Плавный переход к новой почтовой инфраструктуре

Переход с Microsoft Exchange Server 5.5 на Exchange 2000 Server и соответствующий переход с Windows NT на Windows 2000 являются самым значительным изменением в информационной инфраструктуре предприятия. Миграция на Exchange 2000 требует фундаментальных изменений в общей системе, поэтому уже на этапе подготовки необходимо изучить все детали этого процесса. Работая консультантом в компании Compaq, я принимал участие в миграции нескольких десятков тысяч пользователей и хочу предложить читателям 20 советов, которые позволят упростить весь путь перехода на Exchange 2000.

Совет 1: Договоритесь о поддержке

Привлекайте к сотрудничеству различных специалистов компании, так как может потребоваться поддержка в области управления и технического сопровождения. Миграция на Exchange 2000 затрагивает множество аспектов в информационной среде. Например, может потребоваться пересмотр инфраструктуры Windows, особенно если одновременно происходит миграция на Windows 2000. При этом необходимо изменить структуру DNS для поддержки Active Directory (AD). Возможно, придется пересмотреть и конфигурацию аппаратного обеспечения для серверов Exchange.

Такая модификация инфраструктуры обычно затрагивает различные подразделения и требует финансовой поддержки организации. Следовательно, надо быть готовым к противодействию. Расскажите пользователям о новых возможностях системы после миграции, организуйте миграцию как часть других проектов и технологий, неустанно убеждайте руководство в необходимости приобретения новых программных и аппаратных средств.

Совет 2: Подготовьте доменное оружие

Взаимодействие Exchange 5.5 и NT усложняет доменную инфраструктуру. Такая модель для Windows 2000 не подходит, поэтому перед тем, как начинать миграцию, доменную структуру придется изменить.

Для Exchange 2000 необходимо запустить утилиту Domainprep в каждом домене, где расположены учетные записи пользователей Exchange 2000. Следовательно, от количества доменов зависит объем работ по подготовке доменного окружения к миграции. К тому же простая доменная модель облегчает создание соглашений о соединении Connection agreements (CA). Обычно CA нужны для каждого узла Exchange 5.5. Чем больше пользователей в каждом узле Exchange 5.5 находится внутри одного домена, тем меньше требуется CA. Увеличение количества доменов для пользователей одного узла Exchange 5.5 потребует репликации между доменами и большего количества CA на узел Exchange.

Доменная модель Compaq содержала более 1800 доменов NT. При переходе на Windows 2000 в компании была сформирована более плоская структура из четырех доменов, показанная на Рисунке 1. В новой модели каждое имя родительского домена отражает его географическое положение, а дочерние домены содержат все учетные записи пользователей и компьютеров. В идеале нужно стремиться к плоской модели из одного домена. Однако различные политические причины и требования безопасности не позволяют ее реализовать.

Рисунок 1. Структура доменов Windows 2000 в компании Compaq

При подготовке доменов следует также позаботиться о том, чтобы домены Windows 2000, в которых расположены учетные записи пользователей и групп, были переведены в собственный режим. Этот режим поддерживает использование универсальных групп Universal Security Groups (USG), которые нужны для управления общими папками Exchange 2000 и доступа к ним.

Совет 3: Обеспечьте репликацию AD

Прежде чем устанавливать Exchange 2000, необходимо запустить утилиту Forestprep, чтобы добавить расширения схемы для Exchange 2000 и определить организационную иерархию Exchange в AD. Exchange 2000 хранит всю конфигурационную информацию, включая данные о серверах, коннекторах и маршрутных группах, в контексте именования (Naming context, NC) AD. По умолчанию конфигурационный NC реплицируется на все контроллеры домена (Domain controllers, DC) внутри своего дерева. При запуске Forestprep на первом сервере Exchange, который будет устанавливаться, сервер внесет описания организации Exchange в конфигурационный NC. Репликация конфигурационного NC может не состояться (например, из-за задержек), и установка Exchange 2000 завершится с сообщением об ошибке. В таком случае установку Exchange 2000 следует повторить через некоторое время. Кроме описаний мигрирующей организации, AD реплицирует важную информацию для синхронизации данных о пользователях и контактах по всем серверам глобального каталога (Glo-bal Catalog, GC) в своем лесу.

