Практическое руководство. Миграция между лесами с помощью средства миграции Active Directory

Опубликовано: 16 Марта, 2023
Практическое руководство. Миграция между лесами с помощью средства миграции Active Directory

В предыдущей статье мы узнали, что такое средство миграции Active Directory (ADMT) и как его можно использовать для миграции внутри леса. Теперь давайте воспользуемся средством миграции Active Directory, чтобы выполнить миграцию между лесами.

Что такое межлесная миграция

Как следует из названия, миграция между лесами — это перемещение ваших объектов из существующего или старого леса в новый. Вы будете выполнять эту межлесную миграцию, когда одна компания приобретается другой и все ресурсы должны быть перемещены в новую компанию, когда вы хотите консолидировать ИТ-инфраструктуру между двумя организациями или когда вы перемещаете свою тестовую среду в рабочую среду.

Между внутрилесной и межлесной миграцией есть три ключевых различия:

Межлесная миграция

Внутрилесная миграция

Объекты, перенесенные в целевой домен, больше не существуют в исходном домене. Объекты, скопированные в целевой домен, продолжают существовать и в исходном домене.
История SID сохраняется для пользователей, объектов и компьютеров. История SID не является обязательной.
Пароли всегда копируются в целевой домен Копирование паролей не является обязательным.

Теперь, когда вы понимаете разницу, давайте перейдем к процессу миграции между лесами.

Подготовка Active Directory

Подготовьте Active Directory к процессу миграции. Это включает в себя несколько небольших, но важных шагов.

Установите ADMT в целевом домене

Установите ADMT в целевом домене. (Подробные инструкции по установке см. в части 1 этой серии.) Наряду с ADMT не забудьте также установить экземпляр SQL-сервера.

Если вы планируете использовать развертывание агента, проверьте, включен ли брандмауэр Windows. Иногда брандмауэр не разрешает миграцию, поэтому вы можете либо включить «исключение общего доступа к файлам и принтерам», либо временно отключить брандмауэр до завершения миграции.

Создание учетных записей администратора

Изображение 4399
В качестве первого шага создайте учетную запись с правами администратора как в исходном, так и в целевом доменах, и используйте эту учетную запись на протяжении всего процесса миграции. Кроме того, рекомендуется добавить эту учетную запись в «группу администраторов домена» в целевом домене и во «встроенную группу администраторов» в исходном домене.

Кроме того, создайте глобальную группу в организационном подразделении целевого домена для всех администраторов сайта, которые будут участвовать в процессе миграции. Кроме того, учетная запись, которую вы используете для миграции, также должна иметь права администратора в исходном домене.

Наряду с созданием учетных записей администратора убедитесь, что вы также назначаете роли и местоположения объектов, чтобы лучше контролировать процесс миграции.

переадресация DNS

Первое, что вы должны сделать, это помочь обоим доменам разрешить конфликт через DNS. Вы можете добиться этого с помощью тупиковых зон или серверов пересылки, хотя последние предпочтительнее, поскольку их легко настроить. Одним из недостатков переадресаторов является то, что вам нужно вручную заполнять IP-адреса, а это означает, что вам придется вернуться и изменить IP-адрес, если это необходимо в будущем.

Вот как вы можете настроить пересылку.

  • Откройте консоль DNS MMC, разверните папку «DNS» и найдите папку с названием «условные пересылки». Щелкните правой кнопкой мыши эту папку и выберите «новый условный сервер пересылки».
  • На следующем экране укажите имя источника DNS в поле «Домен DNS». Перейдите вниз к таблице и щелкните там, где написано «Нажмите здесь, чтобы добавить». Введите IP-адрес серверов домена назначения. Если у вас несколько доменов, лучше всего хранить условную пересылку в AD и реплицировать ее по мере необходимости.

Обратите внимание, что приведенные выше шаги относятся к серверу Windows 2008. Если вы используете другие версии, интерфейс может отличаться, но основной процесс остается прежним.

Доверие к домену

Настройка доверия домена важна, так как она помогает управлять доверием между двумя лесами, повышать функциональный уровень домена и добавлять суффиксы имени участника-пользователя.

Чтобы настроить доверие домена,

  • Откройте «домены и доверительные отношения Active Directory» и перейдите к «target.local». Щелкните правой кнопкой мыши и выберите «Свойства».
  • Перейдите на вкладку «Доверия» и нажмите кнопку «Новое доверие».
  • В диалоговом окне введите домен DNS вашего источника и выберите тип доверия «внешний», если вы хотите, чтобы доверие было постоянным, и «лес», если вы хотите иметь только транзитивное доверие между двумя доменами..
  • Выберите вариант «двусторонний» для направления доверия и «оба домена» для сторон доверия.
  • В следующем диалоговом окне введите имя пользователя и пароль доменного имени DNS, которое вы указали ранее. Эти учетные данные должны иметь права администратора в указанном домене.
  • Затем выберите «проверку подлинности в масштабе леса» на уровне исходящей проверки подлинности доверия как для локального, так и для целевого леса.
  • Наконец, проверьте свой выбор, подтвердите его и нажмите «Готово».

