Dit artikel is eerder verschenen in 'Windows en Netwerken', editie mei 2000
Migreren vergemakkelijkt: Active Directory Migration Tool
Nu Windows 2000 op de markt is gebracht en de vlag van Windows NT 4.0 gaat overnemen zullen bedrijven hun bestaande omgeving willen migreren naar Windows 2000. Hoewel elke migratie zo
zijn unieke eigenschappen heeft kun je twee verschillende migratie technieken onderkennen: De upgrade techniek is de standaard methode voor een migratie van Windows NT 4.0 naar Windows 2000 maar is in sommige gevallen niet voldoende.
Hier komt het tweede scenario om de hoek kijken, het is geschikt voor organisaties die ontevreden zijn over hun domeinstructuur door bijvoorbeeld een historisch gegroeide situatie, veroorzaakt door bijvoorbeeld overnames,
fusies en interne herstructureringen.
1. Upgrade van de PDC en de BDC's totdat alle systemen over zijn op Windows 2000
2. Een gehele of gedeeltelijke herstructurering van de domeinstructuur.
Binnen dit scenario valt een aantal verschillende mogelijkheden te onderkennen om tot het einddoel te komen. Maar alle hebben ze een ding gemeen: er zullen gebruikers,groepen en andere
gegevens tussen domeinen worden gemigreerd.
Tot voor kort was hier geen effectief middel voor beschikbaar maar met het uitbrengen van de 'Active Directory Migration Tool' (ADMT) heeft Microsoft hier verandering in gebracht.
De Active Directory Migration Tool
De ADMT is een programma wat bedoelt is om een bestaande domeinstructuur te consolideren naar de gewenste Windows 2000 domeinstructuur. Van een
bestaande Windows 2000 of NT 4.0 omgeving kunnen gebruikers, groepen maar ook computers met al hun beveiligings gegevens, gemigreerd worden naar een ander domein. Hiermee kan een Single Master domein structuur bijvoorbeeld
geconsolideert worden tot een Windows 2000 domein. Wat kan men zoal migreren? De ADMT voorziet in Wizard voor het migreren van gebruikers, met al hun accountinformatie inclusief het overzetten van de profilegegevens. Dat laatste is bijzonder interessant omdat een Windows NT profile
beveiligingsgegevens bevat die aangepast moeten worden wanneer een gebruiker van domein wordt verhuist. De accountnaam blijft bij die migratie misschien gelijk maar de Security Identifier (SID) verandert waardoor de gebruiker niet
langer toegang heeft tot zijn instellingen. Tijdens de migratie van de gebruikers zijn er diverse opties beschikbaar die de migratie nog verder vergemakkelijken zoals procedures voor het automatisch creëren van paswoorden,
hernoemen van accounts, meemigreren van groepen en het eventueel uitschakelen van de bron accounts in het oude domein. Naast de gebruikersaccounts kunnen we ook apart de groepsgegevens worden gemigreerd waardoor de mogelijkheid
ontstaat om bijvoorbeeld eerst groepsgegevens te migreren en deze te gebruiken om de omgeving voor te bereiden op de nog te migreren accounts. Naast deze domein gegevens kunnen alle niet-domeincontrollers ook gemigreerd worden,
een proces wat volledig gestuurd wordt door ADMT agents die alle beveiligingsgegevens van files,shares, registry en gebruikers migreren naar het nieuwe domein.
Klinkt dit te mooi om waar te zijn? Lees dan snel verder, want er is nog meer. Met het consolideren van de diverse domeinen ontstaan er al snel doublures in de groepsnamen. Dit is geen probleem voor de ADMT die ons in staat stelt
om gebruikers van diverse groepen over te hevelen naar andere.
De enige installatie die hiervoor nodig is, is de installatie van ADMT op een DC in het doeldomein. Eventuele agents die nodig zijn voor computermigraties worden verder zelf
door de ADMT geinstalleerd. De enige configuratie die verder nog van de beheerder wordt verlangd is het aanbrengen van wederzijdse trustrelaties tussen de domeinen waartussen migratie gaat plaatsvinden.
Is dit eenmaal gebeurd
dan kan men direct aan de slag, hiervoor hoeven geen uitgebreide handleidingen te worden bestudeerd, de ADMT is voorzien van een hele verzameling Wizards die bijna al het werk uit handen nemen.
Zelfs van services die draaien kan de login informatie door een Wizard worden bijgewerkt naar de beveiligingen van het nieuwe domein. Ook eventuele trusts gaan niet
verloren, zij kunnen worden meegemigreerd naar de nieuwe omgeving.
