Neste documento iremos utilizar a versão 3.1 do ADMT, esta não suporta a migração/consolidação de dominios NT, porem caso seja este o seu cenário, basta utilizar a versão 3.0 ou anterior.
É muito comum a existencia de varios dominios (seja ele NT ou baseado no Active Directory) em uma empresa, principalmente quando existe a migração de um ambiente NT ou quando é realizada a fusão desta com outra. Como resultado desta quantidade de dominios, o ambiente se torna mais complexo e em alguns casos existe a duplicidade de servidores executando os mesmos serviços na rede, por exemplo DC’s, DNS, etc.
A função do ADMT é fazer uma cópia dos objetos (grupos, usuários, contas de computadores) do dominio de origem para o dominio destino, preservando algumas informações importantes para que os objetos migrados possam acessar tanto servidores no novo dominio quanto no dominio de origem.
Estrutura do laboratorio
Para o laboratório utilizaremos duas florestas com um dominio cada, sendo os dominios: julianosathler.spaces.live.com (dc-01, dominio de origem) e jsathler.spaces.live.com (dc-02, dominio de destino).
Alem dos DC’s teremos duas estações (cl-01 e cl-02) executando o Windows 7 e XP respectivamente, alem de um servidor de arquivos (fs-01) executando o Windows Server 2008 R2.
Como o ADMT 3.1 não funciona no Windows Server 2008 R2, iremos utilizar um servidor exclusivamente para o ADMT (admt-01) executando o Windows Server 2008.
|
Hostname
|
Aplicação
|
IP
|
Dominio Original
|
Dominio final
|
|
dc-01
|
AD-DS, DNS
|
192.168.1.1
|
julianosathler
|
desativar
|
|
dc-02
|
AD-DS, DNS
|
192.168.1.2
|
jsathler
|
jsathler
|
|
admt-01
|
ADMT
|
192.168.1.3
|
jsathler
|
jsathler
|
|
fs-01
|
Servidor de arquivos
|
192.168.1.4
|
julianosathler
|
jsathler
|
|
cl-01
|
Cliente Windows 7
|
192.168.1.10
|
julianosathler
|
jsathler
|
|
cl-02
|
Cliente Windows XP
|
192.168.1.11
|
julianosathler
|
jsathler
|
Objetivos
O objetivo é consolidar os dominios julianosathler e jsathler, fazendo a migração de todos os objetos (usuários, grupos, computadores) do dominio julianosathler para o dominio jsathler. Esta consolidação deve ser realizada da forma mais transparente possível para os usuários.
O acesso aos serviços oferecidos na rede, deve permanecer para os usuários dos dois dominios ate que a migração seja concluida.
Apesar de ser possivel a migração de contas de serviços (através da opção “Service Account Migration Wizard”), neste artigo não abordaremos este assunto.
Pré-requisitos para a migração
Para que a migração aconteça de forma transparente e sem impacto para o usuário (ou com o menor impacto possivel) é necessário alguns cuidados, principalmente a comunicação aos usuários que deve ser clara, afim de evitar um alto volume de chamados ao helpdesk da empresa no dia seguinte a migracão.
