Main Menu

Home
Artikel
News
UwiN Forum
Downloads
Web-Links
Impressum/Disclaimer
Board-Regeln
Web-Chat
Kontakt

Login Form






Passwort verloren?
Home arrow Artikel arrow Server Applications arrow Domänenmigration mit ADMT v2
Domänenmigration mit ADMT v2 PDF Drucken E-Mail
Geschrieben von Martin Krauß   
Wie führe ich zwei Windows 2000 Domänen mit dem ADMT v2 zusammen?

Wie führe ich zwei Windows 2000 Domänen

mit dem ADMT v2 zusammen?

 

Neue und bessere oder auch veraltete Hardware, das Konsolidieren mehrerer Betriebszweige in einen einzelnen, oder auch viele andere weitere Gründe können das Zusammenführen zweier Domänen in eine einzelne notwendig machen. Dies bedarf intensiver und meist längerwährender Planung. Da die verschiedenen Veröffentlichungen wie White-Papers, Knowledge-Base-Artikel und andere Informationsquellen leider nicht sonderlich ausführlich sind, möchte ich hier eine Kleine Zusammenfassung darüber geben, wie eine solche Domänenmigration erfolgreich vonstatten gehen kann.

 

Diese Zusammenfassung kann und will nicht die Dokumentation vom ADMT oder Robocopy ersetzen, kann aber helfen, die verwirrende Unübersichtlichkeit der bestehenden Veröffentlichungen ein wenig zu lindern und als der Faden dienen, an dem man aus dem Labyrinth einer Domänenmigration wieder ins Licht zurück findet.

 

Die Migration vollzieht sich in mehreren Phasen:

 

1)   Planung der Migration

2)   Sicherung der Daten beider Domänen

3)   Einrichten der entsprechenden Domänenvertrauensstellungen

4)   Installation und Einrichtung von ADMT v2

5)   Migration der Benutzer und Benutzergruppen

6)   Migration der Servergespeicherten Daten auf die neuen/anderen Geräte

7)   Migration der Computer und Computergruppen

 

zu 1) Planung der Migration

 

Bei der Planung ist folgendes zu beachten:

  • Sind genügend DC's vorhanden um auch bei der doppelten Last an Benutzern und Dateien die entsprechenden Dienste zur Verfügung zu stellen?
  • Ist die Quell- und vor allem die Zieldomäne einwandfrei konfiguriert?
  • Soll die Rechtestruktur der Zieldomäne beibehalten werden, oder soll eine vollkommen neue Hierarchie angelegt werden? Wenn neu, wie erkläre ich den Benutzern die neue Struktur so, daß sie ohne Probleme weiterarbeiten können?
  • Wie vereinheitliche ich die Datenstruktur der Fileserver (dfs, Cluster o.ä.) so, daß sowohl die Domänenbenutzer der Ziel- als auch diejenigen der Quelldomäne die neue Struktur ohne Probleme übernehmen können.

 

Da diese Überlegungen vollkommen von der Individuellen Domänenstruktur abhängen, kann ich hierzu kaum Hilfestellungen geben. Nur das eine: Hier ist mehr Zeit mehr! Wird die Planung sehr genau und detailliert ausgeführt, läuft die spätere Migration wie am Schnürchen.

 

Zu 2) Sicherung der Daten

 

Die ist natürlich eine vollkommene Selbstverständlichkeit, und sollte eigentlich sowieso täglich/wöchentlich durchgeführt werden. Also auch hierzu keine weiteren Bemerkungen.

 

 

Zu 3) Einrichten der Vertrauensstellungen

 

Beide Domänen müssen sich vertrauen. Also die Zieldomäne der Quelldomäne und umgekehrt. Die Vertrauensstellungen kann man per mmc mit dem Snap In „Active Directory Domänen- und Vertrauensstellungen" erledigen.

Beachtenswert: Nach Einrichtung der Vertrauensstellungen können sich die Benutzer bereits über ihre Domäne an den Rechnern der anderen Domäne anmelden. Es kann also im Support durchaus zu dem Fall kommen, daß sich Anrufe ala „Warum erscheint denn jetzt „Domäne2" in meinem Anmeldeschirm, oder auch „Mein Bildschirm sieht plötzlich ganz anders aus" vorkommen. Die Benutzer also entsprechend vorwarnen!

