Strategie di migrazione da Windows NT4 a Windows Server 2003 Fabrizio grossi

Strategie di migrazione da Strategie di migrazione da Windows NT4 a Windows Server Windows NT4 a Windows Server

20032003

Fabrizio grossiFabrizio grossi

AgendaAgenda

Strategia di MigrazioneStrategia di Migrazione Preparazione della MigrazionePreparazione della Migrazione Scelta del percorso di MigrazioneScelta del percorso di Migrazione UpgradeUpgrade RistrutturazioneRistrutturazione

Identificare l’ambiente presenteIdentificare l’ambiente presente

IdentificareIdentificare Modello di domini attualeModello di domini attuale Relazioni di trust esistentiRelazioni di trust esistenti Numero e disposizione dei domain controllerNumero e disposizione dei domain controller Utenti, gruppi, e computer accountUtenti, gruppi, e computer account Come vengono gestiti i profili utenteCome vengono gestiti i profili utente Amministrazione del DominioAmministrazione del Dominio Standard di Sicurezza e procedureStandard di Sicurezza e procedure

AgendaAgenda


Upgrade o Ristrutturazione ?Upgrade o Ristrutturazione ?

Domain Migration

Kerberos

Windows 2000

OUOUOUOU OUOUOUOU

Kerberos

Windows 2000

DomainUpgrade

DomainRestructure

Windows NT 4

11

2222

3333

UpgradeUpgradeUpgradeUpgradeMantiene il modello di dominioattuale

Mantiene la maggior parte delle impostazioni, preferenze e applicazioni installate

Mantiene il modello di dominioattuale

Mantiene la maggior parte delle impostazioni, preferenze e applicazioni installate

RistrutturazioneRistrutturazioneRistrutturazioneRistrutturazioneRiduce il numero dei domini

Può ridurre l’overhead amministrativo

Riduce il numero dei domini

Può ridurre l’overhead amministrativo

Determinare un percorso di Determinare un percorso di Migrazione Migrazione

ValutareValutare

ValutareValutarePercorsi di Percorsi di MigrazioneMigrazione

possibilipossibili

Domain Domain UpgradeUpgrade

Domain Domain RestructureRestructure

Upgrade e Upgrade e RestructureRestructure

ValutareValutare

Ragioni per scegliere un Ragioni per scegliere un percorsopercorso UpgradeUpgrade

La struttura del dominio è adatta alle necessità La struttura del dominio è adatta alle necessità dell’organizzazionedell’organizzazione

Offre minori rischi, tempi ridotti, minori risorse da Offre minori rischi, tempi ridotti, minori risorse da utilizzare e non necessita di nuovi server ( … )utilizzare e non necessita di nuovi server ( … )

RistrutturazioneRistrutturazione La struttura del dominio La struttura del dominio nonnon è adatta alle necessità è adatta alle necessità

dell’organizzazionedell’organizzazione L’organizzazione non può tollerare il downtimeL’organizzazione non può tollerare il downtime E necessaria una struttura di domini ottimizzataE necessaria una struttura di domini ottimizzata

AgendaAgenda


Recovery PlanRecovery Plan

Domain ControllerDomain

Controller

ApplicazioniApplicazioni

DatiDati

BackupBackupBackupBackup



1. Aggiungete un BDC se il dominio 1. Aggiungete un BDC se il dominio contiene un solo domain controllercontiene un solo domain controller

2. Documentate la configurazione dei 2. Documentate la configurazione dei servizi e delle applicazioni attive sui servizi e delle applicazioni attive sui PDC e sui BDCPDC e sui BDC

3. Eseguite un Back up dei servizi e delle 3. Eseguite un Back up dei servizi e delle applicazioniapplicazioni

4. Sincronizzate tutti i BDCs con il PDC4. Sincronizzate tutti i BDCs con il PDC

5. Mettete un BDC offline5. Mettete un BDC offline

6. Tenete questo BDC offline e 6. Tenete questo BDC offline e disponibile fino alla fine della disponibile fino alla fine della migrazionemigrazione

Determinare l’ordine con cui Determinare l’ordine con cui fare l’upgrade dei Dominifare l’upgrade dei Domini

Fare l’upgrade dell’Account DomainAccount DomainFare l’upgrade dell’Account DomainAccount Domain

