Windows Server 2003 - Handbuch für die Bereitstellung
Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen
Es gibt viele Gründe, Domänen zwischen Gesamtstrukturen neu zu strukturieren. Nicht nur die Anzahl der Domänen lässt sich auf diese Weise verringern, sondern auch die Verwaltungskomplexität und - im Fall von Windows 2000 oder Windows Server 2003 - die Overheadkosten der gesamten Active Directory-Umgebung.
Wenn Sie Domänen der Betriebssysteme Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition und Windows Server 2003 Datacenter Edition migrieren, besteht dieser Vorgang im Wesentlichen aus zwei Phasen: dem Kopieren von Konten und Ressourcen aus einer Active Directory-Quelldomäne und dem Verschieben dieser Daten auf eine Zieldomäne in einer anderen Windows Server 2003-Gesamtstruktur.
Informieren Sie sich darüber, welche Schritte bei der Neustrukturierung von Windows .NET-Domänen zwischen Gesamtstrukturen auszuführen sind. Von der Planung über den Test bis zur Ausführung und Nachbereitung - das vorliegende Kapitel des "Handbuchs für die Bereitstellung von Windows Server 2003" beschreibt im Detail, wie Sie beim Kopieren und Verschieben der Konten und Ressourcen vorgehen sollten.
Verwandte Informationen in den Resource Kits
| • | Weitere Informationen zur logischen Struktur des Active Directory®-Dienstes finden Sie unter 'Entwerfen der logischen Struktur' in diesem Handbuch. |
| • | Weitere Informationen zur Active Directory-Standorttopologie finden Sie unter 'Entwerfen der Standorttopologie' in diesem Handbuch. |
| • | Weitere Informationen zum Entwerfen eines DNS (Domain Name System) für Active Directory finden Sie unter 'Bereitstellen von DNS' ('Deploying DNS') in Bereitstellen von Netzwerkdiensten ('Deploying Network Services') in diesem Kit. |
Auf dieser Seite
Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen im Überblick
Das Neustrukturieren von Domänen der Produkte Microsoft® Windows® Server 2003 Standard Edition, Windows® Server 2003 Enterprise Edition und Windows® Server 2003 Datacenter Edition zwischen Gesamtstrukturen ermöglicht das Verringern der Anzahl der Domänen in der Organisation und somit auch der Verwaltungskomplexität und der damit verbundenen Overheadkosten der Active Directory-Umgebung. Das Neustrukturieren von Domänen umfasst das Kopieren von Konten und Ressourcen aus einer Windows 2000- oder Windows Server 2003 Active Directory-Quelldomäne und das Verschieben dieser Daten auf eine Zieldomäne in einer anderen Windows Server 2003-Gesamtstruktur. Bei der Zieldomäne muss es sich um eine Domäne im einheitlichen Modus von Windows 2000 oder um eine Domäne auf der Funktionsebene Windows Server 2003 handeln.
Wenn Sie eine direkte Aktualisierung mehrerer Domänen von Windows NT 4.0 auf mehrere Microsoft Windows 2000- oder Windows Server 2003-Gesamtstrukturen durchgeführt haben, müssen Sie möglicherweise die Domänen zwischen Gesamtstrukturen neu strukturieren, um die Objekte zusammenzuführen, da die Größenbeschränkungen der SAM von Windows NT 4.0, die die Anzahl der Objekte in einer Domäne beschränken, in einer Windows Server 2003-Umgebung nicht gelten. Wenn die Organisation mit einer anderen Organisation oder IT-Infrastruktur zusammengeführt wurde, ermöglicht das Neustrukturieren das Zusammenführen von Konten und Ressourcen zwischen den beiden Infrastrukturen.
Anmerkung: Eine Liste der Aufgabenhilfen, die verfügbar sind, um Sie beim Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen zu unterstützen, finden Sie weiter unten in diesem Kapitel unter 'Weitere Ressourcen'.
Vorgehensweise beim Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen
Das Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen umfasst das Planen und Vorbereiten der neuen Domänenstruktur für die Organisation sowie das erfolgreiche Migrieren der Konten und Ressourcen in eine andere Windows Server 2003 Active Directory-Domäne in einer anderen Gesamtstruktur. Abbildung 11.1 zeigt die Vorgehensweise beim Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen.
Abbildung 11.1 Vorgehensweise beim Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen
Hintergrundinformationen der Windows Server 2003-Domänenmigration
Die Migration von Domänenobjekten zwischen Gesamtstrukturen ist kein destruktiver Vorgang. Die Umgebungen der Quell- und Zieldomäne bestehen während der Migration gleichzeitig; aus diesem Grund besteht die Option, ggf. auf die Quellumgebung zurückzugreifen. Das Active Directory-Migrationstool (ADMT) ermöglicht das Migrieren von Konten und Ressourcen zwischen Domänen bei Aufrechterhaltung der Benutzer- und Objektberechtigungen. Während des Neustrukturierungsvorgangs zwischen Gesamtstrukturen besitzen Benutzer ständigen Zugriff auf die erforderlichen Ressourcen, und Benutzer, Gruppen und Ressourcen können unabhängig voneinander verschoben werden.
Bevor Sie mit der Neustrukturierung von Domänen zwischen Gesamtstrukturen beginnen, müssen Sie sich mit dem Migrationsvorgang für Konten und Ressourcen sowie mit dem Active Directory-Migrationstool (ADMT) vertraut machen.
Migrationsvorgang für Konten
Der Vorgang des Neustrukturierens von Windows Server 2003-Konten zwischen Gesamtstrukturen umfasst das Kopieren von Benutzern, Gruppen und lokalen Profilen von der Quelldomäne in die Zieldomäne, wobei die Zugriffsrechte und Attribute dieser Objekte erhalten bleiben.
Wenn Benutzerkonten zwischen Windows Server 2003 Active Directory-Domänen in verschiedenen Gesamtstrukturen migriert werden, bleibt das ursprüngliche Konto in der Quelldomäne erhalten, und ein neues Konto wird in der Zieldomäne erstellt. Da die Sicherheits-ID (SID) eines Sicherheitsprinzipals (Benutzer oder Gruppe) immer einen Bezeichner der Domäne enthält, in der sich der Sicherheitsprinzipal befindet, wird eine neue SID für den Benutzer in der Zieldomäne erstellt. ADMT kann die SID des ursprünglichen Sicherheitsprinzipals in den Sicherheitsprinzipal in der Zieldomäne migrieren; es ist daher nicht erforderlich, Berechtigungen für alle Ressourcen zu gewähren, die für dieses Objekt erforderlich sind.
Wenn sich ein Benutzer an der Zieldomäne anmeldet, werden sowohl die neue SID als auch die ursprüngliche SID aus dem SID-History-Attribut dem Zugriffstoken des Benutzers hinzugefügt und bestimmen die Gruppenmitgliedschaften des Benutzers. Die SIDs der Gruppen, in denen der Benutzer Mitglied ist, werden dem Zugriffstoken anschließend zusammen mit der SID-History dieser Gruppen hinzugefügt.
Da sowohl in der Quell- als auch in der Zieldomäne Konten vorhanden sind, können sich Benutzer während des Migrationsvorgangs an beiden Domänen anmelden. Aus praktischen Gründen müssen Sie jedoch steuern, an welcher Domäne sich Benutzer anmelden, damit Sie wissen, welche Anmeldeinformationen für den Ressourcenzugriff verwendet werden.
Sie können auch die ursprüngliche SID für globale Gruppen in der SID-History der globalen Gruppe in der Zieldomäne beibehalten. Da die Gruppenmitgliedschaften auf SIDs basieren, werden die globalen Gruppenmitgliedschaften der globalen Gruppe automatisch beibehalten, wenn Sie die SID in die SID-History der globalen Gruppe in der Zieldomäne migrieren.
Migrationsvorgang für Ressourcen
Active Directory-Domänen enthalten drei Typen von Ressourcen:
| • | Arbeitsstationskonten |
| • | Ressourcen auf Mitgliedsservern |
| • | Ressourcen auf Domänencontrollern |
Die Migration von Mitgliedsarbeitsstationen und -servern ist ein recht einfacher Vorgang. Die lokalen Gruppen, die Sie erstellen, um Benutzern Berechtigungen zuzuweisen, werden in der lokalen SAM-Datenbank gespeichert und verschoben, wenn Sie den Server verschieben. Sie müssen keine Zugriffssteuerungslisten (ACL oder Access Control List) neu konfigurieren, um Benutzern nach der Migration den Zugriff auf Ressourcen zu ermöglichen.
Der Migrationsvorgang für Domänencontroller ist je nach Betriebssystem, das die Domänencontroller ausführen, und der Funktionsebene der Domäne, auf der die Zieldomäne betrieben wird, unterschiedlich. Windows 2000 unterstützt das Ändern des Domänencontrollerstatus und das Verschieben von Domänencontrollern zwischen Domänen. Wenn die Zieldomäne in der Windows Server 2003-Gesamtstruktur jedoch auf der Windows Server 2003-Domänenfunktionsebene betrieben wird, müssen Sie die Server unter Windows 2000 auf Windows Server 2003 aktualisieren. Auf diese Weise stellen Sie außerdem sicher, dass Sie über eine konsistente Betriebssystemebene für alle Domänencontroller verfügen.
Weitere Informationen zu Funktionsebenen finden Sie unter 'Aktivieren von Funktionsebenen' ('Enabling Functional Levels') in diesem Handbuch.
Funktionsebenen
Funktionsebenen in Windows Server 2003 geben die Ebene der Funktionalität an, z. B. Schemakompatibilität und Replikationsfunktionen, die die Domänencontroller mit unterschiedlichen Windows-Betriebssystemversionen von Active Directory nutzen können. Die Funktionsebene einer Domäne oder Gesamtstruktur definiert die Gruppe der Windows-Betriebssysteme, die auf den Domänencontrollern in der betreffenden Domäne oder Gesamtstruktur ausgeführt werden können. Die Funktionsebene einer Domäne oder Gesamtstruktur definiert außerdem weitere Windows Server 2003 Active Directory-Funktionen, die in der betreffenden Domäne oder Gesamtstruktur verfügbar sind.
Alle Zieldomänen, in die Sie beim Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen Objekte migrieren, müssen auf der Funktionsebene Windows 2000 oder Windows Server 2003 betrieben werden. Weitere Informationen zum Aktivieren von Domänen- und Gesamtstruktur-Funktionsebenen finden Sie unter 'Aktivieren von Funktionsebenen' ('Enabling Functional Levels') in diesem Handbuch.
ADMT-Tool
ADMT, Version 2, ermöglicht das Kopieren und Verschieben von Objekten zwischen Active Directory-Gesamtstrukturen. ADMT enthält Assistenten, die Migrationsaufgaben wie z. B. das Verschieben von Benutzern, Gruppen, Dienstkonten und Computern sowie das Migrieren von Vertrauensstellungen und das Durchführen von Sicherheitskonvertierungen automatisieren.
