Переход к Exchange Server 2003
Появится окно Account Transition Options (Параметры переноса паролей) (см. рис. 2.10). В этом окне настраивается состояние целевой учетной записи (включена или выключена, либо данная учетная запись сделана той же записью, что и исходная), настраиваются значения отключения на исходной учетной записи и/или осуществляется миграция идентификаторов безопасности (SID) исходной учетной записи.
При переносе идентификаторов безопасности они не становятся главными идентификаторами безопасности в новой учетной записи в Active Directory. Вместо этого создается новый идентификатор безопасности SID при создании новой учетной записи, и SID Windows NT добавляется в атрибут History учетной записи. Этот SID по-прежнему используется для облегчения построения маркера доступа пользователя, однако он не является главным SID в новой пользовательской учетной записи.
Перенос идентификаторов безопасности SID является важным процессом по двум причинам. Во-первых, если пользователи системы проходят аутентификацию в следующем домене Windows Server 2003, но им по-прежнему нужен доступ к ресурсам в домене Windows NT, миграция идентификаторов безопасности SID позволит им осуществлять доступ к ресурсам в домене Windows NT без проведения дополнительных действий по конфигурации или администрированию. Во-вторых, если пользователи проходят аутентификацию в домене Windows Server 2003 и по-прежнему используют свои почтовые ящики Exchange 5.5 на протяжении определенного промежутка времени, миграция идентификаторов безопасности сделает процесс конфигурации безболезненным и прозрачным для пользователей. Мы рекомендуем осуществлять миграцию идентификаторов безопасности для каждой учетной записи, если нет серьезных причин не делать этого.
В данном примере следует включить целевые учетные записи, чтобы пользователи начали проходить аутентификацию в целевом домене. Выберите срок действия учетных записей Windows NT 60 дней, чтобы пользователи при необходимости могли использовать свои старые учетные записи в период перехода. Кроме того, следует осуществить миграцию идентификаторов безопасности SID.
При нажатии кнопки Next (Далее) на странице Account Transition Options (Параметры переноса учетной записи) ADMT начнет проведение аудита целевого и исходного доменов. Поскольку мы очень мало занимались подготовкой доменов, ADMT выдаст уведомление о следующих моментах и предложит внести в конфигурацию соответствующие изменения.
- Для переноса идентификаторов безопасности (SID) необходимо включить аудит исходного и целевого доменов.
- На исходном домене должна присутствовать локальная группа безопасности с именем "domainname$$$", чтобы можно было осуществить миграцию SID-ов. Эта группа будет создана программой ADMT.
- Необходимо добавить на исходном домене ключ реестра TcpipClientSupport.Нельзя выполнять миграцию идентификаторов безопасности при отсутствии этого ключа.
После того как мы разрешим программе ADMT изменять конфигурацию, мастер уведомит о необходимости перезагрузить PDC. Не забудьте это сделать!
Следующее окно - страница User Account (см. рис. 2.11). На этой странице необходимо вести данные пользовательских учетных записей, имеющих административные полномочия на исходном домене. Введите соответствующую информацию и нажмите Next (Далее). ADMT проверит данную учетную запись; если введена неправильная информация, появится запрос на ее повторный ввод.
Следующее окно - User Options (Параметры пользователя) (см. рис. 2.12). Здесь указывается конфигурация профилей роуминга, обновляются пользовательские права, осуществляется миграция пользовательских групп, а также учетных записей пользователей, членами которых являются другие учетные записи, и переименование перенесенных учетных записей с добавлением префикса или суффикса. Тут существует несколько очевидных вариантов действий.
Например, если большинство пользователей системы используют файлы роуминга, отметьте опцию трансляции этих файлов в версию для платформы Windows Server 2003. Опция Fix User's Group Memberships (Фиксировать группы пользователей) добавляет учетные записи мигри-рованных пользователей в группу на целевом домене, если пользователи были членами этой группы в исходном домене. Чтобы пользователи не утеряли свое членство в группах, отметьте опцию Migrate Associated User Groups (Осуществлять перенос связанных групп пользователей), в результате чего будет проводиться миграция групп, которым принадлежат переносимые учетные записи пользователей. Эта опция должна использоваться для поддержки информации о членстве группы на целевом домене.
При нажатии кнопки Next (Далее) в окне User Options (Параметры пользователя) появится окно Naming Conflicts (Конфликты именования), показанное на рис. 2.13. Здесь есть три опции: игнорировать конфликтующие учетные записи, заменить конфликтующие учетные записи, присоединить префикс или суффикс к конфликтующим учетным записям. В действительности программе ADMT сообщается, каким образом осуществлять поддержку перенесенной учетной записи, если эта учетная запись уже существует в Active Directory.
Поначалу непонятно, почему учетная запись существовала ранее. Если бы перед запуском ADMT использовался коннектор Active Directory Connector, то ADC создал бы отключенные пользовательские учетные записи в Active Directory. Если бы ADMT запускалась для переноса той же учетной записи, то в результате образовался бы дубликат учетной записи или возник бы конфликт с учетной записью, уже существующей в Active Directory.
Если нужно выяснить, какие учетные записи находятся в состоянии конфликта, переименуйте учетные записи, добавив префикс "ааа", чтобы они отображались вверху списка на панели предварительного просмотра в консоли Active Directory Users and Computers (ADUC). В нашем примере переименуем конфликтующие учетные записи, добавив к ним префикс "ааа", хотя конфликтов быть не должно.
Нажмите Next (Далее), чтобы отобразить страницу Finish (Готово). Нажмите кнопку Finish (Готово), чтобы начать процесс миграции. В процессе переноса данных появится окно состояния (см. рис. 2.14), отображающее число перенесенных пользователей, групп и компьютеров. По окончании процесса миграции в окне Status (Состояние) отобразится сообщение "Completed" ("Завершено"). Теперь все готово для перехода к следующему этапу миграции.
Так как в процессе миграции данных никаких ошибок не возникло, можно осуществить перенос учетных записей пользователей в Active Directory. На рис. 2.15 показано, что эти учетные записи теперь присутствуют в Active Directory в организационной единице Employees. (Чтобы узнать об управлении дубликатами учетных записей, обратитесь к параграфу "Управление дубликатами учетных записей" далее в лекции.)
