«

»

Einführung von DFS – Arbeitsanleitung

Mit migRaven ist es möglich, einen Share so zu migrieren, dass er in ein DFS eingehangen und genutzt werden kann. Dabei ist es wichtig, beim Zielpfad den DFS-Namen anzugeben. Das ist besonders für 8MAN notwendig, da 8MAN im Beschreibungsfeld der Berechtigungsgruppen den richtigen Zielpfad benötigt.

1. Projekt erstellen und Verzeichnisse einlesen

1.1. Neues Projekt anlegen – Verzeichnisse und Berechtigungen einlesen

In migRaven wird immer mit Projekten gearbeitet. Ein Projekt ist die logische Einheit, die bearbeitet werden soll, z.B. ein Share oder ein Verzeichnis unterhalb eines Shares. Am besten immer der Punkt, der auch bei den Usern gemountet oder im DFS eingebunden wird. Dadurch wird sichergestellt, dass alle Berechtigungen – einschließlich der Listberechtigungen – korrekt durch migRaven erstellt werden. Über das Start-Menü kommen Sie an den Punkt, wo neue Projekte angelegt, bearbeitet und gelöscht werden können.

Die Voraussetzung für das Anlegen von neuen Projekten ist, dass die Domäne gescannt wurde.

Pfade

Bild 1: Pfadeingaben fürs DFS

DFS Dateneingabe

Bild 2: Redesign-Projekt für ein Distributed File System (DFS)

1.2. Best Practice: Pro Share ein neues Projekt anlegen.

Wenn Sie die einzelnen Shares als eigenständige Projekte definieren, haben Sie Zeit, diese in Ruhe abzuarbeiten und „Step by Step“ die Daten in die neuen Verzeichnisse zu kopieren und diese dann den Usern zuzuweisen.

z.B.  Projekt1: „\\Server\Daten\Verwaltung\Buchhaltung“

Projekt2: „\\Server\Daten\Verwaltung\Einkauf“      etc.

Dann geben Sie den UNC Pfad bis zum einzuscannenden Verzeichnis (Projekt) ein. Bitte prüfen Sie noch einmal, ob dieser Pfad auch erreichbar ist, vor allem auch mit Ihren Anmeldedaten.

Zu beachten: Sie müssen migRaven immer als Domänen-Administrator ausführen.

1.3. Pfad-Eingaben

Quellpfad: Hier wird der Quell-Share eingetragen, also der Share, der migriert werden soll. Unterverzeichnisse sind möglich.

Zielpfad: Hier wird der Name des endgültigen Ziels angegeben. Es geht um den Namen. Er wird benötigt, um die Namen der Berechtigungsgruppen zu bilden. Der Pfad muss vorhanden sein. Es kann auch der Quellpfad angegeben werden. In diesen Pfad wird nicht geschrieben.

Bei der DFS-Migration muss es der DFS-Name sein mit Namespace und Link.

Deploy-Pfad: In diesen Pfad wird das Ergebnis der Migration geschrieben. Nach Migration und Kopieren der Daten muss dieser Pfad den bei Zielpfad angegebenen Namen erhalten. Daher ist der hier angegebene Name egal, er kann auch „Grüne Wiese“ heißen, er muss vorhanden sein.

1.4. Scantiefe und Threads zum Scan:

Diese Einstellungen haben entscheidende Auswirkungen auf die Größe der Datenbank und die Geschwindigkeit des Scans.

Scantiefe:

Wählen Sie die Scantiefe nur so tief, wie Sie auch die Berechtigungen in den Ordnern auslesen und setzen wollen. (Je tiefer ein Scan zielt, desto länger dauert der Scan und umso größer wird die Datenbank.)

Threads zum Scan:

Je mehr Threads Sie auswählen, umso höher wird die Prozessorauslastung. Empfehlung: max. 2 Threads/Core. Sie spüren unmittelbar beim Scan, ob es zu viele sind. Es macht sich am Java-Prozess bemerkbar.

2. View

Nach dem Einscannen des Quellpfades können Sie sich die Berechtigungen auf die Verzeichnisse anzeigen lassen.

3. Work & Design

Anschließend können Sie die vorhandenen Berechtigungen, erst im Tabellen-Modus, dann per Drag&Drop, überarbeiten.

Beim Erstellen des Sollzustandes werden List- und Berechtigungsgruppen angelegt, in die die berechtigten Nutzer und Gruppen verschachtelt werden.

Diese Berechtigungsstruktur können Sie sich ansehen und bei Bedarf korrigieren. Das erfolgt alles noch in migRaven. Erst die nächsten Arbeitsschritte schreiben das Ergebnis der Migration in Ihr System zurück.

