R22 2 (2)

[ Pobierz całość w formacie PDF ]
.Nadal mo�na u�ywa� by�ego PDC do tworzenia nowych wystawców zabezpiecze� ireplikowa� te zmiany do BDC Windows NT Server, poniewa� by�y PDC zachowuje si�wobec BDC jak kontroler podstawowy domeny � dzi�ki roli FSMO Emulator PDC(patrz rozdzia�y 12.i 18.).W przypadku od��czenia DC Windows 2000 Servergraj�cego t� rol� (lub niedost�pno�ci z innych powodów), je�li w domenie nieistnieje �aden inny DC Windows 2000 Server, wówczas BDC pod Windows NT Servermo�e zosta� promowany do PDC.Rysunek 22.11Pocz�tkowa konfiguracja domeny przeznaczonej do migracji do systemu Windows2000 Server: prosta domena Windows NT z jednym PDC i dwoma BDCRysunek 22.12Ta sama domena po migracji PDC do kontrolera domeny Active DirectoryDomain databaseBaza danych domenyGlobal CatalogWykaz globalnyUwagaPDC jest cz�sto konfigurowany jako serwer eksportu dla LMRepl.Przedmodernizacj� PDC do DC Windows 2000 nale�y skonfigurowa� funkcj� LMRepl exportw zapasowym kontrolerze domeny (BDC) i usun�� j� z PDC.Po uruchomieniu Active Directory w PDC mo�na post�powa� na dwa sposoby:Zmodernizowa� wszystkie pozosta�e BDC do Windows 2000 Server i ActiveDirectory.Zainstalowa� Windows 2000 Server i Active Directory w jeszcze tylko jednymserwerze dla redundancji, pozostawiaj�c wszystkie pozosta�e BDC pod systememWindows NT Server.Ka�da z tych metod jest poprawna, lecz nie mo�na wykorzysta� pe�nejfunkcjonalno�ci Active Directory, dopóki nie dokonamy migracji wszystkich BDC inie prze��czymy domeny w tryb macierzysty.Jednak�e do�wiadczenie pokazuje, i�kompromis jest cz�sto najlepsz� strategi� � wi�c pozostanie w trybie mieszanymi stopniowa modernizacja BDC przypuszczalnie b�dzie najlepszym rozwi�zaniem wwi�kszo�ci �rodowisk.Tak czy inaczej, trzeba b�dzie zainstalowa� przynajmniejdwa serwery DC, aby zapewni� odporno�� bazy danych Active Directory na b��dy.WskazówkaW przypadku modernizacji �rodowiska zawieraj�cego wiele domen mo�emy znale��si� mi�dzy m�otem a kowad�em.Je�li wybierzemy modernizacj� ka�dej domeny NTServer w miejsce i zachowamy przez to poprzedni� struktur�, trzeba b�dziezapewni� podtrzymanie u�ywanych obecnie bezpo�rednich relacji zaufania wewszystkich domenach po modernizacji do Windows 2000 Server.Mo�na zamiast tego zacz�� restrukturyzacj� lub konsolidacj� domen.Lecz towymaga mnóstwa dodatkowej pracy (patrz nast�pny podrozdzia�, �Restrukturyzacjai scalanie domen�); cz�sto i tak trzeba b�dzie podtrzyma� podczas procesumigracji wszystkie bezpo�rednie relacje zaufania z domenami starszego typu.Krok 2: modernizacja BDCPo modernizacji PDC do Active Directory mo�na przej�� do drugiego etapu procesumodernizacji, obejmuj�cego BDC.Jak ju� wspomniano, mo�na dokonywa� tychmodernizacji w dowolnym tempie.Ka�dy BDC po modernizacji do Active Directorystaje si� równorz�dnym serwerem dla by�ego PDC; w ten sposób istniej�careplikacja Windows NT 3.x lub 4 Server jest zast�powana replikacj� multi-mastersystemu Windows 2000 Server (patrz rysunek 22.13).Podobnie jak migrowany PDC, by�e BDC przedstawiaj� jako DC Active Directory si�serwerom i klientom �wiadomym Active Directory, oraz jako BDC NT 4 Serverstarszym serwerom i klientom.Po kompletnej modernizacji do samych DC ActiveDirectory, domena dojrza�a do przej�cia w tryb macierzysty (jest to zadaniewykonywane r�cznie przez zaznaczenie pola wyboru).Gdy