Dominio dove avete l’accesso più facile ai DC

Per primo il dominio più piccolo

Domini che conterranno gli oggetti provenienti dai domini ristrutturati

Dominio dove avete l’accesso più facile ai DC

Per primo il dominio più piccolo

Domini che conterranno gli oggetti provenienti dai domini ristrutturati

Fare l’upgrade del Resource DomainsResource DomainsFare l’upgrade del Resource DomainsResource Domains

Domini dove le applicazioni richiedano le funzionalità di Windows 2003

Domini con molte workstationDomini che conterranno gli oggetti

provenienti dai domini ristrutturati

Domini dove le applicazioni richiedano le funzionalità di Windows 2003

Domini con molte workstationDomini che conterranno gli oggetti

provenienti dai domini ristrutturati

Fare l’upgrade di un dominio esistente comeForest Root

nwtraders nwtraders.com

Windows NT 4.0 Domain

Usare un dominio dedicato comeForest Root

europe asia

Contoso.com



europe.contoso.com asia.contoso.com

Determinare quando passare in Determinare quando passare in Native Mode o successiviNative Mode o successivi

Eseguito Upgrade del PDC non

Eseguito Upgrade del PDC non

Eseguito Upgrade del PDC ma non di tutti i BDC

Eseguito Upgrade del PDC ma non di tutti i BDC

Windows NT Domain

Mixed Mode

Domain

Mixed Mode

Domain

Native Mode

Domain

Eseguito Upgrade del PDC e di tutti i BDC – native mode

Eseguito Upgrade del PDC e di tutti i BDC – native mode

Eseguito Upgrade del PDC e di tutti i BDC – mixed mode

Eseguito Upgrade del PDC e di tutti i BDC – mixed mode

Mantenimento dei servizi di rete Mantenimento dei servizi di rete durante l’Upgradedurante l’Upgrade

Fornire servizi DNS affidabiliFornire servizi DNS affidabiliFornire un servizio di risoluzione NetBIOS Fornire un servizio di risoluzione NetBIOS

affidabileaffidabileFornire servizi DHCP affidabiliFornire servizi DHCP affidabiliSupporto della LAN Manager ReplicationSupporto della LAN Manager ReplicationSupporto dei Servizi di Accesso RemotoSupporto dei Servizi di Accesso RemotoPianificare l’interazione tra le Group Policy Pianificare l’interazione tra le Group Policy

e le System Policye le System PolicyMigrazione e applicazione dei Logon ScriptsMigrazione e applicazione dei Logon Scripts

Fornire servizi DHCP affidabiliFornire servizi DHCP affidabili

Pianificazione per l’upgrade del DHCP

1 Upgrade del DHCP Server

2 Il DHCP Server (Upgraded) non può assegnare indirizzi IP, fornite un backup dei servizi DHCP

3 Autorizzate il DHCP Server

4 L’assegnazione degli indirizzi IP è riabilitata

DHCP Client

DHCPDHCP

OUOUOUOU

OUOUOUOU OUOUOUOU

1111

2222

3333

4444

Gestione dell’Accesso alle Gestione dell’Accesso alle RisorseRisorse

SID: S-15-48430FA4-18AC01D7-5301355C-3F3

I SID sono mantenutiI SID sono mantenuti DACL e Permission sono mantenuteDACL e Permission sono mantenute Le Group Membership sono mantenuteLe Group Membership sono mantenute Le relazioni di Trust sono mantenuteLe relazioni di Trust sono mantenute

S-15-48430FA4-18AC01D7-5301355C-3F3

Risorse

Pulizia del Database SAM Pulizia del Database SAM

Cancellate Cancellate Account utente duplicatiAccount utente duplicati Utenti, Gruppi e Computer account non utilizzatiUtenti, Gruppi e Computer account non utilizzati Gruppi associati a risorse che non esistonoGruppi associati a risorse che non esistono

DisabilitateDisabilitate Gli account non utilizzati a breveGli account non utilizzati a breve Per mantenere diritti, permission, e group membershipPer mantenere diritti, permission, e group membership

Consolidate gli account che fanno le stesse coseConsolidate gli account che fanno le stesse cose

