域服务器合并与迁移解决方案.doc

规划指南域服务器合并与迁移解决方案加速器：从Windows NT 4.0到Windows Server 2003本文档所提供的信息（包括引用的URL及其它Internert网站）均可能在不予通知的情况下发生变更。用户所面临的全部风险或因使用本文档导致的后果均由用户自行承担。除非另有说明，本文档用来举例的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件均纯属虚构。请不要将它们推想或引申为任何真实的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件。遵守所有适用版权法律是文档使用者所应承担的义务。Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定，但是，任何人未经Microsoft公司书面授权许可，均不得出于任何目的、以任何形式、利用任何手段（电子、机械、影印、录音等）将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。除非已同Microsoft公司签订书面许可协议，并根据协议条款获得明确授权，任何出示本文档的行为均无法使您具备针对上述专利、商标、版权或其它知识产权加以利用的许可权限。 2004年，Microsoft公司。版权所有，保留所有权利。Microsoft、Active Directory、Windows、Windows 2000、Windows 98、Windows NT和Windows XP均系Microsoft公司在美国和/或其它国家所拥有的注册商标或商标。本文档所涉及的其它公司和产品的真实名称均为其各自所有者持有的商标。Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA 00目录第 1 章 引言Microsoft Operations Framework (MOF)适用对象必备知识Windows Server 2003 的功能和优点术语第 2 章 域合并和域迁移的优点商业推动力IT 推动力商业 IT 关系和 MOF风险优点总结第 3 章 域合并和域迁移的目标域迁移期间的项目目标迁移团队的人员目标一致的最终用户体验不增加管理工作的复杂程度为团队定义清晰的角色和职责达成共识团队的迁移目标确保迁移过程不会影响商业尽量减少停机时间实现迁移流程和任务的自动化保持良好沟通技术制订项目前景声明困难和潜在阻力同财务相关的目标节省人力费用节省硬件费用节省软件费用节省配套设施费用同运营相关的目标增强变更管理增强配置管理管理上的整合可用性安全性容量总结第 4 章 迁移规划域合并选项选项 1：就地升级选项 2：域的重建合并选项选项 1：物理合并选项 2：应用程序合并选项 3：位置合并总结第 5 章 评估目录服务环境评估当前环境收集环境信息组织和管理业务规划目录服务基础结构网络基础结构和服务网络服务安全性基础结构人员过程技术客户端基础结构备份和恢复基础结构消息传递基础结构文件和打印服务评估目标状态目录服务的目标状态设计目标状态测试标准总结第 6 章 合并和迁移规划目录服务设计确定目录服务的目标规划 Active Directory 命名空间为 Exchange Server 2003 规划目录服务Exchange Server 2003 迁移要求将 Exchange 对象放置到 Active Directory 中架构扩展Exchange Server 2003 扩展确定目录服务客户端的要求规划网络服务迁移准备规划合并和迁移项目的执行规划在迁移期间检查支持工作是否就绪审查和精炼问题跟踪流程用于迁移的工具更新风险评估状态审阅规划和重新获得管理层批准总结第 7 章 迁移前的工作清理陈旧对象备份和验证备份细化迁移计划迁移期间的安全事项服务管理和物理性安全信任关系SIDHistory迁移密码制订沟通计划制订角色和职责体系对 Windows NT 4.0 帐户域进行升级锁定总结第 8 章 迁移过程规划选项规划各个目标域的迁移路径迁移事项对各个目标域的初步部署规划规划域的迁移顺序迁移顺序选项确定待升级和待合并的服务器域迁移策略升级 Windows NT 4.0 域升级事项升级域控制器硬件要求域控制器的升级顺序配置互操作性保留登录脚本和系统策略的复制域升级期间防止首个域控制器过载Active Directory 域的“堆积”现象Windows Server2003 功能级别Windows Server 2003 中的“Pre-Windows 2000 Compatible Access”组Windows Server2003 域中的 Windows 95 或 Windows NT 4.0 客户端还原注意事项重建 Windows NT 4.0 域域结构重组的最佳实践为迁移准备源域和目标域启用审核配置Pre-Windows 2000 Compatible Access添加TcpipClientSupport 