域服务器合并与迁移解决方案

精选范本精选范本,供参考！精选范本精选范本,供参考！规划指南域服务器合并与迁移解决方案加速器：从WindowsNT4.0到WindowsServer2003本文档所提供的信息（包括引用的URL及其它Internert网站）均可能在不予通知的情况下发生变更。用户所面临的全部风险或因使用本文档导致的后果均由用户自行承担。除非另有说明，本文档用来举例的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件均纯属虚构。请不要将它们推想或引申为任何真实的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件。遵守所有适用版权法律是文档使用者所应承担的义务。Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定，但是，任何人未经Microsoft公司书面授权许可，均不得出于任何目的、以任何形式、利用任何手段（电子、机械、影印、录音等）将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。除非已同Microsoft公司签订书面许可协议，并根据协议条款获得明确授权，任何出示本文档的行为均无法使您具备针对上述专利、商标、版权或其它知识产权加以利用的许可权限。©2004年，Microsoft公司。版权所有，保留所有权利。Microsoft、ActiveDirectory、Windows、Windows2000、Windows98、WindowsNT和WindowsXP均系Microsoft公司在美国和/或其它国家所拥有的注册商标或商标。本文档所涉及的其它公司和产品的真实名称均为其各自所有者持有的商标。MicrosoftCorporation•OneMicrosoftWay•Redmond,WA98052-6399•USA00目录第1章引言MicrosoftOperationsFramework（MOF）适用对象必备知识WindowsServer2003的功能和优点术语第2章域合并和域迁移的优点商业推动力IT推动力商业一IT关系和MOF风险优点总结丿1__1、二口第3章域合并和域迁移的目标域迁移期间的项目目标迁移团队的人员目标一致的最终用户体验不增加管理工作的复杂程度为团队定义清晰的角色和职责达成共识团队的迁移目标确保迁移过程不会影响商业尽量减少停机时间实现迁移流程和任务的自动化保持良好沟通技术容量总结第4章迁移规划域合并选项选项1:就地升级选项2：域的重建合并选项选项1:物理合并选项2：应用程序合并选项3：位置合并总结心、二口第5章评估目录服务环境评估当前环境收集环境信息组织和管理业务规划目录服务基础结构网络基础结构和服务网络服务安全性基础结构人员过程技术客户端基础结构备份和恢复基础结构消息传递基础结构文件和打印服务评估目标状态目录服务的目标状态设计目标状态测试标准总结第6章合并和迁移规划目录服务设计确定目录服务的目标规戈UActiveDirectory命名空间为ExchangeServer2003规划目录服务ExchangeServer2003迁移要求将Exchange对象放置到ActiveDirectory中架构扩展ExchangeServer2003扩展确定目录服务客户端的要求规划网络服务迁移准备规划合并和迁移顶目的执行规划在迁移期间检查支持工作是否就绪审查和精炼问题跟踪流程用于迁移的工具更新风险评估状态审阅规划和重新获得管理层批准总结1—1'~第7章迁移前的工作清理陈旧对象备份和验证备份细化迁移计划迁移期间的安仝事项服务管理和物理性安全信任关系SIDHistory迁移密码制订沟通计划制订角色和职责体系对WindowsNT4.0帐户域进行升级锁定总结心、二口第8章迁移过程规划选项规划各个目标域的迁移路径迁移事项对各个目标域的初步部署规划规划域的迁移顺序迁移顺序选项确定待升级和待合并的服务器域迁移策略升级WindowsNT4.0域升级事项升级域控制器硬件要求域控制器的升级顺序配置互操作性保留登录脚本和系统策略的复制域升级期间防止首个域控制器过载ActiveDirectory域的"堆积"现象WindowsServer2003功能级另llWindowsServer2003中的"Pre-Windows2000CompatibleAccess"组WindowsServer2003域中的Windows95或WindowsNT4.0客户端还原注意事项重建WindowsNT4.0域域结构重组的最佳实践为迁移准备源域和目标域启用审核配置Pre-Windows2000CompatibleAccess添力口TcpipCIientSupport注册表键创建源域本地组安装128位高强度加密包创建密码导出服务器提升域的功能级别建立信任关系配置目标OU结构迁移对象开发一个对象迁移策略迁移组迁移用户帐户使用“存放”0U迁移工作站合并WindowsNT4.0系统策略生成SID映射文件验证工作站迁移的必备条件执行示范性的迁移执行工作站的迁移工作站迁移之后的操作迁移成员服务器还原的考虑事项撤销域控制器迁移网络服务域名系统（DNS）DHCPWindowsInternet命名服务（WINS）保留校验用户功能测试目录服务和新服务器确定迁移是否成功总结第9章迁移后的工作监视合并后的环境确认备份和恢复过程让源服务器“退休”或另作他途获得反馈和不断改进总结心、二口第10章总结参考资料第1章引言本文档为有关域的迁移或合并的常见概念和注意事项提供了一个面向过程的指南。本指南立足于所有可能的选择，而不是在特定机构中可以考虑的迁移选项。这意味着，您在此处看到的内容只是您在从WindowsNT®4.0环境迁移到WindowsServer™2003环境时可能做出的选择。注意：本文档使用“WindowsServer2003"指代除WindowsServer2003WebServer版（该版本不能作为域控制器使用,故此排除在外）之外的所有WindowsServer2003版本。本文档介绍了从WindowsNT4.0迁移到WindowsServer2003的过程。在附带的《域的合并和迁移实现指南》中,您会看到一个用于演示该过程的示例性应用。这个指南同样也介绍了上述迁移过程，只不过它侧重于信息技术（IT）部门在面对本文档所描述的选项时应该如何进行选择。当然对较大型的公司而言,您可能会选择仅对一部分域进行升级,而对其它的域进行重建。本章介绍了使用Microsoft®OperationsFramework（MOF）和MicrosoftSolutionsFramework（MSF）执行迁移和（或）合并的具体过程，从而满足了在《域的合并和迁移概述》指南中所介绍的商业需求。下一章介绍了迁移和合并的优点以及项目团队在迁移期间的目标。本指南随后介绍了主要的迁移和合并选项，然后是为了实现成功的迁移需要进行的步骤和建议方法。迁移过程的第一步是评估当前的环境，并且分析WindowsNT4.0环境的不足和迁移到WindowsServer2003所能实现的优点。然后，本指南根据最佳实践，详细介绍了从WindowsNT4.0域迁移到WindowsServer2003ActiveDirectory®时（其中包括网络服务的迁移）在概念和注意事项上的一些可用选择。在了解了可以采用的选项后，您需要设计测试环境，然后根据您的选择开始迁移过程。MicrosoftOperationsFramework（MOF）Microsoft很早就认识到，当前在IT服务管理方面的行业最佳实践文献中，最优秀的当属英国政府商务署（OGC）制订的ITInfrastructureLibrary（ITIL，IT基础结构库）。但是，该规范侧重于服务管理和商业。OGC编撰委员会为此与全球知名的IT公司进行了密切合作，共同编制和校核了IT服务管理实践中的最佳规范。ITIL当前包含七种核心出版物，此外还有一系列补充性的专门出版物。