Для успешного завершения установки следует уделить достаточно внимания репликации AD. С помощью утилиты ADSI Edit с установочного компакт-диска Windows 2000 из каталога Support Tools можно проверить, была ли она выполнена. Или же можно воспользоваться утилитой Replmon из Microsoft Windows 2000 Server Resource Kit для просмотра статуса репликации. Replmon позволяет вмешиваться в процесс репликации.

Совет 4: Очистите хранилище DS

Если предполагается использовать Ac-tive Directory Connector (ADC) для синхронизации информации службы каталога (Directory Service, DS) Exchange 5.5 с AD, не стоит тратить время на репликацию лишней информации. Если очистка DS Exchange 5.5 не производилась в течение нескольких лет, служба каталога наверняка успела собрать много ненужных данных о почтовых ящиках, лишних контейнерах иерархии и дублированных получателях. Я рекомендую перед тестированием ADC провести «курс лечения» DS (информацию о работе ADC можно найти в статье «Настройка и эффективное управление ADC», ч. 1 и ч. 2, опубликованной в журнале Windows 2000 Magazine/RE в № 5-6 за 2001 г. - прим.ред.).

Существуют различные методы очистки DS. Например, с помощью файлов с разделителями в виде запятых (Comma Separated Value, CSV) можно экспортировать описания всех почтовых ящиков, списков рассылки (DL) или других объектов каталога Exchange 5.5 и затем вручную проанализировать такие файлы. Также можно с помощью VBScript создать простое приложение, которое будет «отлавливать» в DS дублирование данных для разных объектов Exchange.

Совет 5. Замените неподходящие символы

Другим методом очистки DS является выявление и удаление символов, которые подходят для DS, но для AD не годятся. Например, ADC и Exchange 2000 во время процедуры обновления используют отображаемое имя узла Exchange 5.5 для имени административной группы соответствующего узла в AD. Если в отображаемом имени содержатся символы, отличные от букв и цифр, пробела и тире, то такие символы перед началом миграции надо удалить. Если этого не сделать, то соответствующие объекты в AD будут недоступны.

Совет 6: Не допускайте проблем с ресурсными почтовыми ящиками

Почтовые ящики ресурсов могут вызвать неполадки при использовании ADC Exchange 5.5 для синхронизации с AD. Когда обрабатывается почтовый ящик Exchange 5.5, ADC создает для него в Windows 2000 пользовательскую учетную запись, с помощью SID и ассоциированной учетной записи NT для атрибута msExchMasterAccount SID. Учетная запись NT, ассоциированная с почтовым ящиком ресурса (например, почтовый ящик для комнаты заседаний или проектор в конференц-зале), часто соответствует «настоящему» пользователю NT, который отвечает за данный ресурс. Например, Экран 1 показывает почтовый ящик для Conference Room 7, ассоциированный с учетной записью Vickers. Однако внутри леса Windows 2000 два объекта не могут иметь идентичные значения для msExchMaster AccountSID. Так, ADC, обрабатывая первым почтовый ящик, например Conference Room 7, использует значение msExchMasterAccountSID. В результате, когда ADC станет обрабатывать другой почтовый ящик (например, Vickers), он не будет синхронизирован с AD, и глобальный список адресов (Global Address List, GAL) Exchange 2000 не отобразит этот ящик (данный сценарий работает и при возникновении проблем с правами доступа).

Экран 1. Почтовый ящик ресурса Conference Room 7 связан с учетной записью пользователя NT

В такой ситуации лучше всего было бы создать новые учетные записи NT для каждого почтового ящика ресурса. Но поскольку определение почтовых ящиков ресурсов и создание новых учетных записей требует много времени, можно использовать другой подход. В настройках CA можно использовать фильтр поиска протокола Lightweight Directory Access Protocol (LDAP) или правила сравнения объек-тов для исключения почтовых ящиков ресурсов из общего процесса обработки. После этого следует вручную или программным способом пересоздать почтовые ящики ресурсов в Exchange 2000.