注册表键创建源域本地组安装128位高强度加密包创建密码导出服务器提升域的功能级别建立信任关系配置目标 OU 结构迁移对象开发一个对象迁移策略迁移组迁移用户帐户使用“存放”OU迁移工作站合并Windows NT 4.0 系统策略生成SID映射文件验证工作站迁移的必备条件执行示范性的迁移执行工作站的迁移工作站迁移之后的操作迁移成员服务器还原的考虑事项撤销域控制器迁移网络服务域名系统（DNS）DHCPWindows Internet 命名服务（WINS）保留校验用户功能测试目录服务和新服务器确定迁移是否成功总结第9章 迁移后的工作监视合并后的环境确认备份和恢复过程让源服务器“退休”或另作他途获得反馈和不断改进总结第 10 章 总结参考资料第 1 章 引言本文档为有关域的迁移或合并的常见概念和注意事项提供了一个面向过程的指南。本指南立足于所有可能的选择，而不是在特定机构中可以考虑的迁移选项。这意味着，您在此处看到的内容只是您在从 Windows NT 4.0 环境迁移到 Windows Server 2003 环境时可能做出的选择。注意： 本文档使用“Windows Server2003”指代除Windows Server2003 Web Server 版（该版本不能作为域控制器使用，故此排除在外）之外的所有 Windows Server2003 版本 。本文档介绍了从 Windows NT 4.0 迁移到 Windows Server 2003 的过程。在附带的域的合并和迁移实现指南中，您会看到一个用于演示该过程的示例性应用。这个指南同样也介绍了上述迁移过程，只不过它侧重于信息技术（IT）部门在面对本文档所描述的选项时应该如何进行选择。当然对较大型的公司而言，您可能会选择仅对一部分域进行升级，而对其它的域进行重建。本章介绍了使用 Microsoft Operations Framework（MOF）和 Microsoft Solutions Framework（MSF）执行迁移和（或）合并的具体过程，从而满足了在域的合并和迁移概述指南中所介绍的商业需求。下一章介绍了迁移和合并的优点以及项目团队在迁移期间的目标。本指南随后介绍了主要的迁移和合并选项，然后是为了实现成功的迁移需要进行的步骤和建议方法。迁移过程的第一步是评估当前的环境，并且分析 Windows NT 4.0 环境的不足和迁移到 Windows Server 2003 所能实现的优点。然后，本指南根据最佳实践，详细介绍了从 Windows NT 4.0 域迁移到 Windows Server2003 Active Directory 时（其中包括网络服务的迁移）在概念和注意事项上的一些可用选择。在了解了可以采用的选项后，您需要设计测试环境，然后根据您的 选择开始迁移过程。Microsoft Operations Framework (MOF)Microsoft 很早就认识到，当前在 IT 服务管理方面的行业最佳实践文献中，最优秀的当属英国政府商务署 (OGC) 制订的 IT Infrastructure Library（ITIL，IT 基础结构库）。但是，该规范侧重于服务管理和商业。OGC 编撰委员会为此与全球知名的 IT 公司进行了密切合作，共同编制和校核了 IT 服务管理实践中的最佳规范。ITIL 当前包含七种核心出版物，此外还有一系列补充性的专门出版物。核心 ITIL 文集包括： Service Support（服务支持）、Service Delivery（服务递送）、Planning to Implement Service Management（服务管理的实现规划）、Information and Communication Technology (ICT) Infrastructure Management（信息和通讯技术基础结构管理）、Security Management（安全性管理）、Application Management and The Business Perspective（应用管理和商业前景）。由于该规范与平台无关，因此，往往会针对特定的操作环境采用 ITIL 规范，然后根据具体的平台和产品对其进行改编。MOF 扩展了 ITIL 服务管理的最佳实践，以适用于各种商业情境下的 Microsoft 平台。为了支持分布式 IT 环境和当前的行业标准（如应用程序托管、移动设备计算和基于 Web 的事务系统和电子商务系统，MOF 扩展了 ITIL 的实践代码。由于 MOF 往往会用于各种商业情境，因此本指南介绍了在 MOF 上下文中实现平滑迁移的步骤和章程。适用对象本指南是为那些参与域的最终设计和 Active Directory 设计包括域名系统 (DNS)、动态主机配置协议 (DHCP) 和 Windows Internet 名称服务（WINS）等辅助性服务的人员编写的。因此，IT 管理负责人、负责 Windows Server 2003 Active Directory 迁移任务的团队以及任何参与基础结构设计的人员都应阅读本指南。