核心ITIL文集包括：ServiceSupport（服务支持）、ServiceDelivery（服务递送）、PlanningtoImplementServiceManagement（服务管理的实现规划）、InformationandCommunicationTechnology（ICT）InfrastructureManagement（信息和通讯技术基础结构管理）、SecurityManagement（安全性管理）、ApplicationManagementandTheBusinessPerspective（应用管理和商业前景）。由于该规范与平台无关，因此，往往会针对特定的操作环境采用ITIL规范，然后根据具体的平台和产品对其进行改编。MOF扩展了ITIL服务管理的最佳实践，以适用于各种商业情境下的Microsoft平台。为了支持分布式IT环境和当前的行业标准（如应用程序托管、移动设备计算和基于Web的事务系统和电子商务系统，MOF扩展了ITIL的实践代码。由于MOF往往会用于各种商业情境，因此本指南介绍了在MOF上下文中实现平滑迁移的步骤和章程。适用对象本指南是为那些参与域的最终设计和ActiveDirectory设计包括域名系统（DNS）、动态主机配置协议（DHCP）和Windows®Internet名称服务（WINS）等辅助性服的人员编写的。因此，IT管理负责人、负责WindowsServer2003ActiveDirectory迁移任务的团队以及任何参与基础结构设计的人员都应阅读本指南。迁移团队的任何人都可以阅读本指南，从而了解选择某个选项的原因所在。必备知识本文档假定您是WindowsServer2003或Windows®2000的Microsoft认证系统工程师（MCSE），并且至少有两年的实际经验。此外，还假定您对商业的需求和不足之处有充分的把握，并且对可用于域的迁移或合并资源有良好了解。对商业需求胸有成竹，就可以根据自己的特定环境来权衡正反两方面的意见；对商业不足之处有良好把握，就可以根据商业要求实现正确的资源分配。资源不仅包括员工，而且还包括时间、设备和资金。由于本指南介绍了MOF上下文中的最佳迁移步骤和过程，并且使用了来自MOF的概念和术语，因此您可以从本指南汲取更大的价值，并且实现对MOF的通透了解。在Microsoft网站的MOFResourceLibrary（MOF资源库）中可以找到MOFExecutiveOverview（MOF执行概述），其中对MOF进行了更高层次的介绍。请访问以下URL：/mof如果希望获得更进一步的了解，请阅读有关流程模型、团队模型和风险管理的其他白皮书。WindowsServer2003的功能和优点当前任何使用WindowsNT4.0的机构在升级到WindowsServer2003操作系统家族后，都将可以享受到超强的稳定性和新集成的一系列功能。Microsoft在开发WindowsServer2003时考虑了如何让该操作系统实现与WindowsNTServer4.0的良好共存，因此各个机构可以方便地享受新操作系统带来的优点。WindowsServer2003提供了超强的可靠性（当然还包括更好的内存管理和对程序内核的其它改善），仅仅该功能一项就足以成为大多数机构的升级理由。有关WindowsServer2003功能和优点的进一步信息，请访问下列URL：/windowsserver2003/evaluation/features/default.mspx术语ADMTv2：ActiveDirectoryMigrationTool，版本2。它是Microsoft提供的一个工具，旨在帮助管理员执行迁移任务。借助它，管理员不必购买第三方工具即可执行多种迁移任务。版本2添加了GUI功能。该工具可通过GUI（图形用户界面）使用，也可以通过脚本使用。版本2还添加了迁移用户密码的能力。克隆：在本指南中，“克隆”一词是指复制某一个域的安全主体然后在另一个域中创建这些安全主体的过程。借此，管理员可以新建域环境并对其进行测试，而不失去原始域的任何功能。合并：在本指南中，“合并”一词是指将两个或多个域的对象组合成一个域的操作。WindowsNT4.0存在一个限制，即保存安全主体的数据库只能保存40,000个对象（数据库的容量上限为40MB）。在因为此限制而对WindowsNT4.0域环境进行迁移时，通常会发生该操作。合并服务器的含义还可能是：减少执行某个任务或支持某个应用的服务器的数量。DNS：域名系统。在Internet上使用的名称解析系统。IT：信息技术。该词用来表示同计算机（有时还包括移动通讯）有关的一切内容。ITIL：InformationTechnologyInfrastructureLibrary（信息技术基础结构库）。ITIL是一组已公布的准则，描述了通用的IT最佳实践方法。该规范同平台无关，其重点在“服务支持”和“服务交付”方面，并且没有涉及特定平台的操作规范。通常需要在该规范的基础上进行改编。迁移：在本指南中，“迁移”一词是指将某一个域的安全主体转移到其它域的工作。这同“克隆”形成了对比，后者是在另外的域中创建原始安全主体的副本。MOF：MicrosoftOperationsFramework。这是Microsoft为成功运转使用Microsoft产品的IT系统而采纳和改编的规范。它使用了在"流程模型"中介绍的IT生命周期方法，带有20种服务管理功能（ServiceManagementFunction，SMF）和四种业务运营管理审查（OperationsManagementReview）。它有四种业务运营管理审查。另外还有一个作为补充的"团队模型”和一个“风险管理规则”。源域：本指南中，“源域”即指原始域。在介绍迁移和合并时都会使用该术语。对应的域为“目标域”。目标域：本指南中，“目标域”即指转移或复制安全主体的目的地域。该域通常是经过升级或新建的WindowsServer2003域，因为WindowsServer2003域可以在它们的ActiveDirectory数据库中包含数以百万计的对象。WINS：WindowsInternet名称服务。这是WindowsServer2000家族之前的Microsoft系统使用的MicrosoftNetBIOS名称服务。使用WindowsServer2000产品家族后，仍然需要使用WINS，因为许多应用程序都依靠WINS进行名称解析。第2章域合并和域迁移的优点在域合并和域迁移项目的规划阶段，应该同时考虑商业需求和IT需求。如果以IT目标和商业目标为中心，可以实现更为成功的技术部署。商业推动力当使用ITIL（IT基础结构库）或MOF流程来评估IT环境的任何变动时，这种变动的主要目标应该符合商业需求。因此，当对从WindowsNT到WindowsServer2003的迁移进行评估时，分析过程的第一步必须着眼于那些迫使您（作为IT专业人员）考虑迁移的商业动机。商业需求可能是由多种因素推动的，包括需要更为安全或更为可靠的IT环境、需要降低成本或降低风险等。一个引发操作系统升级需求的常见原因是：业务系统需要一个新的应用程序或新版本的应用程序，但该版本的应用程序只能在新版本的操作系统上安装和运行。如果供应商停止支持IT基础结构中的某个项目（硬件或软件），通常也会导致需要升级，即使此前并未发生任何事故或问题。您的升级决定应该来源于您对潜在问题的风险评估。决策者可以将停留在目前水平所可能导致的损失同升级和避免这种损失所带来的益处进行对比。随着IT环境变得日益复杂，以及您的业务对IT系统服务的依赖性逐渐增大，您的业务面临IT问题的机会将增加。这为升级到WindowsServer2003提供了另一个理由——这种新的操作系统允许IT设施执行更多任务，并且变得更为方便、更为安全，而且一旦发生灾难，可以更为迅速地实现恢复。IT设施可以更好地支持业务系统因此也就成为迁移到WindowsServer2003的另一个商业动机。