Migrando a

Windows Server 2003

®

desde Windows NT 4.0

®
Lo que Cubriremos
 Planeando la migración
 Preparando la migración
 Migrando usuarios, computadores,
bosques, etc. en Directorio Activo
 Efectos de la migración
Agenda
 Planeando la migración
 Preparando la migración
 Proceso de migración
 Actualización (Upgrade) y Re-
estructuración
 Resultados y efectos de la migración
Identificar el dominio actual
Windows NT 4.0
 Identificar
 Modelo actual de dominios
 Relaciones de confianza existentes
 Número y ubicación de los controladores de
dominio en la red existente
 Cuentas de usuario, grupo y computadores
existentes
 Cómo se administran los perfiles de usuario
 Administración del dominio actual
 Procedimientos y estándares de seguridad
Determinando un camino de
migración del dominio
Upgrade del
dominio
Evaluar las
decsiones
del upgrade

Evaluar las
Posibles vías de decisiones
migración del de re-
dominio estructura
Re-estructurar el
dominio

Evaluar las
decisiones
de upgrade y
re-estructura

Upgrade y Re-estructura
Criterios para seleccionar
una vía de migración
 Criterios
?
 Estructura del dominio Upgrade del
dominio

 Tolerancia de caídas
del servicio
 Tolerancia de riesgos ?
Re-estructura del
dominio
 Limites de tiempo
 Disponibilidad de
recursos ?
 Compatibilidad de Upgrade y Re-estructura

aplicaciones
 Limites de
presupuesto
Razones para seleccionar la
vía del Upgrade
 Seleccione hacer un upgrade cuando
 La estructura de dominio existente es similar a
Upgrade al
la estructura propuesta para el Directorio
dominio Activo
 La estructura de dominio existente cubre las
necesidades de negocio y técnicas de la
organización
 Los nombres de dominio deben mantenerse
 La organización requiere la vía de migración
con el menor riesgo
 La migración debe ser completada en el menor
tiempo posible
 La organización tiene un número muy limitado
de personas para trabajar en la migración
 La posibilidad de que la organización adquiera
hardware adicional está limitada
presupuestariamente
Razones para seleccionar
la vía de la Restructuración
 Elija restructurar cuando
 La estructura de dominio existente no cumple
Restructuración
con las metas de negocio y de migración de la
del Dominio organización
 La organización no puede tolerar la no
disponibilidad del servicio de directorio en
producción
 La organización puede asumir algún riesgo para
obtener una estructura de dominio óptima
 Existe tiempo suficiente para completar las
tareas adicionales que implica la
restructuración
 Existe personal suficiente para completar las
tareas de restructuración
 Existe dinero suficiente para adquirir hardware
adicional
Razones para seleccionar la
vía de Upgrade y
Restructuración
 Elija hacer upgrade y restructurar
cuando
 La estructura de dominio existente es
Upgrade y Restructura similar a la estructura propuesta de
Directorio Activo
 La organización quier usar ciertas
características de Directorio Activo pronto
debido a los beneficios que proporcionan
 La organización quiere reducir los costos
administrativos y de hardware en el corto
plazo
 La organización es adversa al riesgo pero
no quiere mantener su modelo de dominio
existente a largo plazo
Limpiando la base de datos
SAM de Windows NT 4.0
Limpiar la base de datos SAM