Wenn Sie das ADMT-Tool zum Durchführen einer Neustrukturierung zwischen Gesamtstrukturen verwenden, kopiert ADMT die zu migrierenden Konten. Wenn diese Konten in der Zieldomäne erstellt werden, sind sie daher auch weiterhin in der Quelldomäne vorhanden. Die primären SIDs (Sicherheits-IDs) für die Konten in der Quelldomäne verbleiben in der SID-History der Konten in der Zieldomäne.
ADMT ist auf der Windows Server 2003-Betriebssystem-CD im Verzeichnis \i386\admt\admigration.msi verfügbar.
Begriffe und Definitionen
Die folgenden Begriffe beziehen sich auf den Neustrukturierungsvorgang von Active Directory-Domänen.
Migration
Der Vorgang des Verschiebens eines Objekts aus einer Quell- in eine Zieldomäne, bei dem Merkmale des Objekts beibehalten oder geändert werden, um den Zugriff darauf in der neuen Domäne zu ermöglichen.
Domänenneustrukturierung
Ein Migrationsvorgang, der das Ändern der Domänenstruktur einer Gesamtstruktur umfasst. Eine Domänenneustrukturierung kann entweder aus dem Zusammenführen oder aus dem Hinzufügen von Domänen bestehen und zwischen Gesamtstrukturen oder innerhalb einer Gesamtstruktur stattfinden.
Migrationsobjekte
Domänenobjekte, die während des Migrationsvorgangs aus der Quell- in die Zieldomäne verschoben werden. Migrationsobjekte können Benutzerkonten, Dienstkonten, Gruppen oder Computer sein.
Quelldomäne
Die Domäne, aus der Objekte während einer Migration verschoben werden. Bei der Neustrukturierung von Windows Server 2003-Domänen zwischen Gesamtstrukturen ist die Quelldomäne eine Active Directory-Domäne in einer anderen Gesamtstruktur als die Zieldomäne.
Zieldomäne
Die Domäne, in die Objekte während einer Migration verschoben werden.
Vordefinierte Konten
Standardsicherheitsgruppen, die standardmäßige Sätze von Rechten und Berechtigungen besitzen. Sie können vordefinierte Konten zum Gewähren von Berechtigungen für Konten oder Gruppen verwenden, die Sie als Mitglieder dieser Gruppen festlegen. Die SIDs von vordefinierten Konten sind in jeder Domäne identisch; aus diesem Grund können vordefinierte Konten nicht migriert werden.
Vorbereiten der Neustrukturierung von Windows Server 2003-Domänen zwischen Gesamtstrukturen
Indem Sie die erforderlichen Planungsaufgaben durchführen, bevor Sie mit der Migration beginnen, können Sie sicherstellen, dass sich Benutzer während der Migration auch weiterhin am Netzwerk anmelden und auf Ressourcen zugreifen können. Die Planung umfasst das Definieren der zu migrierenden Konten und Ressourcen, das Erstellen eines Testplans sowie das Erstellen eines Fallbackplans für den Fall, dass die Migration fehlschlägt. Als Vorbereitung auf den Neustrukturierungsvorgang muss das Active Directory-Bereitstellungsteam sicherstellen, dass es die erforderlichen Entwurfsinformationen vom Active Directory-Entwurfsteam erhält.
Abbildung 11.2 zeigt die Schritte, die für das Vorbereiten der Neustrukturierung von Windows Server 2003-Domänen zwischen Gesamtstrukturen erforderlich sind.
Abbildung 11.2 Planen der Neustrukturierung von Windows Server 2003-Domänen zwischen Gesamtstrukturen
Zuweisen von Objektspeicherorten und Rollen
Weisen Sie den Migrationsobjekten Speicherorte und Rollen in der Zieldomäne zu. Es ist sinnvoll, Objektzuweisungstabellen zu erstellen, in denen die Zuweisungen für alle Objekte definiert werden, die Sie migrieren. Erstellen Sie eine Tabelle für Kontoobjekte (z. B. Benutzer, Gruppen und Dienstkonten) und eine Tabelle für Ressourcenobjekte (z. B. Arbeitsstationen, Profile und Domänencontroller). Listen Sie in den Tabellen die Quell- und Zielspeicherorte für alle zu migrierenden Objekte auf.
Bevor Sie die Zuweisungstabelle für Kontoobjekte erstellen, ermitteln Sie, ob die Organisationseinheitsstrukturen der Domäne für die Quell- und die Zieldomäne gleich sind. Wenn die Organisationseinheitsstrukturen nicht gleich sind, müssen Sie die Quell- und Zielorganisationseinheit in den Objektzuweisungstabellen angeben.
Ein Arbeitsblatt, das Sie beim Erstellen einer Zuweisungstabelle für Kontoobjekte unterstützt, finden Sie unter 'User and Group Object Assignment Table' (DSSREER_1.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'User and Group Object Assignment Table' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Abbildung 11.3 zeigt ein Beispiel für eine Objektzuweisungstabelle für Benutzer und Gruppen.
Abbildung 11.3 Beispiel für eine Zuweisungstabelle für Benutzer und Gruppen
Das Erstellen einer Zuweisungstabelle für Ressourcenobjekte umfasst außerdem das Identifizieren der Quell- und Zielorganisationseinheit für jedes Objekt und das Aufzeichnen des physischen Speicherorts und der Rolle in der Zieldomäne. Ein Arbeitsblatt, das Sie beim Erstellen einer Zuweisungstabelle für Ressourcenobjekte unterstützt, finden Sie unter 'Resource Object Assignment Table' (DSSREER_2.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'Resource Object Assignment Table' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Abbildung 11.4 zeigt ein Beispiel für eine Zuweisungstabelle für Ressourcenobjekte.
Abbildung 11.4 Beispiel für eine Zuweisungstabelle für Ressourcenobjekte
Entwickeln eins Testplans
Es ist wichtig, einen Testplan zu entwickeln, der Sie beim systematischen Testen aller Objekte unterstützt, nachdem diese in die neue Umgebung migriert wurden, und alle möglicherweise auftretenden Probleme zu erkennen und zu korrigieren. Indem Sie den Erfolg der Migration testen, können Sie sicherstellen, dass Benutzer, die aus der Quell- in die Zieldomäne migriert wurden, sich anmelden und auf Ressourcen zugreifen können, basierend auf der Gruppenmitgliedschaft und den Benutzeranmeldeinformationen. Durch Testen können Sie sicherstellen, dass Benutzer auf die Ressourcen zugreifen können, die Sie migrieren.
Verwenden Sie das folgende Verfahren, um die Kontoobjektmigration zu testen:
1. | Erstellen Sie einen Testbenutzer, den Sie in jede Gruppe von Benutzern einschließen, die Sie migrieren. |
2. | Fügen Sie diesen Benutzer den entsprechenden globalen Gruppen hinzu, um den Ressourcenzugriff zu aktivieren. |
3. | Melden Sie sich an der Quelldomäne als dieser Testbenutzer an, und überprüfen Sie, ob Sie auf die Ressourcen entsprechend zugreifen können. |
4. | Ändern Sie die Farbe des Desktophintergrunds, und melden Sie sich dann ab. |
5. | Nachdem Sie das Benutzerkonto und das lokale Profil migriert haben, melden Sie sich an der Zieldomäne als Testbenutzer an und überprüfen Sie, ob Sie sich erfolgreich anmelden können. |
6. | Vergewissern Sie sich, dass Sie ordnungsgemäß auf Ressourcen zugreifen können. |
7. | Vergewissern Sie sich, dass es sich bei der Farbe des Desktophintergrunds um die zuvor festgelegte Farbe handelt. |
Verwenden Sie das folgende Verfahren, um die Ressourcenobjektmigration zu testen:
1. | Erstellen Sie in der Zieldomäne einen Testbenutzer, der Zugriff auf die Ressource besitzt. |
2. | Melden Sie sich als dieser Testbenutzer an, und überprüfen Sie, ob Sie auf die Ressource zugreifen können. |
3. | Nachdem Sie die Ressource migriert haben, melden Sie sich als Testbenutzer an. |
4. | Vergewissern Sie sich, dass Sie auf Ressourcen zugreifen können. |
Wenn einer der Schritte des Testvorgangs fehlschlägt, ermitteln Sie die Ursache des Problems, und stellen Sie fest, ob Sie das Problem beheben können, bevor der Zugriff auf das Objekt in der Zieldomäne gewährleistet sein muss. Wenn Sie das Problem nicht beheben können, bevor der Zugriff auf das Objekt gewährleistet sein muss, führen Sie ein Rollback auf die ursprüngliche Konfiguration durch, damit der Zugriff auf das Benutzer- oder Ressourcenobjekt sichergestellt ist. Weitere Informationen zum Erstellen eines Fallbackplans erhalten Sie weiter unten in diesem Kapitel unter 'Erstellen eines Fallbackplans'.
Erstellen Sie als Teil des Testplans eine Migrationstestmatrix. Füllen Sie die Testmatrix für jeden Schritt aus, den Sie im Migrationsvorgang durchführen. Wenn Sie z. B. 10 Gruppen von Benutzern migrieren, füllen Sie die Testmatrix zehnmal aus - einmal für jede Gruppe, die Sie migrieren. Wenn Sie 10 Mitgliedsserver migrieren, füllen Sie die Testmatrix für jeden dieser 10 Server aus.
Ein Arbeitsblatt, das Sie beim Erstellen einer Testmatrix unterstützt, finden Sie unter 'Migration Test Matrix' (DSSREER_3.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'Migration Test Matrix' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Abbildung 11.5 zeigt ein Beispiel für eine ausgefüllte Migrationstestmatrix.
Abbildung 11.5 Beispiel für eine ausgefüllte Migrationstestmatrix
Erstellen eines Fallbackplans
Richten Sie einen Fallbackplan ein, damit Sie beim Fehlschlagen des Migrationsvorgangs weiterhin die Umgebung betreiben können, die Sie vor der Migration verwendet haben. Da die Quelldomäne während der Neustrukturierung zwischen Gesamtstrukturen intakt bleibt, können Sie die ursprüngliche Umgebung wiederherstellen, indem Sie wenige Schlüsselschritte durchführen.
So führen Sie nach der Migration von Kontoobjekten ein Rollback zu der Umgebung vor der Migration durch:
1. | Aktivieren Sie die Benutzerkonten in der Quelldomäne (wenn Sie Konten während des Migrationsvorgangs deaktiviert haben). |
2. | Bitten Sie die Benutzer, sich von der Windows Server 2003-Zieldomäne abzumelden. |
3. | Bitten Sie die Benutzer, sich an der Quelldomäne anzumelden. |
4. | Vergewissern Sie sich, dass Benutzer auf Ressourcen zugreifen können. |
5. | Vergewissern Sie sich, dass die Anmeldeskripts und Benutzerprofile für Benutzer wie in der Quelldomäne konfiguriert funktionieren. |
Der Rollbackvorgang für Ressourcenobjekte ähnelt dem Vorgang für Kontoobjekte. So führen Sie nach der Migration von Ressourcenobjekten ein Rollback zu der Umgebung vor der Migration durch:
1. | Ändern Sie die Domänenmitgliedschaft für das Ressourcenobjekt auf die Quelldomäne. |
2. | Starten Sie den Server oder die Arbeitsstation neu. |
3. | Melden Sie sich als Testbenutzer an, und überprüfen Sie, ob Sie auf die Ressource zugreifen können. |
Einrichten von Verwaltungsverfahren
Sie müssen definieren, wie die Objekte, die Sie migrieren, während des Neustrukturierungsvorgangs zwischen Gesamtstrukturen verwaltet werden sollen. Das Einrichten von Verwaltungsverfahren für Migrationsobjekte ermöglicht das Beibehalten der Objekte in den Quell- und Zieldomänen und daher auch das Wiederherstellen der Umgebung vor der Migration, sollte der Neustrukturierungsvorgang nicht erfolgreich sein.