domena funkcjonuje wtrybie macierzystym, posiada dost�p do pe�nego zestawu funkcji ActiveDirectory.Jedyn� stron� ujemn� przej�cia w tryb macierzysty jest to, i� od tejpory ju� nigdy nie b�dzie mo�na doda� do domeny kontrolerów BDC Windows NTServer.Rysunek 22.13Domena po migracji wszystkich BDC do DC Active Directory.Przechodz�c w tymustawieniu do trybu macierzystego uzyskamy dost�p do pe�nej funkcjonalno�ciActive DirectoryDomain databaseBaza danych domenyGlobal CatalogWykaz globalnyRestrukturyzacja i scalanie domenW niektórych przypadkach podczas dokonywania przyrostowej modernizacji wmiejsce mo�emy przewidzie� potrzeb� wprowadzenia zmian w strukturze w�a�nietworzonego lasu Active Directory.Zmiany w strukturze Active Directory s� znanezasadniczo pod nazw� restrukturyzacji domen, która sugeruje zmiany wewn�trz ipomi�dzy domenami, oraz scalania domen, co sugeruje �zwijanie� jednych domen wdrugie.Przed zag��bieniem si� w tematyk� restrukturyzacji i scalania domen prosz�u�wiadomi� sobie, i� s� to operacje do�� intensywne � zarówno intelektualniejak czasowo; mo�na od�o�y� je na pó�niej, poniewa� �ci�le mówi�c, nie s�wymagane przy instalowaniu systemu Windows 2000 Server lub Active Directory.Restrukturyzacja domenRestrukturyzacja pozwala zorganizowa� obiekty domen Active Directory w sposóbodpowiadaj�cy potrzebom organizacji.Zestaw narz�dzi dostarczany z Windows 2000Server (oraz Resource Kit) pozwala wykonywa� nast�puj�ce czynno�cirestrukturyzacyjne:Przenoszenie u�ytkowników pomi�dzy domenami.Przenoszenie grup pomi�dzy domenami.Aktualizacja praw dost�pu, aby odzwierciedla�y zmiany w organizacji lubfilozofii.Przenoszenie komputerów do innych domen.Oczywi�cie mo�na te� zmienia� struktur� obiektów wewn�trz domeny, implementowa�nowe Zasady grup (szczególnie w obszarze zabezpiecze�), przenosi� DC do innejdomeny i tak dalej.jednak�e zadania te s� �atwe do wykonania za pomoc�podstawowych narz�dzi Active Directory, wi�c nie b�d� tutaj szczegó�owoomawiane.Dokonanie faktycznej restrukturyzacji domen nie jest zbyt trudne z pomoc�narz�dzi Microsoftu wspomnianych wcze�niej w tym rozdziale.Jednak�e planowanierestrukturyzacji domen to ju� ca�kiem inna historia, poniewa� trzeba ustali�,jakie dok�adnie skutki b�d� mia�y zmiany dla uprawnie� (tzn.ACL i grup) iprzedsi�wzi�� kroki niezb�dne, by unikn�� wszelkich niepo��danych skutków �zazwyczaj za pomoc� jednego lub kilku narz�dzi.Scalanie domenW systemie Windows NT Server delegowanie administracji jest uzyskiwane zapomoc� domen zasobów.Taka metoda jest raczej kosztowna, poniewa� wymaga odpracowników zarz�dzania zaufaniami oraz wymaga zakupu dodatkowego sprz�tu naDC.Je�li bie��cy model domen jest inny od pojedynczej domeny, Active Directorypotencjalnie mo�e zmniejszy� liczb� domen, zwijaj�c domeny drugiego poziomu dodomeny g�ównej.Daje to dwie znacz�ce korzy�ci:Mniej domen do zarz�dzania.Prawda, �e grupa domen Windows 2000 Server jest�atwiejsza do zarz�dzania od tej samej liczby domen we wcze�niejszych wersjachWindows NT Server, poniewa� wykorzystanie przechodnich zaufa� protoko�uKerberos zmniejsza liczb� potrzebnych relacji zaufania.Jednak�e zmniejszenieliczby domen jeszcze bardziej zmniejsza nak�ady pracy administratorów na szereginnych sposobów [ Pobierz całość w formacie PDF ]

do ÂściÂągnięcia > pdf > download > pobieranie > ebook

Menu

Podobne