您还可以从IT体系本身来确定升级到WindowsServer2003的商业需求，比如借助技术上的改进，IT体系将可以使用更少的服务器、更少的员工来提供同水平或更高水平的服务。IT推动力负责IT基础结构的部门在评估服务器合并和整合的必要性时，相应的理由通常来自该部门自身。但是，这些部门应该首先审视的是商业上的需求。如果IT部门使用Microsoft的MOF流程模型，它将很自然地发现首先评估的将是商业上的需求，然后才是IT基础结构可以通过升级获得哪些好处。商业一IT关系和MOF在给定的商业需求下，IT部门必须考虑如何才能最好地满足这些需求。当前的大多数商业机构都要求增加服务，同时削减成本。尽管这些要求在某些情况下都是不现实的，但通过实施MOF流程和不断地改进流程和过程，IT部门可以提供更高水平和更为可靠的服务。另外，如果IT部门在评估过程中多同商业经理沟通，则它不仅能更有效地向业务领域靠拢，而且还可以通过在IT方面的投资获得更为强劲的商业环境。如果商业经理按照MOF的要求介入了每一个业务运营管理审查流程，他们的需求将可以按照所审核的服务水平协议（SLA）、按照建议、重要程度和安排上的变化以及按实现目标得到满足和重视。如果商业经理看不到IT投资的必要性或好处，在制订预算时，他们可能会更为挑剔和更为积极地争抢预算指标。如果IT改造的动力源于商业原因，需要这些改造的商业经理会拥护IT预算要求，因为这可以提供或改进他们所急需的服务。风险由于WindowsNT4.0的支持生命期已非常有限，因此在使用该操作系统时，商业部门所面临的风险也是IT部门所面临的风险。IT风险是：如果商业部门选择继续使用WindowsNT4.0，则商业部门对IT部门的要求会更高，而此时IT部门正面临着削减成本的压力。随着硬件的过时，以及随着各种应用程序纷纷升级到需要新型操作系统的版本，IT基础结构将显得落后于时代。供应商不再努力为WindowsNT4.0等操作系统提供专用的软件或硬件驱动程序。当供应商转移到新操作系统时，IT专业人员也是如此。一旦公司的IT部门面临人事调整，招聘精通WindowsNT4.0的员工将十分困难，因此您的IT基础结构将难以正常有效地提供商业支持。优点您需要立足于当前WindowsNT4.0环境的不足来考虑迁移到WindowsServer2003后带来的商业优势。随着管理压力的增大，您可能考虑如何才能减少IT部门管理的服务器数量，因而削减支持成本并且减少对物理空间的要求。减少服务器数量不仅可以减少服务支持时间，同时还可以实现其它方面的改进。如果域的管理不是分布式的（由WindowsNT4.0的多域环境造成），而是集中的，并且只需少量管理员就可以管理合并后的域，您会意识到这些好处。合并后的环境将需要更少的管理员，比如在整个域策略的制订方面。在单一域环境中，IT管理员只需使用组策略在域级别实施一次公司策略即可，这不仅确保了一致性，而且还加快和简化了实施步骤。您还可以看到，通过合并服务器以及域，IT员工可以对不断变化的商业环境做出更快的响应。原因很简单，因为一个复杂程度低的IT环境将更易于管理。另外，单从减少了域和域管理员的数量来看，安全性也会得到提高，因为您在安全方面要配置的域管理员和域的数量都得到了降低。从多域的WindowsNT4.0环境迁移到WindowsServer2003ActiveDirectory环境后，可以实现许多颇富意义的改进。通过这种迁移，可以实现域的合并，并因而减少需要维护的域控制器数量。通过服务器合并可以减少要支持的服务器数量，可以更轻松地保证各个服务器都具有标准化的设置和标准化的流程。这二者使得您可以更容易地部署、管理和维护服务器。由于这种环境要求的人力更少并且可以从中央位置执行更为简化的流程，因此将更易于管理。IT环境的复杂程度降低，还使得您在发生站点或服务器故障时可以更快速、更简便地实现灾难恢复。借助良好的风险管理体制，您可以在一个整合的环境中更轻松地防范服务器故障，因为随着单点失败隐患的减少，您的规划和员工可以更加具有针对性。在合并服务器后可以更容易地制订高可用性规划，因为需要故障转移保护的服务器数量更少。您的风险评估要考虑因为单点失败隐患减少而导致风险升高的问题，因为它们的影响面扩大了。换言之，一方面是可能发生故障的服务器数量减少了，另一方面是任何关键任务服务器的故障都将可能对业务造成更为广泛和深远的影响。在将域合并和迁移到WindowsServer2003域环境后，域控制器故障的影响会变弱，因为当前环境中的域控制器可使用多主控复制功能。在WindowsNT4.0域中，如果主域控制器（PDC）失败，将无法对帐户数据库进行任何更改，即使在配备有备份域控制器（BDC）的环境中身份验证仍然可以正常工作。迁移到WindowsServer2003后，还可以使用ActiveDirectory组策略获得增强的安全性。在WindowServer2003下，您可以创建并集中管理组策略。通过创建更为简单、更为合理的安全组体系，可以简化对资源访问权限的管理。在实现迁移之前，可以对在WindowsNT4.0域中创建的组进行简化和清理，也可以将所有组迁移，然后在迁移后简化这些组的结构。排除多用户域后，通常会使用户组数量减少。总结评估域迁移的价值时，首先应着眼于商业需求以及在保持现状情况下会存在哪些商业风险。这种评估必须有商业经理和IT管理人员的介入。要了解哪些人员应该参与该项评估，请参阅MOF团队模型白皮书。如果让每一个团队角色都派一名代表参与，可以更有效地确定和评估与是否进行迁移有关的重要商业风险和重大商业价值。确定了迁移到WindowsServer2003的商业需求后，您可以放心大胆地执行迁移过程，因为您知道您的计划是基于最充分的考虑做出的。第3章域合并和域迁移的目标通常应该考虑两种类型的目标，即迁移期间的项目目标和迁移之后的目标，这两个目标相互重叠又相互影响。域迁移期间的项目目标同迁移项目及其步骤有关的目标可分为人员、过程和技术方面的目标。迁移团队的人员目标在人员方面的迁移过程目标可分为对最终用户的影响、对管理员的影响以及对IT人员的影响。这些影响同规划期间的选择有关，但同迁移项目的复杂程度无关。您可能希望考虑以下目标：精选范本精选范本,供参考！精选范本精选范本,供参考！Change,Change,RFC)。此时，在给定的资源和所需变动的复杂程度下，您要针对该迁移实施某些项目管理流程。Microsoft为项精选范本,供参考！一致的用户体验。不增加管理工作的复杂程度，否则需要额外的管理员。明晰的角色和责任。达成团队共识一致的最终用户体验最终用户的体验应该保持一致，并且可控制。如果选择了域合并而且在域合并过程中发生了名称冲突，某些用户的登录名可能需要更改。从一个域转移到另一个域的用户帐户也将具有新的登录域。这些细微变化不应对业务产生过大的影响。对于受到影响的最终用户，应该为其提供最起码的培训，并且需要配备某些专职的支持服务人员。不增加管理工作的复杂程度迁移到WindowsServer2003后，可以选择将WindowsNT4.0的多域体系合并为单一域。如果这样，则需要对项目进行周密规划，以确保每一个迁移阶段及其相关的其它工作职责都能分配给管理人员。根据商业和IT体系制订迁移过程、周密设计和检验该过程以及做到职责分明，可以确保当前的管理人员能在迁移后适应WindowsServer2003的管理工作。为团队定义清晰的角色和职责为了确保每个迁移步骤都按正确的序列和相应的位置执行，不仅需要计划详细的操作步骤，而且必须明确地分配每一个步骤和任务。就此而言，在风险评估过程中应该指定后备人员，以便在正选人员缺席时有人接替其工作。您还必须就迁移过程所引发的问题设计问题提交流程。达成共识最后一个人员方面的迁移目标是达成共识。整个团队需要了解团队在迁移期间的目标以及迁移目标：公司为何希望迁移到WindowsServer2003。每个团队成员能否了解他对于整个项目获得成功而肩负的责任，将直接影响项目的成败与否，迁移过程的任何一个环节失败，都可能导致整个迁移项目的失败。基于共识的团队精神、合作和工作热情将意味着整个迁移项目可以在职责分明的前提下平稳进行。