vps

  • انتقال منابع از شبکه‌اي به شبکه ديگر با Active Directory Migration Tool

    اشاره :
    پس از مدتي تحقيق و جستجو، ابزار‌هاي مايکروسافتي مناسبي يافتيم که در مقاله اين شماره مي‌خواهم يکي از آن‌ها را معرفي کنيم.



    مقدمه
    با پيشرفت لحظه به لحظه تکنولوژي، امروزه تنها غيرممکن، غيرممکن است و مي‌توان با شجاعت گفت که اغلب نيازهاي انفورماتيکي ما قبلا موضوع مورد علاقه يا مسئله شرکت بزرگ ديگري بوده است و براي رسيدن به اين اهداف، راه‌حل‌هاي مناسبي طراحي گرديده و امروز ما با اطمينان مي‌توانيم با توجه به شرايط شبکه و نيازهاي سازمان خود از ميان بهترين روش‌هاي تست شده روش اجرايي مناسب را انتخاب کرده، آن را تست و با اطمينان بکار گيريم.
    با چند نفر از همکاران صحبت مي‌کرديم که يکي از آنها نگران پيغام‌هاي خطا در Active Directory Service و مشکلات ناشي از آن در شبکه بود و مي‌گفت: "اي کاش مي‌شد اين دامين را تغيير دهم و همه چيز را از اول نصب کنم و ضمن اينکار تغييرات مورد نظرم را هم ايجاد کنم." يکي ديگر از همکاران گفت: "من هم دنبال راه حلي هستم تا دامين فعلي را تغيير دهم ولي نگران پروفايل کاربران هستم و ايجاد آن همه نام کاربري و رمز عبور و تنظيم دسترسي و... خلاصه هر بار که فکرش را مي‌کنم که چه کار سختي در پيش دارم منصرف مي‌شوم"
    واقعا در شرايط مشابه موارد بالا، راه حل چيست؟ آيا بايد همه چيز را از ابتدا ايجاد کرد؟

    آشنايي با ADMT
    مايکروسافت اين ابزار را براي Restructure کردن شبکه معرفي کرده است. با ADMT مي‌توان Object‌ها را ميان Forest‌ها، Domain‌هاي داخل يک Forest، يا حتي از ويندوز NT 4.0 به ADS 2003 منتقل کرد. در نسخه ADMT v2 امکان انتقال
    Mailbox‌ها از Exchange5.5 به 2003 نيز وجود داشت ولي در نسخه جديدتر آن يعني ADMT v3 اين امکان حذف گرديده، وليکن امکان انتقال رمزعبور کاربران وجود دارد.
    با استفاده از اين ابزار براحتي مي‌توانيد گروه‌ها، کاربران، رمزعبور کاربران، کامپيوتر‌ها، پروفايل‌ها و عضويت کاربران در گروه‌ها را انتقال دهيد. براي اين منظور مي‌توان از ويزارد گرافيکي يا دستورات و اسکريپت‌ها استفاده نمود.

    مزاياي بکارگيري روش Migration
    1 ـ با استفاده از اين ابزار نه تنها مي‌توان در يک بازه زماني کوتاه و از پيش برنامه‌ريزي شده ارتقاء کاربران و منابع شبکه را انجام داد بلکه مي‌توان آن را ميان شبکه‌هاي بزرگ به عنوان ابزاري دائمي ‌و هماهنگ کننده بکار گرفت. به عنوان مثال اگر شعبات يک شرکت بزرگ در ساختار ADS دامين‌هاي مختلف دارند هنگام انتقال کارمندان از شعبه‌اي به شعبه ديگر مي‌توان به راحتي از اين ابزار استفاده کرد تا مشخصات کاربر مانند پروفايل، آدرس ايميل و غيره تغيير نکند.
    2 ـ کار کردن با اين ابزار بسيار ساده است زيرا امکان استفاده از راه‌هاي مختلف از جمله اجراي دستورات Cmd ، ويزارد گرافيکي و حتي اسکريپت وجود دارد، بنابراين مسئول مربوطه به راحتي مي‌تواند روش مورد نظرش را انتخاب نمايد.
    3 ـ در ادامه خواهيد ديد که هنگام کار با اين ابزار مي‌توانيد انتخاب کنيد که کاربر با حفظ Security Identifier منتقل شود يا خير و يا گروه‌ها با حفظ اعضاء منتقل گردند يا خير؟ بنابراين اين ابزار امکان حفظ دسترسي‌ها به منابع به اشتراک گذاشته شده را به صورت قبل از انتقال در اختيار ما قرار مي‌دهد.
    4 ـ امکان Rollback در هر مرحله اجرايي از اين روش وجود دارد زيرا شبکه‌هاي مبدا و مقصد بصورت موازي وجود دارند و منابع به مقصد کپي مي‌شوند. بنابراين در هرمرحله از کار مي‌توانيم به مرحله قبل برگرديم و نگران از دست دادن اطلاعات کاربران و منابع شبکه نخواهيم بود.
    5 ـ از مهمترين مزيت استفاده از اين روش، کمترين تاثير منفي بر گردش کار روزانه کاربران سازمان مي‌باشد. با هر روش ديگري انتقال منابع مجموعه را انجام دهيد، شبکه و سرويس‌هاي آن مدت زمان بيشتري Down و غير قابل دسترس خواهند بود. در حاليکه با برنامه ريزي دقيق و بررسي نيازهاي سازمان مي‌توان Migration کاربران را در گروه‌هاي کمتر از 100 نفر انجام داد و کافي است کاربران پس از انتقال با نام کاربري و رمز عبور قبلي خود به شبکه جديد Login نمايند در نتيجه با بکارگيري اين روش کمترين تاثير منفي را روي گردش کار روزانه کاربران و شبکه خود خواهيد داشت.

