Migration / Zusammenführung von zwei Domänen

Aus ITwiki
Version vom 10. Mai 2011, 09:23 Uhr von Flo84 (Diskussion | Beiträge)

Wechseln zu: Navigation, Suche

Einleitung

Vorab ein paar Worte: ich gehe hier nicht 100 % auf die Details ein, da eine Domänen-Migration einfach ein gewisses ActiveDirectory "Knwo-How" verlangt und das Verständnis hierfür Grundlage sein sollte. Heißt: es werden die einzelnen, "kritischen", zu beachtenden Details erläutert, der Rest wird als grundlegendes Verständnis vorausgesetzt.

Umsetzung

Vorab-Arbeiten: Standortvernetzung per VPN, DNS konfigurieren

Zunächst muss zwischen den beiden (AD-)Standorten eine Verbindung (VPN, MPLS etc.) bestehen und die DNS-Server konfiguriert werden. Ich verwende als Beispiel eine Zieldomäne "domain01.local", in welche Benutzerkonten etc. übernommen werden und die Quelldomäne "domain02.local", aus der die Konten in die "domain01.local" migriert werden sollen. Besteht eine Verbindung zwischen den Domänen und wurden die DNS-Server so konfiguriert, dass sich beide Domänen erreichen (Stichwort "Stubzonen einrichten"), kann man loslegen.

Vertrauensstellung einrichten

In meiner Testumgebung habe ich eine Bidirektionale Vertrauensstellung eingerichtet, was unter Windows Server 2003 u. f. eigentlich total easy zu bewerkstelligen ist:

  1. Öffne am DC der Zieldomäne in der Verwaltung Active Directory-Domänen und -Vertrauensstellungen
  2. Klicke mit der rechten Maustaste auf den Container domain01.local, Punkt Eigenschaften, lasche Vertrauensstellungen
  3. Klicke im Dialog auf den Button Neue Vertrauensstellung...
  4. Folge dem Assistenten zum Einrichten einer Bidirektionalen Vertrauensstellung (ACHTUNG: wähle bei Vertrauensstellungsseiten die Option Für diese Domäne und die angegebene Domäne und die Vertrauensstellungsprüfung sollte auch später noch manuell durchgeführt werden - siehe nächsten Punkt!)
  5. Prüfe in der Quelldomäne am DC in Active Directory-Domänen und -Vertrauensstellungen, dass auch hier die Vertrauensstellung eingerichtet wurde

Falls obiger Punkt erfolgreich durchgeführt worden sein, sollte die Überprüfung der Vertrauensstellung durchgeführt werden:

  1. Öffne am Ziel-DC wieder Active Directory-Domänen und -Vertrauensstellungen, navigiere ins Dialogfenster zur Lasche Vertrauensstellungen
  2. Wähle in Domänen, denen diese Domäne vertraut die entsprechende Domäne aus, klicke auf den Button Eigenschaften
  3. In sich öffnenden Dialogfenster klicke auf den Button Überprüfen und prüfe so die Vertrauensstellung; es sollte eine Messagebox erscheinen, die eine erfolgreich eingerichtete Vertrauensstellung bestätigt, andernfalls mal die DNS-Server prüfen...
  4. Mache das Gleiche in der Quelldomäne am DC

ADMT und PES einrichten

Zwei Sachen müssen nun eingerichtet werden: auf dem DC in der Zieldomäne ist das ActiveDirectory Migration Tool und am DC der Quelldomäne der Password Export Server zu installieren, beachte den Artikel auf msxfaq.de und lade dir die entsprechende Version vom ADMT und PES herunter. Für Windows Server 2003 eignet sich Version 3.0 vom ADMT - diesen als Erstes installieren. Bevor nun der PES am DC der Quelldomäne installiert werden kann, muss mittels Eingabeaufforderung und dem Befehl admt key ein Verschlüsselungsschlüssel erstellt werden. Führe den Befehl aus:

admt key /opt:create /sd:<Quelldomäne> /kf:<Pfad\zum\Keyfile> {/pwd:<Kennwort>|*}

Also z. B.

admt key /opt:create /sd:domain02.local /kf:C:\Pfad\zur\Keydatei\domain02.pes /pwd:*

Du wirst noch nach dem Verschlüsselungsschlüssel-Kennwort (geiler Name ^^) gefragt - hier einfach ein sicheres Passwort festlegen (evenutell lautet der Befehl bei einer anderen Windows Server bzw. ADMT Version anders, hier sollte aber der Befehl admt key /? helfen...). Kopiere dann die erstellte Datei auf einen USB-Stick etc. und transferiere diese auf den DC der Quelldomäne, lade dir dann den korrekten Password Export Server von Microsoft herunter (beachte wieder es gibt unterschiedliche Versionen für die einzelnen Windows Server Versionen), da der auf der CD nicht funktioniert - zumindest bei Windows Server 2003. Hier wird die Version 3.1 benötigt. Führe dann am Quell-DC die Installation unter Verwendung des vorher erstellten PES-Keys durch, danach ist ein Neustart des Systems erforderlich. Überprüfe am DC, ob der Dienst Kennwortexportserver-Dienst gestartet wurde - erst dann ist es nämlich möglich, am DC der Zieldomäne die Benutzerkontenübernahme samt Passwörter durchzuführen, bzw. ein paar Kleinigkeiten sind noch zu konfigurieren :-)

Test-Import eines Benutzer-Accounts

An allen Client-Maschinen der beiden Domänen ist es nun möglich, sich anzumelden - klar. Um nun einen Benutzeraccount von der Quell- in die Zieldomäne zu migrieren, öffne am Ziel-DC das MMC-SnapIn Active Directory-Migrationsprogramm:

  1. Klicke mit der rechten Maustaste auf Active Directory-Migrationsprogramm, wähle Assistent zum Migrieren von Benutzerkonten
  2. Versuche, einen Bentzeraccount samt Kennwörter zu exportieren...

