(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren
Dieser Artikel wurde noch nicht bewertet - Dieses Thema bewerten.

Einführung in das Active Directory-Migrationsprogramm v2 für Administratoren

 

Letztes Änderungsdatum des Themas: 2006-04-05

Von Nino Bilic

Dieser Artikel stellt eine Einführung in das Active Directory-Migrationsprogramm (Active Directory® Migration Tool, ADMT), Version 2 (v2), dar, das zusammen mit Microsoft® Windows Server™ 2003 und Windows® 2000 Server veröffentlicht wurde. Obwohl es sich bei ADMT um ein Windows-Tool handelt, kann es Ihnen bei Arbeiten im Zusammenhang mit Migrationen in Microsoft Exchange Server nützlich sein. In diesem Artikel werden Funktionen von ADMT erläutert. Weitere Informationen zu ADMT finden Sie im Abschnitt „Weitere Informationen“.

Das Active Directory-Migrationsprogramm (Active Directory Migration Tool, ADMT) ist ein Tool, das die Migration von Benutzern, Computern und Gruppen von einer Domäne zu einer anderen Domäne ermöglicht. In den meisten Szenarien, die Exchange Server beinhalten, wird ADMT für die Migration von Konten aus einer Windows NT® Server 4.0-Domäne zu einer Windows 2000 Server-Domäne verwendet. Dies ist normalerweise mit einer Migration von Exchange Server, Version 5.5, nach Exchange 2000 Server verbunden.

ADMT wurde als Version 2 (v2) als Bestandteil von Windows Server 2003 veröffentlicht. Das Tool befindet sich auf der Windows Server 2003-CD (\\.\I386\ADMT).

Eine der wichtigsten Verbesserungen in ADMT v2 besteht darin, dass Benutzerkennwörter migriert werden können. Dies macht die Migration für Benutzer erheblich reibungsärmer, verglichen mit der vorhergehenden Version von ADMT, die mit Windows 2000 Server geliefert wurde.

Nachdem das Tool eingerichtet wurde, führen Sie dessen MMC-Snap-In (Microsoft Management Console) aus, indem Sie auf Verwaltung und dann auf Active Directory-Migrationsprogramm klicken. Klicken Sie hier mit der rechten Maustaste auf Active Directory-Migrationsprogramm, und wählen Sie die Option Assistent zum Migrieren von Benutzerkonten aus.

noteAnmerkung:
Manche Optionen sind möglicherweise erst nach der erfolgreichen Migration einiger Konten verfügbar.
Active Directory-Migrationstool - Dropdownhauptliste

Klicken Sie auf dem Eröffnungsbildschirm auf Weiter.

An dieser Stelle können Sie in ADMT entweder Die Migrationseinstellungen testen und später migrieren oder Jetzt migrieren auswählen. Wählen Sie die gewünschte Option aus, und klicken Sie auf Weiter.

Jetzt können Sie die Domänen auswählen, die an der Migration beteiligt sein sollen.

Active Directory-Migrationstool - Domänenauswahl

Welche Domänen verfügbar sind, hängt von der aktuellen Gesamtstruktur und den eingerichteten Vertrauensstellungen ab. Beachten Sie, dass die Zieldomäne im einheitlichen Modus ausgeführt werden muss, um ADMT verwenden zu können.

Bei der ersten Ausführung von ADMT wird eine Reihe von Aktionen ausgeführt, um sicherzustellen, dass die Migration erfolgreich verläuft. Diese Aktionen umfassen das Testen von Voraussetzungen, das Ändern von Registrierungseinträgen auf dem primären Windows NT Server 4.0-Domänencontroller (PDC), das erneute Starten des Windows NT Server 4.0-PDCs und das Ändern der Richtlinien von Windows Server 2003 und Windows 2000 Server. Diese Aktionen unterscheiden sich je nach den Optionen und den Domänentypen Ihres Falls. Eine detaillierte Erörterung der möglichen ADMT-Optionen würde den Umfang dieses Artikels sprengen.

SID-Verlauf ist ein Ausdruck, der bei Windows-Betriebssystemmigrationen und Exchange Server-Migrationen verwendet wird. Die einfache Erläuterung des SID-Verlaufs besteht darin, dass es sich um ein Attribut eines migrierten Kontos handelt, das die Sicherheits-ID (Security Identifier, SID) des ursprünglichen Kontos enthält.

