Migration / Zusammenführung von zwei Domänen
Inhaltsverzeichnis
Einleitung[Bearbeiten]
Vorab ein paar Worte: ich gehe hier nicht 100 % auf die Details ein, da eine Domänen-Migration einfach ein gewisses ActiveDirectory "Knwo-How" verlangt und das Verständnis hierfür Grundlage sein sollte. Heißt: es werden die einzelnen, "kritischen", zu beachtenden Details erläutert, der Rest wird als grundlegendes Verständnis vorausgesetzt.
Umsetzung[Bearbeiten]
Vorab-Arbeiten: Standortvernetzung per VPN, DNS konfigurieren[Bearbeiten]
Zunächst muss zwischen den beiden (AD-)Standorten eine Verbindung (VPN, MPLS etc.) bestehen und die DNS-Server konfiguriert werden. Ich verwende als Beispiel eine Zieldomäne "domain01.local", in welche Benutzerkonten etc. übernommen werden und die Quelldomäne "domain02.local", aus der die Konten in die "domain01.local" migriert werden sollen. Besteht eine Verbindung zwischen den Domänen und wurden die DNS-Server so konfiguriert, dass sich beide Domänen erreichen (Stichwort "Stubzonen einrichten"), kann man loslegen.
Vertrauensstellung einrichten[Bearbeiten]
In meiner Testumgebung habe ich eine Bidirektionale Vertrauensstellung eingerichtet, was unter Windows Server 2003 u. f. eigentlich total easy zu bewerkstelligen ist:
- Öffne am DC der Zieldomäne in der Verwaltung Active Directory-Domänen und -Vertrauensstellungen
- Klicke mit der rechten Maustaste auf den Container domain01.local, Punkt Eigenschaften, lasche Vertrauensstellungen
- Klicke im Dialog auf den Button Neue Vertrauensstellung...
- Folge dem Assistenten zum Einrichten einer Bidirektionalen Vertrauensstellung (ACHTUNG: wähle bei Vertrauensstellungsseiten die Option Für diese Domäne und die angegebene Domäne und die Vertrauensstellungsprüfung sollte auch später noch manuell durchgeführt werden - siehe nächsten Punkt!)
- Prüfe in der Quelldomäne am DC in Active Directory-Domänen und -Vertrauensstellungen, dass auch hier die Vertrauensstellung eingerichtet wurde
Falls obiger Punkt erfolgreich durchgeführt worden sein, sollte die Überprüfung der Vertrauensstellung durchgeführt werden:
- Öffne am Ziel-DC wieder Active Directory-Domänen und -Vertrauensstellungen, navigiere ins Dialogfenster zur Lasche Vertrauensstellungen
- Wähle in Domänen, denen diese Domäne vertraut die entsprechende Domäne aus, klicke auf den Button Eigenschaften
- In sich öffnenden Dialogfenster klicke auf den Button Überprüfen und prüfe so die Vertrauensstellung; es sollte eine Messagebox erscheinen, die eine erfolgreich eingerichtete Vertrauensstellung bestätigt, andernfalls mal die DNS-Server prüfen...
- Mache das Gleiche in der Quelldomäne am DC
ADMT und PES einrichten[Bearbeiten]
Zwei Sachen müssen nun eingerichtet werden: auf dem DC in der Zieldomäne ist das ActiveDirectory Migration Tool und am DC der Quelldomäne der Password Export Server zu installieren, beachte den Artikel auf msxfaq.de und lade dir die entsprechende Version vom ADMT und PES herunter. Für Windows Server 2003 eignet sich Version 3.0 vom ADMT - diesen als Erstes installieren. Bevor nun der PES am DC der Quelldomäne installiert werden kann, muss mittels Eingabeaufforderung und dem Befehl admt key ein Verschlüsselungsschlüssel erstellt werden. Führe den Befehl aus:
admt key /opt:create /sd:<Quelldomäne> /kf:<Pfad\zum\Keyfile> {/pwd:<Kennwort>|*}
Also z. B.