 

4. Deploy Groups – Gruppen im AD erstellen und verschachteln

Erst in diesem Schritt werden die Gruppen im AD erstellt und verschachtelt.

migRaven vollzieht dabei folgende Schritte:

  • die Gruppen werden LIVE im AD erstellt,
  • die Berechtigungsgruppen mit den Listgruppen werden verschachtelt und
  • die berechtigten Benutzer und Gruppen werden in die Berechtigungsgruppen aufgenommen.
  • Die Berechtigungs- und Listgruppen werden automatisch in einer OU abgespeichert, die in der Gruppenkonfiguration definiert wurde.

Wenn diese Schritte abgeschlossen sind, hat man eine fertige Gruppenstruktur im AD erzeugt, die im nächsten Schritt durch migRaven berechtigt wird. Dabei ist Vorsicht geboten, da nun auch die Zahl der Gruppenmitgliedschaften der User ansteigt. Bitte besonderes Augenmerk auf die Größe des Kerberos-Tokens haben.

Deploy Groups

Bild 3: Deploy ACL schreibt die vorgesehenen List- und Berechtigungsgruppen ins AD und verschachtelt die berechtigten Nutzer und Gruppen

5. Deploy ACL – Grüne Wiese erstellen

Erstellt ein leeres, vollberechtigtes Duplikat der Verzeichnisse

Um den ganzen Prozess so einfach wie möglich zu gestalten, werden die Berechtigungen nicht auf den originalen Pfad geschrieben, sondern migRaven erstellt eine leere Kopie des Verzeichnisbaumes mit den neuen Berechtigungen.

Über den Punkt „Deploy ACL“ wird ein neues und vollberechtigtes, aber leeres Duplikat des Verzeichnisbaumes erstellt. Das ist der neue endgültige Ablageort für Ihre Daten.

Bei diesem Schritt werden nur die Verzeichnisse, die explizite Berechtigungen über migRaven erhalten haben, erzeugt und mit den zuvor erstellten Berechtigungs- und Listgruppen berechtigt.

5.1. Vorbereitung

Es muss ein Pfad vorbereitet werden, der nach der Replikation der Daten die neue Datenablage ist. Das kann ein komplett neuer Share sein oder ein Verzeichnis in einem vorhandenen Share. Wenn Sie DFS einsetzen, empfiehlt es sich, einen neuen Share zu erstellen, der dann nur noch in das DFS verlinkt werden muss.

Es werden nur die Verzeichnisse in dem neuen Pfad erzeugt, auf die explizite Berechtigungen bestehen.

Für die Definition des neuen Ablageortes füllen Sie bitte das vorgegebene Pflichtfeld aus.

 

Deploy ACL

Bild 4: Mit Deploy ACL wird die geplante Berechtigungsstruktur in den Deplay-Pfad geschrieben. Dieser Pfad-Name kann hier noch geändert werden, er darf physisch nicht dem Quell-Pfad entsprechen und er muss vorhanden sein.

5.2. Neue Berechtigungen in die Verzeichnisse schreiben lassen

In diesem Schritt werden die neuen Verzeichnisse erstellt und den zuvor erstellten Berechtigungsgruppen Rechte darauf gegeben.

5.3. Folgende Schritte werden abgearbeitet:

  • Es werden die Verzeichnisse angelegt, für die Berechtigungen vorgesehen sind.
  • Verzeichnisse, für die Listrechte vorgesehen sind, werden Listgruppen zugeordnet mit Listrechten nur für diesen Ordner.
  • Darunterliegende zu durchquerende Verzeichnisse werden entsprechend unserer Konfiguration mit Berechtigungsgruppen ausgestattet. Die Gruppen sind für den Berechtigungsendpunkt erstellt worden, erhalten hier aber nur Listrechte.
  • Bei berechtigten Verzeichnissen können mehrere Berechtigungsgruppen eingetragen werden, eine mit read-execute-Rechten, eine mit read-write-Rechten und eine mit modify-Rechten. Berechtigungsgruppen mit fullcontrol-Rechten sollten die Ausnahme sein.
  • Diese Rechte werden auf die untergeordneten Verzeichnisse vererbt.
  • Untergeordnete Verzeichnisse können weitere Berechtigungsgruppen erhalten.

 

6. Deploy Data

Für das Kopieren der Daten unterstützt Sie migRaven mit der automatischen Erstellung eines Robocopy-Jobs.

 

7. Endgültige Namensvergabe

Abschließend muss der Deploy-Pfad den bei Ziel-Pfad angegebenen Namen erhalten. Hatten Sie für beide Pfade den gleichen Namen angegeben, ist das erledigt. Oft soll aber das Ergebnis der Migration wieder den Namen des Quellpfades erhalten, um den Link bei den Nutzern nicht ändern zu müssen. Beim Zielpfad wurde der Quellpfad-Name eingetragen. Dann ist jetzt der Quellpfad umzubenennen und der Deploy-Pfad erhält den Sharenamen der Quelle.