Computer1

Computer1
Computer2

User1
Group1

Group1
User1
User1

Group2
Consideraciones para limpiar
la base de datos SAM
 Cuentas de usuario que pueden ser eliminadas
 Cuentas de usuario duplicadas
 Cuentas de usuario no utilizadas
 Cuentas de grupo no utilizadas
 Cuentas de grupo para recursos que ya no existen
 Cuentas de computador no utilizadas
 Cuentas de usuario que pueden ser deshabilitadas
 Cuentas de usuario que no hayan sido usadas por un amplio
período
 Cuentas de usuario que tengan derechos, permisos y
membresías de grupo que deben ser retenidas
 Cuentas de usuario que sean dueñas de recursos de red
importantes
 Cuentas de grupo que cumplan la misma función pueden
ser consolidadas
Limpieza de cuentas de grupo
Identificar Verificar membresía Eliminar cuentas
Consolidar
cuentas de grupo y permisos de una de grupo
cuentas de grupo
para consolidación cuenta de grupo no usadas
 Listar todas  Listar todos  Remover los  Usando User
las cuentas de los miembros miembros de Manager for
grupo locales de una cuenta una cuenta de Domains
y globales de grupo grupo y  Usando el
 Redireccionar global añadirlos a comando
la salida a un  Listar todos otra cuenta de net group y el
archivo de los miembros grupo comando net
texto de una cuenta  Copiar la lista localgroup
 Revisar la de grupo local de membresía
lista de  Listar todas de la cuenta
cuentas de las DACLs que de grupo
grupo a contienen  Consolidar los
consolidar permisos para permisos
una cuenta de
grupo
Limpieza de Computadoras
Identificar Eliminar
computadoras computadoras
no usadas no usadas
 Observar todas las  Usando Server
computadoras Manager
 Listar todas las  Usando el comando
computadoras que netdom
no estén siendo
usadas
 Verificar la
elegibilidad para ser
eliminadas
Secuencia para Actualizar
Dominios de Cuentas
Dominio de
 Actualice los dominios en los
Cuentas cuales tenga el acceso físico
más fácil a los controladores
de dominio
 Actualice los dominios que
contedrán objetos de
dominios restructurados (si
existen) temprano en el
proceso
 Balancee el riesgo versus el
beneficio de actualizar el
dominio
Secuencia para actualizar
dominios de recursos
 Actualice los dominios que
Dominio de
Recursos contengan aplicaciones que
requieran las características de
Windows Server 2003 primero
 Actualice los dominios que
contendrán objetos de dominios
restructurados (si existen)
temprano en el proceso
 Actualice los dominios con
muchas cuentas de
computadoras cliente
Secuencia para actualizar
Controladores de Dominio
 Actualice primero el PDC
 Actualice todos los BDCs luego
de actualizar el PDC (o
decomisione los BDCs e instale
nuevos controladores de
dominio Windows Server 2003)
 Actualice un BDC primero si el
PDC no reune las condiciones
de instalación
 Demostración 1
Limpiando la base de datos SAM
y actualizando el PDC a Windows
Server 2003
Las implicaciones de actualizar
un PDC Windows NT 4.0
 Qué ocurre durante la actualización de un
PDC?
 El nivel de funcionalidad del dominio es Windows
2000 mixto
 El nivel de funcionalidad del bosque es Windows
2000
 El PDC actualizado posee el rol maestro de
operaciones PDC emulator
 El rol maestro de operaciones PDC emulator es
importante porque expone la base de datos de
Directorio Activo como un almacén de datos
planos hacia los BDCs Windows NT 4.0 durante la
replicación
El efecto de un upgrade al
dominio sobre las relaciones
de confianza
Dominios Windows NT 4.0 Dominios Windows Server 2003

Upgrade
Forest
root
Transitive Transitive
ACCT1 ACCT2 Trust Trust

ACCT1 ACCT2
Transitive
Trust
RES1
RES1
 Servicio DNS confiable en el
upgrade del dominio
 Cómo actualizar los servicios de DNS
Servidor  Actualice el servidor existente corriendo en
DNS Windows NT 4.0
 Instale un nuevo servidor corriendo
Windows Server 2003
 Actualice los servidores DNS no Microsoft
 Cómo minimizar el impacto de una
actualización de DNS
 Administre DNS en Windows Server 2003 y
DNS en Windows NT 4.0 con sus respectivas
herramientas de administración
 Defina servidores maestros para servidores
DNS corriendo Windows Server 2003 y
servidores DNS Windows NT 4.0
Terminología de Migración
Migración de Mover usuarios, grupos y cuentas de computador de un dominio
dominio Windows NT 4.0 a un dominio Windows Server 2003

El dominio desde el cual se están migrando los objetos de

Dominio origen seguridad

El dominio hacia el cual se están migrando los objetos de

Dominio destino seguridad

Dominio de Un dominio Windows NT 4.0 que contenga usuarios y grupos

cuentas
Dominio de Un dominio Windows NT 4.0 que hospede servicios de archivos,
recursos Impresión y otros

Consolidar Restructurar un gran número de dominios en una menor cantidad

dominios
Proveen compatibilidad hacia atrás para los diferentes sistemas
Niveles funcionales operativos que usan Directorio Activo