Во многих организациях псевдонимы почтовых ящиков Exchange 5.5 и ассоциированные учетные записи NT отличаются друг от друга. Например, псевдоним для почтового ящика Don Vickers в Exchange 5.5 может быть DonV, а имя учетной записи в базе SAM - Vickers. Если использовать утилиту Ntsdnomatch из Microsoft Exchange 2000 Server Resource Kit для идентификации почтовых ящиков ресурсов, то с ее помощью можно назначить почтовому ящику псевдоним в соответствии с именем учетной записи в базе SAM.

Ntsdnomatch - полноценная утилита для предварительного контроля. Утилита сканирует каждый узел Exchange 5.5 для определения почтовых ящиков с псевдонимами, отличными от имени ассоциированной учетной записи SAM. Ntsdnomatch определит почтовый ящик, показанный на Рисунке 2, как ресурсный, а также выяснит, что учетной записи Vickers еще соответствует псевдоним DonV. Хотя логика определения почтовых ящиков ресурсов в Ntsdnomatch нехитрая, польза от этой утилиты несомненна.

Рисунок 2. Перенос соединений после установки первого сервера Exchange 2000

Совет 7: Обеспечьте уникальные имена DL

Когда ADC синхронизирует списки рассылки DL из DS Exchange 5.5 с AD, ADC создает универсальные группы рассылки (Universal Distribution Group, UDG) в AD для каждого списка DL. UDG получают те же имена, что и в DC, но при этом ADC сокращает длинные имена до 20 символов для совместимости с утилитой NT User Manager for Domains. Когда ADC обрабатывает списки DL с совпадающими первыми 20 символами (например, AllUsersWhoHaveBlackHair, AllUsersWhoHaveBlackShoes), возникает конфликт имен, и в результате происходит ошибка синхронизации. Во время проведения предмиграционной проверки объектов Exchange 5.5 DS необходимо позаботиться о том, чтобы имена DL не вызывали проблем.

Совет 8: Оцените скорость

Скорость является существенным фактором при выборе метода миграции Exchange. Обновление «на том же месте» потребует конвертации частного и общего хранилищ Information Store (IS) в новый формат баз данных Exchange 2000. Графики Microsoft демонстрируют примерные показатели обновления IS до формата Exchange 2000, которые равны приблизительно 25 Гбайт/ч.

Альтернативным способом миграции является установка Exchange 2000 на отдельном сервере и использование в оснастке Active Directory Users and Computers консоли Microsoft Manage-ment Console (MMC) пункта Move Mailbox для переноса почтовых ящиков. Это очень медленный способ миграции, так как Move Mailbox использует процедуры удаленного вызова (RPC), основанные на Messaging API (MAPI). При помощи такого механизма собираются все данные об объекте «почтовый ящик» для дальнейшей миграции. Конечно, скорость передачи зависит, прежде всего, от конфигурации аппаратных средств, особенно от подсистемы ввода/вывода. По своему опыту могу сказать, что Move Mailbox переносит данные при минимальной конфигурации (т. е. один контроллер ввода/вывода, один жесткий диск для баз данных и один диск для файлов журналов) сервера Exchange со скоростью примерно 1 Гбайт/час. Поэтому высокоскоростные диски и контроллеры могут увеличить производительность, а примитивная подсистема ввода/вывода - уменьшить ее.

Но не стоит исключать технологию Move Mailbox из списка возможных вариантов миграции только из-за того, что она медленнее обновления «на том же месте». Перенос почтовых ящиков имеет одно важное преимущество: можно минимизировать прерывание обслуживания из-за перевода Exchange 5.5 в режим автономной работы. При этом процесс миграции легко организовать по расписанию, проводить по частям и совместить с миграцией учетных записей NT. В такой ситуации проблемы если и возникнут, то затронут только некоторых пользователей.

Совет 9: Проанализируйте коэффициент Single Instance Ratio

Коэффициент Single Instance Ratio может подсказать лучший вариант миграции. Технология Single Instance Storage (SIS) позволяет множеству пользователей работать с одной копией почтового сообщения и является одним из преимуществ модели базы данных IS Exchange.

Счетчик монитора производительности Single Instance Ratio может показать, насколько эффективно настроена в системе функция SIS (для просмотра счетчика нужно выбрать Single Instance Ratio у объекта MSExchange IS Private). На Экране 2 показано значение Single Instance Ratio, равное 1.384. Увеличение коэффициента соответствует увеличению эффективности хранилища. Например, коэффициент 2 (т. е. 2:1) соответствует в среднем двум ссылкам на одно сообщение в системном хранилище.