团队的迁移目标一旦商业管理层和IT管理层决定需要迁移到WindowsServer2003，您就拥有了在MOF中所说的变动请求(Requestfor目开发和部署提供了完备的框架，即MicrosoftSolutionsFramework。同MOF—样，该框架也提供了一个生命周期模型，并且集成了团队模型和风险管理规定。简而言之，MSF生命周期涵盖了从预测到规划直至开发、稳定性测试和部署的整个项目阶段。由于对项目（比如迁移）使用了结构化的方法，因此不论使用MSF还是使用其它手段，您都可以增大实现平稳部署的机会，从而确保同商业需求一致。它减少了因不可预计的问题导致迁移延期或受到损害的几率。该框架在动态的机制中集成了MOF生命周期，您可以在得到核准的情况下采取变动措施并且管理流程，从而保证开发和部署的平稳性以及符合商业需求和尽量避免意想不到的后果。迁移过程的目标非常简单，就是要保证迁移的平稳性和正确性。您可以将这些目标细分为以下目标：•确保迁移过程不会影响商业。•尽量减少整个迁移过程中的停机时间。实现迁移流程和任务的自动化。保持良好沟通。您可以并且应该考虑人员、过程和技术上的特定目标。确保迁移过程不会影响商业由于迁移项目的主要目标是增强业务服务，因此在迁移过程中出现任何本可避免的服务降级都是您不愿看到的。这意味着需要周密评估迁移过程对服务和基础结构的影响。就像您将看到的，迁移项目的启动阶段将包括一个环境评估过程，这为您了解迁移活动可以动用的能量提供了丰富的参考信息。此外，在规划阶段，您的计划方案需要有商业经理的参与和首肯，这样不仅可让您的团队注意到那些通常不应损害的商业活动（比如季度末的业务运行），而且还可以让他们对那些本来不会引起IT部门关注的特定事件保持警惕。尽量减少停机时间毫无疑问的是，在规划迁移、安排流程以及明晰责任时必须牢记，整个迁移过程必须避免停机或尽量减少停机。如果在规划时安排了一定量的停机时间，则可能导致停机时间远远超出计划的长度。这可能意味着，您必须杜绝停机要求，并且被迫选择其它的迁移手段。实现迁移流程和任务的自动化流程和任务的自动化有助于实现更为平稳的迁移，因为只有这样，才可以完善地定义和测试流程。此外，这还可以将由于个别决定而导致的变动减小到最低程度。保持良好沟通在下节中，您将了解到如何实现角色和职责的明晰化。如果团队成员知道需要同谁以及在什么时候沟通，则可以更为容易地实现畅通的交流。重要的是，不仅要让整个团队对项目进度了如指掌，而且还要将这些信息传达给用户群体和商业经理。只要坚持项目管理规定(如MSF)及其内部和外部约束条件，即可保证信息的透明性以及能将信息传达给相应的人员或受众。技术就像对基础结构进行的任何重大变动一样，迁移过程也会产生技术问题。从商业的角度看，迁移的目标可能是为了降低成本。勿庸置疑的是，只要选择了对域进行合并，就可能遇到技术性问题。这些问题的范围非常广泛，从由于仅需要更少的域控制器而要求对硬件和基础结构进行变动，直到那些只会在迁移过程中遇到的归属性问题，无所不包。某些问题只有在迁移用户和其它安全主体时才会碰到，而有些问题会在选择升级一个或多个域时引发。为了对域帐户数据库进行更改，多域环境中的每个WindowsNT4.0域都必须有一个PDC。修改的内容包括：用户更改密码、管理员添加用户帐户、添加计算机帐户、添加安全组或更改安全组的隶属关系。为了防止PDC在升级过程中变得临时不可用，每个域还应拥有进行身份验证的BDC。在完成了升级过程后，尤其是在选择了合并域的时候，可以发现系统管理变得更为容易，并且业务流程也变得简化。但是，随着这些流程变化，您需要更新业务流程的规范，因为WindowsNT4.0的流程说明已不能满足新的情况。制订项目前景声明项目前景声明的目的是设置项目的高级发展方向。通过对任何产品类型都使用产品前景"(productmindset)的概念，您可以限定和管理作用范围，并且利用重点的项目管理技术。这将确保在解决方案的实现和部署方面获得更大程度的成功。使用这类方法时，第一步是确定“前景"。在一开始就制订前景声明，将有助于确定最终的结果。如果您和您的团队不知目标为何，您将无法衡量您的成功。如果没有前景声明，您的团队将无法确定迁移项目是否已完成。借助前景声明，您可以清晰定义项目的时间框架和迁移项目团队的职责范围。这有助于将迁移或合并过程中的项目职责变动同项目团队隔离开来。如果商业管理层或IT管理层可以向一个项目中添加任务，您将发现该项目很难完成。因此，您的前景声明必须清晰，不能过于冗长。以下示例表明了一个清晰的迁移项目前景声明：“在支持整个机构实现目录服务的目标中，域合并项目将提供可靠、有效和集中的目录服务解决方案，该项目是将来其它项目的基础"。困难和潜在阻力正如前文所说的，一个优秀的规划过程将包括风险评估。MOF拥有自己所关联的风险管理规定，后者同其它风险管理实践类似。无论您在启动迁移项目之前进行了何种风险评估，您都必须随着项目的发展对它们进行反复评估。虽然一个公司在商业和IT环境方面的风险会同其它公司不同，但就项目流程自身而言，不论选择升级还是重新构造和迁移安全主体，它们都具有某些固有风险。在执行目录服务迁移和合并时，您可能面临以下（但不限于）潜在困难和阻力：•领导能力、政策性和组织性挑战：•缺少高级管理层的支持和积极参与。领导能力较差或临时性的领导。服务内容同高级管理层的期望存在差距。难以转移到其它的成本分配或费用缩减的方法。业务部门和开发部门如何选择和分配服务器和域的归属。用户对于将要实现的服务存在不同的认识。服务用户和业务部门认识到控制权和灵活性将丧失。财务挑战：如果需要，必须权衡投资新型服务器硬件的性价比。架构和技术上的事宜：服务能力的更为集中，导致风险增大和对该服务的依赖性更大。对网络服务的可靠性、可恢复性和性能有更高要求。迁移整合的目录服务时具有更大的错误风险。应用程序版本冲突和客户端共存问题。运营上的挑战：损失了经验丰富的员工或关键性员工。更为严格的变更管理，妨害了服务灵活性。服务部门的标准实施情况较差，导致没有提供充分的帮助。从项目审批到前景预测，从每个项目阶段直至项目的全部完成，您都需要对以上各个风险进行评估。通过对迁移或合并项目中面临的风险进行评估，可以明确地向利害关系人传达所存在的挑战和难点。通过同利害关系人探讨这些风险，并且向他们提供相应对策（如果在某些情况下补救措施的成本过于高昂，可能承担该风险），您会获得业务部门对风险抑制计划的支持。您还应该允许业务部门根据自己的认识提出他们认为最重要的风险，这样，可以正确安排风险抑制工作的轻重缓急。如果项目遭受无法预见的挫折，则相应的后果会由所有参与风险规划的人员共同承担。通过同利害关系人以及商业经理等不断对风险进行重新评估，可以确保项目计划和风险抑制工作是以商业需求为中心的。有关风险评估的详细信息，请参阅MOF白皮书的风险管理部分。地址：/technet/itsolutions/tandp/opex/mofrl/MOFRisk.asp同财务相关的目标同迁移项目相关的财务目标及其过程可分为人员、技术和配套设备上的节省目标。节省人力费用如果选择需要合并的域的数量，可以减少域控制器的数量。而域控制器的减少又可以减少硬件和备份服务器的维护以及服务包和热修补程序的维护工作，这些可以减少必需的域管理员的人数。节省硬件费用合理安排负责提供域服务的服务器的数量，从而用更少、更大型的服务器来完成相应工作，从而提高硬件的利用水平——这将有助于降低存储成本。在计算成本节省时，必须考虑待合并服务器的当前使用情况。通过合并减少服务器的数量，可以降低租赁或折旧成本。域控制器的减少又可以减少硬件和备份服务器的维护以及服务包和热修补程序的维护工作。通过减少服务器数量，可以降低备份存储成本和提高硬件的利用率。节省软件费用域控制器的减少，意味着所使用的服务器软件许可证、防病毒软件许可证以及备份软件也将减少。节省配套设施费用通过减少数据中心的服务器数量，可以节省室内空间和降低成本。同时所需的支持硬件也更少，例如服务器机架、键盘/视频/鼠标交换设备(KVM)以及空气管理设备等。