Сценарии миграции доменных инфраструктур (Евгений Синельников, OSSDEVCONF-2022)

Докладчик

Евгений Синельников

Подходы к миграции службы каталогов и сопутствующих инфраструктурных служб предприятий на свободные решения требуют тщательного анализа. Исходной службой каталогов, для которой миграция актуальна, в большинстве случаев является Microsoft Active Directory.

Данный доклад посвящён разбору основных сценариев миграции таких доменных инфраструктур на свободные инфраструктурные решения на базе дистрибутивов «Альт» и Sisyphus.

Видео

Презентация

Thesis

• https://www.altlinux.org/Domain_Infrastructure

Миграция на свободные решения в корпоративной сетевой инфраструктуры, в первую очередь — это замена операционных систем клиентов и серверов под управлением операционных систем семейства ОС Windows» базе инфраструктуры Microsoft Active Directory (MS AD) и на аналогичные по функциональным возможностям свободные операционные системы и инфраструктурные решения.

На текущий момент сложилось два фундаментально разных подхода к миграции доменной инфраструктуры на базе MS AD — «плавный» перевод инфраструктуры на Samba Active Directory или постепенная «миграция» на любое, аналогичное по функциональным возможностям инфраструктурное решение. Среди основных из таких решений стоит выделить два:

• Проект Samba, как полноценная замена MS AD на уровне протоколов и поддержки Windows-клиентов;
• Проект FreeIPA, как альтернативная реализация доменной инфраструктуры для Linux-клиентов.

«Плавная» миграция

Сценарий перевода инфраструктуры на базе MS AD даёт возможность сохранить уже сложившуюся, отлаженную годами доменную инфраструктуру не меняя конфигурацию множества рабочих станций (автоматизированных рабочих мест), а также серверов под управлением операционных систем на базе Windows, не пересоздавая множества пользователей, которые могут продолжать работу в том же окружении. В том числе и на новых рабочих станциях под управлением отечественных операционных систем. Миграция серверов, в некоторых случаях, также проводится постепенно. Такую возможность может обеспечить только совместимый с MS AD проект Samba.

Данный сценарий предполагает следующий алгоритм действий:

• вывод из эксплуатации и замену сопутствующих инфраструктурных служб, работающих только с MS AD (MS Exchange,

Sharepoint и д.р.);

• перенос сопутствующих системных служб, не относящихся непосредственно к доменной инфраструктуре (dhcp-серверов,

центров сертификации и т.п.), с Windows-серверов на Linux сервера;

• временный, прозрачный для клиентов, перевод инфраструктуры в гибридное состояние через установку контроллеров

домена на базе Samba в текущую инфраструктуру (в текущий домен);

• миграцию всех системных (FSMO и иных) ролей с контроллеров домена на базе MS AD на контроллеры домена на базе

Samba;

• штатное отключение всех контроллеров на базе MS AD.

У данного сценария имеется огромное количество ограничений и множество рисков, которые сложно минимизировать, не затрагивая уже развёрнутые службы. Этот сценарий подходит для простых и консервативных конфигураций. Ключевые, документированные ограничения:

• схема леса 2008R2;
• репликация в домене должна выполняться против контроллера на базе Windows Server 2008R2 с тремя FSMO-ролями

(хозяин схемы, инфраструктуры и PDC-эмулятор);

• объекты с парными атрибутами из расширенной схемы могут вызвать проблемы репликации;
• процесс первичной репликации для крупных баз (как правило, с большими по объёму бинарными атрибутами) занимает

значительное время (до нескольких десятков часов).

Устранение этих ограничений требует специальной разработки, которые требуют значительных вложений и времени на отладку. Поскольку регулярных тестов для конкретных конфигураций не проводится, как правило, такие конфигурации находятся в закрытых сетевых контурах и недоступны для разработчиков, точный набор параметров для «плавной» миграции в проекте Samba на текущий момент оперативно не отслеживается.

«Постепенная» миграция

При отсутствии возможности перенести базу компьютеров, пользователей, групп и других объектов AD полностью, как есть, на другой «носитель», миграция доменной инфраструктуры проводится «постепенно». Такая миграция предполагает несколько промежуточных стадий в зависимости от целей:

• миграция служб (в первую очередь веб-приложений) в отдельную доменную инфраструктуру с доверительными

отношениями с текущей;

• миграция клиентских рабочих мест на отечественные операционные системы;
• комплексная миграция серверов и клиентских рабочих станций.

При этом создаётся параллельная доменная инфраструктура, исходная пользовательская база (пользователи и группы) сохраняется через доверительные отношения и «постепенно» (по частям) переносится в новую инфраструктуру.

В случае миграции служб перенос пользовательской базы откладывается, сохраняются исходные рабочие места под управлением Windows, а все усилия прилагаются к тому, чтобы вывести из эксплуатации и заменить сопутствующие системные службы, не относящиеся непосредственно к доменной инфраструктуре.

В случае миграции рабочих мест главный упор делается на решение задачи замены пользовательских приложений, на их возможность запуска и работоспособность в новом окружении (прежде всего специализированного ПО, веб-приложений с «аутентификацией в домене», а также доступность почты, календаря и т. п.).

Комплексная миграция предполагает комбинирование миграции служб и рабочих мест и является наиболее трудоёмкой единовременной процедурой. Конкретные целевые особенности такой миграции зависят от специфики переносимой инфраструктуры.

Реализация сценариев миграции в дистрибутивах «Альт»

В дистрибутивах семейства «Альт» клиентские и серверные настройки разделены. Основным инструментом управления является «Альтератор», как центр управления системой. На текущий момент основной упор поддержки рассмотренных сценариев миграции сделан на интеграцию клиентских рабочих мест в инфраструктуру Active Directory. Интеграция реализуется в рамках сведения различных компонент управления операционной системой в целостный системный интерфейс, включающий в себя:

• обобщённый инструментарий подключения клиентов доменной инфраструктуры к различным доменным решениям

(system-auth);

• групповые политики, как встроенный инструментарий управления конфигурациями;
• комплект графических средств администрирования, позволяющий заменить родной инструментарий управления Active Directory — Remote Server Administration Tool (RSAT).

Примечания и ссылки