Подробный гайд: Миграция корпоративной инфраструктуры с Windows Server на ALT Linux

Пошаговая миграция инфраструктуры с Windows Server на ALT Linux: замена AD на Samba DC, IIS на Apache. Сравнение служб, настройка, тестирование

2026.04.22                  

Подробный гайд: Миграция корпоративной инфраструктуры с Windows Server на ALT LinuxПодробный гайд: Миграция корпоративной инфраструктуры с Windows Server на ALT Linux

Важно:

  • Миграция корпоративной инфраструктуры — сложный процесс, требующий тщательного планирования, тестирования и поэтапного внедрения. Данный гайд носит рекомендательный характер.

Этап 1: Предварительный аудит и планирование

1.1 Инвентаризация текущей инфраструктуры

Составьте реестр всех служб:

• Контроллеры домена (AD)
• Файловые серверы
• Веб-серверы (IIS)
• Почтовые и прокси-серверы
• Приложения и их зависимости

Оцените:

• Количество пользователей и рабочих станций
• Объем данных для миграции
• Требования к времени бесперебойной работы (SLA)
• Совместимость бизнес-приложений с Linux

1.2 Выбор целевой платформы

ALT Linux предлагает специализированные редакции для корпоративного использования:

  • Альт Сервер — универсальная серверная ОС с долгосрочной поддержкой
  • Альт Домен — решение на базе Samba 4 для замены Windows AD

Этап 2: Сравнение ключевых служб

Контроллер домена: Active Directory vs Samba DC

Параметр Windows Server AD Samba 4 DC (ALT Linux)
Лицензирование Коммерческое, по ядрам/пользователям Открытое, бесплатно
Уровень функциональности леса До 2025 Эквивалент Windows 2008 R2
Аутентификация Kerberos + NTLM Kerberos (MIT/Heimdal) + NTLM
Групповые политики (GPO) Полная поддержка Базовая поддержка, частичная совместимость
Репликация SYSVOL DFS-R (автоматическая) Требует rsync/osync (ручная настройка)
Доверительные отношения Полная поддержка Ограниченная поддержка, нет SID filtering
Поддомены Поддерживаются Не поддерживаются
RODC (контроллер только для чтения) Поддерживается Экспериментальная поддержка
Инструменты управления RSAT, PowerShell samba-tool, Web-интерфейс, сторонние утилиты

Критические ограничения Samba DC:

  • Не реплицируется SYSVOL автоматически — требуется настройка rsync
  • Доверительные отношения имеют ограничения (нет SID filtering)
  • Не поддерживаются поддомены и полноценные фантомные объекты

Важно:

  • С июля 2025 обновления Windows Server могут нарушить совместимость с версиями Samba < 4.21.7 — обновите Samba до актуальной версии перед миграцией

Преимущества Samba на ALT Linux:

  • Полная совместимость с клиентами Windows 7/8/10/11 для входа в домен
  • Поддержка протоколов SMB2/SMB3 с шифрованием
  • Интеграция с Linux-клиентами через SSSD/Winbind
  • Экономия лицензионных расходов

Веб-сервер: IIS vs Apache

Параметр IIS (Windows) Apache (ALT Linux)
Платформа Только Windows Кроссплатформенный (Linux, Unix, Windows)
Лицензия В комплекте с Windows Server Open Source, бесплатно
Поддержка Официальная от Microsoft Сообщество + коммерческая поддержка от «БАЗАЛЬТ СПО»
Архитектура Потоковая модель Windows Модульная, MPM (prefork/worker/event)
Производительность Хорошая, оптимизирована под Windows Высокая при правильной настройке MPM
Безопасность Интеграция с Windows Security Модули mod_security, SELinux-интеграция
.NET/ASP.NET Нативная поддержка Через Mono (ограниченная совместимость)
PHP/Perl/Python Через FastCGI Нативная поддержка через модули
Конфигурация GUI (IIS Manager) + XML Текстовые файлы (httpd.conf, .htaccess)
Масштабируемость Зависит от Windows Server Гибкая настройка под нагрузку

Стратегии миграции веб-приложений:

  1. Статический контент: Прямой перенос файлов в /var/www/
2. ASP.NET приложения:
  • Вариант А: Переписать на кроссплатформенный стек (.NET Core + Apache/Nginx)
  • Вариант Б: Использовать Mono (с проверкой совместимости)
  1. PHP/Perl/Python: Минимальные изменения, адаптация путей и конфигураций
  2. База данных: Миграция с MS SQL на PostgreSQL/MySQL с использованием инструментов конвертации

Совет:

  • Используйте режим Apache (mod_proxy) для постепенного переноса трафика с сохранением доступа к legacy-приложениям на IIS.

