HowTo zur Migration von Fileserver (Novell)

Die Strukturen in einem Unternehmen sind einem ständigen Wandel unterworfen. Deshalb unterliegen auch die Dateiablagen der Notwendigkeit zur kontinuierlichen Anpassung. Diese Anpassungen können der exponentiell anwachsenden Datenflut, dem Umstieg von Novell auf Microsoft oder einfach einer Restrukturierung des Unternehmens geschuldet sein.

Solange die Daten nur von einem kleinen Fileserver auf einen größeren kopiert werden und dabei die Strukuren beibehalten werden sollen, ist das relativ einfach zu handhaben. Allerdings bietet sich dieser Zeitpunkt auch dazu an, die Strukturen auf den Systemen, und vor allem die Berechtigungen einer Überprüfung und Optimierung zu unterziehen. Und ab diesem Zeitpunkt wird das Ganze kompliziert.

Ich möchte Ihnen in diesem Whitepaper aufzeigen, wie man:

• vorhandene Fileserverstrukturen ausliest und zur Auswertung vorbereitet,
• die vorhandenen effektiven Berechtigungen ausliest und zur Bearbeitung aufbereitet,
• die Berechtigungen für die neue Struktur optimiert,
• neue Fileserverstrukturen aufbaut und einfach mit benötigten Berechtigungen versehen kann,
• die Daten kontrolliert von A nach B bekommt,
• von Novell NSS auf Windows-Fileserver oder
• von Linux-Fileservern auf Windows-Fileserver oder
• von Windows-Fileserver auf Windows-Fileserver umsteigt (Windows steht hier stellvertretend für alle CIFS-basierenden Fileserversysteme).

Eine der größten Herausforderungen bei einer derartigen Migration ist die Vergabe der neuen Berechtigungen. Notwendig kann das werden, weil man Daten aus einem fremden Verzeichnisdienst wie Novell oder aus einem fremden AD migriert oder man einfach nur die Struktur auf dem Server neu organisiert.

In diesem Szenario gehe ich von vorhandenen Verzeichnisstrukturen aus, die einer Neuordnung unterzogen werden sollen. Die Komplexität dieses Vorhabens resultiert aus den Möglichkeiten und Erfordernissen, die das Microsoft-Filesystem anbietet bzw. erzwingt.

Hier noch einmal die wichtigsten Empfehlungen für die Berechtigungsvergabe:

·         Berechtigungen sollten nur über Gruppen vergeben werden.

·         Es sollten Ressourcen-Gruppen in den ACLs verwendet werden: Eine Gruppe pro Ressource und Aufgabe: "Verzeichnis x lesen" + "Verzeichnis x ändern" -> je nach Anforderung

·         Es muss für die User die Möglichkeit geschaffen werden, dass sie auch durch das Filesystem über verschiedene Verzeichnisebenen zu ihren Ressourcen browsen können; es müssen also in den Ebenen darüber mindestens Listberechtigungen existieren.

Dieses Vorgehen ergibt sich aus den Einschränkungen des Filesystems, da es keine direkte Verbindung oder Abgleich zwischen dem Verzeichnisdienst und dem Fileserversystem gibt. Hier sind Administratoren in Novellumgebungen klar im Vorteil.

Um einen ähnlichen Komfort in die Microsoftwelt zu bringen, verwenden wir für die Neustrukturierung die Lösung 8MAN der Firma protected-networks.com. In dieser Lösung haben die Entwickler Algorithmen eingebaut, die durchaus ein Novell-Feeling aufkommen lassen. Die wesentlichen Vorteile des Programmes 8MAN liegen im automatisierten Aufbau des benötigten Gruppenkonzeptes für die Berechtigungsvergabe. Wenn also "Ändern" der Berechtigungen für einen User "Meier" oder eine Gruppe "Einkauf" für ein Verzeichnis vergeben werden soll, dann erstellt 8MAN die entsprechende Gruppe, die den Zugriff ermöglicht. 8MAN kann diese Gruppen nach einer vorher definierten Syntax aufbauen und kümmert sich dann im laufenden Einsatz auch um die Konsistenz derselben. Wird diese Gruppe nicht mehr benötigt, wird sie auch wieder automatisch gelöscht. Das schafft Ordnung im AD. 8MAN bietet aber noch mehr. Befindet sich dieses Verzeichnis z.B. in der vierten Ebene des Verzeichnisbaumes, sorgt 8MAN auch für die benötigten Listberechtigungen, damit der User zu seinen Verzeichnissen browsen kann.