Planen Sie die Administration und Verwaltung der folgenden Typen von Kontomigrationsobjekten:
| • | Benutzerkonten einschließlich SIDs |
| • | Globale Gruppenmitgliedschaft |
| • | Benutzerprofile |
Verwalten von Benutzerkonten
Während des Migrationsvorgangs sind die Benutzerkonten in den Quell- und Zieldomänen vorhanden. Fahren Sie mit der Verwaltung der Konten in der Quelldomäne fort, während die Migration durchgeführt wird. Verwenden Sie die Option In Konflikt stehende Konten ersetzen in ADMT, um Benutzerkonten während des Migrationsvorgangs so häufig wie erforderlich erneut zu migrieren. Auf diese Weise wird sichergestellt, dass in der Quelldomäne am Konto vorgenommene Änderungen an das Konto in der Zieldomäne weitergeleitet werden. Diese Operation führt das vorhandene und das neue Konto zusammen, damit die Verwaltung des Objekts für die Dauer des Migrationsvorgangs auch weiterhin in der Quelldomäne erfolgen kann.
Wenn Sie z. B. einen Benutzer migrieren, nachdem Sie die Migration abgeschlossen haben, legen Sie Attribute für das neue Benutzerobjekt in der Zieldomäne fest, z. B. die Rufnummer oder die Raumnummer. Wenn Sie den Benutzer dann erneut migrieren, indem Sie die Option In Konflikt stehende Konten ersetzen in ADMT verwenden, bleiben die neuen Informationen in der Zieldomäne erhalten. Wenn Sie die Gruppenmitgliedschaften des Benutzers in der Quelldomäne geändert haben, werden die Änderungen an die Zieldomäne weitergeleitet, wenn Sie die erneute Migration durchführen.
Fügen Sie Benutzer, die Mitglieder der globalen Gruppe in der Quelldomäne sind, der entsprechenden globalen Gruppe in der Zieldomäne hinzu. Auf diese Weise muss die Verwaltung der Gruppenmitgliedschaft nicht manuell auf die Zieldomäne repliziert werden.
Verwalten globaler Gruppen
Fahren Sie mit der Verwaltung der Gruppen in der Quelldomäne während des Migrationsvorgangs fort. Migrieren Sie die Gruppen so häufig wie erforderlich erneut, indem Sie die Option In Konflikt stehende Konten ersetzen in ADMT verwenden, damit sichergestellt ist, dass Änderungen, die in der Quelldomäne an der Gruppe vorgenommen wurden, an die Gruppe in der Zieldomäne weitergeleitet werden.
Verwalten von Benutzerprofilen
Benutzerprofile speichern Benutzerdaten und Informationen zu den Desktopeinstellungen des Benutzers. Benutzerprofile können servergespeichert oder lokal sein. Der Migrationsvorgang unterscheidet sich für lokale und servergespeicherte Profile geringfügig. Das Migrieren servergespeicherter Profile besteht aus einem Schritt, weil das servergespeicherte Benutzerprofil mit dem Benutzerkonto gespeichert wird und durch ADMT zusammen mit dem Benutzer migriert werden kann. Das Migrieren lokaler Profile besteht aus zwei Schritten. ADMT migriert lokale Profile mit zwei separaten Assistenten, um Situationen zu berücksichtigen, in denen die lokalen Profile in zwei verschiedenen Domänen vorhanden sind.
Die Profile werden während des Migrationsvorgangs kopiert. Alle Änderungen, die der Benutzer in der Zieldomänenumgebung vornimmt, spiegeln sich nicht in der Quelldomäne wider. Diese Änderungen gehen verloren, wenn Sie ein Rollback der Migration durchführen und die Umgebung im Status vor der Migration wiederherstellen müssen.
Wichtig Sollte ein Rollback zur ursprünglichen Konfiguration erforderlich sein, benachrichtigen Sie die Benutzer, dass Profiländerungen, die in der Zieldomäne vorgenommen wurden, nicht für die Quelldomäne übernommen werden.
Vorbereiten der Quell- und Zieldomänen
Bevor Sie mit dem Migrieren der Konten aus der Quell- in die Zieldomäne beginnen, müssen Sie die Quell- und Zieldomänen für die Migration vorbereiten. Abbildung 11.6 zeigt die Tasks, die für das Vorbereiten der Quell- und Zieldomänen für den Vorgang der Domänenneustrukturierung zwischen Gesamtstrukturen durchgeführt werden müssen.
Abbildung 11.6 Vorbereiten der Quell- und Zieldomänen
Installieren von High Encryption-Software
Bevor Sie mit dem Neustrukturierungsvorgang zwischen Gesamtstrukturen beginnen, müssen Sie die Quell- und Zieldomänen für die Migration vorbereiten. Stellen Sie sicher, dass die Domänencontroller in der Quelldomäne 128-Bit-High Encryption ausführen. Der Domänencontroller, auf dem ADMT installiert ist, verlangt 128-Bit-High Encryption. Diese Verschlüsselung ist auf Domänencontrollern Standard, die Windows Server 2003 ausführen. Wenn Sie die Installation von ADMT auf einem Domänencontroller planen, der Windows 2000 ausführt, müssen Sie das 128-Bit-High Encryption Pack installieren.
Sie können das Encryption Pack hier herunterladen.
Einrichten von Vertrauensstellungen zwischen Quell- und Zieldomänen
Bevor Sie Konten und Ressourcen von einer Quell- in eine Zieldomäne in einer anderen Active Directory-Gesamtstruktur migrieren können, müssen Sie sicherstellen, dass zwei einseitige Vertrauensstellungen zwischen den Domänen vorhanden sind. Externe Vertrauensstellungen zwischen den Gesamtstrukturen, die Sie neu strukturieren, ermöglichen ADMT das Migrieren von Benutzern, Dienstkonten und lokalen Benutzerprofilen aus den Quell- in die Zieldomänen und Benutzern in den Quelldomänen den Zugriff auf Ressourcen in den Zieldomänen. Außerdem ermöglichen Vertrauensstellungen zwischen den Gesamtstrukturen Benutzern in den Zieldomänen den Zugriff auf Ressourcen in den Quelldomänen, die noch nicht migriert wurden.
So richten Sie Vertrauensstellungen zwischen Quell- und Zieldomänen ein:
1. | Melden Sie sich als Administrator an einem beliebigen Domänencontroller in der Zieldomäne an, öffnen Sie das MMC-Snap-In Active Directory-Domänen und Vertrauensstellungen, und klicken Sie dann auf die Registerkarte Vertrauensstellungen. |
2. | Fügen Sie die Quelldomäne im Feld Domänen, denen diese Domäne vertraut hinzu. |
3. | Fügen Sie die Quelldomäne im Feld Domänen, die dieser Domäne vertrauen hinzu. |
Aktivieren der Überwachung
Um ADMT zum Neustrukturieren von Windows Server 2003-Domänen zwischen Gesamtstrukturen zu verwenden, müssen Sie Überwachung für Kontenverwaltung (Erfolgs- und Fehlerereignisse) in den Quell- und Zieldomänen aktivieren. Wenn Sie die Überwachung nicht aktivieren, bevor Sie mit der Migration beginnen, aktiviert ADMT die Überwachung bei der ersten Ausführung automatisch auf den Quell- und Zieldomänen.
Das Aktivieren der Überwachungsrichtlinie für Konto- und Ressourcenverwaltung auf Quell- oder Zieldomäne umfasst das Bearbeiten des Gruppenrichtlinienobjekts für die Organisationseinheit Domänencontroller.
So aktivieren Sie die Überwachung auf der Quell- oder Zieldomäne:
1. | Melden Sie sich als Administrator bei einem beliebigen Domänencontroller in der Domäne an. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, erweitern Sie die Domäne, und doppelklicken Sie dann auf die Organisationseinheit Domänencontroller. |
3. | Wählen Sie Default Domain Controller Policy auf der Registerkarte Gruppenrichtlinie aus. |
4. | Erweitern Sie Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und wählen Sie dann Überwachungsrichtlinie aus. |
5. | Doppelklicken Sie auf Kontenverwaltung überwachen, und wählen Sie dann die Option für Erfolg und Fehler aus. |
Einrichten von Kontomigrationskonten
Um Konten und Ressourcen zwischen Gesamtstrukturen zu migrieren, müssen Sie ein Kontomigrationskonto und ein Ressourcenmigrationskonto einrichten und diesen Konten die entsprechenden Berechtigungen zuweisen. ADMT verwendet die Migrationskonten zum Migrieren der Migrationsobjekte, die Sie angeben. Da ADMT nur eine eingeschränkte Menge von Berechtigungen benötigt, ermöglicht das Erstellen separater Migrationskonten das Vereinfachen der Verwaltung. Wenn die Migrationsaufgaben für Ihre Organisation auf mehrere Gruppen verteilt sind, ist es hilfreich, für jede Gruppe, die an der Durchführung der Migration beteiligt ist, ein Migrationskonto zu erstellen.
Um die Verwaltung zu vereinfachen, erstellen Sie ein Konto in der Quelldomäne und ein Konto in der Zieldomäne mit den erforderlichen Berechtigungen zum Ändern von Objekten, z. B. von Benutzern, globalen Gruppen und lokalen Profilen, für alle Objekte, die von diesem Konto migriert werden. Ein Migrationskonto, das Sie zum Migrieren von Benutzerkonten zusammen mit SIDHistory, von globalen Gruppen zusammen mit sIDHistory oder von Computern und Benutzerprofilen verwenden, besitzt z. B. lokale Administrator- oder Domänenadministrator-Berechtigungen in der Quelldomäne und delegierte Berechtigungen für die Organisationseinheiten Benutzer, Gruppe und Computer in der Zieldomäne sowie die erweiterte Berechtigung zum Migrieren von sIDHistory für die Organisationseinheit Benutzer. Ein Migrationskonto, das Sie zum Migrieren von Arbeitsstationen und Domänencontrollern verwenden, muss über lokale Administrator- oder Quelldomänenadministrator-Berechtigungen für die Arbeitsstationen und/oder über Quelldomänenadministrator-Berechtigungen für den Domänencontroller verfügen.
In der Zieldomäne ist die Verwendung eines Kontos mit delegierten Berechtigungen für die Organisationseinheiten Computer und Benutzer erforderlich. Sie können ein separates Konto für die Migration von Arbeitsstationen verwenden, wenn dieser Migrationsvorgang an Administratoren delegiert wird, die sich am gleichen Standort wie die Arbeitsstationen befinden.