同运营相关的目标运营目标集中在MOF的服务管理功能(SMF)上，比如变更管理、配置管理和可用性。增强变更管理如果决定实现更为正规的变更管理，您将发现在一个简化的环境中更容易达到该目标。在复杂的环境中，若要实现良好的变更管理，您必须对角色和流程进行精细的定义。增强配置管理如果您拥有某种水平的配置管理，迁移过程可能会使配置管理数据库(CMDB)的问题暴露出来。那些未经授权的变更将必须经过复审并且必须完成变更管理流程，目的是保证将来的CMDB能够反映现存的IT基础结构。如果尚未拥有完备的CMDB，您可以借助迁移创建一个CMDB或者对已有数据库进行改进。所有的项目文件都可以作为该CMDB的信息来源。如果已拥有完善的变更管理流程，您可以在迁移期间这样做，否则请在迁移之后执行该任务。管理上的整合您已经知道，域数量的减少可以促成更为简单的管理。这种整合将影响IT业务的方方面面，包括容量管理、可用性管理和服务连续性管理。可用性由于用户和资源驻留在经过合并的ActiveDirectory森林环境中，因此迁移后的服务故障可能具有更大的影响面。即使这样，服务合并的主要目标之一仍是提供高可用性。WindowsServer2003借助于现代化的硬件，可为实现高可用性的目录服务提供多种技术，包括多主控ActiveDirectory复制、存储区域网络(SAN)支持、不间断电源(UPS)支持以及在电源和网络组件方面的冗余支持。在早期版本的WindowsNT4.0服务器中，只有一个域控制器(PDC)可以接受对域数据库的更新。在具有大型网络的机构中，该限制使得PDC的高可用性难以确保，因为在发生网络故障时，负责网络某一部分的管理员无法对域进行更新。ActiveDirectory域支持多主控复制，从而可同步每个域控制器上的数据，并且动态地确保信息的一致性。多主控复制功能可在对等的域控制器之间复制ActiveDirectory信息，因此每个域控制器都有一个可读写的活动目录副本。对具有多个域、域控制器和站点，或者由于提供关键业务应用而经受不起服务中断带来的生产能力丧失的大型机构而言，它们必须使用企业级的监视解决方案，比如MicrosoftOperationsManager(MOM)。为确保ActiveDirectory的方方面面都能正常工作，请使用最适合您要求的监视解决方案来监视重要的表象。MOM可以监视所有的重要表象。在生产环境中部署监视解决方案之前，请首先对其进行测试。安全性许多用户均坦承：安全性目的是推动他们迁移和合并目录服务的主要动力之一。目录服务合并为清理过时对象、实现更高强度的身份验证和减少通过委派授权而产生的特权帐户数量提供了良机。在迁移期间必须坚持安全策略，并且不能由于安全管理方面的弱化而使现有环境受到威胁。随着迁移的继续，WindowsServer2003的许多新的安全功能都可以被采纳。通过相互间的身份验证，客户端现在可以首先校验服务器的身份，然后再向它传输敏感数据。借助公钥安全性支持，用户可以使用智能卡登录，而不是使用密码。通过集成目录服务，可以更好地管理业务增长、控制安全性和控制信息访问能力，并且可以对不断变化的商业需求做出快速响应。容量合并后的目录服务需要根据当前和今后的身份验证要求提供相应的容量。容量监控应该着眼于模拟将来在目录复制和用户需求(比如改进目录查询速度)方面的走向。容量监控需要涵盖为用户提供的所有“端到端”服务。丰富的性能数据有助于管理员准确提供有关用户服务的报告。这一点非常关键，因为在合并某项服务时，用户会理所当然地认为他们将能获得更高质量的服务。同WindowsNT4.0和Windows2000Server相比，WindowsServer2003ActiveDirectory的容量和性能得到了大幅度改进。例如，WindowsNT4.0中的安全帐户管理器(SAM)数据库存在每个域40,000个对象的限制。而ActiveDirectory可以轻松扩展到每个域数以百万计的对象。通常不必为了处理更多对象而创建额外的域。总结在启动迁移或合并项目之前，首先需要确定这些项目将为机构带来哪些价值。如果没有清楚了解IT机构执行这些项目的动机，不仅项目团队可能失去工作重心，而且在项目规划阶段也可能遭遇严重的挑战。一旦了解了所希望实现的价值，就可以开始评估各种可帮助您达到目标的途径。在下一章中，您将了解域合并的选项以及有关从属服务和应用的选项。第4章迁移规划随着启动从现有WindowsNT4.0域体系向WindowsServer2003ActiveDirectory迁移的规划，您必须了解和考虑哪些选项可供您实现这种迁移。在执行这种类型的迁移时，您还必须针对可能实现的合并考虑其各个环节并且做出相应规划。以下各节介绍了从WindowsNT4.0域迁移到ActiveDirectory时的可用选项。域合并选项执行WindowsNT4.0域的就地升级是指通过在WindowsNT4.0域控制器上安装WindowsServer2003来创建ActiveDirectory域。域的重建是指将WindowsNT4.0源域中的安全主体克隆到新建或经过升级的WindowsServer2003ActiveDirectory域中。为了实现最终的ActiveDirectory功能，可能会同时执行升级和重建。选项1：就地升级从本白皮书的目的来看，域的升级在定义上是指将以下对象上的WindowsNT4.0软件升级为WindowsServer2003的过程：域的PDC、部分或所有BDC。升级和合并的最大区别是：在升级中，您需要保持现有的域结构。考虑就地升级时非常重要的一点是：了解对域控制器和安全主体的影响和变动。就地升级需要保持当前的配置，比如域的信任关系、用户、组和计算机帐户。它将保留包括现有域的NetBIOS名称在内的域结构。在保持NetBIOS名称方面，如果该名称已同您的机构无关或者从行政上说已经不正确，您仍然可以考虑以就地方式升级到WindowsServer2003，因为可以使用具有WindowsServer2003功能级别的森林的域重命名功能来更改NetBIOS名称。有关WindowsServer2003域重命名功能的详细信息，请参考知识库文章819145，地址：/default.aspx?scid=kb;enus;819145&Product=winsvr2003o首先升级的服务器必须是WindowsNT4.0域的PDC。该PDC在升级后仍然可以在剩余的WindowsNT4.0BDC之间同步安全主体，此时，这些剩余的WindowsNT4.0BDC会认为该PDC是复制的主控服务器。您可能会觉得在以下环境中进行域的升级是比较适当的：•现有的域符合新森林的要求：现有的域结构同待建ActiveDirectory域的结构一致。此时执行升级将显得比较适宜，因为通过升级可以保持相同的结构，并且可以照搬现有域的安全主体和设置。•现有域的结构仍然适宜：现有的域结构仍然符合业务和技术上的要求。如果现有域符合业务部门的应用和网络要求，则可以使用升级方式将该域作为WindowsServer2003ActiveDirectory域使用。•需要实现最快捷的迁移：如果机构要求迁移到ActiveDirectory的工作在尽可能短的时间内完成，则可以使用升级方式。域的升级是迁移到ActiveDirectory的最快捷方式，因为这种迁移只需对WindowsNT4.0PDC进行升级。•NetBIOS名称必须保留：WindowsNT4.0域的NetBIOS域名必须保留一致。如果机构不希望修改该域名，唯一可行的选项便是升级。对WindowsNT4.0域执行就地升级的优点包括：有效：由于保留了安全主体和系统设置，因此该选项最为有效和风险最小。快捷：可以快速享受到WindowsServer2003和ActiveDirectory的优点。.权限得以保留：对网络资源（如应用数据和文件）的权限得以保留。执行就地升级的不足之处在于：•最新的域结构不适宜：如果域的配置（包括NetBIOS名称）不再与机构有关，在就地升级期间将无法更改这些配置。