Pré-requisitos técnicos
· Dominio destino precisa estar no Modo Windows 2000 Nativo;
· Descriptografar arquivos ANTES do inicio da migração;
· Os dominios precisam ter a hora sincronizada, devido a authenticação Kerberos;
· Uma conta com direitos de escrita no Active Directory e com perfil administrativo nas estações e servidores membros do dominio de origem/destino;
· O firewall das estações precisam estar desativados ou com uma excessão para o “Serviço de compartilhamento de Arquivos e Impressoras”, caso contrário a migração de estações/servidores e a tradução de segurança em servidores pode falhar;
· Ativar a politica “Default Domain Controllers Policy/Computer Configuration/Policies/Administrative Templates/System/Net Logon/Allow cryptography algorithms compatible with Windows NT 4.0” (KB 942564). Este procedimento é necessário caso esteja migrando contas de máquinas 2000/2003 e XP para um dominio com DC’s executando o Windows Server 2008 ou superior;
· Garantir que todas as politicas e scripts de logon existem tanto no dominio de origem como no dominio de destino, pois o ADMT não migra GPOS/scripts;
Informações sobre o ADMT
· Migração entre dominios na mesma floresta exclui o objeto no dominio de origem;
· Os computadores precisam ser reiniciados após a migração, ou ficaram em um estado inconsistente;
· Para manter a acessibilidade entre os dominios, é necessário desativar o “SID Filtering”;
· Após a migração de contas de usuário, sua senha é definida para ser alterada no próximo logon;
· Permite a migração através da GUI, linha de comando ou scripts VBS;
Processo de fallback
· Entre florestas diferentes: Ativar os usuários no dominio de origem (caso tenham sido desativados durante a migração) e migrar novamente os computadores;
· Na mesma floresta: Migrar novamente os usuários e computadores;
Preparando os dominios
Para instalar o ADMT é necessário preparar os dominios antes. As atividades de preparação consistem basicamente em: Configurar a resolução de nomes, criar a relação de confiança entre os dominios (ou florestas caso a floresta de origem tenha o nivel funcional Windows Server 2003 ou superior), desativar o SID Filtering e habilitar a migração de SID Filtering.
Outro ponto importante é a crição da estrutura de OU’s que serão utilizadas para organizar os objetos que serão migrados. Neste documento não entraremos em detalhes sobre esta estrutura.
Configurando a resolução de nomes
· A partir do host dc-01 (dominio julianosathler), abra o mmc “DNS Manager”;
o Expanda “DC-01/Forward Lookup Zones”, selecione o menu “Action/New Zone”;
§ Na tela “Welcome to the New Zone Wizard” clique em “Next”;
§ Na tela “Zone Type” selecione as opções “Stub zone” e “Store the zone in Active Directory (available only if DNS server is a writeable domain controller)” e clique em “Next”;
§ Na tela “Active Directory Zone Replication Scope” selecione “To all DNS servers running on domain controllers in this forest: julianosathler.spaces.live.com” e clique em “Next”;
§ Na tela “Zone Name”, informe o nome “ jsathler.spaces.live.com” e clique em “Next”;
§ Na tela “Master DNS Servers”, informe o ip “192.168.1.2” e clique em “Next”;
§ Na tela “Completing the New Zone Wizard”, clique em “Finish”;
· A partir do host dc-02 (dominio jsathler), abra o mmc “DNS Manager”;
o Expanda “DC-02/Forward Lookup Zones”, selecione o menu “Action/New Zone”;
§ Na tela “Welcome to the New Zone Wizard” clique em “Next”;
§ Na tela “Zone Type” selecione as opções “Stub zone” e “Store the zone in Active Directory (available only if DNS server is a writeable domain controller)” e clique em “Next”;
§ Na tela “Active Directory Zone Replication Scope” selecione “To all DNS servers running on domain controllers in this forest: jsathler.spaces.live.com” e clique em “Next”;
§ Na tela “Zone Name”, informe o nome “ julianosathler.spaces.live.com” e clique em “Next”;
§ Na tela “Master DNS Servers”, informe o ip “192.168.1.1” e clique em “Next”;
§ Na tela “Completing the New Zone Wizard”, clique em “Finish”;
· A partir do host dc-02 (dominio jsathler), abra o mmc “Active Directory Domains and Trusts”;
o Clique sobre o nome do dominio “jsathler.spaces.live.com”, selecione o menu “Action/Properties”;
§ Na guia “Trusts” clique no botão “New Trust...”;
§ Na tela “Welcome to the New Trust Wizard” clique em “Next”;