admt key /opt:create /sd:domain02.local /kf:C:\Pfad\zur\Keydatei\domain02.pes /pwd:*
Du wirst noch nach dem Verschlüsselungsschlüssel-Kennwort (geiler Name ^^) gefragt - hier einfach ein sicheres Passwort festlegen (evenutell lautet der Befehl bei einer anderen Windows Server bzw. ADMT Version anders, hier sollte aber der Befehl admt key /? helfen...). Kopiere dann die erstellte Datei auf einen USB-Stick etc. und transferiere diese auf den DC der Quelldomäne, lade dir dann den korrekten Password Export Server von Microsoft herunter (beachte wieder es gibt unterschiedliche Versionen für die einzelnen Windows Server Versionen), da der auf der CD nicht funktioniert - zumindest bei Windows Server 2003. Hier wird die Version 3.1 benötigt. Bevor du aber nun am Quell-DC den PES installierst, muss in der Registry im Schlüssel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
ein neuer REG_DWORD-Wert
TcpipClientSupport
mit Wert 1 erstellt werden - beachte hierzu den Artikel von Microsoft. Danach Server neu Starten und die Installation des PES unter Verwendung des vorher erstellten Keys durchführen, danach ist wieder ein Neustart des Systems erforderlich. Überprüfe am DC, ob der Dienst Kennwortexportserver-Dienst gestartet wurde - erst dann ist es nämlich möglich, am DC der Zieldomäne die Benutzerkontenübernahme samt Passwörter durchzuführen, bzw. ein paar Kleinigkeiten sind noch zu konfigurieren :-)
Test-Import eines Benutzer-Accounts[Bearbeiten]
An allen Client-Maschinen der beiden Domänen ist es nun möglich, sich anzumelden - klar. Um nun einen Benutzeraccount von der Quell- in die Zieldomäne zu migrieren, öffne am Ziel-DC das MMC-SnapIn Active Directory-Migrationsprogramm:
- Klicke mit der rechten Maustaste auf Active Directory-Migrationsprogramm, wähle Assistent zum Migrieren von Benutzerkonten
- Versuche, einen Bentzeraccount samt Kennwörter zu exportieren...
... es wird nicht funktionieren :-) Ggf. erscheint eine Meldung, dass die Domäne sich nicht im "einheitlichen Modus" befindet. Heißt, Domänenfunktionsebene auf Windows Server 2003 heraufstufen:
- Öffne Active Directory-Domänen und -Vertrauensstellungen
- Rechte Maustaste auf die Domäne, bei mir im Beispiel auf domain01.local
- Wähle Domänenfunktionsebene heraufstufen...
- Hier ist Windows Server 2003 auszuwählen (zumindest bei einem W2k3 Server...)
Führe das Selbe am Quell-DC durch, starte dann erneut den Migrations-Testimport wie oben beschrieben. Es wird nun der Fehler auftauchen, dass nicht jeder Benutzer Mitglied der Gruppe Prä-Windows 2000 kompatibler Zugriff ist. Öffne daher am Ziel-DC (!) die Eingabeaufforderung und gebe folgende zwei Befehle ein:
net localgroup "Prä-Windows 2000 kompatibler Zugriff" Jeder /add net localgroup "Prä-windows 2000 kompatibler Zugriff" "Anonymous-Anmeldung" /add
Zudem ist es notwendig, am DC der Quell-Domäne (!) eine Gruppe mit dem Namen <quelldomäne>$$$ zu erstellen:
net localgroup <quelldomain>$$$ /add
also z. B. (beachte: als Domänen-Name muss hier die NetBios-Schreibweise verwendet werden, also ohne den Suffix ".local"!):
net localgroup domain02$$$ /add
Natürlich sollte nach erfolgreicher Migration entsprechend die Befehle zum Entfernen ausgeführt werden:
net localgroup "Prä-Windows 2000 kompatibler Zugriff" Jeder /delete net localgroup "Prä-windows 2000 kompatibler Zugriff" "Anonymous-Anmeldung" /delete
bzw. in der Quell-Domäne
net localgroup domain02$$$ /delete
Des Weiteren muss am Quell-DC (!) noch die Gruppe Domänen-Admins aus der Ziel-Domain (!) der lokalen Gruppe Administratoren hinzugefügt werden:
net localgroup Administratoren <zieldomain>\Domänen-Admins /Add
da sonst ein "Zugriff Verweigert"-Fehler beim Importversuch auftaucht. Also z. B.