当然，在该域已迁移到WindowsServer2003功能级别后，可以更改域名和配置。•造成用户不便：用户在升级PDC期间无法更改其域密码。如果他们的密码将在PDC升级过程中失效，用户在此期间将无法登录该域。选项2：域的重建第二种方法调整域的结构。该方法是指将WindowsNT4.0域的安全主体复制或克隆到新建或已升级的WindowsServer2003ActiveDirectory域中。这种使用ADMT（ActiveDirectoryMigrationTool）等工具进行的帐户克隆没有破坏性，也就是说，WindowsNT4.0源域的帐户将完好如初地保留。对迁移项目而言，在三种情况下需要执行域的重建：1.在已经完成了域的升级后：在完成升级后紧接着要求进行域重建是执行域重建的最常见原因。也就是说，迁移的第一个阶段是将帐户域升级，第二个阶段是通过重建从资源域中获取帐户资源（因此，该资源域的使命也将终止）。2.作为域升级的替代办法：在考虑了迁移选项后，某些机构可能决定将现有的WindowsNT4.0域的结构重新调整为新设计和构造的WindowsServer2003森林和域。在这种情况下，重建将作为主要的迁移技术，现有WindowsNT4.0域的安全主体将被迁移到新的WindowsServer2003环境（因此，WindowsNT4.0帐户域和资源域的使命也将终止）。3.在升级到WindowsServer2003ActiveDirectory之后：在成功迁移到WindowsServer2003ActiveDirectory结构后，可能要求执行重建（作为域的整个重新设计工作的一部分）。当机构变动或发生并购或资产分离时，可能需要重新设计。图1.域结构的调整ADMTv2等用于实现域重建的工具可在无损伤的情况下将WindowsNT4.0源域的帐户克隆到WindowsServer2003ActiveDirectory目标域中。此外，借助ADMTv2帐户克隆功能，还可以在WindowsServer2003ActiveDirectory中创建新帐户和存储WindowsNT4.0源域帐户的安全标识符（SID）。通过将WindowsNT4.0SID存储在克隆后的WindowsServer2003帐户的SIDHistory属性中，可以在登录ActiveDirectory时保持对WindowsNT4.0域的访问能力，这也为随着时间的推移而执行迁移过程创造了条件。在以下情况中考虑进行域的重建可能比较适宜：•当前的域结构不符合迁移目标或机构的商业目标。•迁移的时间框架足够长，可以执行因为重建而导致的额外任务。如果要在不升级先前WindowsNT4.0帐户的情况下考虑重建过程，必须购买额外的硬件才能构建纯粹的森林和域。•有足够的人力资源执行迁移。•在重建过程中，转换业务数据和共享资源的访问权限存在较高的复杂性和风险，对此您已经做好了准备。与升级相比，域重建的优点是：•对最终的域结构具有更大的控制能力：在将现有域结构迁移到新建和新设计的域结构时，可以控制ActiveDirectory的配置。•可保持迁移期间的访问能力：在执行分步迁移时，可以使用克隆的帐户以及SIDHistory属性保持访问能力。同升级相比，域重建的不足之处在于：时间框架较长：要克隆和迁移所有的帐户和资源可能需要更多的时间。需要额外测试：所有驻留在源域中的服务器应用都需要进行测试，以验证它们在发生域变化后的效力。•迁移期间存在额外工作量：将服务器应用迁移到新的ActiveDirectory域时，需要对域进行维护。许多机构的迁移策略通常都组合了升级和重建两种方法：首先至少执行一个帐户域的升级，然后是WindowsNT4.0资源域的重建。通过采用这种迁移策略，机构不仅可以获得帐户域升级优点（比如时间短、风险小），并且还可以享受到重建的好处（域环境的简化）。合并选项非常重要的一点是，注意区分物理合并、应用程序合并和位置合并三种选项。所有这些选项类型都可以节省拥有总成本（TCO）,但原因各不相同。选项1：物理合并通过合并服务器，可以减少用来提供服务的物理组件的数量，而这又可以降低成本和提高服务质量。企业用户发现，小型服务器资源的不断增长对商业是不利的，因为这些服务器需要经常性的维护成本，并且往往同商业活动无关。随着Windows服务器环境在支持技术上的进步，减少提供特定服务的系统的数量已变得正确且可行。执行WindowsNT4.0域迁移时，服务器合并往往会通过将WindowsNT4.0资源域合并到ActiveDirectory环境来实现。另外，由于WindowsServer2003ActiveDirectory域控制器的性能更高，因此它们可以处理更多数量的客户端身份验证，而这也为实现合并提供了机会。选项2：应用程序合并本指南中，“应用合并”是指目录服务应用的合并。因此，此处的合并指得是将WindowsNT4.0域升级或重建为ActiveDirectory森林。执行这种迁移过程后，WindowsNT4.0域的数量将减少。例如，WindowsNT4.0资源域可能被重建为ActiveDirectory组织单位（OU）。选项3：位置合并在合并服务器时，可以选择是否减少用来提供服务器资源的站点的数量。位置合并提供了以下优点：提高了物理意义上的安全性，降低了服务设备损坏的风险。通过合并，减少了不值得配备支持人员的小型站点，从而降低了管理成本。降低了与存储和备份要求对应的基础结构成本。通过建立一个将支持人员和业务流程集成在一起的服务体系，促进了业务增长和商业灵活性。位置合并包括重新设计目录服务体系（以减少物理站点的数量）和重新设计提供域控制器服务所需的数据线路。大多数同域有关的站点合并都包括转移域控制器及其支持体系（从地理上分散的位置转移到新位置或现有的区域性或全国性数据中心）。本规划指南没有介绍域控制器的站点合并。有关域控制器布局的详细信息，请参阅WindowsServer2003虚拟会议：分支机构的部署，地址：/technet/prodtechnol/windowsserver2003/evaluate/technologies/deploy/VCON31.asp总结通过本章，您了解了在规划WindowsNT4.0域的迁移时需要考虑的选项。在确定要使用的选项之前，您需要了解有关IT基础结构的基本信息，包括网络架构、安全性、客户端和支持服务（支持服务包括备份和恢复服务、邮件、文件和打印服务）。一旦透彻了解了迁移的入手点，即可开始规划到WindowsServer2003域环境的迁移过程。第5章评估目录服务环境评估当前部署的企业环境有助于迁移决策的制订。通过考察当前环境中的内容，项目规划团队可以更有效地利用现有硬件，并根据实际情况做出购买新硬件或附加硬件的决定。评估当前环境在开始详细规划迁移之前，您应该对多个环境进行评估和备案。这些环境包括：目录服务基础结构。网络基础结构。安全性基础结构。客户端环境。备份和恢复的流程以及环境。消息传递基础结构。文件和打印基础结构。商业和管理结构。您可以用不同方式执行这种环境评估。一些供应商提供了自动化工具。借助这些工具，可以捕获现有网络及其相连系统的配置和安全设置信息。使用这些工具，并且同关键的IT人员交流，通常是非常有益的方法。本文稍后部分详细介绍了从不同方面评估当前环境的具体方法。您可以找到用于记录当前系统及其配置的检查清单。这些检查清单是WindowsServer2003部署工具包的一个组件，：地址/downloads/details.aspx?FamilyID=edabb894-4290-406c-87d1-607a58fc81f0&DisplayLang=en收集环境信息为了对机构内的当前环境进行最准确地评估，需要通过不同手段获取最丰富的信息。这些过程将在评估期间执行，包括使用自动化工具、工作表、模板以及与员工沟通。组织和管理机构的文化和管理结构对IT体系的设计具有重大影响。您的迁移团队能否了解这些独特的约束条件，将直接决定迁移规划之前的环境评估结果。