Folgender Ablauf hat sich als praktikabelstes Verfahren erwiesen:

·         Man bindet in 8MAN alle Fileserver ein, die man migrieren möchte. Das ist ein einmaliger Konfigurationsvorgang; dabei erfolgt eine Selektion aller Pfade, die berücksichtigt werden sollen.

·         Dann erstellt man einen Report über die ausgewählten Verzeichnisse, deren Migration geplant ist. Man erzeugt den Report über alle Verzeichnisse, die ihre Berechtigungen nicht vererbt bekommen. So erhält man einen guten Überblick über die komplette Pfadstruktur; gesetzte Berechtigungen in tieferen Ebenen der Verzeichnisstruktur werden sehr oft übersehen, da es keine Möglichkeiten mit Microsoftbordmitteln gibt, diese einfach aufzuspüren.
 

·         Auf der Grundlage der vorhandenen Verzeichnisstruktur konstruiert man die neue Wunschstruktur.

o    Dazu bindet man in die Auswertungen die entsprechenden verantwortlichen Personen ein. Das ist besonders wichtig, da es diese Personen sind, für die man die Migration überhaupt macht.

·         Für die einzelnen Bereiche der neuen Struktur lässt man die Verantwortlichen die Berechtigungen neu definieren.

o    Hier ist es sinnvoll mit Excel zu arbeiten. Eine Darstellung der Pfade in Relation zu den zu berechtigenden Usern vereinfacht die Arbeit bei der späteren Berechtigungsvergabe außerordentlich.

Zu diesem Zeitpunkt kann man auf zweierlei Wegen weiterschreiten.

1.       Man modifiziert die alte Verzeichnisstruktur auf dem alten System. Dabei gilt es zu beachten, dass man das immer nur dann tun kann, wenn niemand am System arbeitet. Es ist natürlich auch möglich, das zeitversetzt von der eigentlichen Fachabteilung durchführen zu lassen. Aber Achtung: Verzeichnisse dürfen nicht verschoben werden, sonst werden auch die Berechtigungen an den neuen Ort mitgenommen, was ein größeres Chaos anrichten kann. Deshalb immer kopieren und dann das Kopierte im alten Pfad löschen.

2.       Die alten Verzeichnisse werden über eine Mappingtabelle mit dem frischen System synchronisiert. Dieses Vorgehen wird nachfolgend beschrieben:
 

·         Man erstellt im Filesystem des neuen Servers eine neue LEERE Verzeichnisstruktur.

o    Bei großen Strukturen erweisen sich dabei Scripte als nützlich.

·         Danach vergibt man in 8MAN die benötigten Berechtigungen; Grundlage hierfür bilden die Berechtigungslisten.

o    Wenn man das mit dem Gruppenwizard innerhalb von 8MAN macht, hat man die Berechtigungen in kürzester Zeit vergeben, da alle technischen Konfigurationen wie das Erstellen der Gruppen, das Berechtigen derselben und das Ganze dann auch noch zu dokumentieren, direkt von 8MAN übernommen wird. Der Vorteil bei diesem Vorgehen liegt darin, dass immer nur so viele Gruppen erstellt werden, wie auch tatsächlich benötigt. Erfahrungen zeigen, dass andere Methoden schnell zu einer großen Anzahl von Gruppen führen, die man eigentlich gar nicht benötigt. Das können dann durchaus bis zu 30% der Gesamtgruppenanzahl sein.

o    Ein weiterer Vorteil bei der Vergabe der Berechtigungen über 8MAN liegt in der Anwendung eines Rollenkonzeptes. Man kann also einfach Berechtigungen über sogenannte Rollen vergeben.