Verwenden Sie die Informationen in Tabelle 11.1, um zu ermitteln, welche Berechtigungen für die Migration erforderlich sind.
Tabelle 11.1 Berechtigungen für das Migrationskonto
| Migrationsobjekt | In der Quelldomäne erforderliche Berechtigungen | In der Zieldomäne erforderliche Berechtigungen |
Benutzer/Gruppe ohne sIDHistory | Lokaler Administrator oder Domänenadministrator | Delegierte Berechtigung für die Organisationseinheit Benutzer oder Gruppe |
Benutzer/Gruppe mit sIDHistory | Lokaler Administrator oder Domänenadministrator | Delegierte Berechtigung für die Organisationseinheit Benutzer oder Gruppe und erweiterte Berechtigung zum Migrieren von sIDHistory |
Computer | Domänenadministrator | Delegierte Berechtigung für die Organisationseinheit Computer |
Profil | Lokaler Administrator oder Domänenadministrator | Delegierte Berechtigung für die Organisationseinheit Benutzer |
Aktivieren der Kennwortmigration
ADMT, Version 2, unterstützt die Kennwortmigration. Wenn Sie Kennwörter mithilfe von ADMT migrieren, müssen Sie einen Kennwortexportserver (Password Export Server, PES) verwenden, der als Host für die Kennwortmigrationsunterstützungs-DLLs fungiert. Der PES kann ein beliebiger Domänencontroller in der Quelldomäne sein, der 128-Bit-Verschlüsselung unterstützt.
Kennwörter werden in Hashform von der Quelldomäne in die Zieldomäne kopiert; aus diesem Grund kann ein Kennwortfilter nicht überprüfen, ob die Komplexität oder Länge der Kennwörter die Anforderungen der Organisation erfüllt. Kennwortfilter können jedoch den Kennwortverlauf überprüfen, indem der Hashwert des Kennworts mit früheren Hashwerten verglichen wird.
Verwenden Sie die folgenden Verfahren, um die Unterstützung für Kennwortmigration zu aktivieren:
Wichtig Sie müssen zur integrierten Gruppe Prä-Windows 2000 kompatibler Zugriff die Gruppe Jeder hinzufügen, um die Unterstützung für Kennwortmigration zu aktivieren.
So generieren Sie einen Verschlüsselungsschlüssel:
So aktivieren Sie die Kennwortmigration in der Quelldomäne:
1. | Legen Sie die Diskette mit dem Verschlüsselungsschlüssel auf dem PES in der Quelldomäne in das Diskettenlaufwerk ein. |
2. | Führen Sie Windows-Explorer von der Windows Server 2003-Betriebssystem-CD aus. |
3. | Navigieren Sie zum Ordner \i386\admt\admigration.msi, und führen Sie dann pwdmig.exe aus. Wenn Sie während des Schlüsselgenerierungsvorgangs auf dem Domänencontroller in der Zieldomäne ein Kennwort festlegen, wird ein Dialogfeld angezeigt, das Sie zum Eingeben eines Kennworts für den Schlüssel auffordert. |
4. | Geben Sie das Kennwort ein, und schließen Sie die Installation dann ab. |
5. | Legen Sie folgenden Registrierungsschlüssel auf dem PES der Quelldomäne fest: |
Installieren von ADMT
Installieren Sie ADMT auf einem Domänencontroller in der Zieldomäne, und führen Sie das Dienstprogramm dann aus.
So installieren Sie ADMT in der Zieldomäne:
1. | Melden Sie sich bei einem Domänencontroller in der Zieldomäne an, indem Sie das ADMT-Migrationskonto verwenden. |
2. | Legen Sie die Windows Server 2003-Betriebssystem-CD in das CD-ROM-Laufwerk ein, und navigieren Sie dann zum Ordner \i386\admt\admigration.msi. |
3. | Führen Sie admt.exe aus. |
Initialisieren Sie ADMT, indem Sie eine Testmigration der globalen Gruppen durchführen. Wenn Sie ADMT erstmals ausführen, erstellt ADMT automatisch für die interne Überwachung eine neue lokale Gruppe Quelldomäne$$$ in der Quelldomäne. Versuchen Sie nicht, dieser Gruppe Mitglieder hinzuzufügen. ADMT konfiguriert das System außerdem während der Initialisierung für die Überwachung, wenn dies nicht bereits geschehen ist.
ADMT legt automatisch den folgenden Registrierungswert fest, wenn dieser nicht bereits festgelegt wurde:
HKEY_LOCAL_MACHINE | System | CurrentControlSet | Control | LsaTcpipClientSupport:REG_DWORD:0X1
Das Festlegen dieses Werts ermöglicht RPCs (Remote Procedure Calls, Remoteprozeduraufrufe) über den TCP-Transport bei gleichzeitiger Wahrung der Systemsicherheit.
So initialisieren Sie ADMT, indem Sie eine Testmigration der globalen Gruppen durchführen:
1. | Wählen Sie in der Konsole Active Directory-Migrationsprogramm im Menü Extras die Option Assistent zum Migrieren von Gruppenkonten aus. | ||||||||||||||||
2. | Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen verwenden, die in Tabelle 11.2 zur Verfügung gestellt werden. Übernehmen Sie die Standardeinstellungen, wenn keine Informationen angegeben werden. Tabelle 11.2 Migrieren globaler Gruppen mit dem Assistenten zum Migrieren von Gruppenkonten
| ||||||||||||||||
3. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. | ||||||||||||||||
4. | Vergewissern Sie sich, dass die Testmigration ADMT einwandfrei konfiguriert hat, indem Sie Folgendes sicherstellen:
|
Identifizieren von Dienstkonten
Identifizieren Sie die Mitgliedsserver und Domänencontroller in der Quelldomäne, die Anwendungen im Kontext eines Dienstkontos ausführen. Ein Dienstkonto ist ein Benutzerkonto, das zum Bereitstellen eines Sicherheitskontexts für Anwendungen erstellt wurde. Das Dienstkonto ist ein Standardbenutzerkonto, dem eine Anmeldeberechtigung zugewiesen wurde. ADMT migriert automatisch Dienste, die im Kontext des lokalen Systemkontos ausgeführt werden; Dienste, die im Kontext eines Benutzerkontos ausgeführt werden, müssen jedoch nach Abschluss des Kontomigrationsvorgangs auf dem Computer aktualisiert werden.
Der Vorgang des Identifizierens, Migrierens und Aktualisierens von Diensten, die im Kontext von Benutzerkonten ausgeführt werden, umfasst drei Schritte. Starten Sie zuerst ADMT vom Windows Server 2003-Zieldomänencontroller aus, und führen Sie den Assistenten zum Migrieren von Dienstkonten aus. Der Assistent zum Migrieren von Dienstkonten sendet einen Agenten an einen Computer, den Sie im Assistenten angeben, und identifiziert alle Dienste auf dem Computer, die im Kontext eines Benutzerkontos ausgeführt werden. Der Assistent identifiziert nur Dienstkonten, die im Kontext eines Benutzerkontos ausgeführt werden; er migriert diese Konten nicht tatsächlich. Der nächste Schritt, der später im Migrationsvorgang erfolgen kann, besteht im Migrieren der Konten, wenn Sie unter Verwendung des Assistenten zum Migrieren von Benutzerkonten andere Benutzerkonten migrieren. Der letzte Schritt besteht im Ausführen des Sicherheitskonvertierungs-Assistenten zum Aktualisieren des Dienstes.
Der Assistent zum Migrieren von Dienstkonten überprüft jeden Dienst auf einem Computer, um Dienste zu identifizieren, die im Kontext eines Benutzerkontos ausgeführt werden. Das Ausführen des Assistenten zum Migrieren von Dienstkonten auf jedem Computer in der Domäne stellt jedoch keine effiziente Verwendung von Ressourcen dar. Ein besser geeignetes Verfahren zum Identifizieren von Diensten in Ihrer Umgebung, die im Kontext eines Benutzerkontos ausgeführt werden, besteht im Erstellen einer Liste von Computern in der Organisation, die Dienste ausführen können; auf diese Weise werden Computer wie z. B. Clientcomputer ausgeschlossen, die keine Dienste ausführen. Führen Sie dann den Assistenten zum Migrieren von Dienstkonten nur auf der geringeren Anzahl von Computern in der Domäne aus, die als mögliche Hosts für Dienste erkannt wurden.
Wenn die Konten, die der Assistent zum Migrieren von Dienstkonten in der ADMT-Datenbank als im Kontext eines Benutzerkontos ausgeführt erkannt hat, in die Zieldomäne migriert werden, konfiguriert ADMT diese für die Ausführung als Dienst. Wenn dem Dienstkonto Rechte durch die Mitgliedschaft in einer Gruppe zugewiesen werden, müssen Sie außerdem den Sicherheitskonvertierungs-Assistenten zum Aktualisieren der Benutzerrechte und Gruppenmitgliedschaft ausführen. Weitere Informationen zum Ausführen des Sicherheitskonvertierungs-Assistenten finden Sie weiter unten in diesem Kapitel unter 'Durchführen der Migration von Dienstkonten' und 'Aktualisieren der Dienstrechte für Dienstkonten'.
Sie können Dienstkonten identifizieren, indem Sie die ADMT-Konsole, die Eingabeaufforderung oder ein Skript verwenden. Es ist hilfreich, manuell eine Liste der Server zu erstellen, auf denen Anwendungen im Sicherheitskontext eines Dienstkontos ausgeführt werden, bevor Sie beginnen. Einige Microsoft-Anwendungen wie z. B. Microsoft® SQL ServerT, Microsoft® Exchange Server 5.5 oder früher und Microsoft® Systems Management Server verwenden Dienstkonten, ebenso viele Anwendungen von Drittanbietern wie z. B. Lotus Notes oder Oracle. Mit dieser Liste können Sie die Anzahl der Computer in der Quelldomäne minimieren, die Sie nach Dienstkonten durchsuchen müssen.
So identifizieren Sie Dienstkonten mit der ADMT-Konsole:
1. | Fügen Sie auf den Servern, deren Ausführung von Diensten im Kontext eines Benutzerkontos erkannt wurde, das ADMT-Kontomigrationskonto als Mitglied der lokalen Gruppe Administratoren hinzu. | ||||||||||
2. | Melden Sie sich bei dem Domänencontroller, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||
3. | Öffnen Sie die Konsole Active Directory-Migrationsprogramm, und führen Sie den Assistenten zum Migrieren von Dienstkonten aus. | ||||||||||
4. | Führen Sie unter Verwendung der Informationen in Tabelle 11.3 den Assistenten zum Migrieren von Dienstkonten aus. Tabelle 11.3 Verwenden des Assistenten zum Migrieren von Dienstkonten
| ||||||||||
5. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf der Seite Serverliste auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. |
So identifizieren Sie Dienstkonten mit der ADMT-Befehlszeilenoption:
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So führen Sie die Migration von Dienstkonten mit einem Skript durch:
Eine Beispielskriptdatei GIVE NAME zum Identifizieren von Dienstkonten steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Migrieren von Konten
Der Vorgang des Migrierens von Kontoobjekten aus einer Quelldomäne in eine Zieldomäne in einer anderen Windows Server 2003-Gesamtstruktur erfolgt durch Migrieren der Dienstkonten und anschließendes Migrieren globaler Gruppen. Nachdem die Gruppen auf der Zieldomäne vorhanden sind, können Sie Benutzer und lokale Profile migrieren. Nachdem der Migrationsvorgang für Kontoobjekte abgeschlossen ist, können Sie Benutzer der Quelldomäne auffordern, sich bei der Zieldomäne anzumelden. Abbildung 11.7 zeigt die Vorgehensweise beim Migrieren von Konten zwischen Domänen in verschiedenen Gesamtstrukturen.