При этом клиенты из обоих доменов должны иметь возможность разрешать свои полные доменные имена.

Чтобы проверить, установлено ли доверие между двумя доменами, перейдите в ADDT, щелкните правой кнопкой мыши и выберите свойства, перейдите на вкладку доверия и посмотрите, указано ли имя целевого контроллера домена.

В некоторых версиях вам также необходимо подтвердить это доверие. Для этого:

  • Щелкните правой кнопкой мыши ADDT, выберите свойства и перейдите на вкладку «Общие».
  • Нажмите кнопку «Подтвердить», и это должно открыть диалоговое окно.
  • Выберите «да, подтвердить входящее доверие» и нажмите «ОК».

При этом доверие подтверждается.

Сервер экспорта паролей

Сервер экспорта паролей, или сокращенно PES, необходим для переноса паролей между различными средами Active Directory. Перед загрузкой PES создайте ключ шифрования для этого сервера. Вы можете создать его с помощью этой команды в PowerShell.

admt key/option:create /sourcedomain: <DNS or NetBIOS name of source domain> /keyfile: <the path where you want to store the encrypted key file> /keypassword: {< password >}

Затем загрузите PES с веб-сайта Microsoft и выполните следующие действия, чтобы установить его.

  • Дважды щелкните файл en-US_pwdmig.msi. Это должно открыть мастер настройки DLL переноса паролей ADMT. Нажмите "Далее."
  • Примите условия лицензии.
  • Далее вы получите приглашение для файла ключа шифрования. Просмотрите и загрузите его.
  • Введите пароль, который вы использовали при создании ключа.
  • Нажмите «установить». Этот процесс может занять несколько минут.

После завершения установки сервер PES запустится. Средство миграции Active Directory позволяет запускать PES под учетной записью локальной системы или учетной записью, прошедшей проверку подлинности, в целевом домене. Рекомендуется запускать PES под аутентифицированной учетной записью.

Наконец, перезапустите PES и контроллер домена.

Помните, что вы должны запускать PES только во время переноса учетной записи пользователя. После завершения миграции остановите эту службу.

Процесс миграции

Теперь, когда все это готово, вы можете начать миграцию объектов из исходного домена в целевой с помощью средства миграции Active Directory. Этот процесс точно такой же, как при миграции внутри леса. Используйте мастера инструмента ADMT для переноса различных объектов, таких как пользователи, учетные записи и компьютеры. Кроме того, вы также можете использовать командную строку для миграции между лесами.

после миграции

Есть пара вещей, которые вам нужно сделать после миграции.

Переведите безопасность на рядовые серверы

После переноса объектов убедитесь, что вы предоставили соответствующие разрешения для каждого объекта. Например, если вы используете историю идентификаторов безопасности (SID) для предоставления доступа к различным ресурсам, используйте мастер преобразования безопасности, чтобы заменить SID исходного домена идентификаторами SID целевого домена.

Вот как работает мастер.

  • Откройте мастер перевода безопасности.
  • Выберите исходный и целевой домены.
  • На следующем экране выберите компьютеры или даже добавьте компьютеры, для которых вы хотите перевести безопасность, и нажмите «Далее».
  • Снимите флажок «Профили пользователей» и выберите все остальные параметры.
  • На следующем экране нажмите «Заменить».

Проверьте свой выбор и нажмите «Готово». В журнале «просмотр миграции» вы можете проверить, прошла ли миграция успешно.

Вывести из эксплуатации исходный домен

Когда вы закончите миграцию объектов, выведите исходный домен из эксплуатации. Для этого:

  • Удалите все доверительные отношения между источником и доменом.
  • Перепрофилируйте контроллеры домена, которые вы не перенесли из исходного домена.
  • Отключите все учетные записи, которые вы мигрировали в процессе миграции, включая те, для которых вы назначили административные привилегии.

Перед выводом из эксплуатации сделайте полную резервную копию исходного домена, чтобы в любой момент можно было снова подключить его к сети.

Эти шаги должны помочь вам перенести объекты из исходного домена в целевой с помощью средства миграции Active Directory. Пожалуйста, поделитесь любыми ошибками, проблемами и решениями, с которыми вы столкнетесь в процессе, чтобы это могло принести пользу всему сообществу.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023