要调查的环节包括：管理职权的归属模型：有些机构将所有IT管理职权集中在一个部门中，而有些将管理职权委派或授权给区域性环节或各个业务部门。最为常见的方法是以上两者的组合：对某些IT功能（比如网络储备和安全）集中管理，同时将其它功能（比如用户帐户管理和邮件管理）分配到以地理或业务加以划分的区域机构。这些管理模型将影响您配置新域的管理组的方法。用户帐户的管理模型：同网络管理一样，负责创建和删除用户帐户、管理密码、分配帐户资源等常见任务的模型可能是集中、非集中或这两者的组合。借助迁移，您可以转移到能更轻松地适应变化的结构，从而保证商业体系始终能面对将来的挑战。业务部门结构：虽然不必费尽心思地探究业务部门或机构分支机构之间的相互关系，但对这些关系的某些方面进行审视仍将是有益的。例如：各个独立的业务部门或分支机构之间是否需要有安全界限？如果需要，则要求一个多森林的设计，这同时还意味着需要考虑目录同步和信息交换。不同的业务部门之间是否需要沟通？例如，整个机构是否需要有一个统一的目录或地址列表？不同的业务部门之间是否需要安排会议或其它形式的协作？如果需要，新的ActiveDirectory设计将必须考虑和规划将来如何迁移到ExchangeServer2003。如何控制跨部门的通讯？换言之，哪个组将负责查找和解决那些妨碍不同部门的用户和资源进行相互通讯的身份验证、网络或协议问题？业务部门的应用系统是否需要自己的用户目录？它们如何处理跨部门的访问？谁将管理这些目录？在元目录或跨目录连接或者在协调帐户和密码方面是否有值得考虑的事项？业务规划在迁移规划期间，同任何技术性变动一样，您需要评估业务计划和安排，以便制订出能符合业务安排的项目时间表。在业务规划上需要收集和确认的信息包括：在哪些业务时间段不能执行项目。除非重要的更新和变动，否则在这些时间中不能执行项目。例如，在一个财年的末尾。其它已规划的技术或业务升级或变动。这包括影响技术环境的业务结构重大调整和重要的应用系统更新。目录服务基础结构在制订任何详细的迁移规划之前，您必须对WindowsNT4.0域环境的某些配置进行评估。这些配置包括：当前的Windows域、名称、大小、用途（帐户域或资源域）以及所有者。域之间存在的信任关系和信任目录。当前域控制器的配置和位置；它们在各个域中发挥哪些作用；它们的实际位置，升级到WindowsServer2003所要求的硬件规格，服务器提供的服务，当前操作系统版本和修补程序级别，以及其它已安装的应用程序。商业系统当前如何使用目录服务，当前的目录服务结构是否存在问题或限制？网络基础结构和服务对网络基础结构和服务做出精确的评估将至关重要，因为您的商业部门要求目录服务和网络都能有效为客户端提供服务。在网络基础结构方面要捕获的重要信息将包括：机构物理站点的位置和数量。各个位置的计算机和服务器的分布以及域成员关系每个远程站点的用户数量和该站点通往企业网络中其余站点的链路速度。物理站点同这些站点中所使用的IP子网之间的拓扑映射，这在规划ActiveDirectory站点设计时非常有用。在更改或更新站点之间的网络链路方面是否存在非技术性的限制（包括地理、政策或成本上的限制）。公司网络中是否使用了虚拟局域网（VLAN）?如果是这样，这些VLAN的配置方式如何？网络服务网络服务用于提供名称解析和IP配置信息，从而保证应用系统和基础结构能够正常工作。对任何目录服务升级或迁移项目都极为重要的网络服务包括DNS、WINS和DHCP。为了提供名称解析服务，机构内普遍部署了DNS和WINS。对DNS和WINS重要的评估信息包括：谁负责名称解析服务？尤其是由谁来维护和管理机构的DNS服务器？当前使用了是哪种类型的DNS软件？它是否可以处理SRV记录（这是Windows2000ActiveDirectory以及更高版本所必需的）？谁负责分配机构内的DNS名称和域？是否有一个统一部门专门负责DNS命名空间的规划和控制？DNS和WINS主机位于网络的什么位置？是否存在任何终止使用WINS的计划？哪些DNS服务器是客户端所使用的？DHCP是一种从中央服务器为客户端提供IP地址的服务。DHCP主要用于机构内的工作站，作为服务器时则使用静态IP地址信息进行配置。在评估DHCP环境时应该考虑以下的配置项目：DHCP服务器的数量和位置。通过DHCP分配的是何种名称解析模式（如果有的话）？是否有子作用域？如果有，它们的位置如何，它们是在哪些DHCP服务器上配置的？安全性基础结构信息安全是个复杂的话题。您可能发现，确定当前环境的哪些安全信息有助于规划域的迁移或重建往往非常困难。您可以像Microsoft那样使用三种类别来分析安全问题：人员、过程和技术。基于这三个类别，可以对现有安全体系进行评估。人员以下关于用户的问题有助于您组织您的安全体系：当前使用的是哪种密码策略或限制？是否在适当的地方使用了“两人负责制”的管理控制手段来防止单个管理员非法访问关键数据？对于高价值资产是否提供了充分的物理性安全控制？网络中是否使用了两种身份验证系统（例如，标准身份验证系统和RSASecurlD）?如果是这样，则它们是仅局限于少部分群体还是普遍适用？过程安全章程包括您用来实施或审核密码策略以确保一致性应用的安全步骤。您可能发现这些步骤和过程是通过多种方式（包括技术方式和管理方式）应用的。以下问题有助于您确定这些安全过程：用于监视、检测和对入侵企图做出响应的系统都有哪些?谁负责监视这些系统?是否存在补丁程序管理和分发系统?如果没有，关键级系统是否在补丁程序发行后的合理期限内应用了补丁程序?是否使用WindowsNT4.0策略来应用安全策略?机构是否需要遵守行业（如美国银行协会）或政府（如通用情况）的安全标准?如果需要，则已经对域体系进行了哪些修改来确保这种遵从性?在变动成员身份之前，是否存在让服务的所有者批准特权组（管理员组）成员的过程?技术在技术安全性上，您的主要关注的区域是域控制器（以及DNS服务器等目录服务基础结构服务器）。您应该考虑以下问题：各个域中实施的是哪种WindowsNT4.0帐户策略?哪些客户端设置是由Windows策略控制的?为确保域控制器基础操作系统的安全，都采取了哪些措施?补丁程序和升级管理以及有效的配置跟踪将非常重要。详细信息，请访问以下地址：/technet/security要了解同服务器基线安全性相关的检查表，请访问以下地址：/technet/security/tools/tools.asp当前的信任关系如何？是否都是必需的？是否有任何信任关系削弱了WindowsNT4.0域模型的安全？采取了哪些措施来防止域管理员以外的用户访问域控制器？除上述问题外，MSA实现工具箱中的MSA2.0规划指南还将与安全有关的企业服务分为了多种类别。目录服务类别是这些类别中最值得关注的。详细信息，请访问以下地址：/technet/itsolutions/msa/msa20ik/VMHTMLPages/VMHtm2.aspMicrosoft的“企业安全最佳实践”文档集包括几个白皮书。在评估机构现有的技术安全状态时，您可以利用这些白皮书所介绍的内容作为参考。详细信息，请访问以下地址：/technet/security/bestprac/bpent/bpentsec.asp客户端基础结构您可能发现往往很难准确了解网络中使用的客户端的情况。对于管理严密的网络，往往使用MicrosoftSystemsManagementServer(SMS)等清单和控制工具或脚本以及WindowsManagementInstrumentation(WMI)来了解现有系统的运行情况，以及这些系统的硬件和配置。对于管理较差的环境，其配置数据的更新情况可能不够精确或不够及时。客户端的情况是否精确，通常与域迁移的关系不大，但也有例外。这些例外包括：现有多少台客户端计算机，它们在网络的什么位置？这两个因素会影响客户端计算机的迁移安排以及将客户端计算机迁移到WindowsServer2003ActiveDirectory环境使用的具体方法。