Active Directory Migration Toolkit İle Kullanıcı ve Bilgisayar Taşıma – Giriş

Şirket birleşmeleri ya da etki alanı değişiklikleri gibi gelişmeler sık karşılaşılan durumlardır. Bu birleşmeler ertesinde her iki kurumun kullanıcı, grup ve bilgisayar hesaplarının da birleştirilmesi gerekmektedir. Bu işlem için Active Directory ortamında Active Directory Migration Toolkit uygulamasını kullanabiliyoruz. Bu makalemde sizlere öncelikle bu taşınma işlemleri için gerekli olan ön hazırlıklar ve Active Directory Migration Toolkit kurulumunu anlatmaya çalışacağım.

Active Directory forest yapıları arasında yapılacak taşınma işlemlerinde kullanıcıların sadece hesapları değil, SID history bilgileri, profillerin bu taşınma işlemine göre adapte edilmesi ve bilgisayarlarında bu taşınma sayesinde değişiklikleri alabilmesini sağlayabiliyoruz. Taşıma işlemi için kullanacağımız ADMT uygulamasının farklı versiyonları bulunmakta. Bu versiyonlar destekledikleri işletim sistemleri ve functional level lar ile birbirlerinden ayrılmaktadır. Taşıma işlemi Windows NT desteği ile birlikte günümüzde kullanılan Windows Server 2008 R2 işletim sistemleri üzerinde çalışan tüm domain controller için desteklenmektedir. Ancak domain yapısına göre uygun sürümü kullanmak başarılı bir taşıma işlemi için olmazsa olmazdır. Taşıma işlemini aşağıda ki iki Forest ortamı içerisinde gruplayabiliriz,

  • Interforest: Bu işlem farklı forest ortamlarında ki (örneğin iki şirketin birleşmesi nedeniyle) active directory yapılarının taşınması için kullanılmaktadır. En önemli özelliği ise taşınma sırasında hem kaynak hem de hedef active directory yapıları çalışmaya devam edebilmektedirler. Bu da bize migration sırasında karşılaşılabilecek bir sıkıntı sonrasında geri dönebilmeyi çok daha mümkün hale getirmektedir.
  • Intraforest: Bu işlem ise bir forest yapısı içerisinde ki domain leri yeniden yapılandırırken kullanılmaktadır. Ancak bu işlemin Interforest işleminden en büyük farkı taşıma sırasında kaynak active directory ortamında taşınmış olan nesnelerin artık var olmamasıdır. Bu yapıda geri dönüş için yollardan birisi taşıma işlemini tam tersi yönde çalıştırmak olabilir.

Yukarıda bahsettiğimiz iki yapının taşıma sırasında ortaya çıkacak olan farklarını aşağıda ki tabloda bulabilirsiniz.

Migration consideration Interforest restructure Intraforest restructure
Object preservation Objects are cloned rather than migrated. The original object remains in the source location to maintain access to resources for users. User and group objects are migrated and no longer exist in the source location. Computer and managed service account objects copied and the original accounts remain enabled in the source domain.
Security identifier (SID) history maintenance Maintaining SID history is optional. SID history is required for user, group, and computer accounts, but not managed service accounts.
Password retention Password retention is optional. Passwords are always retained.
Local profile migration You must use tools such as ADMT to migrate local profiles. Local profiles are migrated automatically because the user’s globally unique identifier (GUID) is preserved.
Closed sets You do not have to migrate accounts in closed sets. For more information, see Background Information for Restructuring Active Directory Domains Within a Forest (http://go.microsoft.com/fwlink/?LinkId=122123). You must migrate accounts in closed sets.

NOT: ADMT aracı grafik arabirim üzerinde çalışan sihirbazlara aracılığıyla kullanabildiği gibi komut satırından ya da script yardımıyla da kullanılabilmektedir.

Aşağıda ki tabloda ise ADMT aracının versiyonları ve bu versiyonların kullanılabileceği domain ortamları hakkında bilgi bulabilirsiniz.

