(0) exportieren Drucken
Alle erweitern
Erweitern Minimieren

Wissenswertes über das Active Directory-Migrationsprogramm für Exchange-Administratoren

 

Letztes Änderungsdatum des Themas: 2007-12-28

Veröffentlicht: 03. August 2004

Von Nino Bilic

Möglicherweise fragen Sie sich, warum Exchange-Administratoren das Active Directory-Migrationsprogramm (ADMT) kennen sollten, schließlich handelt es sich nicht um ein Exchange-Tool, sondern um ein Tool des Active Directory-Verzeichnisdiensts.

Meiner Erfahrung nach ist die Kontenmigration ein Thema, bei dem viele unserer Kunden Probleme haben, wenn sie eine Migration von Microsoft Exchange Server 5.5 zu Exchange 2000 Server und Exchange Server 2003 ausführen. Version 2 von ADMT, die mit Microsoft Windows Server 2003 veröffentlicht wurde, weist einige äußerst nützliche Exchange-bezogene Funktionen auf, mit denen dieser Vorgang vereinfacht werden kann.

Viele Kunden verwenden anstelle von ADMT die Produkte anderer Anbieter als Microsoft. Dies stellt auch kein Problem dar, solange Sie genau wissen, was Sie tun. Ich trete in der Regel erst dann auf den Plan, wenn schon alles schief gegangen ist, und diesen Artikel habe ich verfasst, damit erst gar keine Fehler gemacht werden.

Ich habe eine Übersicht über die Windows NT-Kontenmigration mit ADMT beigefügt und die Funktion dieses Programms bei einer Exchange-Migration beschrieben.

Version 1 von ADMT wurde mit Microsoft Windows 2000 Server veröffentlicht. Wie bereits erwähnt, wurde Version 2 von ADMT mit Windows Server 2003 veröffentlicht. Sie finden das Programm auf der Windows Server 2003-CD.

Mithilfe von ADMT können Sie Benutzer, Computer und Gruppen von einer Domäne zu einer anderen migrieren. Am häufigsten wird eine solche Migration von einer Windows NT 4.0-Domäne zu einer Active Directory-Domäne ausgeführt.

Eine der wesentlichen Verbesserungen in der neuen Version von ADMT besteht darin, dass damit die Kennwörter von Benutzern migriert werden können. Dadurch kann die Migration mit weniger Unterbrechungen für die Benutzer ausgeführt werden, da es nicht unbedingt erforderlich ist, dass sie neue Kennwörter erstellen, wenn ihre Konten migriert werden. Sie können einfach ihre alten Windows NT 4.0-Kennwörter weiter verwenden. Allerdings besteht die Möglichkeit, dass die alten Windows NT 4.0-Kennwörter aufgrund ihrer Länge und Komplexität gegen die Richtlinienanforderungen des Active Directory-Verzeichnisdiensts verstoßen, d. h., Sie müssen ggf. die Benutzer auffordern, ihre Kennwörter zu ändern, wenn ihre Konten verschoben werden.

  1. Führen Sie Setup für das Active Directory-Migrationsprogramm von der Windows Server 2003-CD (unter \i386\ADMT) aus.
  2. Klicken Sie in der Systemsteuerung oder im Menü Start auf Verwaltung, und klicken Sie dann auf Active Directory-Migrationsprogramm.
  3. Wenn das Fenster geöffnet ist, klicken Sie mit der rechten Maustaste auf Active Directory-Migrationsprogramm, und klicken Sie dann auf Assistent zum Migrieren von Benutzerkonten.
    noteAnmerkung:
    Manche Optionen sind möglicherweise erst nach der erfolgreichen Migration einiger Konten verfügbar.
  4. Klicken Sie auf der ersten Seite des Assistenten zum Migrieren von Benutzerkonten auf Weiter.
  5. An dieser Stelle können Sie entweder Die Migrationseinstellungen testen und später migrieren oder Jetzt migrieren auswählen. Dies ist äußerst hilfreich, wenn Sie die Migration testen möchten, bevor Sie die Produktionsumgebung ändern (empfohlene bewährte Methode). Wählen Sie die zutreffende Option aus, und klicken Sie auf Weiter.
  6. Wählen Sie die in der Migration zu verwendenden Domänen aus. Welche Domänen verfügbar sind, hängt von der aktuellen Struktur und möglicherweise eingerichteten Vertrauensstellungen ab.
importantWichtig:
Die Zieldomäne muss im einheitlichen Modus ausgeführt werden, damit das Active Directory-Migrationsprogramm verwendet werden kann.