§ Na tela “Trust Name”, informe o nome “julianosathler.spaces.live.com” e clique em “Next”;
§ Na tela “Direction of Trust”, selecione “Two-way” e clique em “Next”;
§ Na tela “Sides of Trust”, selecione “Both this domain and the specified domain” e clique em “Next”;
§ Na tela “User name and Password”, informe um usuário/senha com permissões de administrador no dominio julianosathler e clique em “Next”;
§ Na tela “Outgoing Trust Authentication Level-Local domain” selecione “Domain-wide Authentication” e clique em “Next”;
§ Na tela “Outgoing Trust Authentication Level-Specified domain” selecione “Domain-wide Authentication” e clique em “Next”;
§ Na tela “Trust Selections Complete”, clique em “Next”;
§ Na tela “Trust Creation Complete”, clique em “Next”;
§ Na tela “Confirm Outgoing Trust”, selecione “Yes, confirm the outgoing trust” e clique em “Next”;
§ Na tela “Confirm Incoming Trust”, selecione “Yes, confirm the incoming trust” e clique em “Next”;
§ Na tela “Completing the New Trust Wizard” e clique em “Finish”
· A partir de um prompt de comando do DC-02, desative o “SID Filtering”:
o Netdom trust jsathler.spaces.live.com /domain:julianosathler.spaces.live.com /quarantine:No
· A partir de um prompt de comando do DC-01, desative o “SID Filtering”:
o Netdom trust julianosathler.spaces.live.com /domain:jsathler.spaces.live.com /quarantine:no
Habilitando a migração de SID Filtering
· Crie um grupo Local de Segurança com o nome julianosathler$$$ (nome do dominio de origem seguido de três $);
· Crie a chave TcpipClientSupport (dword, valor 1) em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA no servidor que mantem a regra PDCE, em seguida reinicie o servidor;
· Habilite a auditoria de falha e sucesso para "Audit account management";
Instalando o ADMT
Agora que temos toda a estrutura preparada, vamos a instalação do ADMT.
Como dito anteriormente, o ADMT ainda não funciona sobre o Windows Server 2008 R2, apesar de permitir a migração de dominios que possui DC’s Windows Server 2008 R2. Na documentação um dominio com DC’s 2008 R2 não poderia ser utilizado como origem, apenas como destino de uma migração porem na prática funcionou corretamente. Será lançada a versão 3.2 do ADMT porem ainda sem previsão.
Instalando o ADMT
§ Execute o arquivo admtsetup31.exe e na tela “Welcome to the Active Directory Migration Tool Installation” clique em “Next”;
§ Na tela “License Agreement”, selecione “I Agree” e clique em “Next”;
§ Na tela “Customer Experience Improvement Program”, selecione “I don't want to join the program at this time” e clique em “Next”;
§ Na tela “Configuring Components” aguarde alguns minutos;
§ Na tela “Database Selection”, selecione “Use local SQL Server 2005 Express Edition”e clique em “Next”;
§ Na tela “Database Import”, selecione “No, do not import data from an exiting database (Default)” e clique em “Next”, em seguida clique em “Finish”;
Instalando o Password Migration
§ Através do dc-02 (dominio jsathler) crie o “Encriptation File” que será utilizado pelo PES:
o admt key /option:create /sourcedomain: julianosathler.spaces.live.com /keyfile:c:\cript.pes /keypassword:P@ssw0rd
§ Na tela “Welcome to the ADMT Password Migration DLL Installation Wizard”, clique em “Next”;
§ Na tela “License Agreement”, selecione “I accept the License Agreement” e clique em “Next”;
§ Na tela “Encriptation File”, localize o arquivo “cript.pes” criado anteriormente e clique em “Next”;
§ Na tela “Please provide the password for the encryption key”, informe a senha “P@ssw0rd” e clique em “Next”;
§ Na tela “Start installation” clique em “Next”;
§ Na tela “The Password Export Server Service can be run under Local System account or a specified user account.”, selecione “Local System Account” e clique em “OK”;
§ Na tela “ADMT Password Migration DLL has been successfully installed.” clique em “Finish”. Em seguida clique em “Yes” para reiniciar o servidor;
§ Através do MMC “services.mmc”, configure o serviço “Password Export Server Service” para inicio automático e inicie o mesmo;
Iniciando a migração
O processo de migração é tecnicamente simples, porem o planejamento deve ser bem realizado para minimizar (ou evitar) problemas. Um plano de fallback deve ser criado e testado, pois caso necessário será este o plano a ser utilizado para restaurar a situação anterior a migração.