Last but not least, is er ook voorzien in een aantal Wizards die rapportages kunnen draaien van het verrichte werk zodat er een duidelijk inzicht is in welke
activiteiten zijn afgerond en welke nog moeten worden ondernomen.
Checklist voordat u een migratie met de ADMT start.
- Zorg dat de machine waarop u de ADMT installeert voldoende krachtig is.
- Zorg dat te migreren computers voldoende ruimte hebben voor de agents.
- Zorg ervoor dat eerst alle configuratieproblemen in het oude en nieuwe domein zijn opgelost.
- Lees alle microsoft migratie documentatie nog eens goed na.
- Stel u goed op de hoogte van de beveiligingsbeginselen
- Doorgrond de beginselen van trustrelaties
- Bestudeer de beginselen van de migratie van accounts, groepen en computers
- Lees de ADMT 'best practices'
- Lees alle procedures voor domeinmigratie nog eens door.
De Active Directory Migration Tool in Actie
Natuurlijk wilt u al dit moois ook eens aanschouwen, daarom laat ik u een klein voorbeeldje zien. De migratie van een aantal accounts van een Windows NT 4.0 domein naar een Windows 2000 domein.
Starten accountmigratie
Nadat u het ADMT programma hebt gedownload en geïnstalleerd kunt u de migratie van gebruikersaccounts beginnen door de 'user migration wizard' te starten.
Altijd testen
Voordat u een daadwerkelijke migratie gaat uitvoeren, is het verstandig deze eerst 'droog' uit te testen zodat u zeker weet dat alles goed zal gaan en u niets over het hoofd heeft gezien. Een kleine fout in een groot migratietraject kan grote gevolgen hebben dus neem hier geen risico mee.
Figuur Domeinen opgeven
In de aanvang van de test moet u nu een bron en een doeldomein opgeven. Deze twee domeinen moeten een wederzijdse trust met elkaar hebben en het account waar u mee werkt moet in beide domeinen administrator privilege hebben. Het doeldomein is ten allen tijde een Windows 2000 domein waar de Active Directory in native ode operationeel is. Het brondomein kan bijvoorbeeld een voormalig resourcedomezijn wat in een consolidatietraject opgeheven wordt.
Account instellingen
Na de keuze van het bron- en doeldomein kunnen we beginnen aan het configureren van de accountmigratie, we kunnen diverse opties meegeven.. Weeg goed af wat de beste opties zijn voor uw bedrijf. De mogelijkheid bestaat om de bron of doel accounts te uit te schakelen maar soms is dit niet wensenlijk. Het is ook mogelijk beide omgevingen naast elkaar te draaien en dus beide accounts open te laten.
De migratie
Nadat we alle opties hebben ingesteld kunenn we met de proefmigratie beginnen. Tijdens deze proef kunnen we de voortgang zien waarbij ook bijgehouden wordt hoeveel fouten er ioptreden.
Controleer na de test goed de gemaakte logfile om te controleren of alles naar wens is verlopen. Mochten er fouten optreden,
controleer dan alles nogmaals en test het opnieuw. Pas als u er zeker van bent dat de testmigratie precies verloopt zoals gepland kunt u overschakelen naar de daadwerkelijke migratie. Migreer dan eerst slechts enkele gebruikers en
controleer of de migratie hierbij ook daadwerkelijk naar wens is verlopen. Pas als ook deze stap naar wens is verlopen kunt u de volledige migratie uitvoeren. Nawoord De Active Directory Migration Tool is een
onmisbaar product voor bedrijven die wijzigingen moeten plegen in hun Windows NT 4.0 of Windows 2000 domeinstructuur. Controleer echter voordat u begint elke stap die u neemt, ADMT is een krachtige tool maar kan bij onoplettend
gebruik grote schade aanrichten.
Nuttige literatuurhttp://www.microsoft.com/technet/events/fall/tnq20003.asp
http://www.microsoft.com/windows2000/library/planning/activedirectory/plandommig.asp
http://www.microsoft.com/Windows2000/library/planning/activedirectory/admt.asp
W. Verveen is verbonden aan Highway Back-office Consulting een werkmaatschappij van de Ormer
groep die gespecialiseerde ondersteuning biedt voor Windows NT/2000 en de back-office applicaties die van dit platform gebruik maken. E-mail:
Web: http://www.boc.highway.nl