ADMT version Installation platform Source domain requirements Target domain requirements Supported computer migration objects
ADMT v3.0 (http://go.microsoft.com/fwlink/?LinkID=68791) Windows Server 2003 Source domains can contain domain controllers that run Windows NT, Windows 2000 Server, or Windows Server 2003. No minimum domain functional level is required for a source domain. Minimum target domain functional level is Windows 2000 native. Migrates computers that run Windows 2000 Professional, Windows XP, Windows NT 4, Windows 2000 Server, and Windows Server 2003.
ADMT v3.1 (http://go.microsoft.com/fwlink/?LinkId=121732) Windows Server 2008 Source domains can contain domain controllers that run Windows 2000 Server, Windows Server 2003, or Windows Server 2008. No minimum domain functional level is required for a source domain, but ADMT v3.1 cannot be used to migrate objects from Windows NT 4 domains. Minimum target domain functional level is Windows 2000 native.

If target domain has domain controllers that run Windows Server 2008 R2, use ADMT v3.2.

Note

There are known issues when you use ADMT v3.1 to migrate objects to a domain that has Windows Server 2008 R2 domain controllers. For more information, see article 976659 in the Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=182290).

Migrates computers that run Windows 2000 Professional, Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003, and Windows Server 2008.
ADMT v3.2 (http://go.microsoft.com/fwlink/?LinkId=186197) Windows Server 2008 R2 Minimum source domain functional level is Windows Server 2003. Minimum target domain functional level is Windows Server 2003. Migrates computers that run Windows XP, Windows Vista, Windows 7, Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2.

NOT: ADMT aracı Read-Only Domain Controller (RODC) üzerine ya da Server Core bir sisteme kurulamaz. Aynı zamanda ADMT RODC bir sunucuyu kaynak sunucu olarak kullanamaz.

NOT: Windows Server 2008 R2 işletim sistemi tarafından çalıştırılan bir Active Directory ortamı için ADMT v3.2 kullanılmalıdır.

Bu tarz büyük yapı değişikliklerinde mutlaka yapılması gereken bazı ön çalışmalar olacaktır. Bu çalışmalar ile ilgili detayları aşağıda maddeler halinde bulabilirsiniz.

  • İşleme başlamadan önce hem kaynak hem de hedef domain controller lar üzerinde SystemState yedeklerinin mutlaka alınması gereklidir.
  • Gerçek taşıma işlemine geçmeden önce mutlaka benzer bir test ortamı üzerinde denemeler yapılmaya çalışılmalıdır.
  • Oluşabilecek bir problem sonrası geri dönüş için bir plan hazırlanmalı ve test ortamında bu plan uygulanarak test edilmelidir.
  • Taşınmadan önce kullanıcılara eğer EFS (Encrypted File System) kullanarak kriptolanan dosyaları var ise bunların mutlaka açılması gerektiği aksi takdirde taşınma sonrası bu dosyalara ulaşılamayacaklarının bilgisinin verilmesi gereklidir.
  • Her iki sistem arasında Kerberos kimlik doğrulaması sırasında sıkıntı yaşanmaması için saatlerin kontrol edilmesi ve birbirine uygunluğundan emin olunması gereklidir.
  • Taşıma işlemi sırasında nesnelerin belli partiler halinde taşınması (örneğin 100 lü gruplar halinde) ortaya çıkacak problemlerde geri dönüşü hızlandıracağı gibi problemin tespitinin de kolay yapılmasını sağlayacaktır.
  • Taşıma işlemi sırasında her iki sisteminde sürekli olarak kontrol edilmesi olası problemlerin kısa sürede fark edilerek gerekli aksiyonun alınmasına faydası olcaktır.
  • Eğer paylaşım yapan bilgisayarlar da bu işlem sırasında taşınacak ise bu bilgisayarların da yedeklenmesi faydalı olacaktır.
  • Taşınma işlemi sırasında eğer bilgisayara hesapları da taşınacak ise kullanıcılara bilgisayarların açık ve ağa bağlı olmasını sağlamaları söylenmelidir.

SID History

Kullanıcı hesaplarının taşınması sırasında en çok karşılaşılan soru “Taşıma işlemi SID History ile birlikte yapılmalı mıdır?” şeklindedir. Eğer kullanıcıların eski ortamda ki paylaşımlara ulaşmaya devam edilmesi isteniyorsa cevap evet olacaktır. Bu seçenek ile beraber kullanıcı taşıma işleminde kaynak domain controller üzerinde ki kullanıcı hesabı tutulurken hedef domain controller üzerinde aynı isimde yeni bir kullanıcı hesabı oluşturulur. Yeni oluşturulan kullanıcı hesabı, kendi yeni SID değeri ile birlikte eski ortamında ki SID değerini de beraberinde içerecektir. Bu sayede kullanıcı hesabı taşındıktan sonra da paylaşımlarına eski ortamında ki gibi bağlanabilecektir.

