Migrare InterForest – ADMT


Migrare intre 2 forest-uri folosind ADMT

Binenteles ca scenariile pot varia ca si complexitate si situatii dar de aceasta data incerc sa demonstrez folosind un scenariu simplu de test.

Scenariu:

Avem forestul OldDomain.local din care vrem sa migram obiecte si resurse in domeniul MyDomain.local.

Configuratia actuala AD a forestului OldDomain.local:

  • Windows Server 2003 Forest Functional Level
  • Windows Server 2003 Domain Functional Level
  • 1 domain controller WIN2003DC.OldDomain.local

Configuratia actuala AD a forestului MyDomain.local:

  • Windows Server 2008 Forest Functional Level
  • Windows Server 2008 Domain Functional Level
  • 1 domain controller WIN2008DC.MyDomain.local

Pentru migrare vom folosi ADMT 3.1 deoarece serverul din domeniul destinatie este 2008 si nu 2008 R2.

Nota:

ADMT 3.0

  • Se instaleaza doar pe Windows Server 2003.
  • Domeniul destinatie: Windows Server 2000/2003.
  • Domeniul sursa: Windows NT 4.0 (SP4)/2000/2003

ADMT 3.1

  • Se instaleaza doar pe Windows Server 2008 (no RODC or Core).
  • Domeniul destinatie: Windows Server 2000/2003/2008/2008R2.
  • Domeniul sursa: Windows Server 2000/2003/2008

ADMT 3.2

  • Se instaleaza doar pe Windows Server 2008 R2 (no RODC or Core).
  • Domeniul destinatie: Windows Server 2003/2008/2008 R2.
  • Domeniul sursa: Windows Server 2003/2008/2008 R2.

Una din componentele necesare pentru ADMT este o instanta de SQL. Eu voi folosi SQL Express 2005 care vine impreuna cu ADMT 3.1. Pentru versiunea ADMT 3.2 trebuie descarat separat fie SQL Express 2005 SP3 fie 2008 SP1.

1. Stabileste trustul intre cele 2 foresturi (two-way forest trust).

2. Instaleaza ADMT 3.1 in domeniul destination (target domain)

3. Creaza un folder shared ADMT key (in target domain).

4. Cmd si introdu comanda de mai jos.

admt key /option:create /sourcedomain:OldDomain.local /keyfile:”c:\ADMT key\ADMT key” /keypassword:*

5. De pe DC-ul din domeniu sursa (win2003dc), deschide share-ul din domeniul target (\\win2008dc\) si copiaza local fisierul ADMT key.pes

6. Descarca si instaleaza Password Export Server 3.1 pe un DC din domeniul sursa.

7. Reboot

8. In mod normal trebuie creat un cont separat pentru fiecare operatiune a migrarii si delegate dreptrui pe acele conturi. Puteti creea un cont in domeniul target si apoi sa il adaugati in grupul Administrators al domeniului sursa.

9. Pregatim domeniul sursa si domeniul target pentru migrare de SID History.

10. In domeniul sursa cream un grup pentru audit. In domeniul sursa creeaza un grup SourceDomain$$$ unde SourceDomain este si numele netBIOS pentru domeniusursa. In cazul meu OldDomain$$$ – OLDDOMAIN.

11. Porneste auditul pentru Account Management in ambele domenii.

12. Configureaza auditul pe DC-uri si din sursa si destinatie.

Deschide GPMC, edit Default Domain Controllers Policy:

Computer Configuration\Policies\WindowsSettings/Security Settings\Local Policies\Audit Policy.

  • Audit account management – enable Success, Failure
  • Audit directory service access – enable Success

13. Daca migram de la un domeniu sursa mai vechi de 2003 va trebui facuta o modificare de registrii, respectiv:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

Modifica TcpipClientSupport cu valoarea 1.

14. Identificarea de Service accounts.

15. Verificati ca accountul cu care efectuati operatiunile de pe serverul ADMT are drepturi de administrator in domeniul sursa.

16. Right click, Service Account Migration Wizard.

16. Migrarea unui grup de test.

17. Verifica View Log pentru eventuale probleme de migrare.

18. Translating Security.

Dupa migrarea obiectelor in domeniul target resursele locale vor contine ACL-urile de la domeniul sursa. Folosind Security Translation Wizard putem actualiza aceste permisiuni cu noile SID-uri, asta in cazul in care s-a mers pe migrarea folosind SID History. Dupa ce s-am migrat toate obiectele dorite din domeniul sursa putem rula wizard-ul.

Aici selectati optiunile necesare aplicarii scenariului vostru.

Scenariul demonstrat mai sus este unul de test, pentru a putea exemplifica functionalitatile aplicatiei ADMT si nu este un step by step guide. Asa ca daca doriti un ghid ce explica fiecare optiune, terminologie sau proces in detaliu puteti sa descarcati ADMT guide de la Microsoft.

Pentru a descarca aplicatiile necesare puteti folosi link-urile de mai jos:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s