A recomendação é que a migração seja feita em lotes de usuários, sempre agrupados de forma a facilitar a migração e suporte aos usuários.
Um motivo técnico para esta migração em “Lotes” são os grupos globais, como estes estão limitados a ter membros do próprio domínio, se o usuário for migrado e os grupos dos quais é membro não forem, o usuário não será um participante válido no grupo e poderá perder o acesso aos recursos. Outra observação é em relação a servidores que utilizam grupos “Domain local” para permissionamento, pois estes grupos não são visiveis em outros dominios, portanto servidores que utilizem grupos locais para controlar permissões deverão ser migrados em conjunto com os grupos, afim de evitar problemas de acesso.
Antes de iniciar a migração, faça um teste do plano (migração e fallback), em seguida um piloto e por fim a migração dos demais objetos.
Para facilitar a migração de vários objetos, podemos utilizar um arquivo de inclusão, este é tipicamente um arquivo texto com a extenssão “.csv”. Seu conteúdo depende do tipo de objeto a ser migrado e esta exemplificado abaixo.
Usuários (opção 01)
SourceName,TargetRDN,TargetSAM,TargetUPN
User4,"CN=Usuario 04",usuario04,usuario04@jsathler.spaces.live.com
User5,"CN=Usuario 05",usuario05,usuario05@jsathler.spaces.live.com
Usuários (opção 02)
SourceName,TargetName
User4, usuario04
User5, usuario05
Grupos (opção 01)
SourceName,TargetRDN,TargetSAM
Group4,"CN=Grupo 04",grupo04
Group5,"CN=Grupo 05",grupo05
Grupos (opção 02)
SourceName,TargetName
Group4, grupo04
Group5, grupo05
Computadores
SourceName, TargetName
cl-01, ws-01
cl-02, ws-02
Perceba que é possivel renomear um objeto durante a migração, bastando apenas informar o novo nome do objeto.
A sequencia recomendada para migração é Grupos, Usuários e por fim Computadores.
Migrando grupos:
· Abra o mmc “Active Directory Migration Tool”, e no menu Action, selecione a opção "Group Account Migration Wizard";
· Na tela "Welcome to the Group Account Migration Wizard" clique em "Next";
· Na tela "Domain Selection", informe o dominio/dc de origem e o dominio/dc de destino e clique em "Next";
· Na tela "Group Selection Option", selecione a opção desejada e clique em "Next". Caso não queira utilizar um arquivo com a lista dos objetos a serem migrados, selecione "Selected groups from domain", caso tenha um arquivo com a lista de grupos a serem migrados, selecione a opção "Read objects from an include file";
o Caso tenha selecionado a opção "Selected groups from domain”, na tela "Group Selection", clique em "Add" e informe o grupo a ser migrado, em seguida clique em "Next";
o Caso contrário, na tela “Include File Selection”, no campo “Include File” informe o nome do arquivo que contem a lista dos grupos que serão migrados e no campo “Source OU” informe a OU de origem. Este parametro só é necessário caso o SourceName no arquivo de respostas não esteja utilizando o SAMID do grupo;
· Na tela "Organizational Unit Selection" informe a OU destino e clique em "Next";
· Na tela "Group Options" selecione a opção " Migrate group SIDs to target domain ", em seguida clique em "Next";
· Na tela "User Account" informe um usuário que tenha permissão administrativa no dominio de origem e clique em "Next";
· Na tela "Object Property Exclusion" clique em "Next";
· Na tela "Conflict Management" selecione a opção "Do not migrate source object if a conflict is detected in the target domain" e clique em "Next";
· Na tela "Completing the User Group Migration Wizard" clique em "Finish" e aguarde o processo de migração.
