Active Directory Migration Toolkit İle Kullanıcı ve Bilgisayar Taşıma – Kullanım
Active Directory Migrartion Toolkit İle Kullanıcı ve Bilgisayar Taşıma – Giriş başlıklı makalemizde iki forest arasında kullanıcı, grup ya da bilgisayarların nasıl taşınabileceği ve bu işlem için yapılması gereken ön hazırlıklara değinmiştik. Bu makalemde ise sizlere Active Directory Migration Toolkit ile kullanıcı, grup ve bilgisayar hesaplarının nasıl taşınacağını anlatmaya çalışacağım.
Active Directory Migration Toolkit konsolunda Active Directory Migration Tool ifadesine sağ tıkladığımızda aşağıda ki gibi yapılabilecek migraiton işlemleri listelenecektir.
Menüde bulunan seçeneklerdenkısaca bahsetmek gerekirse,
- User Account Migration Wizard: Kullanıcıların taşınması için kullanabileceğimiz seçenektir.
- Group Account Migration Wizard: Grupların taşınması için kullanabileceğimiz seçenektir.
- Computer Migration Wizard: Bilgisayarların taşınması için kullanabileceğimiz seçenektir.
- Security Translation Wizard: Kullanıcıların taşınmasından önce SID bilgilerinin hedef etki alanıda ki ACLs (Access Control Lists) lere eklenmesi için kullanılabilecek seçenektir.
- Reporting Wizard: İleride yapılabilecek bir migration işlem öncesinde kontrol yapılıp eksikliklerin görülebilmesi için kullanılabilecek seçenektir.
- Service Account Migration Wizard: Eğer sistemimizde kullandığımız servis hesapları var ise bu seçenek ile bu hesapları da taşıyabiliriz.
- Password Migration Wizard: Sadece kullanıcıların parolalarının taşınması için kullanılabilecek bir seçenektir.
Kullanıcıların Taşınması
Lab.com etki alanından cozumpark.com etki alanına taşıma işlemine başlamadan önce ortamda bulunan sunucuları belirtmekte fayda var,
- LABDC: lab.com domainine hizmet veren domain controller
- LABFS: lab.com domainine paylaşımlar vasıtasıyla hizmet veren dosya sunucusu
- LABCL1: lab.com domainine dahil olan ve kullanıcıların oturum açtıkları Windows 7 yüklü client
- CPDC: cozumpark.com domainine hizmet veren domain controller
Kullanıcı hesaplarının taşınması için “User Account Migration Wizard” seçeneğine tıklayarak devam edelim. Karşımıza User Account Migration Wizard karşılama ekranı gelecektir. Next diyerek ilerlediğimizde karşımıza Domain Selection bölümü gelecektir. Bu bölümde Source (Kaynak) ve Target (Hedef) bölümlerinde bulunan Domain adlarına etki alanlarıın isimlerini yazdığımızda Domain Controller bölümüne “any domain controller” seçeneği gelecektir. Burada dilenirse ilgili etki alanlarında kullanılmak istenen domain controller lar seçilebilir.
Next diyerek ilerlediğimizde karşımıza taşınacak kullanıcı bilgilerini etki alanından mı yoksa bir dosyadan mı okunarak mı alınacağını belirleyeceğimiz ekran gelecektir. Burada “Select users from domain” seçeneğini seçerek devam edelim.
Next diyerek ilerlediğimizde karşımıza taşınacak kullanıcıları seçeneğimiz “User Selection” ekranı gelecektir. Burada Add diyerek kaynak etki alanından taşımak istediğimiz kullanıcıları belirleyerek bu bölüme ekleyebiliriz.
Kullanıcılarımızı ekleyip Next diyerek ilerlediğimizde karşımıza kullanıcıları hedef etki alanı üzerinde hangi Organizational Unit (OU) içerisine taşınacağının belirleneceği ekran gelecektir. Burada belirlenen OU nun hedef domain ortamında ki OU ile aynı yapıda olmasına özen gösterilmelidir.
İlgili OU yu belirleyip Next diyerek ilerlediğimizde karşımıza Password Options ekranı gelecektir. Burada taşınacak kullanıcılar için yeniden parola oluşturulup oluşturulmayacağı ya da kullanıcıların parolaları ile birlikte taşınacağı gibi seçenekler arasından seçim yapmamız gerekmekte. Son kullanıcıların taşıma sonrasında çalışma alışkanlıklarını değiştirmemek ve taşınma sonrası iş yükü artacak olan IT birimlerini de rahatlatmak amacıyla “Migrate Passwords” seçeneğini seçerek devam etmek faydalı olacaktır.