Экран 2. Определение эффективности SIS

Хотя SIS, конечно, в большинстве случаев полезена, во многих организациях значение коэффициента одновременного доступа остается низким, и, соответственно, возможности технологии SIS используются мало. Если Performance Monitor показывает для частного IS высокое значение Single Instance Ratio и поддержка такого значения в Exchange 2000 необходима, следует выполнять обновление версии «на том же месте». Обновление «на том же месте» сохранит характеристики SIS для базы данных, а использование Move Mailbox - нет.

Совет 10: Уменьшите размер IS

Независимо от технологии миграции и характеристик подсистемы ввода/вывода можно повысить скорость миграции, уменьшив размер баз данных Exchange. Прежде чем начать обновление, предложите пользователям просмотреть содержимое их почтовых ящиков. Присланное по почте напоминание о размерах почтовых ящиков может заставить пользователей выполнить очистку. Или же придется принять драконовские меры: уменьшить допустимый размер почтового ящика, с наложением запрета на работу с почтой при превышении указанного объема. Это можно сделать с помощью Mailbox Manager или написав сценарий, блокирующий учетные записи у нарушителей заданных ограничений.

Совет 11: Перенесите CA и DRC на серверы SRS

Система Exchange 5.5 с множеством узлов использует коннектор репликации каталога (Directory Replication Con-nector, DRC) между двумя серверами-мостами Exchange 5.5 в соединенных узлах. Когда между этими узлами и AD настраиваются CA, обычно CA располагаются на тех же серверах-мостах. Если серверы-мосты содержат CA, обновление можно выполнять, только если в узле уже есть первый сервер Exchange 2000. После установки Exchange 2000 необходимо немедленно перенести DRC и CA на компьютер с Site Replication Service (SRS) (порт 379).

Перенос коннекторов гарантирует исходному хранилищу DS Exchange 5.5, что его информация успешно распространится на другие серверы узла (например, если некоторое количество серверов будет выключено при большом общем количестве серверов Exchange 2000). Для последовательного обновления серверов-мостов Exchange 5.5 сразу после установки первого сервера Exchange 2000 (если он не на кластере) следует запустить на нем SRS. Перенос DRC и CA на другую систему перед обновлением серверов-мостов позволит избежать ситуации, когда DS недоступен для узла во время отключения серверов-мостов. На Рисунке 2 показаны начальная конфигурация и изменения, которые необходимо внести в DRC и CA после установки первого сервера Exchange 2000.

Совет 12: Создайте реальную среду для тестирования

Нельзя начинать процесс миграции на Exchange 2000, не проанализировав все системное окружение. Следует изучить все возможные аспекты плана миграции. Для выполнения такого полноценного анализа необходимо построить для тестирования реальную среду, максимально соответствующую действующей промышленной системе. Если в промышленной системе сетевые соединения медленные, нужно использовать эмуляторы модема для создания на тестовом стенде аналогичных медленных каналов. Если предстоит обновление множества доменов NT, воспроизведите такую же ситуацию. Это позволит понять механизмы миграции учетных записей на Windows 2000. Создав такую доменную структуру, вы сможете настроить CA с учетом границ доменов или поймете, как лучше распределить пользователей узла Exchange 5.5 между двумя доменами Windows 2000. Необходимо использовать стенд для определения режима правильной работы CA: проверьте, как миграция отразится на репликации иерархий, как будут перенесены полные имена (Distinguished name, DN), насколько эффективны будут CA после переноса объектов в топологию AD.

Совет 13: Протестируйте утилиты для миграции

Тестовый стенд поможет определиться с возможностью использования утилит Microsoft или других производителей. И Windows 2000, и Exchange 2000 имеют утилиты миграции с ограниченной функциональностью. Например, можно использовать Active Directory Migration Tool (ADMT), но при миграции учетных записей NT утилита будет неправильно обрабатывать атрибуты msExchMasterAccountSID при их сравнении. Имеет смысл использовать утилиты производства независимых компаний. Таких утилит достаточно много: bv-Admin от BindView, FastLane DM/Suite от Quest Software, Controlled Migration Suite and Exchange Migration Wizard от Aelita Software, Exchange Migrator от NetIQ.