迁移团队的任何人都可以阅读本指南，从而了解选择某个选项的原因所在。必备知识本文档假定您是 Windows Server 2003 或 Windows 2000 的 Microsoft 认证系统工程师 （MCSE），并且至少有两年的实际经验。此外，还假定您对商业的需求和不足之处有充分的把握，并且对可用于域的迁移或合并资源有良好了解。对商业需求胸有成竹，就可以根据自己的特定环境来权衡正反两方面的意见；对商业不足之处有良好把握，就可以根据商业要求实现正确的资源分配。资源不仅包括员工，而且还包括时间、设备和资金。由于本指南介绍了 MOF 上下文中的最佳迁移步骤和过程，并且使用了来自 MOF 的概念和术语，因此您可以从本指南汲取更大的价值，并且实现对 MOF 的通透了解。在 Microsoft 网站的 MOF Resource Library（MOF 资源库）中可以找到 MOF Executive Overview（MOF 执行概述），其中对 MOF 进行了更高层次的介绍。请访问以下 URL：/mof如果希望获得更进一步的了解，请阅读有关流程模型、团队模型和风险管理的其他白皮书。Windows Server 2003 的功能和优点当前任何使用 Windows NT 4.0 的机构在升级到 Windows Server 2003 操作系统家族后，都将可以享受到超强的稳定性和新集成的一系列功能。Microsoft 在开发 Windows Server 2003 时考虑了如何让该操作系统实现与 Windows NT Server 4.0 的良好共存，因此各个机构可以方便地享受新操作系统带来的优点。Windows Server 2003 提供了超强的可靠性（当然还包括更好的内存管理和对程序内核的其它改善），仅仅该功能一项就足以成为大多数机构的升级理由。有关 Windows Server 2003 功能和优点的进一步信息，请访问下列 URL：/windowsserver2003/evaluation/features/default.mspx术语ADMT v2： Active Directory Migration Tool，版本 2。它是 Microsoft提供的一个工具，旨在帮助管理员执行迁移任务。借助它，管理员不必购买第三方工具即可执行多种迁移任务。版本 2 添加了 GUI 功能。该工具可通过 GUI（图形用户界面）使用，也可以通过脚本使用。版本 2 还添加了迁移用户密码的能力。克隆： 在本指南中，“克隆”一词是指复制某一个域的安全主体然后在另一个域中创建这些安全主体的过程。借此，管理员可以新建域环境并对其进行测试，而不失去原始域的任何功能。合并： 在本指南中，“合并”一词是指将两个或多个域的对象组合成一个域的操作。Windows NT 4.0 存在一个限制，即保存安全主体的数据库只能保存 40,000 个对象（数据库的容量上限为 40 MB）。在因为此限制而对 Windows NT 4.0 域环境进行迁移时，通常会发生该操作。合并服务器的含义还可能是：减少执行某个任务或支持某个应用的服务器的数量。DNS： 域名系统。在 Internet 上使用的名称解析系统。IT： 信息技术。该词用来表示同计算机（有时还包括移动通讯）有关的一切内容。ITIL： Information Technology Infrastructure Library（信息技术基础结构库）。ITIL 是一组已公布的准则，描述了通用的 IT 最佳实践方法。该规范同平台无关，其重点在“服务支持”和“服务交付”方面，并且没有涉及特定平台的操作规范。通常需要在该规范的基础上进行改编。迁移： 在本指南中，“迁移”一词是指将某一个域的安全主体转移到其它域的工作。这同“克隆”形成了对比，后者是在另外的域中创建原始安全主体的副本。MOF： Microsoft Operations Framework。这是 Microsoft 为成功运转使用 Microsoft 产品的 IT系统而采纳和改编的规范。它使用了在“流程模型”中介绍的 IT 生命周期方法，带有 20 种服务管理功能（Service Management Function，SMF）和四种业务运营管理审查（Operations Management Review）。它有四种业务运营管理审查。另外还有一个作为补充的“团队模型”和一个“风险管理规则”。源域： 本指南中，“源域”即指原始域。在介绍迁移和合并时都会使用该术语。对应的域为“目标域”。目标域： 本指南中，“目标域”即指转移或复制安全主体的目的地域。该域通常是经过升级或新建的 Windows Server 2003 域，因为 Windows Server 2003 域可以在它们的 Active Directory 数据库中包含数以百万计的对象。WINS： Windows Internet 名称服务。这是 Windows Server 2000 家族之前的 Microsoft 系统使用的 Microsoft NetBIOS 名称服务。