Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022) — различия между версиями
Материал из 0x1.tv
StasFomin (обсуждение | вклад) |
StasFomin (обсуждение | вклад) |
||
== Thesis ==
* https://www.altlinux.org/Domain_Infrastructure
Миграция на свободные решения в корпоративной сетевой инфраструктуры, в первую очередь — это замена операционных систем клиентов и серверов под управлением операционных систем семейства ОС Windows» базе инфраструктуры Microsoft Active Directory (MS AD) и на аналогичные по функциональным возможностям свободные операционные системы и инфраструктурные решения.
На текущий момент сложилось два фундаментально разных подхода к миграции доменной инфраструктуры на базе MS AD —
«плавный» перевод инфраструктуры на Samba Active Directory или постепенная «миграция» на любое, аналогичное по
функциональным возможностям инфраструктурное решение. Среди основных из таких решений стоит выделить два:
* Проект Samba, как полноценная замена MS AD на уровне протоколов и поддержки Windows-клиентов;
* Проект FreeIPA, как альтернативная реализация доменной инфраструктуры для Linux-клиентов.
=== «Плавная» миграция ===
Сценарий перевода инфраструктуры на базе MS AD даёт возможность сохранить уже сложившуюся, отлаженную годами доменную
инфраструктуру не меняя конфигурацию множества рабочих станций (автоматизированных рабочих мест), а также серверов под
управлением операционных систем на базе Windows, не пересоздавая множества пользователей, которые могут продолжать
работу в том же окружении. В том числе и на новых рабочих станциях под управлением отечественных операционных систем.
Миграция серверов, в некоторых случаях, также проводится постепенно. Такую возможность может обеспечить только
совместимый с MS AD проект Samba.
Данный сценарий предполагает следующий алгоритм действий:
* вывод из эксплуатации и замену сопутствующих инфраструктурных служб, работающих только с MS AD (MS Exchange,
Sharepoint и д.р.);
* перенос сопутствующих системных служб, не относящихся непосредственно к доменной инфраструктуре (dhcp-серверов,
центров сертификации и т.п.), с Windows-серверов на Linux сервера;
* временный, прозрачный для клиентов, перевод инфраструктуры в гибридное состояние через установку контроллеров
домена на базе Samba в текущую инфраструктуру (в текущий домен);
* миграцию всех системных (FSMO и иных) ролей с контроллеров домена на базе MS AD на контроллеры домена на базе
Samba;
* штатное отключение всех контроллеров на базе MS AD.
У данного сценария имеется огромное количество ограничений и множество рисков, которые сложно минимизировать, не
затрагивая уже развёрнутые службы. Этот сценарий подходит для простых и консервативных конфигураций. Ключевые,
документированные ограничения:
* схема леса 2008R2;
* репликация в домене должна выполняться против контроллера на базе Windows Server 2008R2 с тремя FSMO-ролями
(хозяин схемы, инфраструктуры и PDC-эмулятор);
* объекты с парными атрибутами из расширенной схемы могут вызвать проблемы репликации;
* процесс первичной репликации для крупных баз (как правило, с большими по объёму бинарными атрибутами) занимает
значительное время (до нескольких десятков часов).
Устранение этих ограничений требует специальной разработки, которые требуют значительных вложений и времени на отладку.
Поскольку регулярных тестов для конкретных конфигураций не проводится, как правило, такие конфигурации находятся в
закрытых сетевых контурах и недоступны для разработчиков, точный набор параметров для «плавной» миграции в проекте
Samba на текущий момент оперативно не отслеживается.
=== «Постепенная» миграция ===
При отсутствии возможности перенести базу компьютеров, пользователей, групп и других объектов AD полностью, как есть, на
другой «носитель», миграция доменной инфраструктуры проводится «постепенно». Такая миграция предполагает несколько
промежуточных стадий в зависимости от целей:
* <b>миграция служб</b> (в первую очередь веб-приложений) в отдельную доменную инфраструктуру с доверительными
отношениями с текущей;
* <b>миграция клиентских рабочих</b> мест на отечественные операционные системы;
* <b>комплексная миграция</b> серверов и клиентских рабочих станций.