Abbildung 11.7 Migrieren von Konten
Durchführen der Migration von Dienstkonten
Beginnen Sie den Vorgang des Migrierens von Objekten, indem Sie Dienstkonten migrieren. Weitere Informationen zum Identifizieren von Dienstkonten für die Migration finden Sie weiter oben in diesem Kapitel unter 'Identifizieren von Dienstkonten'. Um die Migration von Dienstkonten zu ermöglichen, müssen Sie die folgenden Tasks durchführen:
| • | Migrieren der Dienstkonten aus der Quelldomäne in die Zieldomäne. |
| • | Bearbeiten der Dienste auf jedem Server in der Quelldomäne für die Verwendung des Dienstkontos in der Zieldomäne statt des Dienstkontos in der Quelldomäne. |
Sie können Dienstkonten migrieren, indem Sie die ADMT-Konsole, eine Eingabeaufforderung oder ein Skript verwenden.
So migrieren Sie Dienstkonten mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||||||||||
2. | Öffnen Sie die Konsole Active Directory-Migrationsprogramm, und wählen Sie dann Assistent zum Migrieren von Benutzerkonten aus. | ||||||||||||||||||||
3. | Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die Informationen verwenden, die in Tabelle 11.5 zur Verfügung gestellt werden. Tabelle 11.5 Verwenden des Assistenten zum Migrieren von Benutzerkonten für die Migration von Dienstkonten
| ||||||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf der Seite Serverliste auf Protokoll anzeigen. Das Protokoll enthält ggf. Informationen darüber, warum der Assistent auf bestimmten Computern fehlgeschlagen ist. | ||||||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, navigieren Sie zur Organisationseinheit Konto\Dienstkonten, und vergewissern Sie sich dann, dass die Dienstkonten in der Organisationseinheit der Zieldomäne vorhanden sind. (Konto ist die Organisationseinheit, der Sie das Objekt in der Zieldomäne zugewiesen haben. Weitere Informationen zum Zuweisen von Objektspeicherorten finden Sie weiter oben in diesem Kapitel unter 'Zuweisen von Objektspeicherorten und Rollen'.) |
So migrieren Sie Dienstkonten mit der ADMT-Befehlszeilenoption:
Tabelle 11.6 Für die Dienstkontomigration erforderliche Parameter
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Pfad der Zielorganisationseinheit | /TO:'Zielorganisationseinheit' | TargetOU='Zielorganisationseinheit' |
Konten deaktivieren = Keine | /DO:NEITHER (Standardeinstellung) | DisableOption=NEITHER |
Komplexe Kennwörter erstellen | /PO:MIGRATE | PasswordOption=MIGRATE |
Kennwort migrieren | /PF:? | ? |
Benutzer-SID migrieren = JA | /MSS:YES | MigrateSIDs=YES |
Benutzerrechte aktualisieren = JA | /UUR:YES | UpdateUserRights=YES |
Konten nicht umbenennen | /RO:DON'T (Standardeinstellung) | RenameOption=DON'T (Standardeinstellung) |
In Konflikt stehende Konten ignorieren | /CO:IGNORE (Standardeinstellung) | ConflictOptions=IGNORE (Standardeinstellung) |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Name\Dienstkonten. Vergewissern Sie sich, dass die Dienstkonten in der Organisationseinheit der Zieldomäne vorhanden sind. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So führen Sie die Migration von Dienstkonten mit einem Skript durch:
Eine Beispielskriptdatei GIVE NAME zum Migrieren von Dienstkonten steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Aktualisieren der Dienstrechte für Dienstkonten
Wenn einem Dienstkonto basierend auf seiner Mitgliedschaft in einer lokalen Gruppe lokale Rechte zugewiesen werden (z. B. wird durch Mitgliedschaft in der Gruppe Lokale Administratoren das Recht Als Dienst anmelden zugewiesen), müssen Sie diese Rechte für die Dienstkonten aktualisieren, die Sie in die Zieldomäne migrieren.
Verwenden Sie den Sicherheitskonvertierungs-Assistenten in ADMT, um die folgenden Tasks durchzuführen:
| • | Zuweisen des Benutzerrechts Als Dienst anmelden für die Dienstkonten, die migriert wurden. |
| • | Konfigurieren von Anwendungen, die als Dienst ausgeführt werden, für die Anmeldung unter Verwendung des Dienstkontos, das migriert wurde. |
Sie können Dienstrechte für Dienstkonten aktualisieren, indem Sie die ADMT-Konsole, eine Eingabeaufforderung oder ein Skript verwenden.
So aktualisieren Sie die Dienstrechte für Dienstkonten mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||
2. | Öffnen Sie die Konsole Active Directory-Migrationsprogramm, und wählen Sie dann Sicherheitskonvertierungs-Assistent aus. | ||||||||||||
3. | Führen Sie den Sicherheitskonvertierungs-Assistenten aus, indem Sie die Informationen verwenden, die in Tabelle 11.7 zur Verfügung gestellt werden. Tabelle 11.7 Verwenden des Sicherheitskonvertierungs-Assistenten zum Aktualisieren von Dienstkonten
| ||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Protokoll dann auf Fehler. | ||||||||||||
5. | Öffnen Sie für alle Server, die als Dienste ausführend identifiziert wurden, das Objekt in Active Directory-Benutzer und -Computer, und überprüfen Sie die Berechtigungen des Dienstkontos, damit sichergestellt ist, dass das Benutzerrecht Als Dienst anmelden den entsprechenden Dienstkonten zugewiesen wurde. |
So aktualisieren Sie die Dienstrechte für Dienstkonten mit der ADMT-Befehlszeilenoption:
Tabelle 11.8 Für das Aktualisieren der Dienstrechte erforderliche Parameter
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Lokale Gruppen konvertieren | /TLG:YES | TranslateLocalGroups=YES |
Benutzerrechte konvertieren | /TUR:YES | TranslateUserRights=YES |
Konvertierungsoption = HINZUFÜGEN | /TOT:ADD | TranslateOption=ADD |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Vergewissern Sie sich für alle Server, die als Dienste ausführend identifiziert wurden, dass das Benutzerrecht Als Dienst anmelden den entsprechenden Dienstkonten zugewiesen wurde. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So aktualisieren Sie die Dienstrechte für migrierte Dienstkonten mit einem Skript:
Eine Beispielskriptdatei GIVE NAME zum Migrieren von Dienstkonten steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Migrieren globaler Gruppen
Nachdem Sie Dienstkonten migriert haben, sind Sie bereit, die Migration aller globalen Gruppen aus der Quelldomäne in die Zieldomäne durchzuführen. Um die Gruppenmitgliedschaften globaler Gruppen beizubehalten, müssen Sie globale Gruppen migrieren, bevor Sie Benutzer migrieren.
Tipp Migrieren Sie globale Gruppen nicht während der Hauptgeschäftszeiten. Der Migrationsvorgang für globale Gruppen belegt Netzwerkressourcen und Ressourcen auf dem Domänencontroller, der ADMT ausführt.
Das Migrieren globaler Gruppen umfasst die folgenden Schritte:
1. | ADMT identifiziert die globalen Gruppenobjekte in der Quelldomäne. |
2. | Es wird ein neues globales Gruppenobjekt in der Zieldomäne erstellt. Es wird eine neue primäre SID für das Objekt in der Zieldomäne erstellt. |
3. | Um den Ressourcenzugriff zu erhalten, fügt ADMT die SID der globalen Gruppe in der Quelldomäne zum Attribut sIDHistory der neuen globalen Gruppe in der Zieldomäne hinzu. |
Weitere Informationen zum Migrieren von SIDs finden Sie weiter oben in diesem Kapitel unter 'Hintergrundinformationen der Windows Server 2003-Domänenmigration'.
Nach der Migration werden Ereignisse in der Quell- und Zieldomäne protokolliert.
Anmerkung: Wenn der Migrationsvorgang für Benutzerkonten über einen längeren Zeitraum durchgeführt wird, müssen Sie möglicherweise globale Gruppen erneut aus der Quell- in die Zieldomäne migrieren, um die Mitgliedschaftsänderungen weiterzuleiten, die in der Quelldomäne vorgenommen wurden, bevor der Vorgang abgeschlossen ist. Weitere Informationen zum erneuten Migrieren globaler Gruppen finden Sie weiter unten in diesem Kapitel unter 'Erneutes Migrieren globaler Gruppen'.
Sie können globale Gruppen migrieren, indem Sie die ADMT-Konsole, eine Eingabeaufforderung oder ein Skript verwenden. Ein Arbeitsblatt, das Sie beim Abschließen der Anfangsmigration globaler Gruppen unterstützt, finden Sie unter 'User and Group Object Assignment Table' (DSSREER_1.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'User and Group Object Assignment Table' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
So migrieren Sie globale Gruppen mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||||||
2. | Öffnen Sie die Konsole Active Directory-Migrationsprogramm, und wählen Sie dann Assistent zum Migrieren von Gruppenkonten aus. | ||||||||||||||||
3. | Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen aus Tabelle 11.9 verwenden. Tabelle 11.9 Verwenden des Assistenten zum Migrieren von Gruppenkonten für die Migration von Gruppen
| ||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. | ||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Name\Gruppen. Vergewissern Sie sich, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. |
So migrieren Sie globale Gruppen mit der ADMT-Befehlszeilenoption:
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Pfad der Zielorganisationseinheit | /TO:'Zielorganisationseinheit' | TargetOU='Zielorganisationseinheit' |
SIDs globaler Gruppen migrieren | /MSS:YES | MigrateSIDs=YES |
Konten nicht umbenennen | /RO:DON'T (Standardeinstellung) | RenameOption=DONT |
In Konflikt stehende Konten ignorieren und nicht migrieren | /CO:IGNORE (Standardeinstellung) | ConflictOptions=IGNORE |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Kontoname\Gruppen. Vergewissern Sie sich, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So migrieren Sie globale Gruppen mittels eines Skripts:
Eine Beispielskriptdatei GIVE NAME zum Migrieren globaler Gruppen steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Migrieren von Benutzerkonten
Migrieren Sie Benutzerkonten, nachdem Sie globale Gruppen migriert haben. Das Migrieren von Benutzerkonten in Gruppen ermöglicht das Nachverfolgen der migrierten Konten und das Testen des Erfolgs jedes Migrationsschritts. Wenn die Organisationseinheitsstruktur für die Zieldomäne gleich der Organisationseinheitsstruktur für die Quelldomäne ist, migrieren Sie Gruppen von Benutzern basierend auf der Organisationseinheit. Wenn die Organisationseinheitsstrukturen nicht gleich sind, wählen Sie ein anderes Verfahren zum Gruppieren von Benutzern basierend auf der Struktur Ihrer Organisation aus. Sie können Benutzer z. B. nach Geschäftseinheit oder Etage migrieren, damit Sie die Helpdeskressourcen bündeln können.