AgendaAgenda


Scenari di ristrutturazione Inter-Scenari di ristrutturazione Inter-ForestForest

Account Domain Target

OUOUOUOU

OUOUOUOU OUOUOUOU

OUOUOUOU OUOUOUOU OUOUOUOU OUOUOUOU

Resource Domain

Target OU

Sorgente

Sorgente

Ristrutturazione di Ristrutturazione di un Account un Account Domain Windows Domain Windows NT 4.0NT 4.0

Ristrutturazione di Ristrutturazione di un Resource un Resource Domain Windows Domain Windows NT 4.0NT 4.0

Benefici nell’uso dell’ Active Benefici nell’uso dell’ Active Directory Migration ToolDirectory Migration Tool

Perchè usare ADMT?Perchè usare ADMT?

Analizza l’impatto della Analizza l’impatto della migrazione sia prima che dopo migrazione sia prima che dopo il processo di migrazioneil processo di migrazione

Possibilità di test prima della Possibilità di test prima della migrazionemigrazione

Supporta la migrazione tra Supporta la migrazione tra foreste diverse e tra domini foreste diverse e tra domini della stessa forestadella stessa foresta

Fornisce un wizards per Fornisce un wizards per supportare i compiti di supportare i compiti di migrazione più comunemigrazione più comune

Operazioni di migrazione Operazioni di migrazione supportati dasupportati da ADMTADMT

Migrazione di utenti gruppi e Migrazione di utenti gruppi e computer account tra dominicomputer account tra domini

Security translation su gruppi Security translation su gruppi locali, profili utente, e risorse locali, profili utente, e risorse (file e stampanti)(file e stampanti)

Popolazione dell’attributo SID-Popolazione dell’attributo SID-HistoryHistory

Security translationSecurity translation sui sui computercomputer

Opzioni per la migrazione degli Opzioni per la migrazione degli utenti in ADMTutenti in ADMT

OptionOption ScopoScopo

Traduzione dei profili roamingTraduzione dei profili roaming Copia i profili roaming dal dominio sorgente al Copia i profili roaming dal dominio sorgente al dominio target per gli utenti selezionatidominio target per gli utenti selezionati

Modifica dei diritti utenteModifica dei diritti utenteImposta i diritti utente assegnati ai nuovi account Imposta i diritti utente assegnati ai nuovi account nel dominio destinazione in modo che siano uguali nel dominio destinazione in modo che siano uguali a quelli dell’utente originalea quelli dell’utente originale

Migrazione dei gruppi associati Migrazione dei gruppi associati agli utentiagli utenti

Migra i gruppi dell’utente nello stesso momento in Migra i gruppi dell’utente nello stesso momento in cui migra l’utentecui migra l’utente

Modifica degli oggetti Modifica degli oggetti precedentemente migratiprecedentemente migrati

Modifica i gruppi di cui sono membri gli utenti Modifica i gruppi di cui sono membri gli utenti migratimigrati

Non rinomina gli account Non rinomina gli account Cerca di assegnare aglli account migrati lo stesso Cerca di assegnare aglli account migrati lo stesso nome che avevano nel dominio sorgentenome che avevano nel dominio sorgente

RinominaRinomina con prefisso con prefisso Aggiunge un prefisso specifico al nome di ogni Aggiunge un prefisso specifico al nome di ogni utente migrato nel dominio targetutente migrato nel dominio target

RinominaRinomina con suffissocon suffisso Aggiunge un suffisso specifico al nome di ogni Aggiunge un suffisso specifico al nome di ogni utente migrato nel dominio targetutente migrato nel dominio target

Migrazione delle Password con Migrazione delle Password con ADMTADMT

OpzioniOpzioni ScopoScopo

Password complessePassword complesse Genera automaticamente una password Genera automaticamente una password complessa per ogni account migratocomplessa per ogni account migrato

Uguali al nome utenteUguali al nome utente Imposta la password per ogni utente migrato alle Imposta la password per ogni utente migrato alle prime 14 lettere dell’account utenteprime 14 lettere dell’account utente

Migrazione delle passwordMigrazione delle password Mantiene le password utente durante la Mantiene le password utente durante la migrazionemigrazione

E’ possibile utilizzare il Password Encryption Service per migrare le E’ possibile utilizzare il Password Encryption Service per migrare le password utilizzando lo User Account Migration Wizardpassword utilizzando lo User Account Migration Wizard