... es wird nicht funktionieren :-) Ggf. erscheint eine MEldung, dass die Domäne sich nicht im "einheitlichen Modus" befindet. Heißt, Domänenfunktionsebene auf Windows Server 2003 heraufstufen:

  1. Öffne Active Directory-Domänen und -Vertrauensstellungen
  2. Rechte Maustaste auf die Domäne, bei mir im Beispiel auf domain01.local
  3. Wähle Domänenfunktionsebene heraufstufen...
  4. Hier ist Windows Server 2003 auszuwählen (zumindest bei einem W2k3 Server...)

Führe das Selbe am Quell-DC durch, starte dann erneut den Migrations-Testimport wie oben beschrieben. Es wird nun der Fehler auftauchen, dass nicht jeder Benutzer Mitglied der Gruppe Prä-Windows 2000 kompatibler Zugriff ist. Öffne daher am Ziel-DC (!) die Eingabeaufforderung und gebe folgende zwei Befehle ein:

net localgroup "Prä-Windows 2000 kompatibler Zugriff" Jeder /add
net localgroup "Prä-windows 2000 kompatibler Zugriff" "Anonymous-Anmeldung" /add

Zudem ist es notwendig, am DC der Quell-Domäne (!) eine Gruppe mit dem Namen <quelldomäne>$$$ zu erstellen:

net localgroup <quelldomain>$$$ /add

also z. B.

net localgroup domain02$$$ /add

Beachte: als Domänen-Name muss hier die NetBios-Schreibweise verwendet werden, also ohne den Suffix ".local"! Des Weiteren muss am Quell-DC (!) noch die Gruppe Domänen-Admins aus der Ziel-Domain (!) der lokalen Gruppe Administratoren hinzugefügt werden:

net localgroup Administratoren <zieldomain>\Domänen-Admins /Add

da sonst ein "Zugriff Verweigert"-Fehler beim Importversuch auftaucht. Also z. B.

net localgroup Administratoren domain01.local\Domänen-Admins /Add

eintippen. Nachdem die Befehle erfolgreich ausgeführt wurden, muss weiter am Quell-DC in der Registry der Wert AllowPasswordExport auf Wert 1 geändert werden. Den Eintrag findest du im Schlüssel

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\

Im selben Schlüssel muss zudem noch ein Eintrag (REG_DWORD)

TcpipClientSupport

mit Wert 1 erstellt werden. Danach ist ein Neustart des Servers der Quell-Domäne (!) notwendig, um diese Einstellungen zu übernehmen. Denke daran, den Dienst Kennwortexportserver-Dienst danach wieder zu starten :-) Jetzt sollte in aller Regel eine Migration samt Kennwörter möglich sein. Sollten Fehler auftreten, kann dies daran liegen, dass die ADMT- mit der PES-Version nicht kompatibel ist. In diesem Fall muss ADMT und PES neu installiert und die eben genannten Schritte erneut ausgeführt werden.

Migration eines Computer-Accounts

Der Assistent hierfür ist ähnlich dem der Benutzerkontenmigration. Um das Computerkonto erfolgreich importieren zu können, ist es aber notwendig, dass der Benutzer, welcher das ADMT-SnapIn in der Zieldomäne ausführt, der lokalen Administratorengruppe am Client-Rechner angehört, da die Migration sonst nicht vollständig durchgeführt wird. Bei einer erfolgreichen Übernahme wird der Rechner automatisch in die neue Domäne übernommen, Freigabeberechtigungen entsprechend gesetzt etc.

Roaming Profiles

Bei der Übernahme eines Benutzeraccounts besteht die Möglichkeit, dass die Rechte des Benutzerprofilordners entsprechend angepasst werden - sehr praktisch! Allerdings wirst du feststellen, dass das Profil - sofern es auf einem Server der alten Domäne domain02.local liegt - nicht geladen werden kann, es tritt eine Warnung am Client auf:

Gesamtstrukturübergreifende Gruppenrichtlinienverarbeitung ist deaktiviert und Loopback-Verarbeitung wurde in der Gesamtstruktur auf dieses Benutzerkonto angewendet.

Sollte das Computerkonto noch nicht migriert worden sein, ist es notwendig, in der alten Domäne entsprechend eine Gruppenrichtlinie zu konfigurieren:

 Computerkonfiguration\Admininstrative Vorlagen\System\Gruppenrichtlinien

und hier die beiden Richtlinien

Loopbackverarbeitungsmodus für Benutzerrichtlinie (auf "Zusammenführen" stellen)
Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen

Wie gesagt: da das Computerkonto noch in der alten Domäne liegt, muss auch hier diese Computerrichtlinie konfiguriert werden, die Benutzerrichtlinien werden aus der neuen Domäne genommen, klar. Denke daran, für das Benutzerkonto den Profilpfad entsprechend anzupassen. Wenn wie in meinem Beispiel die alte Domäne domain02.local heißt, der Profilordner auf dc01 liegt, muss für das Benutzerkonto der Profilpfad \\dc01.domain02.local\pfad\profilordner lauten und nicht \\dc01\pfad\profilordner !

Anmeldeskripte

Beachte: sobald ein Benutzerkonto in die neue Domäne migriert wurde, muss natürlich auch das Login-Script, welches sich in der Regel im SYSVOL des DC's der alten Domäne befindet, in den SYSVOL-Ordner des neuen DC's kopiert werden - eigentlich klar, wird aber gerne vergessen... :-)

Nützliche Links