In Abhängigkeit der Datenmengen, der Anzahl der (Novell) Fileserver und der Anbindung der Fileserver, die migriert werden sollen, ergeben sich unterschiedliche Herangehensweisen bzw. richtet sich daran die Auswahl der Tools für das verschieben aus.

Grundsätzlich muss vor dem Kopieren der Dateien erstmal eine Mapping-Tabelle erstellt werden. Darin steht, welche Verzeichnisse sich wo in Zukunft befinden sollen. Diese Tabelle ist die Grundlage für das weitere Vorgehen.

Es gibt einige etablierte Tools, die verwendet werden können. Hier eine Auswahl:

• Robocopy (Microsoft)
• Microsoft Migration Manager
• Rsync
• SecureCopy (Quest)
• PeerSync (PeerSoftware)

Hat man kleinere Datenmengen und sind Alt- und Neusystem über eine schnelle Netzwerkverbindung miteinander verbunden, kann man durchaus zu Robocopy oder SecureCopy greifen. Sobald aber abzusehen ist, dass die Daten nicht in einem garantierten zugriffsfreien Zeitraum zu transferieren sind, sollte man eine Lösung wie PeerSync einsetzen. Der Vorteil von PeerSync liegt im Realtime-Abgleich von Source und Target. Wird eine Datei auf der Source vor Abschluss der Übertragung geändert, bekommt es PeerSync mit und überträgt diese Datei erneut. Die Übertragung mit PeerSync verkürzt den Zeitraum erheblich, da die Übertragung auch dann angestoßen werden kann, während die Mitarbeiter noch auf dem System arbeiten. Es ist vor allem zu beachten, dass bei der Übertragung die alten Berechtigungen nicht mitgenommen werden, sondern - wie beim Kopieren üblich - die neuen Berechtigungen geerbt werden. Ein weiterer wichtiger Parameter für die Abschätzung der Übertragungsdauer ist auch die durchschnittliche Dateigröße. Es dauert wesentlich länger, viele kleine Dateien als wenige Große zu kopieren. Ein wichtiger Aspekt für die Empfehlung von PeerSync ist zweifellos auch die Transparenz: Man sieht immer, was schon übertragen wurde und was noch in der Pipeline ist. Bei allen anderen Tools ist das nicht der Fall. Man kann also nur schätzen, wann man mit der Übertragung durch ist. Und klappt es nicht beim ersten Mal, muss man weitere Versuche starten.

Im Übrigen ist es auch nicht notwendig, die Übertragungen zu splitten. Erst wenn alle Daten übertragen wurden, schaltet man das alte System ab und das neue an.

Statusinformationen sind wichtig: PeerSync gibt realtime Auskunft über den Jobverlauf.

Mehrere Synchronisationsjobs können parallel  laufen, um Verzeichnisse in einer neuen Struktur konsolidieren zu können:

Sobald die Enduser mit betroffen sind, wird das ganze kompliziert. Hier hat sich eins als sinnvoll herausgestellt:  Je umsichtiger man in der Vorbereitung der Enduser ist, umso weniger Probleme ergeben sich im Nachgang. Hier ist es besonders wichtig, die Enduser rechtzeitig mit so vielen Informationen zu versorgen wie möglich. Vor allem sollte vermittelt werden, warum man das Ganze macht, denn umso eher werden mögliche Startschwierigkeiten verziehen. Sobald alle Daten auf dem neuen System eingetroffen sind, kann man nun zügig umstellen. Es sollte schnellstmöglich der allgemeine Zugriff auf die alten Speicherorte unterbunden und auf die neuen ermöglicht werden.

Für die Verteilung der neuen Shares empfehlen sich zentralisierte Konfigurationen wie Login-Scripte oder Gruppenrichtlinien. Sie stellen sicher, dass beim Neustart eines Rechner bzw. eines Users die für ihn eingerichteten Freigaben eingebunden und zum Zugriff bereitgestellt werden.

In diesem Whitepaper wurde absichtlich darauf verzichtet, auf die unterschiedlichen Besonderheiten der verschiedenen Dateisysteme einzugehen. Wichtig war es,  ein Verfahren aufzuzeigen, das den größten gemeinsamen Nenner aufweist.