נקודות למחשבה בעת מעבר מ- Active Directory המבוסס על Windows Server 2003 ל- Windows Server 2008 R2 (חלק ב')

10 בינואר 2012

2 תגובות

daniel-petri-mug-9 מאת: דניאל פטרי

 

בחלקו הראשון של המאמר דנו בסיבות העיקריות לשדרוג ה- AD הארגוני ל- Windows Server 2008 R2. השבוע נמשיך לשלב בניית תוכנית שדרוג מסודרת וההכנות המקדמות בתהליך המעבר מ- Active Directory המבוסס על Windows Server 2003 ל- Windows Server 2008 R2.

 

שלב 1: בניית תוכנית שדרוג מסודרת

אין ספק שפרט לידע וניסיון, אחד מסודות ההצלחה בשדרוגים הינו בניית תוכנית מפורטת עבור השדרוג. רצוי שתוכנית השדרוג תכלול את המרכיבים הבאים:

  • מטרות הפרוייקט: במסגרת הגדרת מטרות הפרוייקט, אתם צריכים לשאול את עצמכם מהי התוצאה הסופית הרצוייה של הפרוייקט. האם אתם רוצים להחליף את כל הדומיין קונטרולרים או רק את חלקם? האם אתם רוצים לשמור על שמות וכתובות ה- IP של ה- DCים הישנים? האם אתם מעוניינים לבצע שינוי בתשתית החומרה ואולי לעבור לעבוד בתצורה של מכונות וירטואליות? האם אתם מרוצים מטופולוגיית הרפליקציה של ה- AD, או שמא דרושים שינויים גם בתחום זה? ועוד.
  • מיפוי המשאבים: יש למפות היטב את המשאבים המשתתפים בשדרוג והמושפעים ממנו. רצוי להחזיק דיאגרמת רשת ומשאבים מסודרת ומעודכנת, ולבדוק היטב שכל ההגדרות של כל מרכיבי המפתח של ה- AD קיימים בידיכם.
  • תפקידים נוספים שה- DCים הקיימים מבצעים: האם ה- DCים שלכם מבצעים תפקידים נוספים? האם הם גם שרתי DNS, DHCP, WINS? מי מחזיק בתפקידי ה- FSMO? האם הם מחזיקים את ה- Terminal Server Licensing Server? האם אחד מהם הוא גם Certificate Authority? האם רחמנא ליצלן הם גם משמשים כשרתי קבצים/מדפסות? אם התשובה חיובית, חובה להתייחס לכך במהלך תכנון העבודה, ולבחון אילו אפשרויות עומדות בפניכם להעביר תפקידים אלה לשרתים אחרים ו/או ל- DCים החדשים.
  • הגדרת הסיכונים: יש לנסות למפות את הסיכונים על ידי מיפוי של המשאבים הקריטיים. ככל שהארגון גדול יותר כך תהליך זה יותר מורכב, אך הכרחי. ארגון שנכנס לתהליך מיגרציה מורכב מבלי להיות מודע לסיכונים העומדים בפניו עלול להימצא מול שוקת שבורה במידה ומשהו לא יעבוד כפי שתוכנן.
  • חלוקת אחריות: מי מבצע מה, מה נמצא באחריותו של הלקוח, ומה באחריותו של הספק אם ישנו כזה.
  • הגדרת תהליך Rollback: יש להערך למצב שתהליך השדרוג יכשל בכל נקודת זמן ואז יהיה צורך בשחזור המצב הקודם. לכן יש לבנות תוכנית גיבוי ותוכנית Rollback מסודרת הכוללת גיבויים בדוקים ותקינים.
  • בדיקת תאימות: עבור כל מוצר צד שלישי שקשור במערכת ה- AD באיזשהו אופן (לדוגמה Firewall, שרתי VPN, מערך Radius, שרתי טרמינל, מערכי איחסון, מערכת שו"ב, מערכת ERP/CRM, מוצרי תקשורת פנים ארגוניים ועוד) יש לוודא עם היצרן שהוא תומך בגירסה החדשה של Windows Server 2008 R2, וכי כל עידכון חומרה או תוכנה דרוש אכן הותקן או יותקן כחלק ממהלך הפרוייקט. בנוסף, חובה לוודא את קיומם של בעלי התפקיד, המומחים ומחזיקי הידע הרלוונטיים בכל אחד מהמוצרים הללו, ואת זמינותם ומחויבותם לפרוייקט.
  • בדיקות מעבדה: ככל שהארגון גדול ומורכב יותר, כך שלב זה חשוב יותר. ללא בדיקות מעבדה לא יהיה ניתן לוודא ב- 100% שתהליך השדרוג לא יפגע בשירותים או מוצרים המותקנים על השרתים השונים.

 

שלב 2: גיבוי מלא, תקין ובדוק

מכיוון שתהליך השדרוג הוא חד-כיווני ובלתי הפיך, שלב קריטי בתהליך השדרוג הוא ביצוע גיבוי מלא, מסודר ובדוק, הכולל את כל המרכיבים של ה- AD, וכולל מן הסתם את בסיס הנתונים עצמו וכל הרכיבים הקשורים אליו. כלל האצבע אומר – גיבוי של לפחות DC תקין אחד בכל דומיין ביער, רצוי שניים, ורצוי שהם יהיו גם Global Catalogs. כמובן שיש לבדוק היטב שהגיבוי עובד. אנחנו לא רוצים למצוא את עצמנו בוהים בקלטת ריקה בדיוק כשאנחנו צריכים אותה…

לאור הניסיון העגום עם מספר לקוחות "חכמים" במיוחד חשוב שאציין זאת שוב: הדרך היחידה לגיבוי מלא, תקין, אמין ונתמך של AD היא באמצעות תוכנת גיבוי התומכת והעובדת עם ה- API המתאים לגיבוי AD. במידה ואתם לא בטוחים ביכולתה של תוכנת הגיבוי שלכם, תמיד תוכלו להשתמש ביכולות הגיבוי המובנות ב- Windows – שימוש בתוכנת Windows Backup או NTbackup (בהתאם לגירסת Windows), וביצוע גיבוי מלא של ה- System State.