Этап 3: Пошаговая миграция служб

3.1 Подготовка среды ALT Linux

# Установка базовых пакетов для домена
sudo aptitude update
sudo aptitude install task-samba-dc bind bind-utils chrony

# Настройка имени хоста (критично для AD)
sudo hostnamectl set-hostname dc01.corp.alt
echo "192.168.1.10 dc01.corp.alt dc01" | sudo tee -a /etc/hosts

3.2 Развёртывание Samba как контроллера домена

# Очистка конфигурации (если запускается с нуля)
sudo rm -f /etc/samba/smb.conf
sudo rm -rf /var/lib/samba/private/*

# Создание домена (интерактивный режим)
sudo samba-tool domain provision --use-rfc2307 --interactive
# Или автоматический режим:
sudo samba-tool domain provision \
  --realm=CORP.ALT \
  --domain=CORP \
  --adminpass='StrongP@ssw0rd!' \
  --dns-backend=SAMBA_INTERNAL \
  --server-role=dc

# Запуск службы
sudo systemctl enable --now samba

3.3 Настройка DNS и Kerberos

# Проверка DNS-записей
host -t SRV _ldap._tcp.corp.alt.
host -t SRV _kerberos._udp.corp.alt.

# Настройка /etc/krb5.conf (копирование из приватной директории)
sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf

# Тест аутентификации
kinit administrator@CORP.ALT
klist

3.4 Миграция пользователей и групп

# Экспорт пользователей из AD (на стороне Windows)
csvde -f users_export.csv -r "(objectClass=user)"

# Импорт в Samba (скрипт-конвертер)
# Пример создания пользователя:
sudo samba-tool user create ivanov 'P@ssw0rd' \
  --given-name='Иван' \
  --surname='Иванов' \
  --mail-address='ivanov@corp.alt'

# Массовый импорт через Python-скрипт с использованием samba-tool API

3.5 Миграция файловых ресурсов

# Настройка общего ресурса в smb.conf
[shared]
    path = /srv/shared
    read only = no
    valid users = @"Domain Users"
    vfs objects = acl_xattr
    inherit permissions = yes

# Создание директории и настройка прав
sudo mkdir -p /srv/shared
sudo chown -R root:"Domain Users" /srv/shared
sudo chmod 2775 /srv/shared

# Синхронизация данных с исходного сервера
rsync -avh --progress \\win-server\share\ /srv/shared/

3.6 Миграция веб-сервера (IIS → Apache)

# Пример виртуального хоста в Apache (/etc/apache2/sites-available/corp.conf)
<VirtualHost *:80>
    ServerName portal.corp.alt
    DocumentRoot /var/www/portal

    <Directory /var/www/portal>
        Options -Indexes +FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>

    # Перенаправление legacy-путей (аналог IIS URL Rewrite)
    RewriteEngine On
    RewriteRule ^/old-path/(.*)$ /new-path/$1 [R=301,L]

    # Логирование
    ErrorLog ${APACHE_LOG_DIR}/portal-error.log
    CustomLog ${APACHE_LOG_DIR}/portal-access.log combined
</VirtualHost>

# Активация сайта
sudo a2ensite corp.conf
sudo systemctl reload apache2

Этап 4: Интеграция и тестирование

4.1 Подключение клиентских рабочих станций

Windows-клиенты:

# Присоединение к домену (из командной строки с правами администратора)
Add-Computer -DomainName "corp.alt" -Server "dc01.corp.alt" -Credential (Get-Credential) -Restart

Linux-клиенты (через SSSD):

sudo aptitude install sssd-ad realmd adcli
sudo realm join corp.alt -U administrator

4.2 Проверка работоспособности

# Диагностика домена
samba-tool domain info 127.0.0.1
samba-tool user list
samba-tool group list

# Проверка репликации (при наличии нескольких DC)
samba-tool drs showrepl

# Тест аутентификации через SMB
smbclient -L //dc01.corp.alt -U administrator

4.3 Настройка мониторинга и резервного копирования

# Установка агента мониторинга (пример: Zabbix)
sudo aptitude install zabbix-agent2

# Настройка бэкапа конфигурации Samba
0 2 * * 0 root tar -czf /backup/samba-config-$(date +\%F).tar.gz \
  /etc/samba /var/lib/samba/private

Критические рекомендации и риски

Избегайте этих ошибок:

  1. Не обновляйте Windows Server до июля 2025+, пока не обновите Samba до версии ≥ 4.21.7 — это нарушит совместимость из-за изменений в Netlogon RPC
  2. Не используйте DC как файловый сервер в многоконтроллерной среде — это может вызвать конфликты репликации
  3. Не пропускайте синхронизацию времени — Kerberos требует отклонения не более 5 минут между узлами
  4. Не игнорируйте тестирование в изолированной среде перед промышленным внедрением

Best Practices:

  • Начинайте с пилотной группы пользователей (10-20 человек)
  • Ведите параллельную работу старой и новой инфраструктуры в режиме read-only для отката
  • Документируйте все изменения в конфигурациях
  • Обучите ИТ-персонал работе с samba-tool и Linux-администрированию

Чек-лист завершения миграции

  • [ ] Все пользователи успешно аутентифицируются в новом домене
  • [ ] Файловые ресурсы доступны с нужными правами доступа
  • [ ] Веб-приложения функционируют без ошибок
  • [ ] Настроено резервное копирование и мониторинг
  • [ ] Проведено обучение пользователей и администраторов
  • [ ] Задокументированы процедуры восстановления (DRP)
  • [ ] Старая инфраструктура переведена в режим холодного резерва

Миграция на ALT Linux — это не просто замена ОС, а возможность пересмотреть архитектуру ИТ-инфраструктуры, повысить безопасность и снизить зависимость от проприетарных решений. При грамотном подходе переход проходит минимально болезненно для бизнеса.

×

Полный размер Слайдшоу Предыдущий Следующий