使用 Windows Server 2000 产品家族后，仍然需要使用 WINS，因为许多应用程序都依靠 WINS 进行名称解析。第 2 章 域合并和域迁移的优点在域合并和域迁移项目的规划阶段，应该同时考虑商业需求和 IT 需求。如果以 IT 目标和商业目标为中心，可以实现更为成功的技术部署。商业推动力当使用 ITIL（IT 基础结构库）或 MOF 流程来评估 IT 环境的任何变动时，这种变动的主要目标应该符合商业需求。因此，当对从 Windows NT 到 Windows Server2003 的迁移进行评估时，分析过程的第一步必须着眼于那些迫使您（作为 IT 专业人员）考虑迁移的商业动机。商业需求可能是由多种因素推动的，包括需要更为安全或更为可靠的 IT 环境、需要降低成本或降低风险等。一个引发操作系统升级需求的常见原因是：业务系统需要一个新的应用程序或新版本的应用程序，但该版本的应用程序只能在新版本的操作系统上安装和运行。如果供应商停止支持 IT 基础结构中的某个项目（硬件或软件），通常也会导致需要升级，即使此前并未发生任何事故或问题。您的升级决定应该来源于您对潜在问题的风险评估。决策者可以将停留在目前水平所可能导致的损失同升级和避免这种损失所带来的益处进行对比。随着 IT 环境变得日益复杂，以及您的业务对 IT 系统服务的依赖性逐渐增大，您的业务面临 IT 问题的机会将增加。这为升级到 Windows Server2003 提供了另一个理由 这种新的操作系统允许 IT 设施执行更多任务，并且变得更为方便、更为安全，而且一旦发生灾难，可以更为迅速地实现恢复。IT 设施可以更好地支持业务系统因此也就成为迁移到 Windows Server2003 的另一个商业动机。您还可以从 IT 体系本身来确定升级到 Windows Server2003 的商业需求，比如借助技术上的改进，IT 体系将可以使用更少的服务器、更少的员工来提供同水平或更高水平的服务。IT 推动力负责 IT 基础结构的部门在评估服务器合并和整合的必要性时，相应的理由通常来自该部门自身。但是，这些部门应该首先审视的是商业上的需求。如果 IT 部门使用 Microsoft 的 MOF 流程模型，它将很自然地发现首先评估的将是商业上的需求，然后才是 IT 基础结构可以通过升级获得哪些好处。商业 IT 关系和 MOF在给定的商业需求下，IT 部门必须考虑如何才能最好地满足这些需求。当前的大多数商业机构都要求增加服务，同时削减成本。尽管这些要求在某些情况下都是不现实的，但通过实施 MOF 流程和不断地改进流程和过程，IT 部门可以提供更高水平和更为可靠的服务。另外，如果 IT 部门在评估过程中多同商业经理沟通，则它不仅能更有效地向业务领域靠拢，而且还可以通过在 IT 方面的投资获得更为强劲的商业环境。如果商业经理按照 MOF 的要求介入了每一个业务运营管理审查流程，他们的需求将可以按照所审核的服务水平协议（SLA）、按照建议、重要程度和安排上的变化以及按实现目标得到满足和重视。如果商业经理看不到 IT 投资的必要性或好处，在制订预算时，他们可能会更为挑剔和更为积极地争抢预算指标。如果 IT 改造的动力源于商业原因，需要这些改造的商业经理会拥护 IT 预算要求，因为这可以提供或改进他们所急需的服务。风险由于 Windows NT 4.0 的支持生命期已非常有限，因此在使用该操作系统时，商业部门所面临的风险也是 IT 部门所面临的风险。IT 风险是：如果商业部门选择继续使用 Windows NT 4.0，则商业部门对 IT 部门的要求会更高，而此时 IT 部门正面临着削减成本的压力。随着硬件的过时，以及随着各种应用程序纷纷升级到需要新型操作系统的版本，IT 基础结构将显得落后于时代。供应商不再努力为 Windows NT 4.0 等操作系统提供专用的软件或硬件驱动程序。当供应商转移到新操作系统时，IT 专业人员也是如此。一旦公司的 IT 部门面临人事调整，招聘精通 Windows NT 4.0 的员工将十分困难，因此您的 IT 基础结构将难以正常有效地提供商业支持。优点您需要立足于当前 Windows NT 4.0 环境的不足来考虑迁移到 Windows Server 2003 后带来的商业优势。随着管理压力的增大，您可能考虑如何才能减少 IT 部门管理的服务器数量，因而削减支持成本并且减少对物理空间的要求。减少服务器数量不仅可以减少服务支持时间，同时还可以实现其它方面的改进。如果域的管理不是分布式的（由 Windows NT 4.0 的多域环境造成），而是集中的，并且只需少量管理员就可以管理合并后的域，您会意识到这些好处。合并后的环境将需要更少的管理员，比如在整个域策略的制订方面。在单一域环境中，IT 管理员只需使用组策略在域级别实施一次公司策略即可，这不仅确保了一致性，而且还加快和简化了实施步骤。您还可以看到，通过合并服务器以及域，IT 员工可以对不断变化的商业环境做出更快的响应。