Миграция

При внедрении продукта «Служба каталогов "Эллес"» возможны следующие сценарии миграции:

  • миграция существующего домена Active Directory на Inno Samba;

  • миграция данных между доменами.

Миграция существующего домена

При поэтапной миграции существующей инфраструктуры Active Directory на Inno Samba (Рис. 1):

  1. В существующий домен Active Directory вводятся контроллеры домена Inno Samba с рабочими станциями / рядовыми серверами на ОС Linux.

  2. Контроллеры домена на ОС Windows Server и рабочие станции / рядовые серверы на ОС Windows работают в домене совместно с контроллерами домена на Inno Samba и рабочими станциями / рядовыми серверами на ОС Linux.

  3. Контроллеры домена на ОС Windows Server и рабочие станции / рядовые серверы под управлением ОС Windows выводятся из домена.

  4. Домен работает под управлением контроллеров Inno Samba и состоит из рабочих станций / рядовых серверов на ОС Linux

migration
Рис. 1. Поэтапная миграция существующего домена Active Directory

Миграция данных между доменами

В процессе эксплуатации продукта может возникать необходимость в переносе данных между доменами (например, в результате организационных изменений).

Возможны следующие варианты миграции:

  • миграция данных между доменами Active Directory и Inno Samba;

  • миграция данных между доменами Samba и Inno Samba;

  • миграция данных между доменами Inno Samba.

В текущей версии продукта миграция данных и объектов каталога между доменами выполняется с помощью инструмента Microsoft Active Directory Migration Tool (ADMT). В последующем он будет заменен инструментом собственной разработки.

Схема миграции данных между доменами Active Directory и Inno Samba

В общем случае процесс миграции состоит из следующих шагов (Рис. 2):

  1. Создание домена Inno Samba.

  2. Ввод контроллера домена под управлением ОС Windows Server в домен Inno Samba.

  3. Установка на введенном контроллере домена инструмента Microsoft Active Directory Migration Tool (ADMT).

  4. Миграция данных и объектов из домена Microsoft AD DS на контроллер домена с ОС Windows Server в домене Inno Samba с помощью инструмента ADMT.

  5. Репликация полученных данных на контроллеры домена под управлением Inno Samba.

  6. Вывод контроллера домена с ОС Windows Server из домена Inno Samba.

migration admt
Рис. 2. Верхнеуровневая схема миграции данных и объектов из домена Microsoft AD DS в домен Inno Samba

Различия в миграции объектов внутри одного леса и между лесами

В процессе миграции должны учитываться следующие различия в процессе миграции объектов между доменами, входящими в один лес, и между доменами, принадлежащими различным лесам:

  1. Когда объект перемещается между доменами в рамках одного леса, он удаляется из исходного домена и воссоздается в целевом домене.

  2. В случае переноса объектов между доменами, принадлежащими разным лесам:

    • данные объекты сохраняются в обоих доменах;

    • пользователю предоставляется возможность выбрать статус, который определяет, как объекты будут существовать в исходном и целевом доменах;

    • пользователю предоставляется возможность выбрать, какие атрибуты не будут перенесены в новый лес.

Возможности ADMT

Инструмент ADMT позволяет мигрировать учетные записи пользователей, групп и компьютеров между доменами внутри леса и между лесами.

При миграции объектов ADMT:

  • обеспечивает перенос уникального идентификатора безопасности (SID), чтобы сохранить доступ объектов к ресурсам;

  • поддерживает миграцию учетных записей с сохранением паролей пользователей, что обеспечивает бесперебойный доступ к данным и ресурсам;

  • обновляет разрешения и права доступа к ресурсам, чтобы сохранить контроль над данными и обеспечить безопасность информации.

Инструмент позволяет автоматизировать процессы миграции с помощью скриптов и планировщика задач, что упрощает выполнение сложных операций.

Перед миграцией может быть проведена предварительная проверка, чтобы убедиться, что все параметры настроены правильно.

Основные сценарии миграции данных между доменами

Процесс миграции разбивается на несколько сценариев, реализующих перенос различных типов объектов.

Каждый сценарий включает следующие действия:

  1. Выбор домена-источника и целевого домена.

  2. Выбор объектов для миграции в домене-источнике.

  3. Определение подразделения или контейнера для миграции в целевом домене.

  4. Определение параметров (например, настройка параметров пароля для учетных записей в целевом домене, выбор категорий объектов для преобразования безопасности) и принципа миграции (например, выбор принципа перехода учетной записи).

  5. Выполнение процесса миграции.

  6. Управление конфликтами (например, выбор атрибутов, которые должны быть исключены из миграции).

  7. Проверка и тестирование в целевом домене.

Миграция данных между доменами предусматривает следующие базовые сценарии:

  • перенос учетных записей;

    Учетные записи для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.

    Перед миграцией пользователь:

    • выбирает подразделение или контейнер в целевом домене, куда будут перемещены учетные записи пользователей;

    • настраивает параметры пароля для учетных записей в целевом домене;

    • выбирает принцип перехода учетной записи;

    • определяет, отключать ли исходные учетные записи;

    • указывает необходимость переноса SID из исходного домена в целевой.

  • перенос групп;

    Группы для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.

    Перед миграцией пользователь:

    • выбирает подразделение или контейнер в целевом домене, куда будут перемещены группы;

    • задает параметры перемещения:

      • необходимость копирования прав пользователей;

      • необходимость переноса участников;

      • необходимость обновления ранее перенесенных объектов;

      • необходимость исправления членства участников в группе;

    • необходимость переноса SID;

    • выбирает атрибуты группы, которые не будут переноситься при миграции в целевой домен.

  • перенос компьютеров;

    Компьютеры для миграции выбираются в домене-источнике с помощью фильтров или загрузкой из файла.

    Перед миграцией пользователь:

    • выбирает контейнер в целевом домене, куда будут перемещены компьютеры;

    • выбирает категории объектов для преобразования безопасности;

    • выбирает принцип преобразования безопасности;

    • выбирает атрибуты для исключения из миграции.

  • преобразование безопасности;

    Процедура предусматривает добавление SID целевого пользователя в список контроля доступа (ACL) к тем ресурсам, к которым он имел доступ до момента миграции. Для модификации SID в ACL и системных списках контроля доступа (SACL) перенесенных объектов может использоваться встроенный в ADMT мастер преобразования служб.

    Объекты для преобразования выбираются в домене-источнике с помощью фильтров или загрузкой из файла.

    Перед миграцией пользователь:

    • выбирает категории объектов для преобразования безопасности;

    • выбирает принцип преобразования безопасности.

  • перенос паролей.

    Объекты для переноса паролей выбираются в домене-источнике с помощью фильтров или загрузкой из файла.

    Перед миграцией пользователь выбирает контроллер домена, на котором запущена служба экспорта паролей (Password Export Server, PES).