 

Zu 4) Installation und Einrichten von ADMT v2

 

ADMT v2 auf jeweils einem Domain-Controller der Ziel- und einem der Quelldomäne installieren. Wenn die Passwörter der Quelldomäne ebenfalls migiriert werden sollen, muß auch noch ein Password-Encryption-Server (PES) installiert werden. Die Encryption-dll, die in der Ziel-Domäne erstellt werden muß, wird bei der Installation des PES in der Quelldomäne benötigt, am besten auf Diskette, oder auf einem anderen Medium, welches nachher leicht zu vernichten/wegzuschließen ist.

Spätestens hier muss auch überprüft werden, ob die SID-History bei allen beteiligten Domänen aktiviert ist, um die essentiell wichtige Migration der SIDs von Benutzern und Computern zu garantieren. Ist sie nicht aktiviert, muß dies nun auf alle Fälle nachgeholt werden.

 

Zu 5) Migration der Benutzer und Benutzergruppen

 

Nun können die Benutzer migriert werden. Dazu startet man das ADMT auf dem DC der Quelldomäne mit der Benutzerkennung des Domain-Admins der Quelldomäne. Wenn die SID-History aktiviert wurde, sollte die Migration der SIDs auf alle Fälle aktiviert werden.

VORSICHT: Vorher auf alle Fälle überprüfen ob identische Benutzernamen/Anmeldenamen in den beiden Domänen vorhanden sind, und entsprechend diese Benutzer von der Migration ausnehmen bzw. die Namen durch Pre- oder Suffix verändern.

Trotz allem sollen sich die Benutzer auch nach der Benutzermigration weiterhin an ihrer gewohnten Domäne anmelden.

Warum dann die Benutzer und Gruppen bereits im Vorfeld migrieren?

So lassen sich am besten bereits im Vorfeld der Computermigration sämtliche Rechte und Gruppenrichlinien so konfigurieren, daß nach der Computermigration die Arbeit ohne weitere Umstellungen sofort fortgesetzt werden kann.

 

Zu 6) Migration der Servergespeicherten Daten

 

Mithilfe von robocopy.exe nun die Daten der alten Fileserver auf die Server der Zieldomäne kopieren. Besonders wichtig hierbei: Die Roaming Profiles und Home-Directories sowie die Share-Verzeichnisse. Diese Kopiervorgänge sollten auf alle Fälle aufgeteilt und nicht am Stück (zumindest bei größeren Domänen) durchgeführt werden, da es empfehlenswert ist - gerade bei Roaming-Profiles - direkt nach dem einzelnen Kopiervorgang (am besten in Benutzergruppen kopieren (Montag: Buchhaltung, Dienstag: Rechtsabteilung etc.pp) in der Quelldomäne und der Targetdomäne per skript das Verzeichnis für das Roaming-Profile (oder auch Homeverzeichnis) im ADS auf das neue Verzeichnis zu mappen. Die Benutzergruppen der Quelldomäne, deren Verzeichnisse bereits kopiert worden sind, holen sich also ihre Daten von den Rechnern der Zieldomäne. Dies ist durch die Vertrauensstellungen, die bei 3) eingerichtet worden sind, möglich geworden. So verhindert man eine Inkonsistenz der Daten durch hinzufügen/entfernen/verändern der Daten im Quellverzeichnis, nachdem dieses bereits kopiert worden ist.

 

Zu 7) Migration der Computer

 

Nun können schlußendlich die Computer in die neue Domäne eingefügt werden. Hierbei ist folgendes zu bachten:

Auf den Client-Rechnern der Quelldomäne muß der Domain-Administrator der Zieldomäne auch in der Administratoren -Gruppe des lokalen Computers/der Quelldomäne vorhanden sein, da sonst das Migrationsprogramm, welches auf den Clients verteilt wird, nicht installiert werden kann. Dies lässt sich am einfachsten bewerkstelligen, wenn man den Domain-Admin der Zieldomäne in die Administratoren-Gruppe der Quelldomäne aufnimmt oder per Gruppenrichtlinie in die lokale Gruppe der Administratoren auf den Quelldomänenrechnern einträgt.