原因很简单，因为一个复杂程度低的 IT 环境将更易于管理。另外，单从减少了域和域管理员的数量来看，安全性也会得到提高，因为您在安全方面要配置的域管理员和域的数量都得到了降低。从多域的 Windows NT 4.0 环境迁移到 Windows Server2003 Active Directory 环境后，可以实现许多颇富意义的改进。通过这种迁移，可以实现域的合并，并因而减少需要维护的域控制器数量。通过服务器合并可以减少要支持的服务器数量，可以更轻松地保证各个服务器都具有标准化的设置和标准化的流程。这二者使得您可以更容易地部署、管理和维护服务器。由于这种环境要求的人力更少并且可以从中央位置执行更为简化的流程，因此将更易于管理。IT 环境的复杂程度降低，还使得您在发生站点或服务器故障时可以更快速、更简便地实现灾难恢复。借助良好的风险管理体制，您可以在一个整合的环境中更轻松地防范服务器故障，因为随着单点失败隐患的减少，您的规划和员工可以更加具有针对性。在合并服务器后可以更容易地制订高可用性规划，因为需要故障转移保护的服务器数量更少。您的风险评估要考虑因为单点失败隐患减少而导致风险升高的问题，因为它们的影响面扩大了。换言之，一方面是可能发生故障的服务器数量减少了，另一方面是任何关键任务服务器的故障都将可能对业务造成更为广泛和深远的影响。在将域合并和迁移到 Windows Server2003 域环境后，域控制器故障的影响会变弱，因为当前环境中的域控制器可使用多主控复制功能。在 Windows NT 4.0 域中，如果主域控制器 (PDC) 失败，将无法对帐户数据库进行任何更改，即使在配备有备份域控制器（BDC）的环境中身份验证仍然可以正常工作。迁移到 Windows Server2003 后，还可以使用 Active Directory 组策略获得增强的安全性。在 Window Server 2003 下，您可以创建并集中管理组策略。通过创建更为简单、更为合理的安全组体系，可以简化对资源访问权限的管理。在实现迁移之前，可以对在 Windows NT 4.0 域中创建的组进行简化和清理，也可以将所有组迁移，然后在迁移后简化这些组的结构。排除多用户域后，通常会使用户组数量减少。总结评估域迁移的价值时，首先应着眼于商业需求以及在保持现状情况下会存在哪些商业风险。这种评估必须有商业经理和 IT 管理人员的介入。要了解哪些人员应该参与该项评估，请参阅 MOF 团队模型白皮书。如果让每一个团队角色都派一名代表参与，可以更有效地确定和评估与是否进行迁移有关的重要商业风险和重大商业价值。确定了迁移到 Windows Server2003 的商业需求后，您可以放心大胆地执行迁移过程，因为您知道您的计划是基于最充分的考虑做出的。第 3 章 域合并和域迁移的目标通常应该考虑两种类型的目标，即迁移期间的项目目标和迁移之后的目标，这两个目标相互重叠又相互影响。域迁移期间的项目目标 同迁移项目及其步骤有关的目标可分为人员、过程和技术方面的目标。迁移团队的人员目标在人员方面的迁移过程目标可分为对最终用户的影响、对管理员的影响以及对 IT 人员的影响。这些影响同规划期间的选择有关，但同迁移项目的复杂程度无关。您可能希望考虑以下目标： 一致的用户体验。 不增加管理工作的复杂程度，否则需要额外的管理员。 明晰的角色和责任。 达成团队共识一致的最终用户体验最终用户的体验应该保持一致，并且可控制。如果选择了域合并而且在域合并过程中发生了名称冲突，某些用户的登录名可能需要更改。从一个域转移到另一个域的用户帐户也将具有新的登录域。这些细微变化不应对业务产生过大的影响。对于受到影响的最终用户，应该为其提供最起码的培训，并且需要配备某些专职的支持服务人员。不增加管理工作的复杂程度迁移到 Windows Server 2003 后，可以选择将 Windows NT 4.0 的多域体系合并为单一域。如果这样，则需要对项目进行周密规划，以确保每一个迁移阶段及其相关的其它工作职责都能分配给管理人员。根据商业和 IT 体系制订迁移过程、周密设计和检验该过程以及做到职责分明，可以确保当前的管理人员能在迁移后适应 Windows Server 2003 的管理工作。为团队定义清晰的角色和职责为了确保每个迁移步骤都按正确的序列和相应的位置执行，不仅需要计划详细的操作步骤，而且必须明确地分配每一个步骤和任务。就此而言，在风险评估过程中应该指定后备人员，以便在正选人员缺席时有人接替其工作。您还必须就迁移过程所引发的问题设计问题提交流程。达成共识最后一个人员方面的迁移目标是达成共识。整个团队需要了解团队在迁移期间的目标以及迁移目标：公司为何希望迁移到 Windows Server 2003。每个团队成员能否了解他对于整个项目获得成功而肩负的责任，将直接影响项目的成败与否，迁移过程的任何一个环节失败，都可能导致整个迁移项目的失败。基于共识的团队精神、合作和工作热情将意味着整个迁移项目可以在职责分明的前提下平稳进行。