Crear nuevas cuentas en el dominio destino equivalentes a

clonar cuentas en el dominio origen

Un atributo de los objetos de seguridad en Directorio Activo que es

SID-History usado para almacenar los SIDs previos de objetos movidos
Beneficios de usar Active
Directory Migration Tool
(ADMT)
Por qué usar ADMT?
 Analisis del impacto de
migración tanto antes como
después del proceso de
migración real
 Prueba de los escenarios de
migración antes de llevarla a
cabo
 Soporte a migración dentro del
bosque y entre bosques
 Provee asistentes para soportar
las tareas de migración más
comunes
Tareas de migración soportadas
por ADMT
 Migración de usuarios, grupos,
y computadores entre dominios
 Traducción de seguridad sobre
grupos locales, perfiles de
usuario y recursos de archivo e
impresión
 Llenado del atributo SID-History
con los objetos de seguridad
migrados
 Traducción de seguridad en las
cuentas de computadoras
 Resolución de problemas de
seguridad con archivos,
directorios y shares
Características de ADMT
Característica Descripción
Scripting e interfaz
de línea de comando Las operaciones de ADMT pueden ser ejecutadas usando
una interfaz de scripts o la herramienta de línea de comando
Migración de
password segura Los passwords pueden ser migrados para usuarios entre
bosques
Archivos de mapeos
La traducción de seguridad está basada en un archivo
SID para traducción
de seguridad separado por comas en lugar de solo el objeto migrado
Exclusión de La mayoría de los atributos de usuarios, grupos y
atributos para computadores pueden ser excluidos de la migración si el
Windows 2000
dominio origen es Windows 2000 o superior
Credenciales de
Agente No se requiere credenciales de agente de despacho

Obviar la
restauración de Una opción de membresía fija ha sido agregada para mejor
membresía performance
Asistentes ADMT
User Account Group Account Computer
Migration Wizard Migration Wizard Migration Wizard

Security Translation Reporting Service Account

Wizard Wizard Migration Wizard

Exchange Directory Undo Last Retry Task

Migration Wizard Migration Wizard Wizard

Trust Group Mapping

Migration Wizard and Merging Wizard

 Use la opción Test migration settings

and migrate later para ejecutar un
asistente sin realizar cambios
Otras herramientas de
migración
 Use ClonePrincipal para clonar cuentas de usuario y grupos en el
nuevo ambiente basado enWindows Server 2003
 Use MoveTree para mover objetos de Directorio Activo entre
dominios en un mismo bosque Windows Server 2003
 Use Netdom para
 Agregar, mover y consultar cuentas de computador en un dominio
Windows NT 4.0
 Consultar un dominio sobre información acerca de relaciones de
confianza existentes
 Crear nuevas relaciones de confianza
 Use Ldp para mostrar los atributos de cualquier objeto en
Directorio Activo
Consolidando dominios en un
solo dominio AD
OU Destino

1
Dominio de Migrar el dominio de cuentas
Cuentas

OU

Origen OU OU
Dominio de
Recursos OU OU OU OU

Dominio de OU Destino
Recursos
2
Migrar el dominio de recursos
Moviendo Usuarios, Computadores
en OUs
Migrar cuentas de usuario
1 y grupo

Migrar cuentas de
2 computador clientes

3 Migrar servidores miembro

Mover controladores de
4 dominio
(a menos que se decomisionen)
Migración de usuarios: ADMT
Opción
Traducir perfiles roaming
Actualizar derechos de usuario
Migrar grupos de usuario asociados tiempo que la cuenta
Actualizar objetos previamente
migrados
No renombrar las cuentas
Renombrar con prefijo
Renombrar con sufijo
Propósito
Copia perfiles roaming desde el dominio origen
al dominio destino para los usuarios
seleccionados
Configura los derechos de usuario asignados a
la nueva cuenta en el dominio destino para que
sean los mismos de la cuenta de usuario original
Migra los grupos asociados al usuario al mismo
Actualiza los grupos a los cuales pertenecen los
usuarios migrados
Intenta asignarle a la cuenta migrada el mismo
nombre de cuenta que en el dominio origen
Añade al prefijo especificado al nombre de cada
cuenta migrada en el dominio destino
Añade el sufijo especificado al nombre de cada
cuenta en el dominio destino
Opciones de migración de
Password en ADMT
Opción Propósito
Genera automáticamente un password complejo
Passwords complejos para cada cuenta de usuario migrada

Configura el password para cada cuenta copiada

Igual al nombre de usuario igual a los primeros 14 caracteres del nombre de
cuenta del usuario
Mantiene el password durante la migración de la
Migrar passwords cuenta

Ubicación para guardar el archivo Especifica un archivo de password al cual se

escriben los passwords asignados o generados
de password
Migrando Grupos Globales
Domain1