При этом создаётся параллельная доменная инфраструктура, исходная пользовательская база (пользователи и группы)
сохраняется через доверительные отношения и «постепенно» (по частям) переносится в новую инфраструктуру.
В случае миграции служб перенос пользовательской базы откладывается, сохраняются исходные рабочие места под управлением
Windows, а все усилия прилагаются к тому, чтобы вывести из эксплуатации и заменить сопутствующие системные службы, не
относящиеся непосредственно к доменной инфраструктуре.
В случае миграции рабочих мест главный упор делается на решение задачи замены пользовательских приложений, на их
возможность запуска и работоспособность в новом окружении (прежде всего специализированного ПО, веб-приложений с
«аутентификацией в домене», а также доступность почты, календаря и т. п.).
Комплексная миграция предполагает комбинирование миграции служб и рабочих мест и является наиболее трудоёмкой
единовременной процедурой. Конкретные целевые особенности такой миграции зависят от специфики переносимой
инфраструктуры.
=== Реализация сценариев миграции в дистрибутивах «Альт» ===
В дистрибутивах семейства «Альт» клиентские и серверные настройки разделены. Основным инструментом управления является
«Альтератор», как центр управления системой. На текущий момент основной упор поддержки рассмотренных сценариев миграции
сделан на интеграцию клиентских рабочих мест в инфраструктуру Active Directory. Интеграция реализуется в рамках
сведения различных компонент управления операционной системой в целостный системный интерфейс, включающий в себя:
* обобщённый инструментарий подключения клиентов доменной инфраструктуры к различным доменным решениям
(system-auth);
* [https://www.altlinux.org/Групповые_политики групповые политики], как встроенный инструментарий управления конфигурациями;
* [https://www.altlinux.org/ADMC комплект графических средств администрирования, позволяющий заменить родной инструментарий] управления Active Directory — Remote Server Administration Tool (RSAT).
{{----}}
[[File:{{#setmainimage:Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022)!.jpg}}|center|640px]]
{{LinksSection}}
<!-- <blockquote>[©]</blockquote> -->
<references/>
[[Категория:OSSDEVCONF-2022]] | |||
Текущая версия на 15:17, 17 марта 2024
- Докладчик
- Евгений Синельников
Подходы к миграции службы каталогов и сопутствующих инфраструктурных служб предприятий на свободные решения требуют тщательного анализа. Исходной службой каталогов, для которой миграция актуальна, в большинстве случаев является Microsoft Active Directory.
Данный доклад посвящён разбору основных сценариев миграции таких доменных инфраструктур на свободные инфраструктурные решения на базе дистрибутивов «Альт» и Sisyphus.
Содержание
Видео
Презентация
Thesis
Миграция на свободные решения в корпоративной сетевой инфраструктуры, в первую очередь — это замена операционных систем клиентов и серверов под управлением операционных систем семейства ОС Windows» базе инфраструктуры Microsoft Active Directory (MS AD) и на аналогичные по функциональным возможностям свободные операционные системы и инфраструктурные решения.
На текущий момент сложилось два фундаментально разных подхода к миграции доменной инфраструктуры на базе MS AD — «плавный» перевод инфраструктуры на Samba Active Directory или постепенная «миграция» на любое, аналогичное по функциональным возможностям инфраструктурное решение. Среди основных из таких решений стоит выделить два:
- Проект Samba, как полноценная замена MS AD на уровне протоколов и поддержки Windows-клиентов;
- Проект FreeIPA, как альтернативная реализация доменной инфраструктуры для Linux-клиентов.
«Плавная» миграция
Сценарий перевода инфраструктуры на базе MS AD даёт возможность сохранить уже сложившуюся, отлаженную годами доменную инфраструктуру не меняя конфигурацию множества рабочих станций (автоматизированных рабочих мест), а также серверов под управлением операционных систем на базе Windows, не пересоздавая множества пользователей, которые могут продолжать работу в том же окружении. В том числе и на новых рабочих станциях под управлением отечественных операционных систем. Миграция серверов, в некоторых случаях, также проводится постепенно. Такую возможность может обеспечить только совместимый с MS AD проект Samba.