团队的迁移目标一旦商业管理层和 IT 管理层决定需要迁移到 Windows Server2003，您就拥有了在 MOF 中所说的变动请求（Request for Change，RFC）。此时，在给定的资源和所需变动的复杂程度下，您要针对该迁移实施某些项目管理流程。Microsoft 为项目开发和部署提供了完备的框架，即 Microsoft Solutions Framework。同 MOF 一样，该框架也提供了一个生命周期模型，并且集成了团队模型和风险管理规定。简而言之，MSF 生命周期涵盖了从预测到规划直至开发、稳定性测试和部署的整个项目阶段。由于对项目（比如迁移）使用了结构化的方法，因此不论使用 MSF 还是使用其它手段，您都可以增大实现平稳部署的机会，从而确保同商业需求一致。它减少了因不可预计的问题导致迁移延期或受到损害的几率。该框架在动态的机制中集成了 MOF 生命周期，您可以在得到核准的情况下采取变动措施并且管理流程，从而保证开发和部署的平稳性以及符合商业需求和尽量避免意想不到的后果。迁移过程的目标非常简单，就是要保证迁移的平稳性和正确性。您可以将这些目标细分为以下目标： 确保迁移过程不会影响商业。 尽量减少整个迁移过程中的停机时间。 实现迁移流程和任务的自动化。 保持良好沟通。您可以并且应该考虑人员、过程和技术上的特定目标。确保迁移过程不会影响商业由于迁移项目的主要目标是增强业务服务，因此在迁移过程中出现任何本可避免的服务降级都是您不愿看到的。这意味着需要周密评估迁移过程对服务和基础结构的影响。就像您将看到的，迁移项目的启动阶段将包括一个环境评估过程，这为您了解迁移活动可以动用的能量提供了丰富的参考信息。此外，在规划阶段，您的计划方案需要有商业经理的参与和首肯，这样不仅可让您的团队注意到那些通常不应损害的商业活动（比如季度末的业务运行），而且还可以让他们对那些本来不会引起 IT 部门关注的特定事件保持警惕。尽量减少停机时间毫无疑问的是，在规划迁移、安排流程以及明晰责任时必须牢记，整个迁移过程必须避免停机或尽量减少停机。如果在规划时安排了一定量的停机时间，则可能导致停机时间远远超出计划的长度。这可能意味着，您必须杜绝停机要求，并且被迫选择其它的迁移手段。实现迁移流程和任务的自动化流程和任务的自动化有助于实现更为平稳的迁移，因为只有这样，才可以完善地定义和测试流程。此外，这还可以将由于个别决定而导致的变动减小到最低程度。保持良好沟通在下节中，您将了解到如何实现角色和职责的明晰化。如果团队成员知道需要同谁以及在什么时候沟通，则可以更为容易地实现畅通的交流。重要的是，不仅要让整个团队对项目进度了如指掌，而且还要将这些信息传达给用户群体和商业经理。只要坚持项目管理规定（如 MSF）及其内部和外部约束条件，即可保证信息的透明性以及能将信息传达给相应的人员或受众。技术就像对基础结构进行的任何重大变动一样，迁移过程也会产生技术问题。从商业的角度看，迁移的目标可能是为了降低成本。勿庸置疑的是，只要选择了对域进行合并，就可能遇到技术性问题。这些问题的范围非常广泛，从由于仅需要更少的域控制器而要求对硬件和基础结构进行变动，直到那些只会在迁移过程中遇到的归属性问题，无所不包。某些问题只有在迁移用户和其它安全主体时才会碰到，而有些问题会在选择升级一个或多个域时引发。为了对域帐户数据库进行更改，多域环境中的每个 Windows NT 4.0 域都必须有一个 PDC。修改的内容包括：用户更改密码、管理员添加用户帐户、添加计算机帐户、添加安全组或更改安全组的隶属关系。为了防止 PDC 在升级过程中变得临时不可用，每个域还应拥有进行身份验证的 BDC。在完成了升级过程后，尤其是在选择了合并域的时候，可以发现系统管理变得更为容易，并且业务流程也变得简化。但是，随着这些流程变化，您需要更新业务流程的规范，因为 Windows NT 4.0 的流程说明已不能满足新的情况。制订项目前景声明项目前景声明的目的是设置项目的高级发展方向。通过对任何产品类型都使用“产品前景”（product mindset）的概念，您可以限定和管理作用范围，并且利用重点的项目管理技术。这将确保在解决方案的实现和部署方面获得更大程度的成功。使用这类方法时，第一步是确定“前景”。在一开始就制订前景声明，将有助于确定最终的结果。如果您和您的团队不知目标为何，您将无法衡量您的成功。如果没有前景声明，您的团队将无法确定迁移项目是否已完成。借助前景声明，您可以清晰定义项目的时间框架和迁移项目团队的职责范围。这有助于将迁移或合并过程中的项目职责变动同项目团队隔离开来。如果商业管理层或 IT 管理层可以向一个项目中添加任务，您将发现该项目很难完成。因此，您的前景声明必须清晰，不能过于冗长。以下示例表明了一个清晰的迁移项目前景声明：“在支持整个机构实现目录服务的目标中，域合并项目将提供可靠、有效和集中的目录服务解决方案，该项目是将来其它项目的基础”。困难和潜在阻力正如前文所说的，一个优秀的规划过程将包括风险评估。MOF 拥有自己所关联的风险管理规定，后者同其它风险管理实践类似。