I password filter non riescono a verificare la complessità o la lunghezza delle I password filter non riescono a verificare la complessità o la lunghezza delle password perchè nel dominio sorgente esiste solo un a hash della passwordpassword perchè nel dominio sorgente esiste solo un a hash della password

Posizione del file delle passwordPosizione del file delle password Specifica un file per le password dove vengono Specifica un file per le password dove vengono scritte le password assegnate o generatescritte le password assegnate o generate

Sequenza per Collassare i DominiSequenza per Collassare i Domini

Account Account DomainDomain

OU

OU

OU OU

Resource Resource DomainDomain

Resource Resource DomainDomain

Sorgente

Target OUTarget OU

1

Target OUTarget OU

OU

OUOU

Migrazione dell’ account Migrazione dell’ account domaindomain

2MigrazioneMigrazione del resource resource domaindomain

Concetti di sicurezzaConcetti di sicurezza

Access Token

User: S-1-5-21-397955417-626881126-188441444-2812048

Groups:S-1-5-21-645522239-1957994488-725345543-1108S-1-5-21-397955417-626881126-188441444-101018S-1-5-21-645522239-1957994488-725345543-1109. . . .

Access Token

User: S-1-5-21-397955417-626881126-188441444-2812048

Groups:S-1-5-21-645522239-1957994488-725345543-1108S-1-5-21-397955417-626881126-188441444-101018S-1-5-21-645522239-1957994488-725345543-1109. . . .

Allow R W S-1-5-21-645522239-1957994488-725345543-1108

SIDhistory garantisce l’accesso per gli utenti spostati

SID primary dell’utente

SID primary dell’utente

sIDHistory dell’utente

sIDHistory dell’utente

SID dei gruppi di cui

l’utente fa parte

SID dei gruppi di cui

l’utente fa parte

ACL su una cartella condivisa

Clonazione dei Security Clonazione dei Security Principals in uno Scenario Principals in uno Scenario Inter-ForestInter-Forest

Clonazione degli utenti

Clonazione degli utenti

Clonazione dei gruppi Globali

Clonazione dei gruppi Globali

Clonazione dei gruppi Universali

Clonazione dei gruppi Universali

Clonazione dei gruppi Domain Local

Clonazione dei gruppi Domain Local

Clonazione dei gruppi Locali

Clonazione dei gruppi Locali

Spostamento dei Computer Account

Spostamento dei Computer Account

Gruppi GlobaliGruppi Globali

Migrazione dei gruppi GlobaliMigrazione dei gruppi Globali

Group Account Migration WizardGroup Account Migration Wizard Legge i gruppi globali nel dominio sorgenteLegge i gruppi globali nel dominio sorgente Crea un nuovo oggetto nel dominio target (con un nuovo SID)Crea un nuovo oggetto nel dominio target (con un nuovo SID) Aggiunge il SID Aggiunge il SID originale originale all’attributo SID-History del nuovo all’attributo SID-History del nuovo

oggettooggetto Registra un evento nel dominio sorgente e targetRegistra un evento nel dominio sorgente e target

Domain1Domain1

Domain3Domain3

Domain2Domain2

Windows NT 4.0Windows NT 4.0

Windows Server Windows Server 2003 Domain2003 Domain

New ObjectNew Object

New SIDNew SID

SID-HistorySID-History

Opzione della Migrazione dei Opzione della Migrazione dei gruppigruppi

OpzioneOpzione ScopoScopo

Modifica i diritti utenteModifica i diritti utente Copia i diritti utente dal dominio sorgente al Copia i diritti utente dal dominio sorgente al dominio destinazionedominio destinazione

Copia i membri dei gruppiCopia i membri dei gruppi Copia i membri dei gruppi che avete Copia i membri dei gruppi che avete selezionate per essere migratiselezionate per essere migrati

Modifica gli oggetti Modifica gli oggetti precedentemente migratiprecedentemente migrati

Modifica i membri dei gruppi che avete Modifica i membri dei gruppi che avete selezionate per essere migratiselezionate per essere migrati

Migra il SID del gruppo sul Migra il SID del gruppo sul dominio targetdominio target