Данный сценарий предполагает следующий алгоритм действий:
- вывод из эксплуатации и замену сопутствующих инфраструктурных служб, работающих только с MS AD (MS Exchange,
Sharepoint и д.р.);
- перенос сопутствующих системных служб, не относящихся непосредственно к доменной инфраструктуре (dhcp-серверов,
центров сертификации и т.п.), с Windows-серверов на Linux сервера;
- временный, прозрачный для клиентов, перевод инфраструктуры в гибридное состояние через установку контроллеров
домена на базе Samba в текущую инфраструктуру (в текущий домен);
- миграцию всех системных (FSMO и иных) ролей с контроллеров домена на базе MS AD на контроллеры домена на базе
Samba;
- штатное отключение всех контроллеров на базе MS AD.
У данного сценария имеется огромное количество ограничений и множество рисков, которые сложно минимизировать, не
затрагивая уже развёрнутые службы. Этот сценарий подходит для простых и консервативных конфигураций. Ключевые,
документированные ограничения:
- схема леса 2008R2;
- репликация в домене должна выполняться против контроллера на базе Windows Server 2008R2 с тремя FSMO-ролями
(хозяин схемы, инфраструктуры и PDC-эмулятор);
- объекты с парными атрибутами из расширенной схемы могут вызвать проблемы репликации;
- процесс первичной репликации для крупных баз (как правило, с большими по объёму бинарными атрибутами) занимает
значительное время (до нескольких десятков часов).
Устранение этих ограничений требует специальной разработки, которые требуют значительных вложений и времени на отладку.
Поскольку регулярных тестов для конкретных конфигураций не проводится, как правило, такие конфигурации находятся в
закрытых сетевых контурах и недоступны для разработчиков, точный набор параметров для «плавной» миграции в проекте
Samba на текущий момент оперативно не отслеживается.
«Постепенная» миграция
При отсутствии возможности перенести базу компьютеров, пользователей, групп и других объектов AD полностью, как есть, на другой «носитель», миграция доменной инфраструктуры проводится «постепенно». Такая миграция предполагает несколько промежуточных стадий в зависимости от целей:
- миграция служб (в первую очередь веб-приложений) в отдельную доменную инфраструктуру с доверительными
отношениями с текущей;
- миграция клиентских рабочих мест на отечественные операционные системы;
- комплексная миграция серверов и клиентских рабочих станций.
При этом создаётся параллельная доменная инфраструктура, исходная пользовательская база (пользователи и группы)
сохраняется через доверительные отношения и «постепенно» (по частям) переносится в новую инфраструктуру.
В случае миграции служб перенос пользовательской базы откладывается, сохраняются исходные рабочие места под управлением Windows, а все усилия прилагаются к тому, чтобы вывести из эксплуатации и заменить сопутствующие системные службы, не относящиеся непосредственно к доменной инфраструктуре.
В случае миграции рабочих мест главный упор делается на решение задачи замены пользовательских приложений, на их возможность запуска и работоспособность в новом окружении (прежде всего специализированного ПО, веб-приложений с «аутентификацией в домене», а также доступность почты, календаря и т. п.).
Комплексная миграция предполагает комбинирование миграции служб и рабочих мест и является наиболее трудоёмкой единовременной процедурой. Конкретные целевые особенности такой миграции зависят от специфики переносимой инфраструктуры.
Реализация сценариев миграции в дистрибутивах «Альт»
В дистрибутивах семейства «Альт» клиентские и серверные настройки разделены. Основным инструментом управления является «Альтератор», как центр управления системой. На текущий момент основной упор поддержки рассмотренных сценариев миграции сделан на интеграцию клиентских рабочих мест в инфраструктуру Active Directory. Интеграция реализуется в рамках сведения различных компонент управления операционной системой в целостный системный интерфейс, включающий в себя:
- обобщённый инструментарий подключения клиентов доменной инфраструктуры к различным доменным решениям
(system-auth);
- групповые политики, как встроенный инструментарий управления конфигурациями;
- комплект графических средств администрирования, позволяющий заменить родной инструментарий управления Active Directory — Remote Server Administration Tool (RSAT).
!.jpg)