Wenn Sie die Beibehaltung der Organisationseinheitsstruktur der Quelldomäne planen, migrieren Sie die Organisationseinheit zusammen mit den Benutzern, die sie enthält. Wenn die Quelldomäne z. B. eine Windows Server 2003 Active Directory-Umgebung ist, die eine funktionale Organisationseinheitsstruktur aufweist, und die Zieldomäne keine Organisationseinheitsstruktur besitzt, migrieren Sie Organisationseinheiten aus der Quelldomäne.
Wenn Sie in der Zieldomäne eine neue Organisationseinheitsstruktur erstellt haben, migrieren Sie Benutzer in Gruppen ohne die Organisationseinheiten. Wenn die Quellumgebung z. B. eine Windows NT 4.0-Domäne war, die Sie auf eine Windows Server 2003-Domäne aktualisiert haben, verfügt die Quelldomäne möglicherweise nicht über eine vorhandene Organisationseinheitsstruktur. Sie können daher Benutzer migrieren, ohne Organisationseinheiten zu migrieren.
Weitere Informationen zum Entwerfen einer Organisationseinheitsstruktur finden Sie unter 'Entwerfen der logischen Struktur' in diesem Handbuch.
Beginnen Sie den Vorgang der Migration von Benutzerkonten, indem Sie eine kleine Anzahl von Benutzern migrieren. Auf diese Weise können Sie testen, ob der Migrationsvorgang erfolgreich ist und sicherstellen, dass Benutzer auch nach der Migration weiterhin den entsprechenden Ressourcenzugriff besitzen. Migrieren Sie die verbleibenden Benutzer in kleinen Gruppen, damit der Migrationsvorgang überschaubar bleibt.
Anmerkung: Integrierte Konten (z. B. Administratoren, Benutzer und Hauptbenutzer) können keine Migrationsobjekte sein. Da integrierte Konto-SIDs in jeder Domäne identisch sind, führt das Migrieren dieser Konten in eine Zieldomäne zu doppelt vorhandenen SIDs in einer einzigen Domäne. Jede SID in einer Gesamtstruktur muss eindeutig sein.
Führen Sie die folgenden Schritte durch, um Benutzerkonten auf die Zieldomäne zu migrieren:
1. | Erstellen Sie ein Testkonto, das Sie zum Überprüfen des Erfolgs der Migration der gruppierten Benutzer verwenden können, die Sie migrieren. |
2. | Zeichnen die Migrationsinformationen zu Benutzerkonten auf dem Arbeitsblatt 'Account Migration' (DSSREER_4.doc) auf, das auf der Begleit-CD zum Windows Server 2003 Deployment Kit enthalten ist, oder lesen Sie 'Account Migration' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig). |
3. | Migrieren Sie eine Gruppe von Benutzern. |
4. | Migrieren Sie alle lokalen Benutzerprofile für Benutzerkonten, die in der Gruppe von Benutzern enthalten sind. |
5. | Migrieren Sie alle globalen Gruppen erneut, um ggf. Änderungen der Gruppenmitgliedschaft zu aktualisieren. |
6. | Bitten Sie die Benutzer der Gruppe, sich an der Zieldomäne anzumelden. |
7. | Führen Sie diesen Vorgang erneut für die nächste Gruppe von Benutzern durch, und fahren Sie damit fort, bis alle Benutzerkonten migriert wurden. |
Bis alle Benutzer- und Gruppenkonten migriert sind, verwalten Sie die Mitgliedschaft in globalen Gruppen in der Quelldomäne. Um eine Rollbackstrategie zu unterstützen, synchronisieren Sie manuell alle Änderungen, die Sie an Benutzern in der Zieldomäne vornehmen, mit den vorhandenen Benutzerkonten in der Quelldomäne. Weitere Informationen zum Verwalten von Benutzern und Gruppen während des Neustrukturierungsvorgangs zwischen Gesamtstrukturen finden Sie weiter oben in diesem Kapitel unter 'Einrichten von Verwaltungsverfahren'.
Wenn Sie Benutzerkonten migrieren, können Sie nicht alle Benutzereigenschaften migrieren. Pstore-Inhalte (Protected Storage), beispielsweise private Schlüssel des verschlüsselnden Dateisystems (Encrypting File System, EFS), werden bei der Migration von Benutzerkonten nicht migriert. Um Pstore-Inhalte zu migrieren, müssen Sie die Schlüssel während des Migrationsvorgangs exportieren und importieren. Aus diesem Grund ist es wichtig, die Benutzermigrationen durch Verwenden des Testmigrationskontos zu testen, um alle Eigenschaften zu identifizieren, die nicht migriert wurden, und die Benutzerkonfigurationen in der Zieldomäne entsprechend zu aktualisieren.
Wenn Sie bei der Migration von Benutzerkonten Organisationseinheiten migrieren, migrieren Sie die Gruppen, die zu diesen Organisationseinheiten gehören, während des Vorgangs der Migration von Benutzerkonten in die Organisationseinheit der Zieldomäne. Wenn Sie globale Gruppen mit dem Migrationsvorgang für globale Gruppen migrieren, werden diese in der Zieldomäne in der Standardorganisationseinheit platziert. Wenn Sie Organisationseinheiten aus der Quelldomäne in die Zieldomäne migrieren, wählen Sie die Option zum gleichzeitigen Verschieben der globalen Gruppen in die Zieldomäne aus, damit die Gruppen aus der Standardorganisationseinheit in die Organisationseinheit verschoben werden, in die sie gehören.
Der Migrationsvorgang des ADMT-Benutzerkontos umfasst die folgenden Schritte:
1. | ADMT liest die Quellbenutzerobjekte einschließlich aller Attribute. |
2. | ADMT erstellt eine neues Benutzerobjekt in der Zieldomäne und eine neue primäre SID für das neue Benutzerkonto. Alle Attribute aus dem Quellobjekt werden in das neue Benutzerobjekt kopiert. |
3. | ADMT fügt die ursprüngliche SID des Benutzerkontos dem Attribut sIDHistory des neuen Benutzerkontos hinzu (optional). |
4. | ADMT migriert das Kennwort für das Benutzerkonto (optional). |
Nach der Migration werden Ereignisse in den Quell- und Zieldomänen protokolliert.
Wenn Sie ADMT zum Migrieren von Benutzerkonten verwenden, bleiben die Gruppenmitgliedschaften erhalten. Da globale Gruppen nur Mitglieder aus der Domäne enthalten können, in der die Gruppe gespeichert ist, können die Benutzerkonten in der Zieldomäne keine Mitglieder der globalen Gruppe in der Quelldomäne sein, wenn Benutzer auf eine neue Domäne migriert werden. Als Teil des Migrationsvorgangs identifiziert ADMT die globalen Gruppen in der Quelldomäne, zu denen die Benutzerkonten gehören, und ermittelt dann, ob die globalen Gruppen migriert wurden. Wenn ADMT globale Gruppen in der Zieldomäne findet, zu denen die migrierten Benutzer in der Quelldomäne gehört haben, fügt das Tool die Benutzer den entsprechenden globalen Gruppen in der Zieldomäne hinzu.
Wenn Sie ADMT zum Migrieren von Benutzerkonten verwenden, bleiben außerdem die Benutzerkennwörter erhalten. Nachdem die Benutzerkonten auf die Zieldomäne migriert und dort aktiviert wurden, können sich Benutzer an der Zieldomäne anmelden, indem sie ihr ursprüngliches Kennwort verwenden. Wenn der Vorgang der Benutzerkontomigration erfolgreich ist, die Kennwortmigration jedoch fehlschlägt, erstellt ADMT ein neues komplexes Kennwort für das Benutzerkonto in der Zieldomäne. Standardmäßig speichert ADMT neue komplexe Kennwörter in der Datei C:\Programme\Active Directory Migration Tool\Logs\Password.txt.
Richten Sie ein Verfahren ein, durch das Benutzer benachrichtigt werden, denen neue Kennwörter zugewiesen wurden. Sie können z. B. ein Skript zum Senden einer E-Mail-Nachricht an Benutzer erstellen, durch die diese über ihre neuen Kennwörter benachrichtigt werden.
Sie können Benutzerkonten migrieren, indem Sie die ADMT-Konsole, die Eingabeaufforderung oder ein Skript verwenden.
So migrieren Sie Benutzerkonten mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||||||||
2. | Öffnen Sie das Active Directory-Migrationsprogramm, und wählen Sie dann Assistent zum Migrieren von Benutzerkonten aus. | ||||||||||||||||||
3. | Führen Sie den Assistenten zum Migrieren von Benutzerkonten aus, indem Sie die Informationen verwenden, die in Tabelle 11.11 zur Verfügung gestellt werden. Tabelle 11.11 Verwenden des Assistenten zum Migrieren von Benutzerkonten für die Migration von Benutzerkonten
| ||||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. | ||||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass die Benutzerkonten in der entsprechenden Organisationseinheit der Zieldomäne vorhanden sind. |
So migrieren Sie die aktuelle Benutzerauswahl mit der ADMT-Befehlszeilenoption:
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Pfad der Zielorganisationseinheit | /TO:'Zielorganisationseinheit' | TargetOU='Zielorganisationseinheit' |
SIDs globaler Gruppen migrieren | /MSS:YES | MigrateSIDs=YES |
Konten nicht umbenennen | /RO:DON'T (Standardeinstellung) | RenameOption=DONT |
In Konflikt stehende Konten ignorieren und nicht migrieren | /CO:IGNORE (Standardeinstellung) | ConflictOptions=IGNORE |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Name\Benutzer. Vergewissern Sie sich, dass die Benutzer in der Organisationseinheit der Zieldomäne vorhanden sind. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So migrieren Sie globale Gruppen mit einem Skript:
Eine Beispielskriptdatei GIVE NAME zum Migrieren von Benutzern steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Erneutes Anwenden von Gruppenrichtlinien auf Benutzerkonten
Wenn Sie Gruppenrichtlinien zum Verwalten der Ordnerumleitung oder Softwareverteilung verwenden, müssen Sie sicherstellen, dass diese Richtlinien auch weiterhin gelten, wenn Sie Benutzerkonten in eine neue Gesamtstruktur migrieren.