    مراحل اجرايي بکارگيري ابزار ADMT
    براي Restructure کردن شبکه با استفاده از اين ابزار در سايت مايکروسافت دستورالعمل‌هاي کاملي ارائه شده است. چنانچه مطابق دستورالعمل اقدام نمائيد با کمترين مشکل به نتيجه مورد نظر خواهيد رسيد. در اين مقاله انتقال ( Migration ) منابعي از يک Forest به Forest ديگر را بصورت نمونه انجام خواهيم داد. کافي است اين مراحل را همراه ما مرور کنيد و پس از آشنايي با اين روش به مطالعه مستندات ارائه شده در سايت مايکروسافت بپردازيد.

    توجه : در اين متن هر جا که سخن از سرور يا دامين مبدا به ميان آمده است منظور سرور شبکه‌اي است که منابع داخل آن قرار دارد و سرور مقصد، منظور سروري است که قرار است منابع به آن منتقل گردد.

    آمادگي براي شروع انتقال
    تصميم بگيريد که کدام منابع شبکه را در چه زماني منتقل مي‌کنيد؟ اينکه بدانيد هدفتان از انتقال چيست؟ و پس از آن مي‌خواهيد به چه اهدافي برسيد بسيار مهم است. به عنوان مثال تصميم بگيريد که : کاربر را با رمزعبور منتقل مي‌کنيد يا خير؟ پس از انتقال کاربر بايد به منابع قبلي دسترسي داشته باشد يا خير؟
    برنامه زمانبندي انتقال را از قبل آماده کنيد و کاربران را از زمان و روش کار تا حدودي که به ايشان مربوط مي‌باشد آگاه سازيد. به عنوان مثال:
    ـ زمان انتقال را به کاربران اعلام کنيد و ترجيحا رضايت ايشان را جلب نماييد( زمان انتقال را همزمان با صدور فيش حقوق کارمندان يا جلسات مهم تنظيم نکنيد! ).
    ـ کاربران بدانند که هنگام انتقال نبايد به شبکه Login کنند.
    ـ کاربران بدانند که پس از انتقال چگونه Login نمايند.
    ـ در صورتي که هنگام Login با مشکل روبرو شدند با چه کساني تماس بگيرند.
    به هر حال شما بايد روش اجرايي کامل و تست شده‌اي در اختيار داشته باشيد و براي کاربران نيز روش اجرايي مناسبي تهيه نموده در اختيارشان قرار دهيد

    شروع کار
    1 ـ Functional Level دامين‌ها را به 2003، Raise کنيد.
    يکي از اولين کارهايي که انجام مي‌دهيد، Raise کردن Functional Level دامين مي‌باشد. به شکل 1 دقت کنيد.


    شکل 1
    2 ـ ميان دامين‌ها Trust مناسب برقرار کنيد.
    بسته به اينکه شما کدام منابع را منتقل مي‌کنيد و پس از انتقال چه توقعاتي داريد؟ نوع Trust که برقرار مي‌کنيد متفاوت است. به عنوان مثال اگر مي‌خواهيد کاربران منتقل شده همچنان به منابع دامين قبلي دسترسي داشته باشند، Trust دو طرفه برقرار کنيد. ممکن است براي برقرار کردن Trust نياز به تعريف Forwarder در DNS دامين‌ها داشته باشيد. براي تعريف فورواردر به شکل 2 تا 8 دقت کنيد.


    شکل 2


    شکل 3


    شکل 4


    شکل 5


    شکل 6


    شکل 7


    شکل 8
    3 ـ ADMT را روي دامين‌ها نصب کنيد.
    قبل از نصب ADMT V3.0 حتما ADMT V2.0 را Uninstall کنيد. مراحل نصب ADMT بسيار ساده است. دقت کنيد، پس از اجراي برنامه و در هنگام نصب تنظيمات را مطابق شکل 9 انجام دهيد.
    در نگارش جديد نياز به نصب SQL نيست مگر اينکه بخواهيد از چند کنسول ADMT با يک ديتابيس متمرکز ارتباط برقرار کنيد.