Bu ekranda Next diyerek devam ettiğimizde aşağıda ki hatalardan birisi ile karşılaşma olasılığımız oldukça yüksektir.
Yukarıda ki hatanın sebebi hedef etki alanınında ki yetkili bir kullanıcının (Örneğin Administrator) kaynak etki alanında herhangi bir yetkisi olmamasıdır. Bu hatayı düzelt için lab.com etki alanında Administrators grubuna cozumpark.com etki alanının Administrator kullanıcısını eklememiz yeterli olacaktır.
Bu işlemin ardından Password Options bölümünde yeniden Next diyerek ilerlemeye çalışır isek aşağıda ki hata ile karşılaşabiliriz.
Bu hatanın iki sebebi olabilir. Birincisi kullanıcı parolalarını taşıyabilmek için gerekli olan ADMT Password Migration DLL uygulamasının yüklü olmaması ya da kaynak domain controller üzerinde “Password Export Server Service” hizmetinin çalışmıyor durumda olmasıdır. Son olasılık için kaynak domain controller üzerinde services konsolunu açarak ilgili servisi başlatmak yeterli olacaktır. Ancak ilk durumun giderilmesi için bir miktar çalışma yapılması gerekmektedir. Öncelikle hedef domain controller üzerinde bir anahtar dosyası oluşturmalıyız. Bunun için aşağıda ki komutu hedef etki alanının domain controller (cozumpark.com) sunucusu üzerinde çalıştırmamız yeterli olacaktır.
amdt key /OPT:CREATE /SD:”lab.com” /KF:c:\
Yukarıda ki komutu çalıştırdığımızda cozumpark.com sunucusu üzerinde çalıştırdığımızda C sürücüsünde .pes şeklinde bir dosya oluşturacaktır. Bu dosyayı kaynak etki alanının (lab.com) domain controller sunucusunun C sürücüsüne taşıyalım.
Taşıma işleminin ardından lab.com etki alanının domain controller sunucusu üzerinde oturum açalım ve http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1838 adresinden indireceğimiz Password Export Server uygulamasını kuralım. Kurulumu başlatıp karşılama ekranını geçtiğimizde bizden az önce oluşturmuş olduğumuz Encryption Key olan .pes dosyası istenecektir.
Next diyerek ilerlediğimizde kuruluma başlamak için hazır olunduğunu belirten ekran gelecektir. Burayıda next diyerek geçtiğimizde kurulum başlayacaktır. Kurulumun tamamlanması ve “Password Export Server Service” servisinin eklenmesinin ardından bu servisin hangi hesap ile çalıştırılacağını belirmemiz istenecektir. Burada Local System account seçeneğini seçili bırakarak kurulum işlemini tamamlayabiliriz. Sisteme bir dll eklediğimiz için yeniden başlatılması gerekmektedir.
NOT: Sistem yeniden başlatıldığında kullanıcı taşıma işlemine devam etmeden önce “Password Export Server Service” servisinin çalışıp çalışmadığı kontrol edilmeli ve çalışmıyor ise çalıştırılmalıdır.
Taşıma işlemine geri döndüğümüzde artık next diyerek ilerlediğimizde Password Options bölümünde herhangi bir hata ile karşılaşmadan geçebiliriz. İlerlediğimizde karşımıza Account Transition Options bölümü gelecektir. Bu bölümde kullanıcılarımızı taşırken bize sunulan bazı özelliklerden faydalanabiliriz. Bunlar içerisinde en önemlisi “Migrate user SIDs to target domain” seçeneğidir. Bu seçeneği işaretlediğimizde kullanıcı için taşındığı etki alanında yeni bir SID oluşturulurken eski etki alanında ki SID değeri de beraberinde taşınmaktadır.
Next diyerek ilerlediğimizde kullanıcı SID bilgisi de taşınacağı için hem kaynak hem de hedef domain controller lar üzerinde Auditing özelliğinin açılması gerektiğini belirten uyarılar ile karşılaşılacaktır. Bu uyarıları Yes ile onaylayarak yapılan transfer işleminin kayıt altında tutulması sağlanmış olur. Eğer burada No seçeneği seçilir ise SID migration işlemi iptal edilecektir.
Next diyerek ilerlediğimizde ise karşımıza taşıma işlemi sırasında kaynak etki alanında yetkili bir kullanıcı bilgileri istenen ekran gelecektir. Burada kaynak etki alanı üzerinde yetkili olan (Örneğin Administrator) kullanıcının bilgilerini girilmelidir.