Domain2

Grupos
Windows NT 4.0 Globales
Domain3

Dominio Windows
Server 2003
 El Asistente de Migración de Grupos
 Lee los objetos de grupos globales en el dominio origen
 Crea un nuevo objeto de grupo global en el dominio destino; se
crear un nuevo SID primario para el objeto en el nuevo dominio
 Agrega el SID del grupo global en el dominio origen al atributo
SID-History del nuevo grupo global en el dominio destino
 Genera eventos en el dominio origen y destino
Opciones de migración de
grupos en ADMT
Opción
Actualizar derechos de usuario
Copiar miembros de grupo
Actualizar objetos previamente
migrados
Migrar los SIDs de grupo al dominio dominio origen al atributo SID-History de las
destino
No renombrar las cuentas
Renombrar con prefijo
Renombrar con sufijo
Propósito
Copia los derechos de usuario asignados en
el dominio origen al dominio destino
Copia los miembros de los grupos
seleccionados para migrar
Actualiza los miembros de los grupos
seleccionados para migrar
Añade el SID de las cuentas migradas en el
nuevas cuentas en el dominio destino
Intenta asignar al grupo migrado el mismo
nombre que el grupo en el dominio origen
Añade el prefijo especificado al nombre de
cada grupo migrado en el dominio destino
Añade el sufijo especificado al nombre de
cada grupo migrado en el dominio destino
Opciones de conflictos de
nombres en ADMT
Opción Propósito
Deja intacta la cuenta en el dominio
Ignorar cuentas conflictivas y destino
no migrarlas

Cambia propiedades de cuentas

Reemplazar cuentas existentes en el dominio destino a
conflictivas equivalentes en la cuenta con el mismo
nombre en el dominio origen
Asegura que la cuenta en el dominio
Remover derechos de usuario destino no tenga mas derechos que la
existentes cuenta con el mismo nombre en el
dominio origen
Asegura que los miembros de los grupos
Remover miembros existentes migrados en el dominio destino sean los
de los grupos a reemplazar mismos que en los grupos relacionados
en el dominio origen
Añade el prefijo o sufijo especificado al
Renombrar cuentas conflicitivas nombre de la cuenta migrada en el
añadiendo lo siguiente dominio destino
Opciones de transición de
cuentas en ADMT
Opción Propósito
Deshabilita la cuenta de usuario original en el
Inhabilitar cuentas de origen dominio origen

Deshabilita la nueva cuenta de usuario en el

Inhabilitar cuentas en el destino dominio destino

Deja ambas cuentas activas en los dominios

origen y destino
Dejar ambas cuentas abiertas

Configura el número de días luego de los

Días para que la cuenta origen cuales la cuenta origen no estará ya
expire disponible

Añade el SID de las cuentas migradas en el

Migrar SIDs de usuario al dominio origen al atributo SID-History de las
nuevas cuentas en el dominio destino
dominio destino
Migrando Computadores
Domai
n1

Domai
n2

Windows NT 4.0
Domai Computadores
n3

 Las cuentas de computador incluye tanto

estaciones como servidores miembro
 Las estaciones y servidores miembros
tienen su propia base de datos de cuentas
SAM
 Las cuentas usadas para dar acceso a
recursos se mueven automáticamente con
las cuentas de computador Dominio
Windows Server 2003
Migrando perfiles locales
Domai
n1

Domai
n2

Windows NT 4.0
Domai
n3
Perfiles de Usuario

 Para estaciones
corriendo
 Windows NT 4.0
 Windows 2000
Dominio
 Windows XP Windows Server 2003
Opciones para migrar
perfiles locales de usuario
En esta opcíon del wizard Haga esto
Especifique el tipo de objetos para los cuales ADMT
Traducir Objetos
traducirá la seguridad

Seleccione Previously migrated objects para

Opciones de traducción de recuperar objetos previamente migrados para la
seguridad traducción
(1) Seleccione Other objects specified in a file para
recuperar objetos especificados en un archivo

Seleccione Replace para intercambiar el SID de la

cuenta en el dominio origen con el SID de la cuenta
Opciones de traducción de en el dominio destino
Seleccione Add para incluir tanto el SID anterior
seguridad como el nuevo en la clave de registro profile list en el
(2)
computador cliente corriendo Windows NT 4.0
Seleccione Remove para eliminar el SID de la cuenta
en el dominio origen
Migrando Cuentas de Servicio
Domain1

Domain2

Windows NT 4.0
Cuentas de Servicio
Domain3

Identificar las cuentas de

servicio

Migrar las cuentas de servicio

Actualizar los servicios para

hacer log on usando las cuentas
migradas Dominio
Windows Server 2003
Migrar Trusts
Proceso
Trusts
Entrar al DC Windows Server 2003 como
1 Administrator

