נקודות למחשבה בעת מעבר מ- Active Directory המבוסס על Windows Server 2003 ל- Windows Server 2008 R2 (חלק א')

1 בינואר 2012

daniel-petri-mug-9  מאת: דניאל פטרי

 

כל מי שחושב או ממש מתכוון לשדרג את ה- Active Directory הארגוני מגרסת Windows Server 2003 ל- Windows Server 2008 R2 וודאי יודע שעל מנת לשמור על רציפות תפעולית של הארגון ולמזער הפרעות, תהליך השדרוג מצריך תכנון נכון, מיפוי הכשלים האפשריים (risks) ותכנון שיחזור למצב קודם במקרה של תקלה. בכדי לעזור לכם בתהליך זה, ריכזתי בסדרה של ארבעה מאמרים מקבץ נקודות למחשבה שיעזור לכם בתכנון הנכון של פעולת המיגרציה. בנוסף, הוספתי כמה קישורים למאמרים רלוונטיים בנושא.

למה בכלל לשדרג ל- Windows Server 2008 R2?

נתחיל בשאלה הבסיסית. מדוע לשדרג? הרי בסופו של דבר, Windows Server 2003 מספק גרסת AD יציבה, טובה, יעילה ונוחה לשימוש. אם כך מדוע עלינו לשדרג?

כמו בכל אבולוציה של מוצר, גרסת Windows Server 2008 R2 מציעה מגוון שיפורים משמעותיים בביצועים, ביציבות, באמינות ובאבטחה, וכן פיצ'רים חדשים (למען הדיוק חלקם כבר קיימים בגרסת RTM, אך מי שמשדרג היום ממילא ישדרג כבר לגרסת R2).

(הערה: במאמרים אלה אני מתייחס בכוונה אך ורק ל- Windows Server 2008 R2, ולא לגרסת ה- RTM המקורית)

להלן מספר סיבות עיקריות לשדרוג הקשורות באופן ישיר ל- Active Directory:

  • Read Only Domain Controller – RODC: אלה דומיין קונטרולרים שמחזיקים גירסה שמאפשרת קריאה בלבד של בסיס הנתונים. ב- DCים אלה, כברירת מחדל, אין שמירה של נתוני אבטחה כגון סיסמאות משתמשים ומחשבים בתוך ההעתק המקומי של בסיס הנתונים של AD (אם כי ניתן לקבוע עבור אילו משתמשים או מחשבים כן ישמרו סיסמאות ב- Cache המקומי). בנוסף, בניגוד ל- DCים "רגילים", ב- RODCים ניתן להגדיר משתמשים כבעלי יכולות ניהול על השרתים למטרות כגון התקנת דרייברים, ביצוע גיבויים ועוד, מבלי להצטרך להכניס את המשתמשים הללו לקבוצת ה- Administrators החזקה של כל ה- DCים. נשקול לפרוס RODCים בעיקר בתסריטים של סניפים שבהם אין מספיק משתמשים אשר מצדיקים הקמת תשתית של DCים "רגילים", אין רוחב פס המתאים לרפליקציה דו-כיוונית של הנתונים, ו/או אין תנאי אבטחה המבטיחים את קיומם של השרתים.

Read-Only Domain Controllers (RODC) Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx

  • Server Core: כזכור מ- Windows Server 2008, ניתן כעת להתקין את מערכת ההפעלה בצורה "קלה" הנקראת Server Core. גירסה זו נטולת מאפיינים גרפיים ורכיבים העושים שימוש ב- GUI הסטנדרטי, וזאת למטרת הקשחת השרתים, שימוש בנפח דיסק קטן יותר (כשליש מזה של התקנה רגילה) והפחתת הצורך בעידכוני מערכת קריטיים הקשורים לפיצ'רים שלא קיימים במוצר (כגון Internet Explorer וכו'). השיפורים המובנים ב- Server Core של גרסת R2 הופכים את השימוש בשרתים אלה לקל במיוחד. שרת המותקן בתצורת Server Core הוא אידיאלי לשימוש בתור DC, ובטח בתור RODC.

Server Core Installation Option Getting Started Guide

http://technet.microsoft.com/en-us/library/cc753802(WS.10).aspx

  • PowerShell AD Cmdlets: כעת ניתן לקבל כלים לאוטומציה, ביצוע פעולות ושליטה טובה יותר מאי-פעם ב- AD באמצעות פקודות רבות המהוות חלק מה- AD Module של PowerShell.

Active Directory Administration with Windows PowerShell

http://technet.microsoft.com/en-us/library/dd378937(WS.10).aspx

  • סל מחזור או Recycle Bin: בזכותו נוכל לשחזר בקלות רבה אובייקטים (משתמשים, קבוצות, OUים ועוד) מחוקים במשך 180 ימים לאחר שנמחקו מבסיס הנתונים, וזאת בניגוד לתהליך החלקי בלבד הקיים בגירסה הקודמת.

Active Directory Recycle Bin in Windows Server 2008 R2 Step-by-Step Guide [R2]

http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

  • מדיניות סיסמאות פרטניות או Granular Password Policies: מאפשרת ייצור מדיניות סיסמאות שונה מהמדיניות שנקבעה כברירת מחדל. את המדיניות הפרטנית ניתן להחיל על יוזרים וקבוצות אחרות (לא, לא ניתן להחיל אותה על OUים). בזכות מדיניות זו ניתן לשלוט על מאפייני הסיסמאות בצורה מדורגת ולקיים יותר ממדיניות סיסמאות אחת בדומיין.