客户端正在运行哪些操作系统？某些较早版本的Windows(比如Windows95和SP2之前的WindowsNT4.0)需要安装额外组件才能加入WindowsServer2003域。是否存在重新部署、更新或更换客户端的计划？您的IT机构在域迁移之前、之中或之后可能有这样的计划。了解您将针对哪种情况做出部署规划是非常重要的。是否有商业数据或用户数据存储在客户端计算机中？如果有，是哪些类型的数据？哪些客户端计算机使用本地存储？备份和恢复基础结构对于该评估过程，应关注包括与现有域和支持设备的备份和恢复有关的系统和流程信息。您的备份系统可能是集中式的高级自动化系统或者本地管理的简单系统。高级系统可能是一个中央备份系统，可将多个服务器自动备份（通常借助san或专用于备份的局域网）到磁带设备上；而非集中式的本地管理系统可能是由技术型的最终用户操作的本地磁带驱动器。备份过程的差别也很大，具体情况取决于是进行详细、面面俱到的备份还是进行参考性的备份。MSA参考架构工具箱的“备份和恢复服务设计”介绍了备份系统的设计细节，但是如果需要更多地着眼于目录服务来进行评估，则要求研究以下主题：需要备份哪些服务器？备份是集中的还是非集中的？对于域控制器，需要备份哪些方面的系统数据？备份步骤、备份计划和备份类型（完全、仅系统数据、增量式）又该如何？如何备份DNS、wins和DHCP服务器？是集中备份还是非集中备份？保证备份成功的步骤是什么？谁执行这些步骤？换言之，由谁来对备份进行测试？按照何种计划执行？消息传递基础结构如果存在消息环境，对其功能的评估将非常重要。本节之前的评估项目同消息传递系统所依赖的下级支持系统有关。这些项目包括：当前服务器的配置和位置如何？服务器的物理位置如何？各个邮箱位于哪些服务器上，服务器之间如何联系？如何同internet交换邮件？邮件服务器是否为windowsNT4.0域的成员？服务帐户驻留在何处，它们要求怎样的权限？对邮箱和服务器应用了何种级别的安全性？文件和打印服务随着目录服务的变化，您需要透彻了解文件和打印基础结构，以确保对业务数据的访问不会受到损害。您应该评估和备案的文件和打印服务信息包括：现有文件和打印服务器的名称和位置如何？这些文件和打印服务器的域成员身份怎样？文件和打印服务器的共享目录是什么？共享目录、其它目录、文件和打印机的访问控制列表(ACL)如何？评估目标状态目标状态评估必须立足于迁移的商业目标和IT目标。如果您的主要目标是合并，则这会驱使您对整个WindowsNT4.0域进行合并停止其使命。当成功达到目标状态时，即表明迁移或合并项目的结束。项目的作用范围决定了目标状态。您的目标状态可能同原始状态拥有相同数目的域。而另一方面，您也可能决定在该项目中合并若干数量的域。无论如何，您的目标状态都将由您的项目规划来确定。但在迁移规划中，您需要致力于目标环境的设计、构建和测试事宜。这将包括新服务的设计、硬件选择和规划，以及测试标准。本指南没有对目标状态环境的设计、构建或测试加以介绍。有关设计、实现和配置目标状态的方法，请参阅MSA2.0文档。MSA2.0文档为设计ActiveDirectory森林和域模型、配置域控制器和网络服务以及它们的易管理性提供了指南。详细信息，请访问以下地址：/technet/itsolutions/msa/default.asp目录服务的目标状态设计迁移到WindowsServer2003ActiveDirectory时，您需要规划如何放置来自WindowsNT4.0域的对象。此外还需要就管理和安全要求做出规划。ActiveDirectory的设计和用户、组和计算机的放置情况将影响WindowsNT4.0域的迁移过程。这种迁移过程还必须符合机构的商业目标。利用迁移或合并项目提供的机会，您可以实施更为严格的安全策略(以创建和实现新的名称约定)和委派机构内的管理任务，前提是这些能改进对商业部门的服务。规划目标状态的设计时应包括下列任务：规划可将哪些WindowsNT4.0域升级或重建为ActiveDirectory森林。根据各个WindowsNT4.0域的角色，规划其迁移过程。根据要支持的预期负载，规划域控制器硬件的容量。规划网络服务的迁移过程，以支持WindowsServer2003平台。为采用安全策略、委派管理和服务管理等事宜进行规划。对该环境中的低层次工作站进行处理规划。确定域迁移任务的角色和职责。目标状态测试标准设计了目标状态后，您要确定目标状态是否符合迁移项目结束时应达到的目标。您将要：确定目标状态是否符合在规划过程中制订的可用性目标。确保目标状态能够按照客户端的需要提供相应的身份验证功能。确保网络服务可为客户端提供对目标状态的访问能力。确保资源的安全主体得到维护并且已同ActiveDirectory关联。确保已保留了对未迁移域的访问能力。总结对IT体系当前状态的评估关系到能否正确规划迁移或合并项目。在确定所希望实现的最终迁移目标之前，您需要这方面的评估信息。您可能会发现，由于某些商业需求的存在，一些域必须保留，这意味着您需要执行就地升级。而在另外的情况中，您可以断定，通过更改目录服务结构的设计可以满足商业需求，而这将影响在迁移过程中采取的措施。评估的一个重点是，不仅要审视您当前的状态，而且还要评估“您希望在项目结束时达到何种状态”。为保证实际的迁移过程能够平稳和按时进行，可以在测试环境中执行各个迁移步骤，从而让您的IT团队和商业管理层有更大的把握。第6章合并和迁移规划在项目启动前需要进行适当的规划。这包括了解目录服务、消息服务、网络服务和客户端配置等环境的最终状态。除了基础结构的设计问题外，您还需要做出其它决定，包括使用何种工具、确定一个服务何时迁移以及整个项目所可能面临的风险。目录服务设计目录服务是一个机构的技术基础结构中最重要的组件之一。目录是一种信息源，用于存储机构所关注的对象的信息。这些对象包括打印机、应用程序服务器、数据库、用户和组等。通过目录，可向那些希望查找和使用上述对象的用户提供信息，并且为管理员管理这些对象创造了条件。目录服务由目录和提供该目录信息的服务构成。目录服务可以：实施管理员定义的安全水平，以保证入侵者不会损害信息的安全。将目录分发到网络中的多个计算机。复制目录，以便更多的用户能使用，并且防范故障。将目录拆分成多个存储位置，以存储庞大数量的对象。WindowServer2003使用ActiveDirectory作为它的目录服务。在机构中，ActiveDirectory的部署范围通常都非常广泛，因为它要包括众多对象的信息：机构内的用户和组（以实现业务数据和应用程序的安全）、待访问的计算机甚至应用数据（例如，邮件系统、商业应用系统的数据）。机构的ActiveDirectory设计必须着眼于下列环节：规划森林和域的设计。规划组织单位（OU）的结构。规划ActiveDirectory站点结构。规划DNS环境来支持ActiveDirectory。规划ActiveDirectory域控制器的分布。确定目录服务的目标在执行任何目录服务设计项目之前，都必须首先确定目录服务的目标。这些目标必须源自商业和IT部门的要求，比如提供ActiveDirectory服务的时间框架以及长期目标（如“使用管理委派增强安全性”）。规划ActiveDirectory命名空间在WindowsServer2003环境中部署ActiveDirectory之前，您必须根据您的环境来规划和设计ActiveDirectory逻辑结构。ActiveDirectory逻辑结构确定了目录对象的组织方式，并且为管理网络帐户和共享资源提供了有效方法。对ActiveDirectory逻辑结构的设计将是您定义机构的网络基础结构的重要组成部分。要设计ActiveDirectory的逻辑结构，首先需要确定机构所要求的森林数目，随后是制订域、DNS和组织单位的设计。设计了ActiveDirectory体系的逻辑结构之后，您必须设计网络的站点拓扑。站点拓扑是物理性网络的逻辑表示，它将被存储在ActiveDirectory中。站点拓扑含有以下