Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

23.03.2001 - 

Praxistipps zur Windows-2000-Migration

Der Weg ist das Ziel

Bei der Einführung von Active Directory und Windows 2000 ist es mit einem einfachen Upgrade meist nicht getan. Ist es in kleineren Netzwerken noch sinnvoll, von Windows NT auf 2000 aufzurüsten, erfordern komplexe Umgebungen eine intensive Planung und kontrollierte Umsetzung. Peter Mengel* stellt die Vor- und Nachteile der gängigen Migrationsszenarien dar.

Für die Migration gibt es zwar keinen Standard, aber einen Konsens über das Ergebnis: der rasche und reibungslose Übergang vom Multi-Master-Domänenmodell von Windows NT auf das Windows-2000-Tree-Modell. Das Ziel ist damit klar, der richtige Weg hängt von verschiedenen Faktoren ab. Grundsätzlich empfiehlt es sich, die Systemstruktur bereits vor der Migration genau zu analysieren und zu bereinigen. User, Dateien, Verzeichnisse, Standortinformationen, Konfigurationen, Adressen sowie Hard- und Softwareinventar sollten exakt dokumentiert werden. Schwachstellen, die zu Fehlern, unnötigen Kosten, Verzögerungen oder sogar zum Fehlschlagen des Migrationsprozesses führen, werden so rechtzeitig aufgedeckt.

Herausforderung Active DirectoryDas kritische Element der Einführung von Windows 2000 ist das Erstellen der Active-Directory-Struktur. Dedizierte Tools bieten häufig die Möglichkeit, das Verzeichnis virtuell zu entwickeln, wobei existierende Ressourcen so lange manipuliert werden, bis Risiken ausgeschlossen sind. Unausweichlich bleibt, User, Gruppen, Workstations und Server so zu migrieren, dass sie den Anforderungen des Netzwerkes entsprechen. Aber auch nach Berücksichtigung sämtlicher Rahmenbedingungen, wie Betriebsgröße, Komplexität der Umgebung, Hard- und Software sowie Kompatibilität der Netzwerkinfrastruktur gibt es kein Patentrezept für die Migration. Grundsätzlich bieten sich jedoch drei Varianten der Migration an.

In-Place UpgradeDas In-Place Upgrade ist die von IT-Experten am häufigsten empfohlene Migrationsstrategie. Sie ermöglicht das direkte Upgrade von Windows NT auf Windows 2000. Die Windows-NT-Security-Account-Manager (SAM) auf den Primary Domain Controllern und den Backup Domain Controllern werden dabei direkt auf eine Active-Directory-Datenbank konvertiert. Im ersten Schritt werden alle Controller synchronisiert, bevor ein Backup Domain Controller offline geschaltet wird. Dieser enthält eine Version des Security-Account-Managers, der bei einem Zwischenfall das Rollback auf Windows NT ermöglicht. Allerdings gehen durch den Offline-Zustand alle vorgenommenen Änderungen, wie neue Accounts oder Passwörter, verloren.

Das Windows 2000 Upgrade startet nach der In-Place-Methode mit den Primary Domain Controllern. Dabei wird der Server auf Windows 2000 upgedatet und der Security-Account-Manager auf das Active Directory übertragen. Bei diesem Vorgang konvertiert der Primary Domain Controller zu einem Windows 2000 Domain Controller. Danach kann der gleiche Vorgang mit den Backup Domain Controllern ausgeführt werden. Die konvertierten Domänen-Controller werden als Child-Domänen den Root-Domänen angegliedert.

Das In-Place Upgrade benötigt keine zusätzliche Hardware und ist eine einfache und schnelle Methode. Da die Konvertierung einer Domäne sozusagen in einem Massenprozess geschieht, besteht wenig Kontrolle über einzelne Objekte und Accounts. Alle Domänen und User sind sofort betroffen. Da Active Directory keine Aufzeichnungen in der Active-Directory-Datenbank löscht, tauchen auch veraltete, fehlerhafte oder doppelte Informationen wieder in der AD-Struktur auf. Ohne vorherige Konsolidierung ist nach der Migration wieder dieselbe Anzahl Domänen vorhanden. Ausgehend von einer Multi-Master-Domäne entstehen so bei einem In-Place Upgrade immer mehrere Trees. Da die meisten Unternehmen ein Single-Tree-Modell oder weniger Domänen anstreben, ist dieses Verfahren in vielen Fällen nicht optimal.

Parallele MigrationDie parallele Migration erfordert gewisse Hardwareinvestitionen. Mit neuen, zusätzlichen Servern wird eine Windows-2000-Umgebung aufgebaut, die parallel zu Windows NT besteht. Die Active-Directory-Objekte müssen, anders als beim In-Place Upgrade, manuell auf den neuen Maschinen erstellt werden. Die Migration der Active-Directory-Objekte wie User-Accounts, Gruppen und Computer-Accounts geschieht phasenweise und selektiv in das parallele, leere Directory auf Windows 2000. Dieses ist bis dahin nur als Skelett vorhanden und enthält keine User, Gruppen, Computer oder andere Ressourcen.

