Migration / Zusammenführung von zwei Domänen

Aus ITwiki
Version vom 9. Mai 2011, 14:01 Uhr von Flo84 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: == Einleitung == Vorab ein paar Worte: ich gehe hier nicht 100 % auf die Details ein, da eine Domänen-Migration einfach ein gewisses ActiveDirectory "Knwo-How" verlan...)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Einleitung

Vorab ein paar Worte: ich gehe hier nicht 100 % auf die Details ein, da eine Domänen-Migration einfach ein gewisses ActiveDirectory "Knwo-How" verlangt und das Verständnis hierfür Grundlage sein sollte. Heißt: es werden die einzelnen, "kritischen", zu beachtenden Details erläutert, der Rest wird als grundlegendes Verständnis vorausgesetzt.

Umsetzung

Vorab-Arbeiten: Standortvernetzung per VPN, DNS konfigurieren

Zunächst muss zwischen den beiden (AD-)Standorten eine Verbindung (VPN, MPLS etc.) bestehen und die DNS-Server konfiguriert werden. Ich verwende als Beispiel eine Zieldomäne "domain01.local", in welche Benutzerkonten etc. übernommen werden und die Quelldomäne "domain2.local", aus der die Konten in die "domain01.local" migriert werden sollen. Besteht eine Verbindung zwischen den Domänen und wurden die DNS-Server so konfiguriert, dass sich beide Domänen erreichen (Stichwort "Stubzonen einrichten"), kann man loslegen.

Vertrauensstellung einrichten

In meiner Testumgebung habe ich eine Bidirektionale Vertrauensstellung eingerichtet, was unter Windows Server 2003 u. f. eigentlich total easy zu bewerkstelligen ist:

  1. Öffne am DC der Zieldomäne in der Verwaltung Active Directory-Domänen und -Vertrauensstellungen
  2. Klicke mit der rechten Maustaste auf den Container domain01.local, Punkt Eigenschaften, lasche Vertrauensstellungen
  3. Klicke im Dialog auf den Button Neue Vertrauensstellung...
  4. Folge dem Assistenten zum Einrichten einer Bidirektionalen Vertrauensstellung (ACHTUNG: wähle bei Vertrauensstellungsseiten die Option Für diese Domäne und die angegebene Domäne und die Vertrauensstellungsprüfung sollte auch später noch manuell durchgeführt werden - siehe nächsten Punkt!)
  5. Prüfe in der Quelldomäne am DC in Active Directory-Domänen und -Vertrauensstellungen, dass auch hier die Vertrauensstellung eingerichtet wurde

Falls obiger Punkt erfolgreich durchgeführt worden sein, sollte die Überprüfung der Vertrauensstellung durchgeführt werden:

  1. Öffne am Ziel-DC wieder Active Directory-Domänen und -Vertrauensstellungen, navigiere ins Dialogfenster zur Lasche Vertrauensstellungen
  2. Wähle in Domänen, denen diese Domäne vertraut die entsprechende Domäne aus, klicke auf den Button Eigenschaften
  3. In sich öffnenden Dialogfenster klicke auf den Button Überprüfen und prüfe so die Vertrauensstellung; es sollte eine Messagebox erscheinen, die eine erfolgreich eingerichtete Vertrauensstellung bestätigt, andernfalls mal die DNS-Server prüfen...
  4. Mache das Gleiche in der Quelldomäne am DC

ADMT und PES einrichten

Zwei Sachen müssen nun eingerichtet werden: in der Zieldomäne ist das ActiveDirectory Migration Tool und in der Quelldomäne der Password Export Server zu installieren:

  1. Lege am DC der Zieldomäne die Windows Server 2003 CD ein (oder je nachdem, welche Windows Server Version du im Einsatz hast)
  2. Im Ordner i386 der CD existiert ein Unterordner ADMT - öffnen und die Datei ADMIGRATION.MSI ausführen, installieren

Bevor nun der PES am DC der Quelldomäne installiert werden kann, muss mittels Eingabeaufforderung und dem Befehl admt key ein Verschlüsselungsschlüssel erstellt werden. Führe den Befehl aus: 

admt key "<Quelldomäne>" <Schlüsseldateipfad> {Kennwort|*}

Also z. B. 

admt key "domain02.local" C:\Pfad\zur\Keydatei\ *

Du wirst noch nach dem Verschlüsselungsschlüssel-Kennwort (geiler Name ^^) gefragt - hier einfach ein sicheres Passwort festlegen (evenutell lautet der Befehl bei einer anderen Windows Server Version anders, hier sollte aber der Befehl admt key /? helfen...). Kopiere dann die erstellte Datei auf einen USB-Stick etc. und transferiere diese auf den DC der Quelldomäne, lade dir dann den korrekten Password Export Server von Microsoft herunter (beachte: es gibt unterschiedliche Versionen für die einzelnen Windows Server Versionen), da der auf der CD nicht funktioniert - zumindest bei Windows Server 2003. Hier wird die Version 3.1 benötigt. Führe dann am Quell-DC die Installation unter Verwendung des vorher erstellten Keys durch.

Abgerufen von „http://wiki.butzhammer.de/index.php?title=Migration_/_Zusammenführung_von_zwei_Domänen&oldid=1653