Logo faq-o-matic.net
Logo faq-o-matic.net

Benutzermigration mit ADMT v3: How-To

von veröffentlicht am1. Mai 2006, 15:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Migration   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer schon einmal eine größere Zahl User- und Computerkonten von einer Domäne in eine andere migriert hat, weiß dieses Tool zu schätzen: Es nimmt einem Administrator viel Arbeit ab. Egal, ob das Ganze in einem Forest oder mehreren geschieht und ob es von einer NT, Windows 2000 oder 2003er Domäne in Windows 2000 oder 2003 Dömänen verschoben/migriert wird, man muss nicht mehr die User- und Computerkonten „von Hand“ anlegen, denn samt der Profile „wandern“ diese Benutzerinformationen (Userkonto, Computerkonto, SidHistory) von einer Domäne in die andere. Letzten Endes schaltet man nach der Migration den PC aus der Quelldomäne aus baut ihn in der Zieldomäne auf, fährt hoch und meldet sich nun in der „neuen“ Domäne mit seinem gleichen Benutzernamen sowie Kennwort an –  und alles sieht so aus wie vorher.

Was sind die Voraussetzungen, um das „Active Directory Migration Tool“ in der Version 3 einzusetzen?
  • Eine bestehende „physikalische“ Verbindung zwischen den Domänen (LAN, WAN, VPN).
  • Eine Vertrauensstellung, zumindest „One-Way“, so dass in der Quelldomäne festgelegt wird, dass der Zieldomäne vertraut werden soll. Optional kann die Zieldomäne derart konfiguriert werden, der Quelldomäne zu vertrauen. Dies erleichtert zwar die Konfiguration, ist jedoch nicht erforderlich, um die ADMT-Migration abzuschließen.
  • Funktionierende Namensauflösung.
  • Idealerweise Domänen-Administrator-Rechte in der Quell- sowie Zieldomäne oder zumindest das Recht, Konten in der Quell- und Zieldomäne zu erstellen und zu löschen.
  • Wenn Computerkonten verschoben/migriert werden sollen, müssen diese bei Anwendung des ADMT gestartet sein, da das Tool auf den Rechnern einen Agenten installieren muss.
  • Die Zieldomäne muss Windows 2000 oder 2003 ausführen und sich zwingend im einheitlichen Modus befinden (dies ist anders als noch in der Version ADMT 2.0).

Das Tool muss auf einem Server und kann nicht auf einer Workstation installiert werden, es wird auch auf dem Server eine MSDE installiert. Die unterstützten Systeme sowie der Download des Tools können hier nachgelesen bzw. gedownloadet werden:
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=6F86937B-533A-466D-A8E8-AFF85AD3D212

In dem Beispiel, das ich hier zeige, habe ich einen User von der Rootdomäne in eine Subdomäne migriert (im gleichen Forest). Bitte habt Verständnis dafür, dass ich nicht jedes Szenario vorführen kann, da es dann nicht mehr bei einem „kleinen How-To“ bleiben, sondern zu einem Wälzer werden würde. 😉

1. Nach dem Installieren des ADMT auf dem Quell-Server taucht ein weiteres MMC unter START – PROGRAMME – VERWALTUNG – ACTIVE DIRECTORY MIGRATION TOOL auf. Nach dem Aufruf des Tools kann man mit einem „Rechtsklick“ auf den Stamm-Ordner auswählen, welche Aktion man ausführen möchte. Da ich einen User migrieren möchte, habe ich „User Account Migration Wizard“ gewählt:

2. Danach begrüßt der Wizard den User, und mit einem Klick auf „Weiter“ geht es zum nächsten Schritt:

3. Hier muss man nun die Quell- sowie Zieldomäne (NetBIOS-Name der Domäne) samt der jeweiligen Domänencontroller angeben. Ganz wichtig, die DCs, die die Rolle des „RID-Master“ haben, müssen erreichbar sein. Hinweis: Die Zieldomäne muss sich im einheitlichen Modus befinden!

4. An diesem Punkt wählt man dann „Select users from Domain“:

5. Im nächsten Fenster geht es mit einem Klick auf „Add&“ weiter:

6. Hier gilt es nun, die gewünschten User auszuwählen, die in die „neue“ Domäne migriert/verschoben werden sollen:

7. Wenn man dann die Userkonten ausgewählt hat und „Weiter“ klickt, gelangt man zu dem nachfolgenden Fenster. Hier muss man festlegen, in welchem Ordner bzw. in welcher Organisationseinheit das Konto in der ZIEL-Domäne erstellt werden soll. Mit Klick auf „Browse&“ :

8. ..gelangt man zu diesem Fenster (der Zieldomäne). In diesem Beispiel wird „Users“ausgewählt:

11. Wenn man die Option „Migrate associated user groups“ nicht auswählt, erscheint die nachfolgende Meldung:

9. Dann taucht der aufgelöste DN-Name ( Distinguished-Name) auf und mit
einem Klick auf „Weiter“ geht’s zum nächsten Fenster:

10. Hier kann man nun verschiedene Optionen auswählen, wie  servergespeicherte Profile, Update der User-Rechte, Migration der Gruppen-Konten:

Falls es sich nicht um zahlreiche Konten mit verstrickten Gruppenkonten handelt, kann man diese Meldung vernachlässigen.

12. Im Anschluss daran folgt dieses Fenster. Je nachdem, welche Optionen vorher ausgewählt wurden, stehen hier eventuell nochmals weitere Optionen zur Verfügung. Der Assistent erfragt, was bei einem Konflikt wie z.B. einem doppelten Usernamen gemacht werden soll:

13. Nun klickt man auf „Fertig stellen“ und die Migration kann ablaufen:

14. Wenn der Vorgang abgeschlossen ist, erscheint folgende Meldung:

Mit einem Klick auf „View Log“ kann man sich Details des Vorgangs anschauen.
Somit hat man User von A nach B verschoben.

WICHTIG: Innerhalb eines Forests werden die Konten nicht kopiert, sondern verschoben.

15. Der User kann sich danach in der neuen Domäne anmelden.
Dieser wird bei der ersten Anmeldung aufgefordert, ein neues Kennwort zu vergeben, da der Password Migration Wizard nicht ausgeführt wurde.

Ich möchte an dieser Stelle nochmals hier auf die SidHistory aufmerksam machen: Falls sich der Vorgang innerhalb eines Forests abspielt, wandert die SidHistory automatisch mit. Wenn die SidHistory nicht mitwandert, muss man ggf. die Rechtestruktur für Objekte von Hand vergeben. Das ist sicherlich bei 10-20 Konten kein Problem, aber bei mehr als 50 Konten sieht es natürlich anders aus.

Hier noch mal die wichtigsten Links in der Zusammenfassung:

Download von AMT v. 3:
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=6F86937B-533A-466D-A8E8-AFF85AD3D212

Ein sehr guter Microsoft-Artikel zum ADMT, allerdings in der Version 2:
http://support.microsoft.com/default.aspx/kb/326480

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!