Man meldet sich auf dem ADMT-DC der Quelldomäne mit der Domänen-Administratoren-Kennung der Zieldomäne an. Also Beispielsweise mit „domainadmin@Zieldomäne". Macht man dies nicht, kann der Rechner am Ende des Migrationsvorganges nicht automatisch in die Zieldomäne eingefügt werden.

Die Clients sollten frisch gebootet und kein Benutzer angemeldet sein. Auch hier empfiehlt es sich in kleineren Gruppen vorzugehen (Büro- oder Abteilungsweise), damit die Ergebnis-Logs bereits während der Migration überprüft und weiteren Fehlern entsprechend entgegengewirkt werden kann.

Bei der Auswahl der Migrationsoptionen sollte man auf alle Fälle die user-Profiles und Drucker ausgewählt haben, von der Registry-Option kann ich nur abraten, sie produzierte in unserer Testumgebung nur Blue-Screens auf den migrierten Clients. Während der Hauptmigration haben wir es selbstverständlich ausgelassen.

Die Rechner starten nach erfolgreicher Migration neu, und die Benutzer sollten nun ohne Einschränkungen mit ihrem gewohnten Benutzerprofil in der neuen Domäne arbeiten können.

 

 

Allgemeine Tips:

  • Nichts ist so ärgerlich wie zwei gleichnamige Benutzer, deren Homeverzeichnisse während des Datenkopiervorganges durch robocopy versehentlich zusammengeschmissen wurden, und bei denen man dann ersteinmal wieder die letzte Sicherung einspielen darf, damit niemand der beiden Zugriff auf die Daten des anderen erhält. Die Benutzer der beiden Domänen sollten sehr sorgfältig auf „Dubletten" untersucht werden
  • Bei der Computermigration empfielt es sich mit sehr kleinen Computergruppen anzufangen, bei denen man die Benutzer besser kennt, und ein gutes Vertrauensverhältnis hat. So kann man sehr schnell entdecken welche Domänenspezifischen Schwierigkeiten das ADMT machen kann, oder ob es tatsächlich reibungslos funktioniert.
  • Bei einer eventuell notwendigen Neuordnung der Rechtestruktur lieber zu restriktive Rechte einsetzen als zu lasche. Berechtigungen hinzufügen geht schnell und einfach. Doch Schaden, der durch freigewordene Informationen in den falschen Händen entsteht ist häufig nicht mehr zu beheben.
  • Selten hat man so gute Möglichkeiten, begründet seine Domäne (besonders File- und Druck-Dienste) neu zu organisieren wie bei einer Domänenmigration. Hier hat man endlich einmal die Chance den „Schreibtisch", der sich seit Jahren in ein unübersichtliches Chaos verwandelt hat, aufzuräumen.
  • Bei NT4.0 Clients muss der „Serverdienst" gestartet sein
  • Rechner mit so gut wie keinem Speicherplatz auf der Systempartition können ohne Probleme migriert werden, allerdings dauert diese Migration um einiges länger (in unserem Fall hatte der Rekordhalter, ein alter Rechner (P2) mit nur noch wenigen MB Speicherplatz auf der Root-Partition immer 62 Minuten gebraucht um die Daten zu migrieren.
  • Eine Testumgebung mit zwei Testdomänen und wenigen Clients ist bei einer Domänenmigration Gold wert!
  • Einer der häufigsten Fehler im Log der Migration war, das die Datei pagefile.sys nicht migriert werden konnte. Dieser Fehler rührt daher, daß sich jemand während der Migration angemeldet hat, oder bereits angemeldet war, als der Rechner migriert wurde. Da das File in Benutzung war, konnte es natürlich nicht migriert werden. Dies ist allerdings auch vollkommen wurscht, da es keinerlei weitere Probleme bereitet.

 

Viel Glück,

 

© by unterwegs-im.net, Martin „Junka" Krauß
 
< Zurück   Weiter >
© 2010 Unterwegs im Net
Joomla! is Free Software released under the GNU/GPL License.