Nachdem die neue Verzeichnisstruktur erstellt ist, können die Objekte von Windows NT im neuen Active-Directory-Verzeichnis angesiedelt werden. Hierfür sollte vorher überdacht werden, welche Reihenfolge für die Übertragung der Objekte sinnvoll ist. In der Praxis hat es sich oft als besser erwiesen, zuerst die Gruppen und dann die User zu migrieren. User können dann im zweiten Schritt direkt der richtigen Gruppe zugeordnet werden, während dies umgekehrt nicht möglich ist. Es wird nämlich nicht automatisch eine Gruppe erstellt, wenn ein zugehöriger User übertragen wird. Sollte diese phasenweise Migration nicht erwünscht sein, lassen sich optional mehrere Objekte, auch User und Gruppen, simultan migrieren.

Kontrolle über ObjekteIm ersten Schritt werden jeweils die Gruppen der Master-Account-Domäne auf die neue Domäne übertragen und anschließend die User. Hardware-Accounts werden dann von der Ressourcendomäne in die Child-Domäne des neuen Systems übertragen. Dadurch ändert sich zwangsläufig der Deskriptor des Security Identifiers (SID), der der eindeutigen Identifikation einer Maschine dient. Mit einer veränderten SID verlieren User allerdings jeden Zugriff auf Dateien, Drucker und Ressourcen. Folglich ist es notwendig, die SIDs in allen Access-Control-Listen entsprechend neu zu definieren, was bei vielen Ressourcen und Abhängigkeiten relativ viel Zeit in Anspruch nimmt.

Gegenüber der Massenmigration via In-Place Upgrade bietet diese selektive Methode mehr Kontrolle über die Objekte und präzisere Ergebnisse. Durch den Aufbau einer zweiten Umgebung wird wenig Einfluss auf das Produktivsystem genommen. Zudem erübrigen sich weitere Konsolidierungen. Der große Vorteil dieses Verfahrens ist, dass ein Rollback auf Windows NT aufgrund der physischen Unabhängigkeit der Systeme jederzeit auf einfache Weise durchführbar ist.

Hybride MigrationDieses Verfahren kombiniert In-Place Upgrade und parallele Migration und eignet sich besonders für die Migration vieler Ressourcen mit komplexen Abhängigkeiten. Die hybride Methode überträgt die Ressourcendomänen mittels In-Place Upgrade. Die Access-Control-Listen der Geräte-Accounts müssen deshalb nicht neu erstellt werden. Auf einem separaten Windows 2000 Server wird, wie bei der parallelen Migration, das Skelett einer Verzeichnisstruktur erstellt.

Ähnlich der parallelen Migration werden mit Hilfe der Anwendungs-Programmier-Schnittstelle von SID-History zuerst die Gruppen auf Windows 2000 übertragen. Anschließend erfolgt die Aktualisierung der SIDs. Die User werden automatisch in die entsprechenden Gruppen migriert und haben auch unter Windows 2000 Zugriff auf die Ressourcen. Mittels In-Place Upgrade werden die Ressourcendomänen in das Active Directory migriert. Diese ergänzen dort als Child-Domänen die Root Domain. Zur Rekonfiguration der Child-Domänen als Organizational Units ist die Domäne zu konsolidieren.

Kein Einfluss auf ProduktivsystemDiese Methode nutzt geschickt die Vorteile der beiden anderen Migrationsarten. Der Migrationsprozess hat wenig Einfluss aufdie Produktivumgebung. Bei Problemen kann schnell wieder auf Windows NT zurückgegriffen werden, da die Domain Controller auf physisch getrennten Systemen liegen. Durch die Übertragung mittels In-Place Upgrade erübrigt sich außerdem die Neudefinition der Access-Control-Listen. Die phasenweise und selektive Migration gewährleistet eine gute Kontrolle. Allerdings müssen aufgrund der parallelen Systeme die Active-Directory-Objekte manuell erstellt werden, und die Domäne muss konsolidiert werden, um die Ressourcendomänen in die gewünschte Verzeichnisstruktur zu bringen.

Unabhängig davon, welche Migrationsmethode zum Einsatz kommt, sollte der gesamte Prozess kontinuierlich begleitet und überwacht werden. Unternehmen müssen ausgehend von ihren individuellen IT-Bedingungen entscheiden, welche Strategie ihnen am ehesten entspricht, um so eine reibungslose Migration zu erreichen.

*Peter Mengel ist Geschäftsführer Deutschland der BindView Development GmbH