Wenn Sie z. B. über eine Domäne A als Ihre Quelldomäne und Domäne B als Ihre Zieldomäne verfügen und das Konto mit SID-Verlauf migriert wird, weist das migrierte Konto in Domäne B ein Attribut auf, das die SID des ursprünglichen Kontos aus Domäne A enthält.

In der folgenden Beschreibung werden die Gründe dargelegt, warum SID-Verlauf erforderlich ist:

  • Wenn ein migriertes Konto aus Domäne B auf Ressourcen aus der Ursprungsdomäne zugreifen soll, ermöglicht die Gegenwart des SID-Verlaufs dem Konto den Zugriff auf alle Ressourcen, für die das ursprüngliche Konto in Domäne A Zugriffsrechte besaß.
  • Der Active Directory Connector (ADC) für Exchange verwendet den SID-Verlauf beim Abgleichen des Exchange Server 5.5-Verzeichnisobjekts mit dem Active Directory-Konto. Nehmen Sie den Fall an, dass sich Exchange Server 5.5 in Domäne A befindet und das primäre Windows NT Server 4.0-Konto des Exchange Server 5.5-Postfachs das Konto in Domäne A ist. Sie migrieren dieses Konto mithilfe von ADMT und SID-Verlauf. Dies bedeutet, dass Sie ein Konto in Domäne B erstellt haben, das die SID des Kontos aus Domäne A – eingestempelt im sIDHistory-Attribut – aufweist. Sie richten einen ADC von dem Exchange Server 5.5-Server in Domäne A zu einem Domänencontroller in Domäne B ein. Bei der Ausführung des ADCs wird das primäre Windows NT Server 4.0-Konto des Exchange 5.5-Postfachs überprüft und die zugehörige SID gelesen. Dann wird in Active Directory eine Übereinstimmung gefunden, da das migrierte Konto den aufgestempelten SID-Verlauf aufweist. Wenn für das Konto in Domäne B kein SID-Verlauf vorhanden wäre, würde der ADC keine Übereinstimmung finden und das neue Konto daher im deaktivierten Zustand (-1) erstellen.

Beim Anzeigen des SIDs in einem LDAP-Tool (Lightweight Directory Access Protocol), wie etwa LDP (ldp.exe), sieht das Attribut wie folgt aus:

"1> sIDHistory: S-1-5-21-1659521004-1441491110-1935394565-1315;"

Diese SID stimmt mit der SID des ursprünglichen Kontos aus der Ursprungsdomäne, aus der das Konto migriert wurde, überein. Das migrierte Active Directory-Konto verfügt über eine eigene eindeutige SID.

Zum Migrieren von Konten mit SID-Verlauf muss die Option in ADMT festgelegt werden. Diese Auswahl wird auf dem folgenden ADMT-Bildschirm vorgenommen.

ADMT-Benutzerkonto-Migrationsoptionen

Nachdem die Konten aus Domäne A mit aktivierter SID-Verlaufsoption nach Domäne B migriert wurden, besteht noch immer die Situation, dass Postfächer von Exchange Server 5.5 für Windows NT Server 4.0-Konten aus Domäne A eingerichtet sind, die als Primäres NT-Konto festgelegt sind. Hier liegt eine Situation vor, in der das Exchange Server 5.5-Postfach dem Windows NT Server 4.0-Konto zugeordnet ist und ADCs dieses Postfach dem (migrierten) Active Directory-Konto auf der Basis des migrierten SID-Verlaufs zugeordnet haben.

Zum Umstellen des primären Exchange Server 5.5-NT-Kontos auf das neu migrierte Active Directory-Konto müssen Sie den Assistenten zum Migrieren von Exchange-Verzeichnissen ausführen. Diese Option steht erst nach dem Migrieren der Konten zur Verfügung.