Active Directory Domain Services (AD DS) Fine-Grained Password and Account Lockout Policy Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc770842(WS.10).aspx

  • שיפורים ברפליקציה של SYSVOL: לאחר המעבר ל- Windows Server 2008 R2, ניתן להגר את שיטת הרפליקציה של תיקיית ונתוני ה- SYSVOL מ- FRS ל- DFSR, פעולה שמשפרת את תהליך הרפליקציה של ה- SYSVOL ומאפשרת להימנע מחלק מהאתגרים שהיו קיימים בשיטה הקודמת.

SYSVOL Replication Migration Guide: FRS to DFS Replication

http://technet.microsoft.com/en-us/library/dd640019%28WS.10%29.aspx

  • Managed Service Account: מאפשר לייצר User Accounts עבור Services שונים. הפיצ'ר החדש הזה מאפשר לנהל את זה באופן אוטומטי. לפני הפעלת פיצ'ר זה, אם לדוגמא יצרנו Service Account שנקרא “SQL User” ואנחנו רוצים לשנות לו את הסיסמה, נצטרך לבצע שינוי זה על כמות גדולה של שרתים שמריצים שירות זה, וככל שהארגון גדול ומסובך יותר, כך הופכת משימת ניהול הסיסמאות של חשבונות אלה למסובכת יותר. בגירסה החדשה ניתן לבצע זאת באופן אוטומטי.

Managed Service Accounts Documentation for Windows 7 and Windows Server 2008 R2

http://technet.microsoft.com/en-us/library/ff641731%28WS.10%29.aspx

  • שיפורים ב- Directory Services Auditing: מאפשר לעקוב בצורה מדוייקת יותר אחר שינויים שמבוצעים ב- AD, כולל רישום מדוקדק של מי ביצע את השינוי, מתי, מאיפה, מה היה הערך של האובייקט המקורי ולאיזה ערך הוא שונה, ועוד.

Active Directory Domain Services (AD DS) Auditing Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc731607(WS.10).aspx

  • Offline Domain Join: מאפשר לצרף מחשבים לדומיין גם כשהם לא מצויים בתקשורת פיזית עם ה- DC בשלב ההצטרפות. כך למשל, אם ספק ציוד צריך היה להכין 50 מחשבים לפריסה בארגונכם, בעבר הוא היה צריך לבצע את החיבור של אותם מחשבים לדומיין רק באתר הלקוח כשהוא מחובר בצורה פיזית לרשת שלו. כיום, באמצעות Offline Domain Join ניתן לצרף אותם מבלי שהם יהיו פיזית בתוך הארגון ובבוא העת, כשהם יתחברו אליו, הם כבר יהיו רשומים לדומיין.

Offline Domain Join (Djoin.exe) Step-by-Step Guide

http://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step(WS.10).aspx

  • Active Directory Administrative Center: ממשק ניהולי המקביל בצורה חלקית ל- Active Directory Users and Computers אבל המספק יכולות ניהוליות מגוונות המתאימות לביצוע פעולות יומיומיות כגון איפוס סיסמאות, נעילת משתמשים, חיפוש משתמשים ועוד, המתאים במיוחד להאצלת סמכויות לקבוצות כגון Help Desk וכו', מבלי לתת להם גישה לממשק הניהול המלא של ADUC.

Active Directory Administrative Center: Getting Started

http://technet.microsoft.com/en-us/library/dd560651(WS.10).aspx

  • AD Snapshots: פיצ'ר "מגניב" ושימושי, המאפשר יצירה של Snapshots של בסיס הנתונים של AD באמצעות שורת פקודה אחת. אם נגלה, בעתיד, שאנחנו רוצים להשוות בין הגדרות של אובייקטים מסויימים, כפי שהם מופיעים נכון לאותו רגע ב- AD, אל מול ההגדרות של אותם אובייקטים, כפי שהיו בעת יצירת ה- Snapshot, נוכל באמצעות שתי פקודות קלות לבצע Mount לאותו Snapshot במקביל ל- AD ה"חי", ולהסתכל על אותם אובייקטים במעין "מכונת זמן". כך נוכל לשחזר הגדרות מבלי להצטרך לבצע שיחזור מלא של בסיס הנתונים.

Active Directory Domain Services Database Mounting Tool (Snapshot Viewer or Snapshot Browser) Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc753609(WS.10).aspx

  • Restartable Directory Services: מעתה, Active Directory על DC הוא Service שניתן לעצור אותו במידת הצורך. השימוש בעצירת השירות נעשה בעיקר למטרות תחזוקת בסיס הנתונים, או הפסקה זמנית של DC מלתת שירותי לוגאון למשתמשים ומחשבים.

Restartable Active Directory Domain Services (AD DS) Step-by-Step Guide

http://technet.microsoft.com/en-us/library/cc732714(WS.10).aspx

לרשימה זו ניתן כמובן להוסיף מגוון פיצ'רים ותכונות נוספות, אבל על כך במאמר אחר.

Microsoft Windows Server 2008 R2 Features

http://www.microsoft.com/en-us/server-cloud/windows-server/2008-r2-features.aspx

בשבוע הבא נדון בתכנון השידרוג ולאחריו בתהליכי השידרוג עצמו.

Stay tuned 🙂

 

דניאל פטרי משמש כ- Premier Field Engineer במיקרוסופט ישראל מזה כחצי שנה ועוסק בעיקר ב- Active Directory, Remote Desktop Services ו- Hyper-V. קודם לכן יצר וכתב את אחד מאתרי המידע הפופולריים בעולם – www.petri.co.il, שימש כיועץ עצמאי ללקוחות רבים בארץ ובחו"ל, והחזיק בתואר MVP של מיקרוסופט במשך 8 שנים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

תגובה אחת