Совет 14: Настройте аппаратное обеспечение

Когда дело доходит до аппаратного обеспечения для Exchange 2000, приходится тщательно продумывать его конфигурацию, так как между Exchange 2000 и Exchange 5.5 есть некоторая разница. Различия между Exchange 5.5 и Exchange 2000 могут выражаться в множественности IS (т. е. баз данных) и возможности объединять до пяти баз в группы хранения (Storage group, SG). Базы данных в каждой SG делят между собой общий набор файлов регистрации транзакций. К тому же хранилище Streaming Store в Exchange 2000 зависит от подсистемы ввода/вывода при передаче аудио- и видеоданных. Я не буду вдаваться в детали отличий в Exchange 2000 размещения почтовых ящиков в базах данных, SG и томах физических дисков. Знаний, накопленных при работе с Exchange 5.5, вполне достаточно для создания несложной системы Exchange 2000.

В небольших организациях перераспределение почтовых ящиков осуществить не так уж сложно, но для организаций, имеющих много пользователей на каждом сервере и желающих повысить уровень обслуживания, придется заняться вопросом перераспределения почтовых ящиков по множеству баз данных и переконфигурацией подсистемы ввода/вывода. Конфигурация аппаратного обеспечения должна быть пересмотрена до начала обновления системы, так как изменение подсистемы ввода/вывода после обновления повлечет за собой отключение серверов для добавления дисков и контроллеров. В такой ситуации лучше устанавливать Exchange 2000 на новом аппаратном обеспечении с дальнейшим переносом пользователей на новый сервер.

Совет 15: Рассмотрите метод "с чистого листа"

Некоторые эксперты, в том числе специалисты Microsoft, рекомендуют использовать метод миграции «с чистого листа» в другую организацию Exchange (вместо миграции «на том же месте» или с переносом почтовых ящиков).

На мой взгляд, лучше обновлять имеющиеся серверы или внедрять новые серверы Exchange 2000 в существующую среду, чем выполнять миграцию между организациями, где целевая организация Exchange 2000 отличается от исходной, построенной на серверах Exchange 5.5. При такой схеме с помощью ADC синхронизируются почтовые ящики Exchange 5.5 с объектами AD, использующими и не использующими почту, и с помощью Mailbox Migration Wizard из первого пакета обновлений Exchange 2000 (SP1) содержимое почтовых ящиков экспортируется в объекты, созданные ADC в Exchange 2000.

Метод «с чистого листа» имеет свои преимущества. При миграции не используется Configuration CA для синхронизации информации Exchange 5.5 и AD, поэтому все данные из Exchange 5.5 не наследуются. Следовательно, можно строить новую топологию для организации Exchange 2000, работающей в собственном режиме, и, соответственно, пропустить этап работы системы в смешанном режиме, который ограничивает возможности настройки маршрутных и административных групп. Преимуществом также можно считать назначение организации Exchange нового имени.

Однако метод миграции «с чистого листа» предполагает сложности с управлением процессами. Непросто осуществить и обмен общими папками между организациями Exchange 5.5 и Exchange 2000. Кроме того, Mailbox Migration Wizard оставляет нетронутыми некоторые почтовые ящики Exchange 5.5, их придется переносить вручную. Настройки «Мастера правил» и «Заместителя», настройки делегирования прав и календарь при использовании миграции «с чистого листа» также не будут перенесены.

Совет 16: Используйте однонаправленный режим работы СА

Если задействовать двунаправленный режим CA для синхронизации почтовых ящиков Exchange 5.5 и AD, все изменения созданных ADC в AD объектов будут отражаться в DS Exchange 5.5. Удаление объекта ADC отобразится на объектах DS и почтовых ящиках Exchange 5.5. Неаккуратное удаление использующих почту объектов может создать препятствия для дальнейшего совместного существования. Поэтому сначала надо настроить CA для однонаправленной работы. Такая конфигурация позволит синхронизовать почтовые ящики Exchange 5.5 с AD и предотвратит их случайные изменения. После извещения администраторов Windows 2000 о запрете на удаление почтовых ящиков можно перенастроить CA на двунаправленную работу с использованием полной функциональности.