NOT: Taşıma işlemi sırasında kullanıcılar bilgisayarlarında oturum açamayacak ya da maillerine ulaşamayacaklardır.

Bunun yanında kaynak domain üzerinde bulunan domain controller ların da taşınması sırasında aşağıda ki yöntemin izlenmesi gerekmektedir.

  • Kaynak üzerindeki domain controller ları dcpromo ile demote yapılır.
  • Ardından sunucular hedef domain üzerine taşınır
  • Eğer ihtiyaç dahilinde ise yeni domain ortamında taşınan sunucular tekrar domain controller olarak yapılandırılır.

Taşıma işlemin başlanmadan önce aşağıda ki kontrollerin kaynak ve hedef sistemler üzerinde gerçekleştirilmesi gerekmektedir.

  • Eğer Windows Server 2008 R2 domain controller ın yönettiği hedef domain içerisinde çalışan Windows Server 2008, Windows Server 2003, Windows Vista (Sp1 yüklü değil), Windows XP ve Windows 2000 sistemler bulunuyor ise hedef domain controller ların Registry ayarlarında HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetLogon\Parameters hedefinde  aşağıda ki düzenleme yapılmalıdır.
    Registry value:
    AllowNT4Crypto
    Type:
    REG_DWORD
    Data:
    1
    Yukarıda ki Registry düzenlemesi Group Poilcy ile yapılmak istenir ise “Allow cryptography algorithms compatible with Windows NT4.0” ayarına denk gelmektedir.
  • Windows Firewall üzerinde File and Printer Sharing için izin oluşturulması gereklidir.

ADMT Kurulumu

ADMT kurulumundan önce test ortamımızda bulunan sunucu ve client lardan bahsetmek faydalı olacaktır. Buna göre ortamımızda iki farklı forest ve bunlar içerisinde lab.com ve cozumpark.com isimli iki etki alanı bulunmaktadır. Her iki etki alanının domain controller suncuları Windows Server 2008 R2 işletim sistemini çalıştırmaktadır. Ayrıca her iki forest ortamında Forest Functional Level Windows Server 2003 ve Domain Functional Level Windows Server 2003 şeklindedir. Amacımız lab.com üzerinde bulunan kullanıcı, grup ve bilgisayarları cozumpark.com üzerine taşımak şeklindedir.

ADMT kurulum sırasında SQL Server a ihtiyaç duyacaktır. Kapsamlı bir SQL Server ihtiyacı olmayacaktır. Bu nedenle ortamda SQL Express 2005 sürümünün kurulu olması yeterlidir. Kurulum sırasında SQL Server kurulumunda belirlenen instance a ihtiyaç duyulacaktır. Varsayılan olarak SQLEXPRESS şeklindedir. ADMT v3.2 kurulum dosyasını http://www.microsoft.com/download/en/details.aspx?id=8377 adresinden indirebilirsiniz. Kurulumu başlattığımızda gelen karşılama ekranını, lisans ve katılım ekranlarını next diyerek geçelim. Karşımıza SQL Server instance nın istendiği ekran gelecektir. Burada SQL Server Express kurulumu sırasında belirlemiş olduğumuz (varsayılan olarak SQL EXPRESS şeklindedir) instance değerini yazalım.

Ardından next diyerek ilerlediğimizde kurulum işlemi başlatayacaktır. Kurulumun ardından karşımıza bize daha önceden var olan bir database i import etmek isteyip istemediğimizi soran ekran gelecektir. Bu bölümü “No, do not import data from existing database (Default)” seçeneği ile ilerleyelim. Yeni database in oluşturulmasının ardından kurulumu tamamlamış olacağız.

Kurulumun tamamlanmasının ardından Active Directory Migration Tool konsolunu Startà Administrative Tools yolunu takip ederek çalıştırabiliriz. Karşımıza aşağıda ki ekran gelecektir.

Oldukça sade olan ekranda migration işlemine başlamak için Active Directory Migration Tool ifadesine sağ tıkladığımızda karşımıza migration seçenekleri gelecektir.

Bu makalemde sizlere öncelikle bu taşınma işlemleri için gerekli olan ön hazırlıklar ve Active Directory Migration Toolkit kurulumunu anlatmaya çalıştım. Bundan sonra ki makalemde ortam içerisinde taşıma işlemlerini anlatmaya çalışacağım.

Faydalı olması dileğimle…

M. Hakan CAN

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *