Для любых сетей, кроме совсем небольших, переход в новый домен Active Directory (AD) может оказаться сложной задачей. Необходимо переместить учетные записи пользователей и сетевые ресурсы, изменить профили рабочего стола для нового домена и одновременно обеспечить пользователям безупречный доступ к ресурсам как старого, так и нового домена. Сложные проекты миграции можно выполнять с помощью бесплатного инструмента Active Directory Migration Tool (ADMT) компании Microsoft, но нетрудно убедиться, что для всех заданий, кроме самых простых, ему не хватает важных функций, таких как миграция дескрипторов безопасности (SD) организационных единиц (OU), а возможности отмены изменений ограничены. Приступая к миграции AD, главное — составить продуманный план и постараться снизить риски.

Если количество объектов настолько велико, что их невозможно перенести в ходе одной операции, одновременное существование исходного и целевого доменов вынуждает проводить поэтапную миграцию. . Недавно мне довелось оценить простоту установки и использования, функциональность и документацию этих двух продуктов.

NetIQ Domain Migration Administrator

NetIQ Domain Migration Administrator
ЗА:
простота установки; моделирование базы данных.
ПРОТИВ: программу миграции серверов приложений приходится покупать отдельно; однонаправленная синхронизация каталогов.
ОЦЕНКА: 4 из 5.
ЦЕНА: 1000 долл. за пакет лицензий для 100 пользователей.
РЕКОМЕНДАЦИИ: хороший выбор для проектов с ясными требованиями, в которых необходимо очистить данные AD перед переносом в другой домен.
КОНТАКТНАЯ ИНФОРМАЦИЯ: NetIQ, www.netiq.com

NetIQ Domain Migration Administrator прост в установке, хотя базу данных SQL Server 2008 Enterprise, Standard или Express необходимо инсталлировать отдельно. Domain Migration Administrator можно установить на любой серверной или клиентской операционной системе Windows начиная с Windows 2000 с пакетом обновления SP1. Агенты развертываются на любой версии Windows начиная с Windows 2000.

На экране 1 показан графический интерфейс Domain Migration Administrator. Как и в случае с ADMT, при использовании Domain Migration Administrator требуется выполнить некоторые предварительные условия перед началом миграции AD, в частности, создать вспомогательные зоны DNS, чтобы обнаружить исходный и целевой домены, назначить доверительные отношения между двумя доменами и необходимые междоменные административные права. Domain Migration Administrator не проводит пользователя по всем этапам, но вся необходимая информация есть в документации. Если необходимые условия не выполнены, произойдут сбои основных операций, сопровождаемые непонятными и бесполезными сообщениями. Если требования выполнены, от Domain Migration Administrator поступает предложение выполнить за пользователя некоторые обязательные действия, в частности создать группы AD$$$ и настроить аудит каждого домена.

 

Графический интерфейс Domain Migration Administrator
Экран 1. Графический интерфейс Domain Migration Administrator

При необходимости можно переименовать объекты AD в целевом домене и указать способ разрешения конфликтов именования в Domain Migration Administrator. Объекты в исходном домене можно перевести в режим автоматического истечения срока действия. После переноса учетных записей пользователей Domain Migration Administrator может создать новые пароли или скопировать существующие пароли пользователей на сервер паролей в целевом домене.

Благодаря возможностям моделирования баз данных в Domain Migration Administrator, можно выполнить пробную миграцию, чтобы оценить потенциальные результаты в целевом домене. Обнаруженные недочеты можно устранить до настоящей миграции. Базу данных можно еще задействовать для очистки информации об объектах перед импортом в целевой домен, так как Domain Migration Administrator получает данные из исходного домена и использует базу данных в качестве временного хранилища. По рабочим станциям размещаются агенты для миграции профилей рабочего стола, взаимодействующие с исходным доменом.

Quest Migration Manager for Active Directory

Quest Migration Manager for Active Directory
ЗА:
исчерпывающая поддержка ресурсов; мощная функциональность.
ПРОТИВ: интерфейс не всегда удобен для пользователя.
ОЦЕНКА: 4 из 5.
ЦЕНА: 12 долл. для одного пользователя (есть пакеты лицензий).
РЕКОМЕНДАЦИИ: у программы Quest есть преимущество перед NetIQ благодаря более полному набору функций для самых сложных сценариев.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Quest Software, www.quest.com

Архитектура Quest Migration Manager for Active Directory слегка отличается от Domain Migration Administrator. Для хранения сведений о миграции в Migration Manager используется режим Active Directory Application Mode (ADAM), что позволяет синхронизировать каталоги между исходным и целевым доменами. Пакет установки Migration Manager автоматически устанавливает ADAM, если выбран режим экспресс-установки. В ходе экспресс-установки также устанавливается база данных SQL Server 2005 Express, необходимая для миграции объектов Microsoft Exchange. Но есть одна особенность: даже если не предполагается переносить объекты Microsoft Exchange Server, установка завершится неудачей, если отсутствуют клиент Messaging API (MAPI) и объекты Collaboration Data Objects (CDO) 1.2.1. Для Migration Manager требуется исходный и целевой домены Windows 2000 с пакетом обновления SP2 и более новые. Агентов можно развернуть на Windows Server или клиентских операционных системах начиная с Windows 2000.

Документация Migration Manager достаточно полная, хотя расположение некоторых разделов нельзя назвать логичным. В файлах справки содержатся примеры команд, с помощью которых можно настроить предварительные условия, например отключить фильтрацию SID и назначить параметры брандмауэра Windows Server. Администраторам, впервые выполняющим миграцию AD в новый домен, настоятельно рекомендуется прочитать прилагаемый документ с практическими советами и приемами. Все требования аккуратно перечислены, поэтому сразу ясно, что необходимо сделать перед началом миграционного проекта.

Графический интерфейс Migration Manager (экран 2) проще, чем у Domain Migration Administrator. Однако в отдельных случаях ввод информации в интерфейс Migration Manager выглядит немного неуклюже. Например, чтобы создать новую пару доменов для миграции, нужно ввести информацию об исходном домене в специальном формате, иначе мастер не позволит продолжить работу. Кнопки Browse в мастере не работают, и информацию приходится вводить вручную и в определенном формате, что довольно неудобно.

 

Графический интерфейс Migration Manager
Экран 2. Графический интерфейс Migration Manager

Migration Manager не располагает тестовой базой данных, но предусмотрен тестовый режим, в котором в целевой домен не вносится никаких изменений. Вместо этого составляется отчет, по которому можно судить об успехе миграции. Как правило, проект миграции выполняется однократно, но в программе можно настроить несколько сеансов для поэтапной миграции.

Сеансы миграции нельзя копировать в графическом интерфейсе, но можно импортировать и экспортировать объекты для миграции, что значительно ускоряет создание новых сеансов миграции.

В Migration Manager можно перенести пароли пользователя в целевой домен. Кроме того, можно автоматически синхронизировать объекты AD, такие как учетные записи и группы пользователей. Это значительно упрощает администрирование, если исходному и целевому доменам необходимо сосуществовать в течение некоторого времени для переноса всех объектов. В Domain Migration Administrator имеются функции синхронизации, но однонаправленные.

В Migration Manager реализована поддержка миграции ресурсов, в том числе Microsoft System Center Configuration Manager (SCCM) и SQL Server. Пользователям Domain Migration Administrator эти функции приходится приобретать отдельно. Можно перенести и запланированные задачи, чего нельзя сделать в Domain Migration Administrator.

Выбор редакции

В обоих продуктах используется подход к миграции AD как к проекту и имеются исчерпывающие отчеты. Предпочтителен более простой интерфейс и чуть более простая установка Migration Manager. Кроме того, благодаря более развитым функциям синхронизации гибкость этого продукта выше при масштабных миграциях, требующих длительного периода сосуществования доменов.

Domain Migration Administrator хуже приспособлен для миграции определенных ресурсов (например, SCCM), но более удобен для пользователей. Например, удобен интерфейс для упорядочения объектов и связанной информации об атрибутах перед импортом в целевой домен. Чтобы получить такие же результаты в Migration Manager, нужно подготовить текстовые файлы с необходимыми сопоставлениями.

Оценка обоих продуктов одинакова, но я отдал звание «Выбор редакции» Migration Manager, учитывая исчерпывающую функциональность для управления разнообразными сценариями миграции. Цена Migration Manager чуть выше, чем у Domain Migration Administrator, но имеется встроенная базовая поддержка миграции типовых сетевых приложений, за исключением Exchange.

Рассел Смит (rms@russell-smith.net) — независимый ИТ-консультант, специализируется на управлении системами