Aggiunge il SID degli account migrati Aggiunge il SID degli account migrati all’attributo SID-History del nuovo account all’attributo SID-History del nuovo account nel dominio destinazionenel dominio destinazione

Non rinominare gli accountNon rinominare gli account Cerca di assegnare al gruppo migrato lo Cerca di assegnare al gruppo migrato lo stesso nome che aveva nel dominio sorgentestesso nome che aveva nel dominio sorgente

Rinomina con un prefissoRinomina con un prefisso Aggiunge un prefisso specificato al nome di Aggiunge un prefisso specificato al nome di ogni gruppo migrato nel dominio targetogni gruppo migrato nel dominio target

Rinomina con un suffissoRinomina con un suffisso Aggiunge un suffisso specificato al nome di Aggiunge un suffisso specificato al nome di ogni gruppo migrato nel dominio targetogni gruppo migrato nel dominio target

Naming Conflicts OptionsNaming Conflicts Options


Ignora gli account in conflitto e Ignora gli account in conflitto e non migrarenon migrare

Non modifica l’account nel dominio di Non modifica l’account nel dominio di destinazionedestinazione

Rimpiazza gli account in conflittoRimpiazza gli account in conflittoCambia le proprietà dell’account esistente nel Cambia le proprietà dell’account esistente nel dominio destinazione perchè abbia le stesse dominio destinazione perchè abbia le stesse proprietà dell’account nel dominio sorgenteproprietà dell’account nel dominio sorgente

Rimuove i diritti utente esistentiRimuove i diritti utente esistenti

Garantisce che l’account nel dominio Garantisce che l’account nel dominio destinazione non abbia più diritti utente destinazione non abbia più diritti utente dell’account con lo stesso nome nel dominio dell’account con lo stesso nome nel dominio sorgentesorgente

Rimuove i membri dei gruppi che Rimuove i membri dei gruppi che vengono rimpiazzativengono rimpiazzati

Garantisce che i membri dei gruppi migrati nel Garantisce che i membri dei gruppi migrati nel dominio destinazione siano gli stessi dei membri dominio destinazione siano gli stessi dei membri dei gruppi associati nel dominio sorgentedei gruppi associati nel dominio sorgente

Rinomina gli account in conflitto Rinomina gli account in conflitto aggiungendoaggiungendo

Aggiunge un suffisso o un prefisso specificati al Aggiunge un suffisso o un prefisso specificati al nome dell’account migrato nel dominio nome dell’account migrato nel dominio destinazionedestinazione

Opzioni di transizioni Opzioni di transizioni dell’Accountdell’Account


Disabilita gli account sorgenteDisabilita gli account sorgente Disabilita l’account utente originale nel Disabilita l’account utente originale nel dominio sorgentedominio sorgente

Disabilita gli account destinazioneDisabilita gli account destinazione Disabilita il nuovo account utente nel dominio Disabilita il nuovo account utente nel dominio destinazionedestinazione

Lascia entrambi gli account attiviLascia entrambi gli account attivi Lascia attivi entrambi gli account (nel dominio Lascia attivi entrambi gli account (nel dominio sorgente e destinazione)sorgente e destinazione)

Giorni dopo i quali l’account Giorni dopo i quali l’account sorgente scadesorgente scade

Imposta il numero di giorni dopo i quali Imposta il numero di giorni dopo i quali l’account sorgente non è più disponibilel’account sorgente non è più disponibile

Migra il SID utente nel dominio Migra il SID utente nel dominio destinazionedestinazione

Aggiunge il SID dell’utente migrato Aggiunge il SID dell’utente migrato all’attributo SID-History del nuovo account nel all’attributo SID-History del nuovo account nel dominio destinazionedominio destinazione

Migrazione dei Service AccountMigrazione dei Service Account

Identificate i service accountsIdentificate i service accounts Migrate i service accountsMigrate i service accounts Modificate i servizi perchè si Modificate i servizi perchè si

validino utilizzando gli account validino utilizzando gli account migratimigrati

Domain1Domain1

Domain3Domain3

Domain2Domain2

Windows NT 4.0Windows NT 4.0


Service AccountsService Accounts

service1service1

service2service2

service3service3

service1service1

service2service2

service3service3

Migrazione dei Computer AccountMigrazione dei Computer Account

I Computer account includono workstation e I Computer account includono workstation e member servermember server