Migrando usuários:
· Abra o mmc “Active Directory Migration Tool”, e no menu Action, selecione a opção "User Account Migration Wizard";
· Na tela "Welcome to the User Account Migration Wizard" clique em "Next";
· Na tela "Domain Selection", informe o dominio/dc de origem e o dominio/dc de destino e clique em "Next";
· Na tela "User Selection Option", selecione a opção desejada e clique em "Next". Caso não queira utilizar um arquivo com a lista dos objetos a serem migrados, selecione "Selected users from domain", caso tenha um arquivo com a lista de usuários a serem migrados, selecione a opção "Read objects from an include file";
o Caso tenha selecionado a opção "Selected users from domain”, na tela "User Selection", clique em "Add" e informe o usuário a ser migrado, em seguida clique em "Next";
o Caso contrário, na tela “Include File Selection”, no campo “Include File” informe o nome do arquivo que contem a lista dos usuários que serão migrados e no campo “Source OU” informe a OU de origem. Este parametro só é necessário caso o SourceName no arquivo de respostas não esteja utilizando o SAMID do usuário;
· Na tela "Organizational Unit Selection" informe a OU destino e clique em "Next";
· Na tela "Password Options" selecione a opção "Migrate passwords", informe o DC que possui o PES (Password Encryptation Server) e clique em "Next";
· Na tela "Account Transition Options" selecione as opções "Target same as source", "Disable source accounts" e "Migrate user SIDs to target Domain", em seguida clique em "Next";
· Na tela "User Account" informe um usuário que tenha permissão administrativa no dominio de origem e clique em "Next";
· Na tela "User Options" selecione a opção "Fix users group memberships", e clique em "Next";
· Na tela "Object Property Exclusion" clique em "Next";
· Na tela "Conflict Management" selecione a opção "Do not migrate source object if a conflict is detected in the target domain", e clique em "Next";
· Na tela "Completing the User Account Migration Wizard" clique em "Finish" e aguarde o processo de migração.
Obs.: Durante a migração, os usuários tem a opção “User must change password at next logon” habilitada, caso não queira forçar a mudança de senha no próximo logon destes usuários, basta desmarcar esta opção em cada usuário após a migração.
Para simplificar esta atividade, podemos utilizar o dsquery com o dsmod: “dsquery user ou=Usuários, ,dc=jsathler,dc=spaces,dc=live,dc=com | dsmod user -mustchpwd no”.
Migrando estações:
· Abra o mmc “Active Directory Migration Tool”, e no menu Action, selecione a opção "Computer Migration Wizard";
· Na tela "Welcome to the Computer Migration Wizard" clique em "Next";
· Na tela "Domain Selection", informe o dominio/dc de origem e o dominio/dc de destino e clique em "Next";
· Na tela "Computer Selection Option", selecione a opção desejada e clique em "Next". Caso não queira utilizar um arquivo com a lista dos objetos a serem migrados, selecione "Selected computers from domain", caso tenha um arquivo com a lista de computadores a serem migrados, selecione a opção "Read objects from an include file";
o Caso tenha selecionado a opção "Selected computers from domain”, na tela "Computer Selection", clique em "Add" e informe o computador a ser migrado, em seguida clique em "Next";
o Caso contrário, na tela “Include File Selection”, no campo “Include File” informe o nome do arquivo que contem a lista dos grupos que serão migrados e no campo “Source OU” informe a OU de origem. Este parametro só é necessário caso o SourceName no arquivo de respostas não esteja utilizando o SAMID do computador;
· Na tela "Organizational Unit Selection" informe a OU destino e clique em "Next";
· Na tela "Translate Objects " selecione as opções “Files and folders”, "Local Groups", “Shares” e “User profiles”, em seguida clique em "Next";
· Na tela “Security Translation Options” selecione a opção “Replace” e clique em “Next”;
o Caso queira simplificar o fallback, escolha a opção “Add”;
· Na tela “Computer Options” informe 1 e clique em “Next”;
· Na tela "Object Property Exclusion" clique em "Next";
· Na tela "Conflict Management" selecione a opção "Do not migrate source object if a conflict is detected in the target domain" e clique em "Next";
· Na tela "Completing the User Group Migration Wizard" clique em "Finish" e aguarde o processo de migração;
· Na tela “Active Directory Migration Tool Agent Dialog”, selecione a opção “Run pre-check and agent operation” e clique em “Start”, aguarde ate que a coluna “Post-check” apresente a informação “Passed”;
Para maiores detalhes da migração, basta consultar os logs disponiveis nos botões “View Migration log” e “Agent detail/View Log”.
