, поэтому при переходе на новую систему обработки электронной почты администратору следует проявлять особую осторожность. Вполне возможно, что, заблаговременно запретив пользователям работать с программой Outlook, вы сможете выиграть достаточно времени для перемещения почтовых ящиков, но вы не имеете возможности управлять потоком электронных сообщений — они по-прежнему будут приходить на почтовый шлюз вашей сети. Что бы вы ни делали, внешние сообщения будут поступать. Мне известны два метода, облегчающие переход на новую систему.
Метод очереди. Этот метод дает наилучшие результаты, когда применяется в компаниях с малым числом пользователей и хранилищем данных небольшого объема. Для реализации данного метода выполните следующие инструкции.
- Отключите средства переадресации. Перед шлюзом будет формироваться очередь из сообщений электронной почты.
- Скопируйте почтовые ящики со старого сервера Exchange в новую организацию.
- Активируйте средства переадресации. Сообщения электронной почты будут поступать на новый почтовый сервер.
Метод предварительной подготовки. Этот метод больше всего подходит для компаний, располагающих крупными хранилищами данных, или эксплуатирующих почтовые шлюзы, не способные поддерживать большое количество электронных сообщений в очередях. Для реализации метода предварительной подготовки выполните следующие действия.
- Скопируйте почтовые ящики со старого сервера Exchange в новую организацию. Используйте диапазон дат и копируйте только те электронные сообщения, которые поступили сегодня. В ходе данного этапа создается целевой почтовый сервер и конфигурируется пользовательская учетная запись для электронной почты.
- Настройте шлюз электронной почты на новый сервер. Теперь поток электронных сообщений будет поступать на новый сервер.
- Выполните процедуру миграции электронной почты вторично, но на этот раз не указывайте диапазон дат. В результате на новый сервер будут переведены оставшиеся сообщения, причем ни одно из них не будет дублироваться.
Общие папки
Как я отмечал в первой части статьи, для перемещения папок общего доступа из одной организации Exchange в другую вы можете задействовать инструментальное средство Inter-Organization Replication. Еще одно решение — просто экспортировать все папки общего доступа в файл личных папок (PST), а затем импортировать их в новую организацию. Но какой бы метод вы ни использовали, выделите на миграцию достаточно времени; эти процессы порой протекают очень медленно. Определите, какие папки общего доступа нужно переместить на ранних стадиях проекта, и не откладывайте это дело до последней минуты.
Содержащиеся в почтовых ящиках сообщения копируются без особых сложностей, но при настройке адресов SMTP у вас могут возникнуть некоторые затруднения. Так, если вы имеете общий календарь с пользователем ITCalendar, а также общую папку с именем ITCalendar, один из этих объектов, вероятно, имеет SMTP-адрес ITCalendar.old.com, а второй — адрес ITCalendar2.old.com. При перемещении этих объектов тот из них, который будет перенесен первым, получит адрес без цифры 2. Если вы начнете процесс миграции с папки общего доступа, а потом перейдете к пользователю, тогда и пользователь, и общая папка получат неправильные адреса SMTP. Когда вы попытаетесь исправить адрес, Exchange проинформирует вас о том, что адрес, который вам нужен, уже используется.
Чтобы найти этот невидимый адрес и определить, кто или что его использует, задействуйте оснастку AD Users and Computers и выполните процедуру специализированного поиска следующим образом: proxyAddresses=smtp: ITCalendar.new.com. На экране 3 представлен пример такой процедуры специализированного поиска.
Настройте Outlook на новый Exchange Server
Когда вы перемещаете почтовые ящики Exchange внутри одной организации Exchange, Outlook и Exchange взаимодействуют в фоновом режиме, и пользовательские профили Outlook обновляются автоматически. Но когда почтовые ящики перемещаются в другую организацию Exchange, Outlook не может знать, куда именно переносить почтовые ящики. Здесь на помощь приходит компонент Microsoft Exchange Server Exchange Profile Redirector (ExProfRe.exe). Эта удобная, бесплатно распространяемая утилита помогает корректировать пользовательские профили Outlook с помощью сценариев регистрации.
Чтобы воспользоваться программой переназначения ExProfRe, создайте объект групповой политики (GPO) со сценарием регистрации. Скопируйте файл ExProfRe.exe в этот объект и создайте простой сценарий CMD, содержащий следующую команду:
exprofre.exe/targetgc=NEWDC1
/v/n/logfile=c:\UpdateProfile.log
Здесь этот код отображается в формате двух строк, но вам следует вводить его одной строкой. Файл ExProfRe вы можете загрузить на сайте Microsoft Download Center. Мой опыт показывает, что программа ExProfRe выполняется очень быстро и может изменить пользовательский профиль Outlook еще до того, как пользователь запустит Outlook, даже если Outlook располагается в папке Startup меню Start.
Успех заложен в процессе планирования
Для успешного выполнения проектов такого масштаба необходимо провести большую работу по планированию и как следует попрактиковаться в тестовой среде. Документируйте все затруднения, с которыми вам приходится сталкиваться, и составляйте четкие инструкции, которым сможет следовать любой сотрудник вашего ИТ-подразделения. Многие из пошаговых инструкций, приведенных в настоящей статье, взяты из моей собственной документации; я знаю, что они действительно работают. Создайте лабораторию для себя и записывайте все, чему вы научились. Вы убедитесь, что успешная миграция начинается с тщательного планирования.
Эрик Ракс -Старший администратор сети Windows в крупной консалтинговой компании. ebrux@mvps.org
Моментальный снимок решения
Проблема
Требуется объединить инфраструктуры Active Directory и Exchange Server двух компаний.
Решение
Используйте инструментальное средство Active Directory Migration Tool (ADMT) для перемещения пользователей и компьютеров меньшей компании в более крупную, после чего с помощью интегрированного в Exchange Server мастера миграции перместите почтовые ящики в новую организацию Exchange в новой компании.
Необходимые ресурсы
ADMT, средство репликации Inter-Organization Replication, программа переадресации Microsoft Exchange Server Exchange Profile Redirector (ExProfRe.exe), каналы связи между двумя узлами
Этапы решения
- Подготовьтесь к слиянию, следуя инструкциям в статье «Планируем объединение Active Directory. Часть 1».
- Переместите учетные записи пользователей и компьютеры с помощью мастеров ADMT.
- Скопируйте почтовые ящики Exchange в новую организацию Exchange и перенаправьте почту по новому адресу.
- Переместите общие папки.
- Измените настройки Outlook так, чтобы программа смогла находить новый сервер Exchange.
Уровень сложности
4 из 5