Wenn Sie Gruppenrichtlinien zum Verwalten einer Ordnerumleitung verwenden, funktioniert die clientseitige Zwischenspeicherung (Client-Side Caching, CSC) nicht, nachdem das Benutzerkonto in eine neue Gesamtstruktur migriert wurde. CSC speichert die SID des Benutzers, die sich ändert, wenn das Benutzerkonto migriert wird. Um die clientseitige Zwischenspeicherung wiederherzustellen, verwenden Sie den Sicherheitskonvertierungs-Assistenten von ADMT zum Ersetzen der Berechtigungen für den Ordner, der CSC enthält. Wenn Sie die Ordnerumleitung verwenden und die clientseitige Zwischenspeicherung deaktiviert ist, können Benutzer auf den Ordner zugreifen, wenn die sIDHistorydes Benutzerkontos in der Zieldomäne vorhanden ist. Die Ordnerumleitungserweiterung kopiert die Dateien vom ursprünglichen Speicherort in der Quelldomäne an den neuen Speicherort in der Zieldomäne. sIDHistory ermöglicht Benutzerkonten den Zugriff auf die Quellordner.
Sie können folgendermaßen vorgehen, um sicherzustellen, dass Benutzer auch weiterhin Zugriff auf CSC besitzen, nachdem Benutzerkonten auf Zieldomänen migriert wurden:
1. | Konvertieren Sie die Sicherheit auf Clientcomputern so, dass der CSC-Zwischenspeicher aktualisiert wird. |
2. | Wenn das Attribut sIDHistorydes Benutzerkontos in der Zieldomäne nicht vorhanden ist, konvertieren Sie die Sicherheit auf dem Server, auf dem umgeleitete Ordner gespeichert sind. |
Da einige Softwareinstallationspakete (MSI-Pakete) Zugriff auf die ursprüngliche Quelle für Operationen wie z. B. Reparatur und Deinstallation benötigen, müssen Sie beim Verwenden von Gruppenrichtlinien zum Verwalten der Softwareinstallation die ACLs erneut auf den Softwareverteilungspunkt anwenden, nachdem Sie Benutzer migriert haben, damit sichergestellt ist, dass die Softwareinstallation in der Zieldomäne auch weiterhin einwandfrei funktioniert.
Um sicherzustellen, dass Benutzer auch weiterhin Zugriff auf die Softwareverteilung besitzen, nachdem Benutzerkonten in die Zieldomäne migriert wurden, konvertieren Sie die Sicherheit für den Softwareverteilungspunkt.
Migrieren von Benutzerpostfächern
Wenn Sie Exchange-Server verwenden, verwenden Sie den Migrations-Assistenten von Exchange Server zum Migrieren von Postfächern auf den Exchange-Server in der Gesamtstruktur der Zieldomäne. Weitere Informationen zum Migrieren von Exchange-Postfächern finden Sie unter folgendem Migrationstipp: Hyperlink Migrate Mailboxes auf der Seite zu Webressourcen unter http://www.microsoft.com/windows/reskits/webresources/ (englischsprachig). Sie müssen die Benutzerkonten migrieren, bevor Sie die Exchange-Postfächer migrieren.
Migrieren lokaler Benutzerprofile
Migrieren Sie lokale Benutzerprofile, nachdem Sie die einzelnen Benutzerkontogruppen migriert haben. Sie müssen nur lokale Benutzerprofile auf Arbeitsstationen migrieren, die Windows NT 4.0, Windows 2000 oder Microsoft® Windows® XP ausführen. Andere Betriebssysteme, z. B. Microsoft® Windows® 95, unterstützen keine lokalen Benutzerprofile.
Benutzerprofile werden lokal auf der Arbeitsstation gespeichert. Wenn sich ein Benutzer an einer anderen Arbeitsstation anmeldet, muss er ein neues, eindeutiges lokales Benutzerprofil erstellen. Migrieren Sie die lokalen Benutzerprofile sofort, nachdem Sie eine Gruppe von Benutzern migriert haben.
Tipp Migrieren Sie die lokalen Benutzerprofile in der Nacht, bevor Sie die Benutzer informieren, dass sie sich mit den neuen Konten in der Zieldomäne anmelden müssen. Das Migrieren der Profile in der vorhergehenden Nacht stellt sicher, dass die neuen Benutzerprofile die aktuellsten Benutzereinstellungen aufweisen.
So migrieren Sie lokale Benutzerprofile mit der ADMT-Konsole:
1. | Fügen Sie das ADMT-Kontomigrationskonto für jede Arbeitsstation in der Quelldomäne, die Windows NT 4.0, Windows 2000 oder Windows XP ausführt, der lokalen Gruppe Administratoren hinzu. | ||||||||||||
2. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||
3. | Öffnen Sie das Active Directory-Migrationsprogramm, und führen Sie dann den Sicherheitskonvertierungs-Assistenten aus. | ||||||||||||
4. | Führen Sie den Sicherheitskonvertierungs-Assistenten aus, indem Sie die Informationen verwenden, die in Tabelle 11.13 zur Verfügung gestellt werden. Tabelle 11.13 Verwenden des Sicherheitskonvertierungs-Assistenten zum Verschieben lokaler Profile
| ||||||||||||
5. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. |
So migrieren Sie lokale Benutzerprofile mit der ADMT-Befehlszeilenoption:
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Konvertierungsoption = HINZUFÜGEN | /TOT:ADD | TranslateOption=ADD |
Sicherheit des lokalen Benutzerprofils ändern | /TUP:YES | TranslateUserProfiles=YES |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So migrieren Sie lokale Benutzerprofile mit einem Skript:
Eine Beispielskriptdatei GIVE NAME zum Migrieren von Benutzerprofilen steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Erneutes Migrieren globaler Gruppen
Eine umfangreiche Migration von Benutzerkonten kann erhebliche Zeit in Anspruch nehmen. Aus diesem Grund müssen Sie möglicherweise globale Gruppen erneut aus der Quell- in die Zieldomäne migrieren, um Änderungen zu berücksichtigen, die an den Gruppen in der Quelldomäne vorgenommen wurden, nachdem die ursprüngliche Migration der globalen Gruppe stattgefunden hat.
Sie können globale Gruppen erneut migrieren, indem Sie die ADMT-Konsole, eine Eingabeaufforderung oder ein Skript verwenden. Ein Arbeitsblatt, das Sie beim Durchführen der erneuten Migration globaler Gruppen unterstützt, finden Sie unter 'User and Group Object Assignment Table' (DSSREER_1.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'User and Group Object Assignment Table' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
So migrieren Sie globale Gruppen mit der ADMT-Konsole erneut:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Kontomigrationskontos an. | ||||||||||||||||
2. | Öffnen Sie die Konsole Active Directory-Migrationsprogramm, und wählen Sie dann Assistent zum Migrieren von Gruppenkonten aus. | ||||||||||||||||
3. | Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen verwenden, die in Tabelle 11.15 zur Verfügung gestellt werden. Tabelle 11.15 Verwenden des Assistenten zum Migrieren von Gruppenkonten für die erneute Migration von Gruppen
| ||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. | ||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Name\Gruppen. Vergewissern Sie sich, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. |
So migrieren Sie globale Gruppen mit der ADMT-Befehlszeilenoption erneut:
Tabelle 11.16 Für die Migration globaler Gruppen erforderliche Parameter
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Speicherort der Zielorganisationseinheit | /TO:'Zielorganisationseinheit' | TargetOU='Zielorganisationseinheit' |
SIDs globaler Gruppen migrieren | /MSS:YES | MigrateSIDs=YES |
Konten nicht umbenennen | /RO:DON'T (Standardeinstellung) | RenameOption=DONT |
In Konflikt stehende Konten ignorieren und nicht migrieren | /CO:IGNORE (Standardeinstellung) | ConflictOptions=IGNORE |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Kontoname\Gruppen. Vergewissern Sie sich, dass die globalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So migrieren Sie globale Gruppen mit einem Skript:
Eine Beispielskriptdatei GIVE NAME zum Migrieren globaler Gruppen steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Abbildung 11.8 zeigt ein Beispiel für ein ausgefülltes Arbeitsblatt für die erneute Migration globaler Gruppen.
Abbildung 11.8 Beispiel für ein Arbeitsblatt für die erneute Migration globaler Gruppen
Migrieren von Ressourcen
Der Vorgang des Migrierens von Ressourcen zwischen Windows Server 2003-Domänen in verschiedenen Gesamtstrukturen umfasst das Durchführen der Migration von Arbeitsstationskonten, Mitgliedsservern und Domänencontrollern. Nachdem Sie alle Ressourcenobjekte erfolgreich in die Zieldomäne migriert haben, können Sie die Quelldomäne außer Betrieb nehmen.
Abbildung 11.9 zeigt den Vorgang des Migrierens von Ressourcenobjekten zwischen Windows Server 2003-Domänen in verschiedenen Gesamtstrukturen.
Abbildung 11.9 Migrieren von Ressourcen zwischen Windows Server 2003-Domänen in verschiedenen Gesamtstrukturen
Migrieren von Arbeitsstationen und Mitgliedsservern
Die Migration von Arbeitsstationskonten und Mitgliedsservern ist ein recht einfacher Vorgang. Arbeitsstationen und Mitgliedsserver besitzen eine eigene SAM-Kontodatenbank. Wenn Sie Arbeitsstationen und Mitgliedsserver zwischen Domänen verschieben, wird die Datenbank ebenfalls verschoben. Konten, die sich in der lokalen SAM-Datenbank befinden (z. B. lokale Gruppen) und zum Ermöglichen des Zugriffs auf Ressourcen verwendet werden, werden immer mit dem Computer verschoben und müssen daher nicht migriert werden.
Ebenso wie bei Benutzerkonten empfiehlt es sich, die Migration von Mitgliedsarbeitsstationen und -servern in Gruppen durchzuführen.
Anmerkung: Starten Sie Mitgliedsarbeitsstationen und -server sofort oder so schnell wie möglich neu, nachdem diese der Zieldomäne hinzugefügt wurden. Ressourcen, die nach der Migration nicht erneut gestartet wurden, befinden sich in einem unbestimmten Status.
Sie können Arbeitsstationen und Mitgliedsserver migrieren, indem Sie die ADMT-Konsole, eine Eingabeaufforderung oder ein Skript verwenden.