Ajustando a segurança em servidores:
É possivel fazer a tradução de segurança durante a migração de computadores, porem em caso de coexistencia torna-se necessário tornar um servidor (um servidor de arquivos por exemplo) acessivel para os usuários de ambos os dominios. Neste caso podemos usar a opção “Security Translation” do ADMT.
Contas conhecidas (domain admins, domain users, etc) não são migradas pelo ADMT, portanto é possivel ocorrer a perda de acesso a recursos caso esteja utilizando estes grupos. Para realizar a tradução de segurança destes grupos, basta selecionar a opção “Other objects specified in a file” na tela “Security Translation Options”. A sintaxe deste arquivo é:
Formato do arquivo SIDMapping:
SIDObjetoOrigem,Dominio\GrupoDestino
Exemplo:
S-1-5-siddomain-xxx,jsathler\Grupo
· Abra o mmc “Active Directory Migration Tool”, e no menu Action, selecione a opção "Security Translation Wizard";
· Na tela "Welcome to the Security Translation Wizard" clique em "Next";
· Na tela “Security Translation Options”, selectione “Previously migrated objects” e clique em “Next”;
· Na tela "Domain Selection", informe o dominio/dc de origem e o dominio/dc de destino e clique em "Next";
· Na tela "Computer Selection Option", selecione a opção desejada e clique em "Next". Caso não queira utilizar um arquivo com a lista dos objetos a serem migrados, selecione "Selected computers from domain", caso tenha um arquivo com a lista de computadores a serem migrados, selecione a opção "Read objects from an include file";
o Caso tenha selecionado a opção "Selected computers from domain”, na tela "Computer Selection", clique em "Add" e informe o computador a ser migrado, em seguida clique em "Next";
o Caso contrário, na tela “Include File Selection”, no campo “Include File” informe o nome do arquivo que contem a lista dos grupos que serão migrados e no campo “Source OU” informe a OU de origem. Este parametro só é necessário caso o SourceName no arquivo de respostas não esteja utilizando o SAMID do computador;
· Na tela "Translate Objects " selecione as opções “Files and folders”, "Local Groups", “Shares” e “User profiles”, em seguida clique em "Next";
· Na tela “Security Translation Options” selecione a opção “Add” e clique em “Next”;
· Na tela "Completing the Security Translation Wizard" clique em "Finish" e aguarde o processo de migração;
· Na tela “Active Directory Migration Tool Agent Dialog”, selecione a opção “Run pre-check and agent operation” e clique em “Start”, aguarde ate que a coluna “Post-check” apresente a informação “Successful”;
Para maiores detalhes da migração, basta consultar os logs disponiveis nos botões “View Migration log” e “Agent detail/View Log”.
Validando a migração
O processo de validação da migração é relativamente simples e consiste em efetuar logon nas estações migradas, validar se os compartilhamentos são acessiveis e se os perfis foram devidamente migrados.
Não esqueça de criar um plano de testes para cada “perfil de usuário” que sua empresa possua, alem de testar exaustivamente em laboratório os procedimentos aqui descritos, pois eles podem variar de acordo com a necessidade de seu projeto.
O plano de retorno (ou fallback) é tão importante quanto o plano de migração, pois em caso de problemas ele quem permitira retornar a situação anterior.
Em tempo.. NÃO ESQUEÇA DE FAZER BACKUP ANTES DE INICIAR A MIGRAÇÃO.
Por fim após migrar os objetos e desativar os DC’s do “antigo” dominio, faça uma limpeza do atributo sIDHistory (KB295758).
Bom é isso ai pessoal, ate a próxima.
Juliano Sathler com mais de 8 anos de experiência na área de TI. Trabalha com suporte/projetos de Exchange Server e Active Directory em uma multinacional no interior de SP. Possui atualmente as certificações MCSA/MCSE +M +S em Windows 2000 e 2003, MCTS/MCITP em Exchange 2007 e MCT.
**Este artigo foi escrito por um membro da comunidade técnica, a Microsoft não oferece quaisquer garantias sobre o conteúdo aqui descrito