Workstation e member server hanno il loro Workstation e member server hanno il loro database SAM localedatabase SAM locale

Gli account locali vengono spostati Gli account locali vengono spostati automaticamente con il computer accountautomaticamente con il computer account

Domain1Domain1

Domain3Domain3

Domain2Domain2


Computer AccountsComputer Accounts

SAM DBsSAM DBsWindows NT 4.0Windows NT 4.0

Opzione di migrazione dei Opzione di migrazione dei profiliprofili


Traduci gli oggettiTraduci gli oggetti

Opzioni di Security Opzioni di Security Translation Translation

(1)(1)

Opzioni di Security Opzioni di Security Translation(2) Translation(2)

Specifica il tipo di oggetti per cui vuoi che Specifica il tipo di oggetti per cui vuoi che ADMT traduca la security ADMT traduca la security

Selezionate Selezionate Previously migrated objectsPreviously migrated objects per per attivare la security translationattivare la security translation suglisugli oggetti oggetti precedentemente migrati, selezionate precedentemente migrati, selezionate Other Other objects specified in a fileobjects specified in a file per gestire atri oggetti per gestire atri oggetti che siano specificati in un fileche siano specificati in un file

SelezionateSelezionate ReplaceReplace per cambiare il SID per per cambiare il SID per l’account nel dominio sorgente con il SID per l’account nel dominio sorgente con il SID per l’account nel dominio destinazionel’account nel dominio destinazioneSelezionate Selezionate AddAdd per includere sia il vecchio SID per includere sia il vecchio SID che il nuovo SID nella chiave di registry della lista che il nuovo SID nella chiave di registry della lista dei profili sul client computer Windows NT 4.0dei profili sul client computer Windows NT 4.0SelezionateSelezionate RemoveRemove per cancellare il SID per per cancellare il SID per l’account nel dominio sorgentel’account nel dominio sorgente

Riconfigurare i permessi per le Riconfigurare i permessi per le risorse condiviserisorse condivise

L’ attributo SID-History mantiene L’ attributo SID-History mantiene l’accesso alle risorsel’accesso alle risorse

Riconfigurare le permission per usare i Riconfigurare le permission per usare i nuovi security identifier, al fine di:nuovi security identifier, al fine di: Decrementare le dimensioni del token di Decrementare le dimensioni del token di

accessoaccesso Diminuire il tempo di logonDiminuire il tempo di logon

Cancellare l’attributo SID-HistoryCancellare l’attributo SID-History Incrementare le performanceIncrementare le performance

Migrazione delle System PolicyMigrazione delle System Policy

Effetti di un upgrade di dominioEffetti di un upgrade di dominio

Le Group Policy sono applicate se Le Group Policy sono applicate se il domain controller del dominio il domain controller del dominio Windows Server 2003 autentica i Windows Server 2003 autentica i computer client Windows Server computer client Windows Server 2003 2003 Le System policy sono applicate Le System policy sono applicate se il domain controller Windows se il domain controller Windows NT 4.0 autentica computers client NT 4.0 autentica computers client Windows Server 2003Windows Server 2003Le System policy sono applicate Le System policy sono applicate se un account utente o un se un account utente o un computer account sono in un computer account sono in un dominio Windows NT 4.0dominio Windows NT 4.0Le Group Policy sono applicate se Le Group Policy sono applicate se un utente o un computer account un utente o un computer account sono in un dominio sono in un dominio Windows Server 2003Windows Server 2003

Effetti di una ristrutturazioneEffetti di una ristrutturazione

Le System policy da un Le System policy da un dominio sorgente non sono dominio sorgente non sono automaticamente applicate ai automaticamente applicate ai computer client migraticomputer client migratiLe System policy sono Le System policy sono applicate se un account utente applicate se un account utente o un computer account sono in o un computer account sono in un dominio NT4un dominio NT4Le Group Policy sono applicate Le Group Policy sono applicate se un utente o un computer se un utente o un computer account sono in un dominio account sono in un dominio Windows Server 2003Windows Server 2003

© 2003 Microsoft Corporation. All rights reserved.© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Documents

Strategie di migrazione da Windows NT4 a Windows Server 2003 Fabrizio grossi