net localgroup Administratoren domain01.local\Domänen-Admins /Add
eintippen. Nachdem die Befehle erfolgreich ausgeführt wurden, muss weiter am Quell-DC in der Registry der Wert AllowPasswordExport auf Wert 1 geändert werden. Den Eintrag findest du im Schlüssel
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\
Danach ist ein Neustart des Servers der Quell-Domäne (!) notwendig, um diese Einstellung zu übernehmen. Denke daran, den Dienst Kennwortexportserver-Dienst danach wieder zu starten :-) Jetzt sollte in aller Regel eine Migration samt Kennwörter möglich sein. Sollten Fehler auftreten, kann dies daran liegen, dass die ADMT- mit der PES-Version nicht kompatibel ist (in diesem Fall wäre eine Neuinstallation beider Softwarepakete erforderlich!) oder die Installationsreihenfolge nicht eingehalten wurde. Sollte etwa die Fehlermeldung auftauchen, dass der RCP-Server nicht verfügbar ist, stelle sicher, dass der Registry-Eintrag TcpipClientSupport VOR der Installation des PES erstellt und der Server neu gestartet wurde!
Migration von vordefinierten Konten[Bearbeiten]
Wer vor hat, die vordefinierten Gruppen wie z. B. "Domänen-Admins" von der Quell- in die Zieldomäne zu migrieren wird enttäuscht werden: das geht nicht. Wer also Freigabe-/Ordner- oder was auch immer für Berechtigungen für diese Gruppe(n) vergeben hat, muss mit dem Tool subinacl arbeiten, welches bei Microsoft heruntergeladen werden kann. Genauer werde ich auf dieses Kommandozeilen-Tool nicht eingehen.
Migration eines Computer-Accounts[Bearbeiten]
Der Assistent hierfür ist ähnlich dem der Benutzerkontenmigration. Um das Computerkonto erfolgreich importieren zu können, ist es aber notwendig, dass der Benutzer, welcher das ADMT-SnapIn in der Zieldomäne ausführt, der lokalen Administratorengruppe am Client-Rechner angehört, da die Migration sonst nicht vollständig durchgeführt wird. Dies kann z. B. auch über die Gruppenrichtlinie
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Eingeschränkte Gruppen
ermöglicht werden, beachte hierzu den Artikel auf Gruppenrichtlinien.de. Bei einer erfolgreichen Übernahme wird der Rechner automatisch in die neue Domäne übernommen, Freigabeberechtigungen entsprechend gesetzt etc.
Roaming Profiles[Bearbeiten]
Bei der Übernahme eines Benutzeraccounts besteht die Möglichkeit, dass die Rechte des Benutzerprofilordners entsprechend angepasst werden - sehr praktisch! Allerdings wirst du feststellen, dass das Profil - sofern es auf einem Server der alten Domäne domain02.local liegt - nicht geladen werden kann, es tritt eine Warnung am Client auf:
Gesamtstrukturübergreifende Gruppenrichtlinienverarbeitung ist deaktiviert und Loopback-Verarbeitung wurde in der Gesamtstruktur auf dieses Benutzerkonto angewendet.
Sollte das Computerkonto noch nicht migriert worden sein, ist es notwendig, in der alten Domäne entsprechend eine Gruppenrichtlinie zu konfigurieren:
Computerkonfiguration\Admininstrative Vorlagen\System\Gruppenrichtlinien
und hier die beiden Richtlinien
Loopbackverarbeitungsmodus für Benutzerrichtlinie (auf "Zusammenführen" stellen) Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen
Wie gesagt: da das Computerkonto noch in der alten Domäne liegt, muss auch hier diese Computerrichtlinie konfiguriert werden, die Benutzerrichtlinien werden aus der neuen Domäne genommen, klar. Denke daran, für das Benutzerkonto den Profilpfad entsprechend anzupassen. Wenn wie in meinem Beispiel die alte Domäne domain02.local heißt, der Profilordner auf dc01 liegt, muss für das Benutzerkonto der Profilpfad \\dc01.domain02.local\pfad\profilordner lauten und nicht \\dc01\pfad\profilordner !
Anmeldeskripte[Bearbeiten]
Beachte: sobald ein Benutzerkonto in die neue Domäne migriert wurde, muss natürlich auch das Login-Script, welches sich in der Regel im SYSVOL des DC's der alten Domäne befindet, in den SYSVOL-Ordner des neuen DC's kopiert werden - eigentlich klar, wird aber gerne vergessen... :-)