Back up system state: Active Directory

http://technet.microsoft.com/en-us/library/cc787254(WS.10).aspx

בנוסף לגיבוי, ישנה אפשרות לשמר את המצב הקיים של אחד ה- DCים, ולהחזירו לשימוש במקרה תקלה. אם יש אפשרות, (למשל אם יש שלושה DCים ומבחינת העומס לא דרושים שלושה בו זמנית) ניתן לנתק את אחד מהם מהרשת על מנת לשמר אותו במצב הקיים בטרם נתחיל בתהליך השדרוג. כך במקרה אסון שדורש הקמת מחדש של כל ה- AD מגיבוי, נוכל לחסוך את תהליך השיחזור מקלטת/דיסק ולהחזיר את המידע מאותו DC מנותק. יש לציין שלא מדובר בתהליך של מה בכך, אבל היתרון של טקטיקה זו, במקרה של אסון, הוא בכך שאנחנו חוסכים את זמן ההמתנה לשיחזור ה- System State מתוך מדיית הגיבוי. על כך במאמר אחר.

חשוב מאוד: במידה ואתם עושים שימוש בתשתית וירטואליזציה, ובמידה וה- DCים הקיימים רצים כמכונות וירטואליות, עליכם לזכור שבשום פנים ואופן אסור להסתמך על ביצוע Snapshots או Disk Cloning, וכי אסור לבצע Pause או "הקפאת מצב" של אף אחד מה- DCים הללו. הדרך היחידה, גם בתצורה וירטואלית, לגיבוי AD תקין ונתמך הינה ביצוע System State Backup בצורה מסודרת.

Virtual Active Directory Domain Services Domain Controllers Hyper-V

http://technet.microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv(WS.10).aspx#backup_and_restore_considerations_for_virtualized_domain_controllers

 

שלב 3: וודאו שיש לכם הרשאות מתאימות

וודאו שיש לכם הרשאות מתאימות. במקרה זה מדובר בהרשאות Domain Admin, Enterprise Admin ו- Schema Admin.

 

שלב 4: תחנת ניהול

רצוי להתקין מחשב אחד (לפחות) ולהשתמש בו בתור תחנת ניהול. המחשב יכול להריץ Windows 7 עם כלי ניהול של Windows Server 2008 R2 – Remote Server Administrator Tools (או RSAT) או שרת Windows Server 2008 R2 עם RSAT.

Download: Remote Server Administration Tools for Windows 7 with SP1 – Microsoft Download Center – Download Details

http://www.microsoft.com/download/en/details.aspx?id=7887

 

שלב 5: DFL ו- FFL

וודאו שה- Domain Function Level וה – Forest Function Level יהיו בגירסת Windows 2000 Native ומעלה, כלומר לא בתצורת Mixed או Interim. מיותר לומר אבל נציין בקצרה – BDCים של Windows NT 4.0 אינם יכולים להיות קיימים במערכת בזמן השדרוג. היפטרו מהם, אם עוד יש לכם כאלה.

How to raise Active Directory domain and forest functional levels

http://support.microsoft.com/kb/322692

בנוסף, רצוי להזכיר שבמידה וקיימים DCים של Windows 2000, הם חייבים לרוץ בגירסת SP4 בלבד.

 

שלב 6: וודאו את תקינות ה- Domain Controllers והרפליקציה של Active Directory

יש לוודא את תקינות הרפליקציה ואת תקינות ה- DNS. וודאו שאין שום אירועים בעייתיים. בצעו בדיקה מדוקדקת של אירועים המופעים ב- Event Viewer על כל ה- DCים, ובדקו היטב שאין שום בעיות שעלולות לגרום לפרוייקט להסתבך.

Troubleshooting replication: Active Directory

http://technet.microsoft.com/en-us/library/cc755349(WS.10).aspx

בשבוע הבא נמשיך עם תהליך השדרוג ונדון בהרצת פקודות השדרוג ובאופן הכנסת ה- DCים החדשים לשימוש.

Stay tuned 🙂

דניאל פטרי משמש כ- Premier Field Engineer במיקרוסופט ישראל  מזה כחצי שנה ועוסק בעיקר ב- Active Directory, Remote Desktop Services ו- Hyper-V. קודם לכן יצר וכתב את אחד מאתרי המידע הפופולריים בעולם –www.petri.co.il, שימש כיועץ עצמאי ללקוחות רבים בארץ ובחו"ל, והחזיק בתואר MVP של מיקרוסופט במשך 8 שנים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

2 תגובות

  1. Rock14 בינואר 2012 ב 13:59

    I want to send you an award for most helpful inetrent writer.

    הגב
  2. יובל גולן15 בינואר 2012 ב 22:37

    מאמר מצויין דניאל, תודה. ממתינים לקרוא את ההמשך.

    הגב