Die Hauptaufgabe des Assistenten zum Migrieren von Exchange-Verzeichnissen besteht darin, das primäre Windows NT Server 4.0-Konto des Postfachs umzustellen und die Zugriffssteuerungsliste (ACL) für die Exchange Server 5.5-Verzeichnisobjekte festzulegen, indem das Windows NT Server 4.0-Konto – je nach der gewählten Option – überall dort, wo es genannt wird, durch das neue migrierte Active Directory-Konto ersetzt bzw. das neue Konto hinzugefügt und anschließend das alte Konto entfernt wird. Mithilfe dieses Assistenten können Sie die Aufgabe, das Quellkonto überall dort durch das migrierte Konto mit denselben Berechtigungen zu ersetzen, wo es genannt wird, für alle im Exchange Server 5.5-Verzeichnis gespeicherten Objekte ausführen.

Wählen Sie in ADMT unter den verfügbaren Aufgaben Assistent zum Migrieren von Exchange-Verzeichnissen aus.

ADMT-Dropdownhauptliste mit EDMW-Auswahl

Klicken Sie auf dem folgenden Bildschirm auf Weiter. Wählen Sie anschließend, ob Sie die Migrationseinstellungen lediglich testen oder die Migration tatsächlich ausführen möchten. Nachdem Sie auf Weiter geklickt haben, können Sie die Ziel- und Quelldomänen erneut auswählen. Auf dem nächsten Bildschirm können Sie wählen, was Sie mithilfe des Assistenten zum Migrieren von Exchange-Verzeichnissen erledigen möchten.

Sicherheitsoptionen des Assistenten für die Migration nach Exchange

Im Anschluss werden die Optionen des Assistenten zum Migrieren von Exchange-Verzeichnissen erläutert:

  • Ersetzen   Diese Option ersetzt das ursprüngliche Quelldomänenkonto überall dort, wo es genannt wird, durch das Zieldomänenkonto. Dabei werden dieselben Berechtigungen angewendet.
  • Hinzufügen   Bei dieser Option bleibt das Quelldomänenkonto erhalten, und das Zieldomänenkonto wird mit den gleichen Berechtigungen hinzugefügt.
  • Entfernen   Diese Option kann verwendet werden, wenn Sie das Quelldomänenkonto nach dem Ausführen der Option Hinzufügen entfernen möchten.

Schließen Sie nun den Assistenten ab, um das Exchange Server 5.5-Verzeichnis zu ändern.

Da der Assistent zum Migrieren von Exchange-Verzeichnissen das primäre Windows NT Server 4.0-Konto für das Exchange Server 5.5-Postfach umstellen kann, sodass es zum migrierten Konto der Zieldomäne wird, können Sie sicher sein, dass bei ausgeführtem ADC die korrekte Übereinstimmung gefunden wird. In dieser Situation besteht – aber ausschließlich aus dem Blickwinkel des ADCs und außer Acht lassend, dass ein Zugriff auf Ressourcen in der Windows NT Server 4.0-Domäne mit dem Active Directory-Konto erforderlich sein kann – nicht einmal die Notwendigkeit, den SID-Verlauf für Konten zu migrieren. Dies kann eine bequeme Option sein, wenn die Migration der Windows NT Server 4.0-Konten bereits erfolgt ist, der SID-Verlauf jedoch nicht migriert wurde und die Migration nun abgeschlossen werden muss.

In diesem Fall ergibt sich der folgende Migrationspfad:

  1. Migrieren von Konten mithilfe von ADMT, jedoch ohne SID-Verlauf.
  2. Führen Sie den Assistenten zum Migrieren von Exchange-Verzeichnissen aus, und ersetzen Sie die Sicherheitsverweise in der Quelldomäne durch das migrierte Konto der Zieldomäne. Dabei wird unter anderem das primäre NT-Konto von Exchange Server 5.5-Postfächern zum neuen migrierten Konto der Active Directory-Domäne.
  3. Führen Sie ADC aus, da das neue migrierte Active Directory-Konto jetzt das primäre Windows NT Server 4.0-Konto des Postfachs darstellt. ADC sollte die Übereinstimmung erkennen, und es sollten keine doppelten Objekte erstellt werden.
    noteAnmerkung:
    Doppelte Konten werden ggf. nach wie vor erstellt, wenn einem Windows NT Server 4.0-Konto auf der Exchange Server 5.5-Seite mehrere Postfächer zugeordnet sind. Das Ausführen des Assistenten zum Migrieren von Exchange-Postfächern löst dieses Problem nicht.

Weitere Informationen finden Sie unter Windows 2000 Active Directory Migration Tool (Seite in englischer Sprache).

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft. Alle Rechte vorbehalten.