Iniciar el Security Translation Wizard

2 2
Entrar la información requerida en el
Security Translation Wizard para los
3 permisos en recursos compartidos

Verificación

Entrar como un usuario de pruebas

Abrir un archivo en la carpeta compartida y

crear un archivo en la carpeta
Servicio DNS confiable para la
restructuración de dominios
 Para igualar dominios de Directorio Activo con dominios DNS
 Establecer un servidor DNS en el dominio destino Windows Server
2003
 Configurar el servidor DNS corriendo Windows Server 2003 en el
bosque destino como el servidor DNS primario para todos los
dominios de Directorio Activo
 Promover el servidor DNS corriendo Windows Server 2003 para que
sea un controlador de dominio en el dominio destino de Directorio
Activo
 Cambiar las zonas DNS primarias a zonas integradas al Directorio
Activo en el bosque destino
 Para crear nuevos dominios DNS que hospeden los registros de
recursos SRV
 Instalar un servidor DNS en el dominio destino Windows Server 2003
 Integrar el nuevo servidor DNS con los servidores DNS existentes
 Mover las zonas de búsqueda inversa a un servidor DNS corriendo
Windows Server 2003
Restructurando un Dominio de Cuentas
luego de un Upgrade
Domain1 UPGRADE

Domain2

Windows NT 4.0 Dominio

Windows Server 2003
Domain3

RESTRUCTURA

Dominio Windows Server 200e

Qué cambia al restructurar luego
de un Upgrade?
SID-History al  SID-History puede ser usado para
restructurar preservar el acceso a los recursos
post-upgrade  Para que SID-History funcione bien, debe
mover un objeto desde el dominio origen
al dominio destino

 Restructurar objetos de seguridad dentro

Operación destructiva del mismo bosque Windows Server 2003
resulta en que los objetos sea movidos en
lugar de copiados
 Los objetos del dominio origen dejan de
existir

 Las cuentas de usuario y grupos al que

Conjuntos cerrados pertenecen deben ser movidas al mismo
tiempo para mantener las reglas de
membresía
 ADMT no calcula un conjunto cerrado
completo
El efecto de la migración en
los Logon Scripts
Efectos de un upgrade
 Los logon scripts de
usuario guardados en la
carpeta compartida
NETLOGON no son
afectados
 Los computadores cliente
corriendo Windows Server
2003 ejecutan cualquier
logon script de usuario o
cualquier script asignado al
usuario o computador
usando Políticas de Grupo
si son almacenados en la
carpeta compartida
NETLOGON
Efectos de una restructuración
 Los logon scripts continuan
funcionando para las
cuentas clonadas y
movidas si los scripts son
migrados al dominio
destino
 Los logon scripts que no se
migren no funcionarán para
las cuentas que hayan sido
clonadas o movidas al
nuevo dominio
Migrar Logon Scripts a Políticas
de Grupo en un ambiente basado
en Windows Server 2003
1 Identificar todos los logon scripts en la
carpeta compartida NETLOGON
2 Determinar si los logon scripts de
usuario pueden ser eliminados
3 Determinar dónde aplicar scripts de
Políticas de Grupo en la jerarquía de
Directorio Activo

Logon Políticas de
Scripts Grupo
Resumen de la Sesión
 Planifique y prepare inteligentemente la
migración examinando la estructura
existente
 Configuraciones diferentes llevan hacia
un upgrade, restructuración o ambas
 Limpiar antes de migrar facilita el
proceso de migración
 Una variedad de herramientas,
incluyendo ADMT, están disponibles
para ayudar a simplificar la migración
MS Press
Información interna para profesionales IT

Para los últimos títulos para profesionales de IT

visite
www.microsoft.com/mspress/it/
Cómo puedo tener TechNet?
 Visitando TechNet Online en
http://www.microsoft.com/Latam/technet/home.asp
 Registrándose en el TechNet Flash
http://www.microsoft.com/latam/technet/boletin/defaul
t.asp
 Uniéndose al foro TechNet Online en
http://www.microsoft.com/latam/technet/seguridad/we
bcasts.asp
 Suscríbase a TechNet
http://www.microsoft.com/latam/technet/programa/cds
/default.asp
 Asistiendo a eventos TechNet o en línea
http://www.microsoft.com/latam/technet/entrenamient
o/eventos/default.asp
© 2003 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.