Next diyerek ilerlediğimizde karşımıza kullanıcıların üye olduğu grupları, profilleri ve güvenlik ayarlarını da aktarabilmemize olanak tanıyan User Options ekranı gelecektir. Burada kullanıcıların bağlı olduğu grupları da içermesi için “Migrate associated user groups” seçeneğinide işaretlenebilir.
Yukarıda ki ekranda gerekli seçimler yapılıp next diyerek ilerlendiğinde eğer aktarılacak nesnenin özniteliklerinden bazıları aktarılmak istenmiyor ise bunların seçiminin yapılabileceği ekran gelecektir.
Burada herhangi bir değişiklik yapmadan Next diyerek ilerlendiğinde bir çakışma durumunda nasıl davranılması gerektiğinin belirlendiği ekran gelecektir. Burada herhangi bir düzenleme yapmadan “Do not migrate source object if a conflict is detected in the target domain” seçeneği seçili olarak bırakılması uygun olacaktır. Bu bölümde Next tıklanarak geçildiğinde özet ekranı gelecektir. Burada Finish tıklanarak işlem başlatılır. Ekrana gelen Migration Progress penceresinden işleyiş izlenebilir ve tamamlanmasının ardından işlem gören kullanıcı sayısı varsa hata ve işlem sırasında oluşturulan log dosyası görüntülenebilir.
Böylece lab.com ortamında bulunan kullanıcılar ve bu kullanıcıların üye olduğu gruplar cozumpark.com etki alanına aktarılmış oldu.
Eğer kullanıcıların SID History bilgilerinin gelip gelmediğini kontrol etmek gerekir ise ldap uygulaması ile bu bilgiye erişebiliriz. Ldap uygulaması Start–> Search bölümünde ldp yazıp çalıştırıldığında açılacaktır. Burada Connection–> Connect yolunu izleyerek açılan bağlantı penceresinde Server bölümüne cozumpark.com etki alanının domain controller adını ya da ip sini yazıp bağlantı gerçekleştirilebilir. Bağlantının gerçekleştirilmesinin ardından View–> Tree seçeneği ile BaseDN bölümünde DC=cozumpark,DC=com seçeneğini açılır kutudan seçerek Ok diyelim. Bu işlemin ardından sol tarafta görülen ifade açıldığında No children şeklinde bir bilgi yazacaktır. Burada yapıyı görmek için Connectionà Bind seçeneğine tıklandığında açılan pencerede eğer kullanıcı Active Directory üzerinde yetkili ise “Bind as currently logged user” seçeneği ile oturumu açmış olan kullanıcı hesabının bağlantı için kullanılması sağlanıp Ok tıklanarak sol tarafa ağaç yapısının geldiği görülür. Burada ilgili kullanıcı seçildiğinde sağ tarafta kullanıcıya ait SID ve SID History bilgileri görüntülenebilir.
Bilgisayar ve Sunucuların Taşınması
Kullanıcıların taşınmasının ardından kullandıkları bilgisayarların ve lab.com etki alanında bulunan sunucuların taşınması işlemine geçilebilir. Bu amaçla Active Directory Migration Tool konsolunda Computer Migration Wizard seçeneği tıklanarak devam edildiğinde Computer Migration Wizard sihirbazının karşılama ekranı gelecektir. Bu ekranı Next ile geçildiğinde Domain Selection ekranı gelecektir. Burada Source (Kaynak) ve Target (Hedef) etki alanları yazıldığında etki alanlarıda seçilebilir duruma gelecektir.
Next diyerek ilerlendiğinde taşınacak bilgisayar ve sunucuların nereden seçileceğinin belirlendiği Computer Selection Option ekranı gelecektir. Burada varsayılan olarak “Select Computers from Domain” seçeneği seçili durumda gelecektir.
Next diyerek ilerlendiğinde taşınacak bilgisayar ve sunucuların seçiminin yapılacağı Computer Selection ekranı gelecektir. Burada Add diyerek kaynak etki alanından (lab.com) taşınması istenen bilgisayar ve sunucular seçilerek listeye eklenebilir.
Next diyerek ilerlendiğinde taşınacak bilgisayar ve sunucuların hedef etki alanında (cozumpark.com) hangi ou nun altına aktarılacağının seçiminin yapılacağı Organizational Unit Selection ekranı gelecektir.
Next diyerek ilerlendiğinde taşınacak nesneler taşındığında ACL (access control list) bilgilerinin tekrar yazılması istenen bileşenler (paylaşımlar, kullanıcı hakları, kullanıcı profilleri, yerel gruplar vb.) seçilebilir.
