Migration / Zusammenführung von zwei Domänen

Aus ITwiki
Version vom 9. Mai 2011, 15:46 Uhr von Flo84 (Diskussion | Beiträge)

Wechseln zu: Navigation, Suche

Einleitung

Vorab ein paar Worte: ich gehe hier nicht 100 % auf die Details ein, da eine Domänen-Migration einfach ein gewisses ActiveDirectory "Knwo-How" verlangt und das Verständnis hierfür Grundlage sein sollte. Heißt: es werden die einzelnen, "kritischen", zu beachtenden Details erläutert, der Rest wird als grundlegendes Verständnis vorausgesetzt.

Umsetzung

Vorab-Arbeiten: Standortvernetzung per VPN, DNS konfigurieren

Zunächst muss zwischen den beiden (AD-)Standorten eine Verbindung (VPN, MPLS etc.) bestehen und die DNS-Server konfiguriert werden. Ich verwende als Beispiel eine Zieldomäne "domain01.local", in welche Benutzerkonten etc. übernommen werden und die Quelldomäne "domain2.local", aus der die Konten in die "domain01.local" migriert werden sollen. Besteht eine Verbindung zwischen den Domänen und wurden die DNS-Server so konfiguriert, dass sich beide Domänen erreichen (Stichwort "Stubzonen einrichten"), kann man loslegen.

Vertrauensstellung einrichten

In meiner Testumgebung habe ich eine Bidirektionale Vertrauensstellung eingerichtet, was unter Windows Server 2003 u. f. eigentlich total easy zu bewerkstelligen ist:

  1. Öffne am DC der Zieldomäne in der Verwaltung Active Directory-Domänen und -Vertrauensstellungen
  2. Klicke mit der rechten Maustaste auf den Container domain01.local, Punkt Eigenschaften, lasche Vertrauensstellungen
  3. Klicke im Dialog auf den Button Neue Vertrauensstellung...
  4. Folge dem Assistenten zum Einrichten einer Bidirektionalen Vertrauensstellung (ACHTUNG: wähle bei Vertrauensstellungsseiten die Option Für diese Domäne und die angegebene Domäne und die Vertrauensstellungsprüfung sollte auch später noch manuell durchgeführt werden - siehe nächsten Punkt!)
  5. Prüfe in der Quelldomäne am DC in Active Directory-Domänen und -Vertrauensstellungen, dass auch hier die Vertrauensstellung eingerichtet wurde

Falls obiger Punkt erfolgreich durchgeführt worden sein, sollte die Überprüfung der Vertrauensstellung durchgeführt werden:

  1. Öffne am Ziel-DC wieder Active Directory-Domänen und -Vertrauensstellungen, navigiere ins Dialogfenster zur Lasche Vertrauensstellungen
  2. Wähle in Domänen, denen diese Domäne vertraut die entsprechende Domäne aus, klicke auf den Button Eigenschaften
  3. In sich öffnenden Dialogfenster klicke auf den Button Überprüfen und prüfe so die Vertrauensstellung; es sollte eine Messagebox erscheinen, die eine erfolgreich eingerichtete Vertrauensstellung bestätigt, andernfalls mal die DNS-Server prüfen...
  4. Mache das Gleiche in der Quelldomäne am DC

ADMT und PES einrichten

Zwei Sachen müssen nun eingerichtet werden: in der Zieldomäne ist das ActiveDirectory Migration Tool und in der Quelldomäne der Password Export Server zu installieren:

  1. Lege am DC der Zieldomäne die Windows Server 2003 CD ein (oder je nachdem, welche Windows Server Version du im Einsatz hast)
  2. Im Ordner i386 der CD existiert ein Unterordner ADMT - öffnen und die Datei ADMIGRATION.MSI ausführen, installieren

Bevor nun der PES am DC der Quelldomäne installiert werden kann, muss mittels Eingabeaufforderung und dem Befehl admt key ein Verschlüsselungsschlüssel erstellt werden. Führe den Befehl aus: 

admt key "<Quelldomäne>" <Schlüsseldateipfad> {Kennwort|*}

Also z. B. 

admt key "domain02.local" C:\Pfad\zur\Keydatei\ *

Du wirst noch nach dem Verschlüsselungsschlüssel-Kennwort (geiler Name ^^) gefragt - hier einfach ein sicheres Passwort festlegen (evenutell lautet der Befehl bei einer anderen Windows Server bzw. ADMT Version anders, hier sollte aber der Befehl admt key /? helfen...). Kopiere dann die erstellte Datei auf einen USB-Stick etc. und transferiere diese auf den DC der Quelldomäne, lade dir dann den korrekten Password Export Server von Microsoft herunter (beachte: es gibt unterschiedliche Versionen für die einzelnen Windows Server Versionen), da der auf der CD nicht funktioniert - zumindest bei Windows Server 2003. Hier wird die Version 3.1 benötigt. Führe dann am Quell-DC die Installation unter Verwendung des vorher erstellten PES-Keys durch, danach ist ein Neustart des Systems erforderlich. Wenn der DC wieder oben ist, muss der Dienst Kennwortexportserver-Dienst gestartet werden - erst dann ist es möglich, am DC der Zieldomäne die Benutzerkontenübernahme samt Passwörter durchzuführen.

Test-Import eines Accounts

An allen Client-Maschinen der beiden Domänen ist es nun möglich, sich anzumelden - klar. Um nun einen Benutzeraccount von der Quell- in die Zieldomäne zu migrieren, öffne am Ziel-DC das MMC-SnapIn Active Directory-Migrationsprogramm:

  1. Klicke mit der rechten Maustaste auf Active Directory-Migrationsprogramm, wähle Assistent zum Migrieren von Benutzerkonten
  2. Führe zunächst nur den Migrationstest durch - hier wirst du ggf. etwas feststellen...

... nämlich, dass eine Fehlermeldung auftaucht, dass die Domäne sich nicht im "einheitlichen Modus" befindet. Heißt, Domänenfunktionsebene auf Windows Server 2003 heraufstufen:

  1. Öffne Active Directory-Domänen und -Vertrauensstellungen
  2. Rechte Maustaste auf die Domäne, bei mir im Beispiel auf domain01.local
  3. Wähle Domänenfunktionsebene heraufstufen...
  4. Hier ist Windows Server 2003 auszuwählen (zumindest bei einem W2k3 Server...)

Führe das Selbe am Quell-DC durch, starte dann erneut den Migrations-Testimport wie oben beschrieben. Es wird eventuell nun der Fehler auftauchen, dass nicht jeder Benutzer Mitglied der Gruppe Prä-Windows 2000 kompatibler Zugriff ist. Öffne daher am Ziel-DC (!) in domain01.local die Eingabeaufforderung und gebe folgende zwei Befehle ein: 

net localgroup "Prä-Windows 2000 kompatibler Zugriff" Jeder /add
net localgroup "Prä-windows 2000 kompatibler Zugriff" "Anonymous-Anmeldung" /add

Nachdem die Befehle erfolgreich ausgeführt wurden, muss am Quell-DC (!) in der Registry der Wert AllowPasswordExport auf Wert 1 geändert werden. Den Eintrag findest du im Schlüssel 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\

Im selben Schlüssel muss ein Eintrag (REG_DWORD) 

TcpipClientSupport

mit Wert 1 erstellt werden. Danach ist ein Neustart des Servers der Quell-Domäne (!) notwendig. Denke daran, den Dienst Kennwortexportserver-Dienst danach wieder zu starten :-)

Abgerufen von „http://wiki.butzhammer.de/index.php?title=Migration_/_Zusammenführung_von_zwei_Domänen&oldid=1654