Dobre zaplanowanie migracji domeny do Windows 2000 i Active Directory to podstawowy warunek uzyskania korzyści z zastosowania nowej wersji systemu Microsoftu.

Migrację domeny pracującej na bazie systemu Windows NT Server 4.0 do Windows 2000 i Active Directory można przeprowadzić na dwa sposoby: poprzez uaktualnienie istniejącej domeny do Windows 2000 lub przez restrukturyzację bądź konsolidację domen. W drugim przypadku istnieje możliwość stworzenia nowej domeny Windows 2000 (obok istniejącej NT 4.0) i przeniesienia do niej wszystkich użytkowników i zasobów "starej" domeny.

Klasyczny upgrade

Najmniej problematyczna - wg zapewnień Microsoftu - ma być migracja polegająca na aktualizacji oprogramowania systemowego na serwerach. Standardowe uaktualnienie systemu z Windows NT 4.0 do Windows 2000 spowoduje, że cała struktura domeny, konta użytkowników, a także grupy pozostaną nie zmodyfikowane, a jednocześnie administrator otrzyma nowe narzędzia dostępne wyłącznie w najnowszym systemie Microsoftu.

Standardowe uaktualnienie jest jednak zalecane wyłącznie tym firmom, które są przekonane co do pełnej zgodności serwerów i pracujących na nich aplikacji z systemem Windows 2000. Chociaż Windows 2000 powinien teoretycznie obsługiwać zdecydowaną większość dostępnych na rynku aplikacji, to rzeczywistość może okazać się inna. Przykładowo: całkowite zawieszenie Windows 2000 powoduje instalacja aplikacji PcAnywhere 9.0 produkowanej przez Symanteca, wykorzystywanej przez administratorów do zdalnego zarządzania serwerami NT.

Standardowe uaktualnienie wymaga aktualizacji systemu na podstawowym kontrolerze domeny (Primary Domain Controller - PDC). Zanim jednak ta operacja zostanie przeprowadzona, należy wymusić synchronizację całej domeny, co spowoduje, że wszystkie kontrolery istniejącej domeny Windows NT 4.0 będą miały identyczne, aktualne informacje o jej konfiguracji.

Po zainstalowaniu Windows 2000 na PDC, nowy system automatycznie wykryje, że pracuje na dotychczasowym podstawowym kontrolerze domeny i zaproponuje administratorowi instalację usług katalogowych Active Directory (poprzez uruchomienie programu DCPROMO.EXE).

DCPROMO proponuje instalację pierwszego drzewa usług katalogowych: w ramach nowego lasu katalogowego (pisaliśmy o tym przed tygodniem w artykule Odmłodzona domena), w ramach istniejącego już lasu, utworzenie repliki istniejącej domeny lub też utworzenie domeny podrzędnej (child domain). Jeśli aktualizowana domena jest jedyną wykorzystywaną przez firmę lub też pierwszą aktualizowaną domeną, nadrzędną w stosunku do innych, to należy wybrać opcję utworzenia nowego drzewa domenowego w ramach nowego lasu katalogowego.

DCPROMO automatycznie dokona konwersji konfiguracji domeny do Active Directory - w zależności od rozmiaru domeny może to trwać kilkanaście minut lub kilka godzin. Od tej pory domena pracuje już w trybie Mixed (różnice między trybami Mixed i Native również zostały opisane przed tygodniem). Jego podstawową zaletą jest możliwość współpracy w ramach jednej domeny kontrolerów Windows NT 4.0 i Windows 2000. W szczególności: PDC z Windows 2000 jest widoczny jako kontroler PDC dla serwerów z Windows NT 4.0, a gdy ulegnie uszkodzeniu, możliwe jest awansowanie istniejącego serwera BDC z Windows NT 4.0 do statusu podstawowego kontrolera domeny.

Narzędzie DCPROMO instaluje także na kontrolerze domeny oprogramowanie umożliwiające autoryzację za pomocą mechanizmu Kerberos. Jeżeli podczas aktualizacji domeny administrator zdecyduje się dołączyć domenę do już istniejącego drzewa Active Directory, to automatycznie zostanie utworzona dwukierunkowa "relacja zaufania" między migrowaną domeną a domeną macierzystą.

Problematyczna replikacja...

Windows NT Server 4.0 jest wyposażony w mechanizm replikacji o nazwie LAN Manager Replication (LMRepl). Jest on używany przede wszystkim do replikacji skryptów logowania z "eksportującego" je kontrolera domeny (udostępniającego skrypty poprzez katalog Export) do wszystkich kontrolerów importujących te dane. W systemie Windows 2000 usługi LMRepl zostały zastąpione mechanizmem File Replication Service (FRS). Jego główną wadą zauważalną już na etapie migracji jest to, że nie jest on zgodny z replikacją LMRepl. Oznacza to, że po aktualizacji serwera eksportującego skrypty (zazwyczaj jest to PDC) żaden z dotychczasowych odbiorców nie będzie mógł ich importować. Należy więc zwrócić uwagę na to, by funkcję eksportowania skryptów przejął serwer, który będzie aktualizowany jako ostatni, i zrealizować analogiczne funkcje pod Windows 2000 z użyciem mechanizmu FRS.