无论您在启动迁移项目之前进行了何种风险评估，您都必须随着项目的发展对它们进行反复评估。虽然一个公司在商业和 IT 环境方面的风险会同其它公司不同，但就项目流程自身而言，不论选择升级还是重新构造和迁移安全主体，它们都具有某些固有风险。在执行目录服务迁移和合并时，您可能面临以下（但不限于）潜在困难和阻力： 领导能力、政策性和组织性挑战： 缺少高级管理层的支持和积极参与。 领导能力较差或临时性的领导。 服务内容同高级管理层的期望存在差距。 难以转移到其它的成本分配或费用缩减的方法。 业务部门和开发部门如何选择和分配服务器和域的归属。 用户对于将要实现的服务存在不同的认识。 服务用户和业务部门认识到控制权和灵活性将丧失。 财务挑战： 如果需要，必须权衡投资新型服务器硬件的性价比。 架构和技术上的事宜： 服务能力的更为集中，导致风险增大和对该服务的依赖性更大。 对网络服务的可靠性、可恢复性和性能有更高要求。 迁移整合的目录服务时具有更大的错误风险。 应用程序版本冲突和客户端共存问题。 运营上的挑战： 损失了经验丰富的员工或关键性员工。 更为严格的变更管理，妨害了服务灵活性。 服务部门的标准实施情况较差，导致没有提供充分的帮助。从项目审批到前景预测，从每个项目阶段直至项目的全部完成，您都需要对以上各个风险进行评估。通过对迁移或合并项目中面临的风险进行评估，可以明确地向利害关系人传达所存在的挑战和难点。通过同利害关系人探讨这些风险，并且向他们提供相应对策（如果在某些情况下补救措施的成本过于高昂，可能承担该风险），您会获得业务部门对风险抑制计划的支持。您还应该允许业务部门根据自己的认识提出他们认为最重要的风险，这样，可以正确安排风险抑制工作的轻重缓急。如果项目遭受无法预见的挫折，则相应的后果会由所有参与风险规划的人员共同承担。通过同利害关系人以及商业经理等不断对风险进行重新评估，可以确保项目计划和风险抑制工作是以商业需求为中心的。有关风险评估 的详细信息，请参阅 MOF 白皮书的风险管理部分。地址：/technet/itsolutions/tandp/opex/mofrl/MOFRisk.asp同财务相关的目标同迁移项目相关的财务目标及其过程可分为人员、技术和配套设备上的节省目标。节省人力费用如果选择需要合并的域的数量，可以减少域控制器的数量。而域控制器的减少又可以减少硬件和备份服务器的维护以及服务包和热修补程序的维护工作，这些可以减少必需的域管理员的人数。节省硬件费用合理安排负责提供域服务的服务器的数量，从而用更少、更大型的服务器来完成相应工作，从而提高硬件的利用水平这将有助于降低存储成本。在计算成本节省时，必须考虑待合并服务器的当前使用情况。通过合并减少服务器的数量，可以降低租赁或折旧成本。域控制器的减少又可以减少硬件和备份服务器的维护以及服务包和热修补程序的维护工作。通过减少服务器数量，可以降低备份存储成本和提高硬件的利用率。节省软件费用域控制器的减少，意味着所使用的服务器软件许可证、防病毒软件许可证以及备份软件也将减少。节省配套设施费用通过减少数据中心的服务器数量，可以节省室内空间和降低成本。同时所需的支持硬件也更少，例如服务器机架、键盘/视频/鼠标交换设备 (KVM) 以及空气管理设备等。同运营相关的目标运营目标集中在 MOF 的服务管理功能（SMF）上，比如变更管理、配置管理和可用性。增强变更管理如果决定实现更为正规的变更管理，您将发现在一个简化的环境中更容易达到该目标。在复杂的环境中，若要实现良好的变更管理，您必须对角色和流程进行精细的定义。增强配置管理如果您拥有某种水平的配置管理，迁移过程可能会使配置管理数据库 (CMDB) 的问题暴露出来。那些未经授权的变更将必须经过复审并且必须完成变更管理流程，目的是保证将来的 CMDB 能够反映现存的 IT 基础结构。如果尚未拥有完备的 CMDB，您可以借助迁移创建一个 CMDB 或者对已有数据库进行改进。所有的项目文件都可以作为该 CMDB 的信息来源。如果已拥有完善的变更管理流程，您可以在迁移期间这样做，否则请在迁移之后执行该任务。管理上的整合您已经知道，域数量的减少可以促成更为简单的管理。这种整合将影响 IT 业务的方方面面，包括容量管理、可用性管理和服务连续性管理。可用性由于用户和资源驻留在经过合并的 Active Directory 森林环境中，因此迁移后的服务故障可能具有更大的影响面。即使这样，服务合并的主要目标之一仍是提供高可用性。Windows Server2003 借助于现代化的硬件，可为实现高可用性的目录服务提供多种技术，包括多主控 Active Directory 复制、存储区域网络 (SAN) 支持、不间断电源 (UPS) 支持以及在电源和网络组件方面的冗余支持。在早期版本的 Windows NT 4.0 服务器中，只有一个域控制器（PDC）可以接受对域数据库的更新。在具有大型网络的机构中，该限制使得 PDC 的高可用性难以确保，因为在发生网络故障时，负责网络某一部分的管理员无法对域进行更新。