    شکل 9
    4 ـ نام‌هاي کاربري مخصوصي براي انتقال تعريف کنيد که دسترسي‌هاي مورد نياز را داشته باشند.
    با توجه به اينکه براي انتقال منابع شبکه به دسترسي‌هاي محدودي نياز داريد کافي است Account‌هاي خاصي با دسترسي‌هاي مورد نظر تعريف کنيد و ADMT را با همان Account اجرا نماييد. بهترين روش اين است که يک Account در شبکه مبدا و يکي در شبکه مقصد با دسترسي‌هاي مورد نياز بسازيد. به عنوان مثال اگر مي‌خواهيد کاربرها با SID History، گروه‌ها با SID History، کامپيوترها و پروفايل‌ها را انتقال دهيد بايد Accountي که ADMT را اجرا مي‌کند دسترسي‌هاي ذيل را داشته باشد:
    ـ در دامين مبدا عضو گروه Administrators يا Domain Admins باشد.
    ـ در دامين مقصد روي کامپيوتري که ADMT را اجرا مي‌کند عضو گروه Administrators باشد.
    ـ در دامين مقصد عضو گروه Domain Admins باشد يا روي OU خاصي دسترسي مورد نظر به آن کاربر Delegates شده باشد.
    ـ عضو گروهAdministrators کامپيوترهايي که منتقل مي‌شوند، باشد.

    5 ـ نصبPassword Export Server
    چنانچه مي‌خواهيد رمز عبور کاربران هنگام انتقال تغيير نکند بايد سرويس PES را نصب و فعال کنيد تا همزمان با انتقال کاربر رمزعبور نيز منتقل شود.
    براي اينکار ابتدا بايد با استفاده از دستور زير ( به شکل 10 دقت کنيد ) کليد رمزگذاري را روي سرور مقصد که ADMT روي آن نصب شده است ايجاد نماييد:


    Admt key /Option:Create /SD: /Keyfile:KeyFilePath


    شکل 10
    سپس فايل ايجاد شده را در محل مطمئني ذخيره و به سرور مبدا منتقل کنيد و مطابق 11 تنظيمات را انجام دهيد و سرويس PES را در مقصد فعال نمائيد.


    شکل 11
    نکته : به منظور رعايت ملاحظات امنيتي شبکه، پس از اتمام مراحل انتقال کاربران، سرويس PES را غير فعال نماييد.
    6 ـ تنظيمات لازم براي SID History را انجام دهيد.
    براي اينکه کاربران را با SID History منتقل کنيد مراحل زير را انجام دهيد(به شکل‌هاي 12 تا 16 توجه کنيد):
    ـ يک گروه از نوعLocal در سرور مبدا بسازيد نام آن بصورت
    " Domain Name$$$ "باشد و هيچ عضوي نداشته باشد.


    شکل 12
    ـ به سرور مبدا Login کنيد و در Registry Editor کليد زير را بيابيد:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA

    ـ سپس يک DWORD جديد به نام TcpipClientSupport با ارزش يک ايجاد نمائيد.


    شکل 13
    ـ در آخر Audit براي Account Management را روي Policy دامين‌هاي مبدا و مقصد فعال نماييد.


    شکل 14
    7 ـ منابع را انتقال دهيد.
    چنانچه مطابق دستورالعمل، قدم به قدم مراحل را انجام دهيد مطمئن باشيد اين قسمت از کار ساده ترين قسمت خواهد بود و براحتي مي‌توانيد از منوي ADMT براي انتقال منابعي چون کاربران، رمزعبورها، گروه‌ها، پروفايل‌ها و حتي سرورها اقدام نماييد.


    شکل 15

    شکل 16
    سخن پاياني
    در اين مقاله مراحل يک پروژه بزرگ و با ارزش را بصورت بسيار خلاصه به شما نمايش داديم و توصيه مي‌کنيم قبل از اينکه هر اقدامي‌ نماييد ابتدا به سايت مايکروسافت يا دي‌وي‌دي اين شماره مراجعه و مستندات مربوطه را بصورت کامل مطالعه کنيد در اين صورت با مشکلات کمتري مواجه خواهيد شد.
    روزي که با همکارانمان، در حال انتقال Account کاربران از داميني به دامين ديگر بوديم به اين مي‌انديشيديم که ايکاش مي‌شد کاربران حقيقي اين Account‌ها را نيز به همين راحتي و در يک چشم برهم زدن از ساختماني به ساختمان ديگر منتقل کرد!
    نظرات 1 نظر
    1. bogati آواتار ها
      bogati -
      سلام
      مرسی با تشکر خیلی عالی بود فقط عکسها قابل رویت نیستند .