So migrieren Sie Arbeitsstationen und Mitgliedsserver mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Ressourcenmigrationskontos an. | ||||||||||||||||||||
2. | Öffnen Sie das Active Directory-Migrationsprogramm, und wählen Sie dann Computermigrations-Assistent aus. | ||||||||||||||||||||
3. | Führen Sie den Computermigrations-Assistenten aus, indem Sie die Informationen verwenden, die in Tabelle 11.17 zur Verfügung gestellt werden. Tabelle 11.17 Verwenden des Computermigrations-Assistenten für die Migration von Arbeitsstationen und Mitgliedsservern
| ||||||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen, und überprüfen Sie das Migrationsprotokoll dann auf Fehler. | ||||||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, und vergewissern Sie sich, dass die Arbeitsstationen und Mitgliedsserver in der entsprechenden Organisationseinheit der Zieldomäne vorhanden sind. |
So migrieren Sie Arbeitsstationen und Mitgliedsserver mit der ADMT-Befehlszeilenoption:
| Parameter | Befehlszeilensyntax | Optionsdateisyntax |
Quelldomäne | /SD:'Quelldomäne' | SourceDomain='Quelldomäne' |
Zieldomäne | /TD:'Zieldomäne' | TargetDomain='Zieldomäne' |
Speicherort der Zielorganisationseinheit | /TO:'Zielorganisationseinheit' | TargetOU='Zielorganisationseinheit' |
Computer eine Minute nach Beendigung des Assistenten neu starten | /RD:1 | RestartDelay=1 |
Konten nicht umbenennen | /RO:DON'T (Standardeinstellung) | RenameOption=DONT |
In Konflikt stehende Konten ignorieren und nicht migrieren | /CO:IGNORE (Standardeinstellung) | ConflictOptions=IGNORE |
1. | Überprüfen Sie die Ergebnisse, die auf dem Bildschirm angezeigt werden, auf Fehler. |
2. | Öffnen Sie Active Directory-Benutzer und -Computer, und navigieren Sie dann zur Organisationseinheit Name. Vergewissern Sie sich, dass die Arbeitsstationen und Mitgliedsserver in der Zielorganisationseinheit vorhanden sind. |
Eine vollständige Liste der für ADMT verfügbaren Befehlszeilenoptionen erhalten Sie durch Eingabe von NEED REF.
So migrieren Sie Arbeitsstationen und Mitgliedsserver mit einem Skript:
Eine Beispielskriptdatei GIVE NAME zum Migrieren von Benutzern steht im Windows Server 2003 Deployment Resource Kit im Verzeichnis PROVIDE PATH zur Verfügung.
Migrieren von Domänencontrollern
In einigen Domänen sind Domänencontroller dedizierte Server, die ausschließlich für die Authentifizierung verwendet werden. In anderen Domänen befinden sich Ressourcen auf Domänencontrollern. Gemeinsame lokale Gruppen stellen allen Domänencontrollern Ressourcenberechtigungen zur Verfügung, die Ressourcen unterstützen.
Das Migrieren von Domänencontrollern ist aus den folgenden Gründen ein komplizierterer Vorgang als das Migrieren von Mitgliedsservern:
| • | Windows NT 4.0-Sicherungsdomänencontroller (Backup Domain Controllers, BDCs) können nicht zum Mitgliedsserver herabgestuft oder zwischen Domänen verschoben werden. |
| • | Alle Domänencontroller-Zugriffsrechte basieren auf gemeinsamen lokalen Gruppen, die ebenfalls migriert werden müssen. |
Migrieren Sie aus diesem Grund nur Domänencontroller, die Windows NT 4.0 ausführen, wenn sich freigegebene Ressourcen auf dem Domänencontroller befinden. Nehmen Sie alle Domänencontroller außer Betrieb, die nicht über freigegebene Ressourcen verfügen.
Migrieren gemeinsam genutzter lokaler Gruppen
Migrieren Sie die gemeinsam genutzten lokalen Gruppen aus der Quelldomäne in die Zieldomäne, bevor Sie die Domänencontroller auf Windows Server 2003 aktualisieren und in die Zieldomäne verschieben. Beachten Sie, dass es nicht erforderlich ist, Zugriffssteuerungslisten (Access Control Lists, ACLs) als Teil dieses Vorgangs zu ändern. Die ACLs verweisen auch weiterhin auf die gemeinsam genutzten lokalen Gruppen in der Quelldomäne. Da die gemeinsam genutzten lokalen Gruppen als lokale Domänengruppen auf die Zieldomäne migriert wurden (und die ursprüngliche SID im Attribut sIDHistory aufweisen), können Benutzer wie zuvor auf die Ressourcen zugreifen. ADMT behält die Mitgliedschaft der lokalen Gruppe während der Migration bei.
So migrieren Sie gemeinsam genutzte lokale Gruppen mit der ADMT-Konsole:
1. | Melden Sie sich beim Domänencontroller in der Zieldomäne, auf dem ADMT installiert ist, unter Verwendung des ADMT-Ressourcenmigrationskontos an. | ||||||||||||||||
2. | Öffnen Sie das Active Directory-Migrationsprogramm, und wählen Sie dann Assistent zum Migrieren von Gruppenkonten aus. | ||||||||||||||||
3. | Führen Sie den Assistenten zum Migrieren von Gruppenkonten aus, indem Sie die Informationen verwenden, die in Tabelle 11.19 zur Verfügung gestellt werden. Tabelle 11.19 Verwenden des Assistenten zum Migrieren von Gruppenkonten für die Migration freigegebener lokaler Gruppen
| ||||||||||||||||
4. | Nachdem der Assistent auf allen Computern ausgeführt wurde, klicken Sie auf Protokoll anzeigen.Überprüfen Sie das Migrationsprotokoll auf Fehler. | ||||||||||||||||
5. | Öffnen Sie Active Directory-Benutzer und -Computer, navigieren Sie zur Organisationseinheit Quelldomäne, und vergewissern Sie sich dann, dass die freigegebenen lokalen Gruppen in der Organisationseinheit der Zieldomäne vorhanden sind. |
So fügen Sie einen Mitgliedsserver zu einer Zieldomäne hinzu:
1. | Stellen Sie eine Verbindung zwischen dem Mitgliedsserver und dem Netzwerk her. |
2. | Öffnen Sie auf einem beliebigen Domänencontroller in der Zieldomäne Active Directory-Benutzer und -Computer, und navigieren Sie dann zum Container Computer. |
3. | Klicken Sie im Detailbereich mit der rechten Maustaste auf den Mitgliedsserver, und klicken Sie dann auf Verschieben. |
4. | Wechseln Sie im Dialogfeld Verschieben zu Zieldomäne\Computer, und klicken Sie dann auf OK. |
So verschieben Sie Windows Server 2003-Domänencontroller in die Zieldomäne:
1. | Entfernen Sie Active Directory vom Windows Server 2003-Domänencontroller. |
2. | Ändern Sie die Domänenmitgliedschaft des Domänencontrollers auf die Zieldomäne. |
3. | Starten Sie das Betriebssystem auf dem Domänencontroller neu. |
Ein Arbeitsblatt, das Sie beim Durchführen der Migration von Domänencontrollern unterstützt, finden Sie unter 'Domain Controller Migration' (DSSREER_6.doc) auf der Begleit-CD zum Windows Server 2003 Deployment Kit, oder lesen Sie 'Domain Controller Migration' im Web unter der Adresse http://www.microsoft.com/windows/reskits/default.asp (englischsprachig).
Abbildung 11.10 zeigt ein Beispiel für ein ausgefülltes Arbeitsblatt für die Migration von Domänencontrollern.
Abbildung 11.10 Beispiel für ein Arbeitsblatt für die Migration von Domänencontrollern
Abschließen der Migration
Nachdem Sie alle Konten und Ressourcen aus der Quelldomäne in die Zieldomäne migriert haben, schließen Sie den Neustrukturierungsvorgang ab, indem Sie die folgenden Aufgaben durchführen:
| • | Übertragen der Verwaltung von Benutzer- und Gruppenkonten von der Quelldomäne auf die Zieldomäne. |
| • | Sicherstellen, dass mindestens zwei Domänencontroller in der Quelldomäne funktionstüchtig sind, bis der Vorgang der Ressourcenmigration abgeschlossen ist. |
| • | Sichern der beiden Domänencontroller in der Quelldomäne. |
Konvertieren der Sicherheit auf Mitgliedsservern
Konvertieren Sie die Sicherheit auf Mitgliedsservern, um die Zugriffssteuerungslisten (ACLs) der migrierten Objekte zu bereinigen. Nachdem Objekte in die Zieldomäne migriert wurden, enthalten diese Objekte ACL-Einträge aus der Quell- und der Zieldomäne. Die SIDs aus der Quelldomäne verbleiben in den ACLs, damit Benutzern während der Durchführung des Migrationsvorgangs der Zugriff auf Ressourcen ermöglicht wird. Nachdem die Migration abgeschlossen ist, werden die SIDs aus der Quelldomäne nicht mehr benötigt. Verwenden Sie den Sicherheitskonvertierungs-Assistenten in ADMT, um die Quelldomänen-SIDs aus den migrierten Objekten zu entfernen.
So konvertieren Sie die Sicherheit auf Mitgliedsservern:
1. | Führen Sie den Sicherheitskonvertierungs-Assistenten in ADMT aus, indem Sie die Informationen verwenden, die in Tabelle 11.20 zur Verfügung gestellt werden. Tabelle 11.20 Verwenden des Sicherheitskonvertierungs-Assistenten in ADMT
|
Außerbetriebnehmen der Quelldomäne
Nachdem die Migration der Konten und Ressourcen in der Quelldomäne abgeschlossen ist, nehmen Sie die Quelldomäne außer Betrieb.
Anmerkung: Stellen Sie sicher, dass eine vollständige Systemsicherung des primären Domänencontrollers für jede Domäne vorhanden ist, damit Sie die Domäne jederzeit wieder online schalten können.
So nehmen Sie die Quelldomäne außer Betrieb:
1. | Entfernen Sie alle Vertrauensstellungen zwischen der Quell- und der Zieldomäne. |
2. | Führen Sie alle verbleibenden Domänencontroller in der Quelldomäne, die Sie nicht in die Zieldomäne migriert haben, einem anderen Zweck zu. |
3. | Deaktivieren Sie alle Konten, die Sie während des Migrationsvorgangs erstellt haben, beispielsweise die Konten, denen Sie Verwaltungsberechtigungen zugewiesen haben. |
Weitere Ressourcen
Diese Ressourcen enthalten zusätzliche Informationen und Tools zu diesem Kapitel.
Verwandte Informationen in den Resource Kits
| • | Weitere Informationen zur logischen Struktur von Active Directory finden Sie unter 'Entwerfen der logischen Struktur' in diesem Handbuch. |
| • | Weitere Informationen zur Active Directory-Standorttopologie finden Sie unter 'Entwerfen der Standorttopologie' in diesem Handbuch. |
| • | Weitere Informationen zum Entwerfen eines DNS (Domain Name System) für Active Directory finden Sie unter 'Bereitstellen von DNS' ('Deploying DNS') in Bereitstellen von Netzwerkdiensten ('Deploying Network Services'). |
| • | Weitere Informationen zu Funktionsebenen finden Sie unter 'Aktivieren von Funktionsebenen' ('Enabling Functional Levels') in diesem Handbuch. |
Verwandte Tools:
| • | ADMT |
Verwandte Aufgabenhilfen
| • | 'User and Group Object Assignment Table' (DSSREER_1.doc) (englischsprachig) |
| • | 'Resource Object Assignment Table' (DSSREER_2.doc) (englischsprachig) |
| • | 'Migration Test Matrix'(DSSREER_3.doc) (englischsprachig) |
| • | 'Account Migration' (DSSREER_4.doc) (englischsprachig) |
| • | 'Global Group Remigration' (DSSREER_5.doc) (englischsprachig) |
| • | 'Domain Controller Migration' (DSSREER_6.doc) (englischsprachig) |