Совет 17: Обдумайте создание собственных утилит для миграции

Утилита Move Mailbox позволяет выбрать одного или нескольких пользователей и переместить их почтовые ящики с сервера Exchange 5.5 на сервер Exchange 2000. Как правило, такой способ хорош для переноса небольшого количества пользователей. Если происходит процесс миграции на Exchange 2000 в большой организации, приходится переносить сотни и тысячи почтовых ящиков одновременно. В подобной ситуации необходимо рассмотреть возможность использования Col-laboration Data Objects (CDO) и Col-laboration Data Objects for Exchange Management (CDOEXM) для построения сценариев миграции.

Самостоятельно созданные утилиты позволяют осуществлять процесс миграции в фоновом режиме и с использованием планировщика Windows 2000 для выполнения процедуры в выходные дни или в ночное время. Также можно разработать утилиты, использующие различные исходные данные (например, от процедуры миграции учетных записей NT в Windows 2000) для создания списка переносимых учетных записей. В Листинге 1 показана часть кода CDO, который получает полные имена DN пользователей, имеющих почтовые ящики, создает DN в целевой базе данных и переносит почтовые ящики в целевую базу данных. «Настоящим программистам» создание специализированных утилит вполне по силам. Однако нельзя забывать, что созданное программное обеспечение необходимо тестировать и отлаживать, поскольку существует вероятность серьезного повреждения данных.

Совет 18: Включайте СА постепенно

Если необходимо настроить множество CA для действующей системы, не стоит делать это сразу. При активации CA создает большой сетевой трафик при обмене данными с DS и AD. Включение CA может повлечь за собой снижение активности репликаций и значительное замедление управления системой.

Например, в Compaq было решено создать более 40 CA для семи серверов ADC, а затем провести репликацию почтовых ящиков Exchange 5.5 в AD. После создания общей среды CA запускались на одном сервере ADC в течение одного дня. После семи дней все CA функционировали, и репликация выполнялась в стабильной и контролируемой обстановке.

Совет 19: Подготовьтесь к послемиграционной проверке

Важна не только доскональная предмиграционная проверка, которая позволяет идентифицировать почтовые ящики ресурсов и пользователей, имеющих одну учетную запись NT, и обеспечивает тем самым уникальные псевдонимы почтовых ящиков в Exchange 5.5, но и послемиграционная проверка. Она позволит гарантировать, что все объекты Exchange 5.5 должным образом синхронизированы с AD. Утилиты независимых разработчиков помогают осуществить предмиграционную проверку, но не обеспечивают полнофункциональную проверку после миграции. Для качественного перехода в новую среду я рекомендую разработать собственные утилиты, которые гарантируют, что все объекты DS в Exchange 5.5 получили партнера на основе наследуемых от DN атрибутов.

Совет 20: Постарайтесь не шокировать пользователей

Этот совет в пошаговом плане миграции является первостепенным. Попытайтесь провести изменения в инфраструктуре Windows и почтовой системы, не вызывая у пользователей потрясения. Например, последовательно осуществите доступ к Exchange 5.5 с помощью учетных записей Windows 2000 и доступ к почтовым ящикам в Exchange 2000 с учетными записями NT. Для переноса учетных записей NT и почтовых ящиков Exchange 5.5 используйте быстрые утилиты, поддерживающие перенос паролей. Не следует изменять инфраструктуру так, чтобы это вызывало лавину звонков в службу технической поддержки. В Compaq переносилось по 3000 пользователей с Exchange 5.5 на Exchange 2000 каждые выходные, и это вызывало обычно один-два звонка в службу технической поддержки в понедельник. Считайте, что ваша задача - минимизировать количество звонков в службу технической поддержки.

Резюме

Эти советы помогли техническому персоналу компании Compaq и многим другим компаниям выполнить переход на Exchange 2000. Каждая система может иметь свои особенности, но, какой бы ни была процедура миграции, необходимо разработать план и построить тестовую систему для проверки всех его аспектов. Миграция на Exchange 2000 - задача не из легких, но планирование и тщательное тестирование поможет достичь поставленной цели.

Киран Маккори живет в Ирландии, является старшим консультантом ргуппы Techology Leadership Group в Compaq. С ним можно связаться по адресу kieran.mccorry@compaq.com