Next diyerek ilerlendiğinde taşınacak bilgisayar ve sunucuların taşınması sırasında güvenlik bilgilerinin nasıl aktarılacağının belirlendiği ekran gelecektir. Burada üç seçenek bulunmaktadır.
- Replace: Bu seçenek ile bilgisayar hesaplarının kaynak etki alanında sahip olduğu SID bilgileri taşındığı hedef etki alanında ki SID bilgileri ile değiştirilir.
- Add: Bu seçenek ile bilgisayar hesaplarının kaynak etki alanında sahip olduğu SID bilgileri taşındığı hedef etki alanında ki SID bilgilerine eklenir.
- Remove: Bu seçenek ile bilgisayar hesaplarının sahip olduğu SID bilgileri tamamen silinir.
Next diyerek ilerlendiğinde taşınma işlemlerinin tamamlanmasının ardından kaç dakika içerisinde sistemin yeniden başlatılacağının belirleneceği ekran gelecektir. Varsayılan olarak burada 5 dakika yazılı olarak gelecektir.
Next diyerek ilerlendiğinde taşınacak bilgisayarların özniteliklerinden taşınması istenmeyenler var ise belirlenebileceği Object Property Exclusion ekranı gelecektir. Bu ekran kullanıcı taşınması sırasında karşılaşılan ekran ile aynıdır.
Next diyerek ilerlendiğinde taşınma sırasında bir çakışma ile karşılaşılacağında nasıl davranılacağının belirleneceği Confilict Management ekranı gelecektir. Bu ekran kullanıcı taşınması sırasında karşılaşılan ekran ile aynıdır.
Next diyerek ilerlendiğinde yapılacak işlemlerin özetinin gösterileceği ekran gelecektir. Burada Finish diyerek taşıma işlemini başlatabiliriz.
İşlemin tamamlanmasının ardından gelecek olan “Migration Process” ekranında işlemin başarılı bir şekilde tamamlanıp tamamlanmadığını ya da varsa hatalar görülebilir. Bu pencere Ok tıklanarak kapandığında “Active Directory Migration Tool Agent” ekranı görüntülenecektir. Burada taşıma işleminin tamamlanabilmesi için kullanılacak olan agent ın yüklenmesi ve taşıma işleminin gerçekleştirilmesi yapılacaktır.
Burada dilenirse adım adım gidilip öncelikle sistemlerin hazır olup olmadığı “Run pre-check” seçili durumda iken Start tıklanarak gerçekleştirilebilir. Ya da dilenirse “Run pre-check and agent operation” seçeneği seçilip Start tıklanarak her iki işleminde birbiri ardına yapılması sağlanabilir.
NOT: Eğer pre-check sırasında failed hatası ile karşılaşılıyor ise taşınacak sistemlerde hedef etki alanında yetkili olan bir kullanıcının (örneğin Administrator) local admin olarak ekli olup olmadığı kontrol edilmelidir.
NOT: Test sırasında sunucu tarafında ki firewall açık olduğu halde bir problem yaşanmazken client tarafında firewall un açık olması failed hatasına neden oldu. Dilenirse firewall kapatılarak işlemin devam etmesi sağlanabilir.
Gerekli kontrolleri yaptırıp işleme başlandığında Agent Operation bölümü Running durumunda görüntülenecektir. Sistemlerin taşıma işlemi tamamlandığında ise aşağıda ki ekran görüntüsü elde edilecektir.
Bu işlemin tamamlanmasının ardından örneğin LABCL1 isimli client ın özelliklerine baktığımızda artık etki alanının değiştiği ve FQDN adının labcl1.cozumpark.com olduğunu görebiliriz.
Sistemler otomatik olarak yeniden başlatıldıklarında daha önceden taşınmış olan kullanıcılar sistemlere yeni etki alanını kullanarak oturum açabileceklerdir. Oturum açtıklarında yüklenecek profil ise eski etki alanlarında kullandıkları profil olacaktır.
LABFS isimli dosya sunucusu üzerinde ki paylaşımların yetkilendirmeleri kontrol edildiğinde her iki etki alanı içinde bulunan kullanıcı bilgilerinin bulunduğu görülebilir.
İki makalelik serinin son bölümünde sizlere Active Directory Migration Toolkit ile kullanıcı, grup ve bilgisayar hesaplarının nasıl taşınacağını anlatmaya çalıştım.
Faydalı olması dileğimle…
M. Hakan CAN