Active Directory 域支持多主控复制，从而可同步每个域控制器上的数据，并且动态地确保信息的一致性。多主控复制功能可在对等的域控制器之间复制 Active Directory 信息，因此每个域控制器都有一个可读写的活动目录副本。对具有多个域、域控制器和站点，或者由于提供关键业务应用而经受不起服务中断带来的生产能力丧失的大型机构而言，它们必须使用企业级的监视解决方案，比如 Microsoft Operations Manager（MOM）。为确保 Active Directory 的方方面面都能正常工作，请使用最适合您要求的监视解决方案来监视重要的表象。MOM 可以监视所有的重要表象。在生产环境中部署监视解决方案之前，请首先对其进行测试。安全性许多用户均坦承：安全性目的是推动他们迁移和合并目录服务的主要动力之一。目录服务合并为清理过时对象、实现更高强度的身份验证和减少通过委派授权而产生的特权帐户数量提供了良机。在迁移期间必须坚持安全策略，并且不能由于安全管理方面的弱化而使现有环境受到威胁。随着迁移的继续，Windows Server2003 的许多新的安全功能都可以被采纳。通过相互间的身份验证，客户端现在可以首先校验服务器的身份，然后再向它传输敏感数据。借助公钥安全性支持，用户可以使用智能卡登录，而不是使用密码。通过集成目录服务，可以更好地管理业务增长、控制安全性和控制信息访问能力，并且可以对不断变化的商业需求做出快速响应。容量合并后的目录服务需要根据当前和今后的身份验证要求提供相应的容量。容量监控应该着眼于模拟将来在目录复制和用户需求（比如改进目录查询速度）方面的走向。容量监控需要涵盖为用户提供的所有“端到端”服务。丰富的性能数据有助于管理员准确提供有关用户服务的报告。这一点非常关键，因为在合并某项服务时，用户会理所当然地认为他们将能获得更高质量的服务。同 Windows NT 4.0 和 Windows 2000 Server 相比，Windows Server2003 Active Directory 的容量和性能得到了大幅度改进。例如，Windows NT 4.0 中的安全帐户管理器 (SAM) 数据库存在每个域 40,000个对象的限制。而 Active Directory 可以轻松扩展到每个域数以百万计的对象。通常不必为了处理更多对象而创建额外的域。总结在启动迁移或合并项目之前，首先需要确定这些项目将为机构带来哪些价值。如果没有清楚了解 IT 机构执行这些项目的动机，不仅项目团队可能失去工作重心，而且在项目规划阶段也可能遭遇严重的挑战。一旦了解了所希望实现的价值，就可以开始评估各种可帮助您达到目标的途径。在下一章中，您将了解域合并的选项以及有关从属服务和应用的选项。第 4 章 迁移规划随着启动从现有 Windows NT 4.0 域体系向 Windows Server2003 Active Directory 迁移的规划，您必须了解和考虑哪些选项可供您实现这种迁移。在执行这种类型的迁移时，您还必须针对可能实现的合并考虑其各个环节并且做出相应规划。以下各节介绍了从 Windows NT 4.0 域迁移到 Active Directory 时的可用选项。域合并选项执行 Windows NT 4.0 域的就地升级是指通过在 Windows NT 4.0 域控制器上安装 Windows Server2003 来创建 Active Directory 域。域的重建是指将 Windows NT 4.0 源域中的安全主体克隆到新建或经过升级的 Windows Server2003 Active Directory 域中。为了实现最终的 Active Directory 功能，可能会同时执行升级和重建。选项 1：就地升级从本白皮书的目的来看，域的升级在定义上是指将以下对象上的 Windows NT 4.0 软件升级为 Windows Server2003 的过程：域的 PDC、部分或所有 BDC。升级和合并的最大区别是：在升级中，您需要保持现有的域结构。考虑就地升级时非常重要的一点是：了解对域控制器和安全主体的影响和变动。就地升级需要保持当前的配置，比如域的信任关系、用户、组和计算机帐户。它将保留包括现有域的 NetBIOS 名称在内的域结构。在保持 NetBIOS 名称方面，如果该名称已同您的机构无关或者从行政上说已经不正确，您仍然可以考虑以就地方式升级到 Windows Server2003，因为可以使用具有 Windows Server2003 功能级别的森林的域重命名功能来更改 NetBIOS 名称。有关 Windows Server2003 域重命名功能的详细信息，请参考知识库文章 819145，地址：/default.aspx?scid=kb;enus;819145&Product=winsvr2003 o首先升级的服务器必须是 Windows NT 4.0 域的 PDC。该 PDC 在升级后仍然可以在剩余的 Windows NT 4.0 BDC 之间同步安全主体，此时，这些剩