Empfehlungen zum Migrieren einer NIS-Domäne (Network Information Service, Netzwerkinformationsdienst)

  • Lesen Sie vor dem Ausführen der tatsächlichen Migration die Informationen unter "Prüfliste: Migrieren von NIS-Zuordnungen zu Active Directory-Domänendiensten" in der Hilfe zu Identity Management für UNIX.

  • Entscheiden Sie vor dem Starten des Assistenten, ob die migrierte Domäne eine separate Domäne bleiben oder mit einer anderen Domäne auf Server für NIS zusammengeführt werden soll.

  • Wenn Sie Zuordnungen separat migrieren, sollten Sie die passwd-Zuordnungen vor den Zuordnungen group oder shadow migrieren. Damit wird sichergestellt, dass die UNIX-Kennwörter ordnungsgemäß gespeichert werden.

  • Sie sollten unbedingt die Struktur Ihrer Nichtstandardzuordnungen kennen, bevor Sie den Assistenten starten. Insbesondere sollten Ihnen die Feldtrennzeichen, das Schlüsselfeld und die Datei- und Zuordnungsnamen bekannt sein. Der Zugriff auf Nichtstandardzuordnungen erfolgt über nur einen einzigen Schlüssel.

  • Verwenden Sie zunächst die Standardoption Nicht migrieren (nur protokollieren) des NIS-Datenmigrations-Assistenten, sodass alle Migrationsschritte in Server für NIS getestet, jedoch noch keine Daten migriert werden. Nachdem Sie die Protokolldateien analysiert und entschieden haben, wie eventuelle Zuordnungskonflikte gelöst werden sollen, führen Sie den Assistenten erneut aus. Wählen Sie dabei die Option Migrieren und protokollieren aus.

  • Beheben Sie nach Überprüfung des Protokolls alle Probleme, bevor Sie die Daten migrieren. Falls in den Windows- und NIS-Domänen derselbe Benutzername vorhanden ist, überprüfen Sie, ob der doppelte Benutzername ein und dieselbe Person darstellt. Ändern Sie den Benutzernamen von einem der Benutzer, falls dies nicht der Fall ist. Wenn sich die Benutzernamen auf dieselbe Person beziehen, überprüfen Sie, ob die UNIX-Eigenschaften identisch sind. Falls dies nicht der Fall ist, legen Sie fest, welche UNIX-Eigenschaften die richtigen sind. Anschließend können Sie den vorhandenen Eintrag in Active Directory-Domänendienste (AD DS) beibehalten oder diesen mit den Informationen der UNIX-Zuordnung überschreiben.

  • Werden während der tatsächlichen Migration Konflikte gemeldet, obwohl dies in der Testmigration nicht der Fall war, kann es sein, dass es sich hier um Konflikte innerhalb der NIS-Zuordnungen selbst handelt. Wenn der Assistent mit der Option Nur protokollieren ausgeführt wird, werden nur zwischen NIS-Zuordnungen und AD DS auftretende Konflikte gemeldet. Konflikte innerhalb der NIS-Zuordnungen sind hiervon ausgeschlossen. Wenn während der tatsächlichen Migration ein Konflikt auftritt, müssen Sie diesen in den NIS-Zuordnungen lösen. Migrieren Sie dann mithilfe der Befehlszeilenoption nis2ad –r yes die nicht migrierten NIS-Daten.

Aktualisieren von untergeordneten Servern

Wenn Ihre NIS-Domäne aktiv ist (das heißt, wenn in der Domäne häufig Änderungen auftreten), sollten Sie die Häufigkeit, in der Server für NIS aufgetretene Änderungen prüft, erhöhen. Damit wird sichergestellt, dass UNIX-basierte untergeordnete Server aktualisiert werden, sobald eine Änderung auf dem Masterserver registriert wird. Sie können auch den Befehl Jetzt auf Updates überprüfen im Aktionsbereich des Identity Management für UNIX-Snap-Ins verwenden, um untergeordnete Server sofort zu aktualisieren.

Migrieren von NIS-Domänen in nur jeweils eine Active Directory-Domäne

Obwohl Sie eine NIS-Domäne zu Computern migrieren können, auf denen Server für NIS ausgeführt wird und die sich in mehreren Windows-basierten Domänen befinden, wird hiervon nachdrücklich abgeraten, da in einer Windows-Domäne vorgenommene Änderungen nicht in den anderen Domänen repliziert werden.

Aufklären der Benutzer darüber, dass sie NIS-Kennwörter nicht mithilfe von "yppasswd" ändern sollten

Benutzer sollten ihre NIS-Kennwörter ändern, indem Sie ihr Windows-Kennwort ändern. Das NIS-Kennwort wird dann von Server für NIS entsprechend auf das neue Kennwort geändert.

Server für NIS unterstützt nicht in vollem Umfang das auf UNIX-Systemen verfügbare Dienstprogramm yppasswd. Wenn ein Benutzer yppasswd ausführt, ändert Server für NIS das Kennwort des Benutzers in der NIS-Zuordnung passwd. Da jedoch über yppasswd das neue Kennwort vor dem Senden an den NIS-Masterserver verschlüsselt wird, kann Server für NIS kein Nur-Text-Kennwort beziehen, um das Windows-Kennwort des Benutzers festzulegen. Dies führt dazu, dass das Windows-Kennwort des Benutzers nicht länger mit dem UNIX-Kennwort identisch ist. Außerdem stellt yppasswd ein Sicherheitsrisiko dar, da die alten Kennwörter im Nur-Text-Format übertragen werden. Da das alte Kennwort des Benutzers mit dem aktuellen Windows-Kennwort identisch sein kann, könnten unbefugte Benutzer im Netzwerk auf das Windows-Kennwort des Benutzers zugreifen.

Mit der Kennwortsynchronisierung ermöglichen Sie es Benutzern, ihre NIS-Kennwörter mithilfe des Befehls yppasswd zu ändern. Weitere Informationen finden Sie unter "Synchronisieren von Kennwörtern mit einer NIS-Domäne" in der Hilfe zu Identity Management für UNIX.

Siehe auch


Inhaltsverzeichnis