Wenn Sie das Active Directory-Migrationsprogramm zum ersten Mal ausführen, muss ADMT mehrere Aufgaben ausführen, damit sichergestellt ist, dass die Migration erfolgreich ist. Zu diesen Aufgaben gehören u. a. die folgenden:

  • Testen der Voraussetzungen
  • Ändern von Registrierungseinträgen auf dem Windows NT 4.0-PDC (primärer Domänencontroller)
  • Neustart des Windows NT 4.0-PDC
  • Ändern der Sicherheitsrichtlinie auf der Windows 2000 Server- oder der Windows Server 2003-Seite

Welche Aufgaben vom Active Directory-Migrationsprogramm ausgeführt werden, hängt von den ausgewählten Optionen und Domänentypen ab. Eine nähere Erläuterung aller möglichen Optionen und Domänentypen würde über den Rahmen dieses Artikels hinausgehen. Sie werden allerdings während des Vorgangs entsprechend angeleitet.

noteAnmerkung:
Halten Sie in dieser Phase die auf der CD enthaltene Infodatei bereit.

Das Windows NT-Berechtigungsmodell basiert nicht auf dem Benutzernamen, sondern auf Benutzer-Sicherheits-IDs (SIDs). Bei der Sicherheits-ID eines Benutzers handelt es sich um eine lange, eindeutige Nummer, mit der ein Benutzer eindeutig identifiziert werden kann, wenn er versucht, auf eine Ressource in der Domäne zuzugreifen. Durch ihre Verwendung können Sie das Domänenkonto eines Benutzers umbenennen, ohne erneut Benutzerberechtigungen für den neuen Kontonamen zuweisen zu müssen. Dies ist auch der Grund dafür, dass Sie nach dem Löschen eines Benutzers nicht einfach einen Benutzer mit demselben Namen neu erstellen können und damit Zugriff auf Ressourcen erhalten, für die Sie zuvor über Berechtigungen verfügten. Sie müssen die Berechtigungen für das neue Konto erneut zuweisen. Die SID des neuen Kontos stimmt nicht mit der SID des alten Kontos überein.

Der SID-Verlauf spielt häufig im Zusammenhang mit Windows- und Exchange-Migrationen eine Rolle. Das sIDHistory-Attribut wird dem Konto hinzugefügt, das migriert wird. Es wird mit der SID des ursprünglichen Anmeldekontos aufgefüllt.

Angenommen, Domäne A ist die Quelldomäne und Domäne B die Zieldomäne. Wenn das Konto mit dem SID-Verlauf migriert wird, weist das migrierte Konto in Domäne B ein Attribut auf, das die SID des ursprünglichen Kontos aus Domäne A enthält.

Es gibt mindestens zwei Gründe dafür, warum es erforderlich ist, den SID-Verlauf zu verwenden:

  • Dadurch, dass das sIDHistory-Attribut im migrierten Konto in Domäne B vorhanden ist, kann das Konto auf alle Ressourcen zugreifen, für die das ursprüngliche Konto (in Domäne A) Berechtigungen hatte. Ressourcen sind in diesem Kontext alle Elemente, für die Berechtigungen festgelegt sind (z. B. eine NTFS-Freigabe oder ein Drucker).
  • Der Active Directory Connector (ADC) für Exchange verwendet den SID-Verlauf beim Abgleichen des Exchange 5.5-Verzeichnisobjekts mit dem Active Directory-Konto.
    Beispiel: In Domäne A befindet sich ein Exchange 5.5-Server, und das primäre Windows NT-Konto des Exchange 5.5-Postfachs ist das Konto in Domäne A. Dieses Konto wird mit dem Active Directory-Migrationsprogramm und dem SID-Verlauf migriert. In Domäne B wird ein Konto erstellt, dessen sIDHistory-Attribut die SID des Kontos in Domäne A aufweist. Dann wird eine ADC-Empfängerverbindungsvereinbarung von dem Exchange 5.5-Server in Domäne A zu einem Domänencontroller in Domäne B eingerichtet. Bei der Ausführung des ADC wird das primäre Windows NT-Konto des Exchange 5.5-Postfachs überprüft und die zugehörige SID gelesen. In Active Directory wird eine Übereinstimmung gefunden, weil das migrierte Konto den SID-Verlauf aufweist. Wenn das Konto in Domäne B keinen SID-Verlauf aufweist, könnte der ADC ein neues deaktiviertes Konto erstellen und dem Namen das Zeichen -1 hinzufügen. Weitere Informationen zu diesem Problem finden Sie im Microsoft Knowledge Base-Artikel 256862, Wie an nicht richtig übereinstimmte, berücksichtigt 2000 Server in Exchange nach Active Directory Connector-Replikation.

Wenn Sie das sIDHistory-Attribut in Active Directory mit einem LDAP-Tool wie LDP.exe anzeigen, sieht das Attribut ungefähr wie folgt aus:

1> sIDHistory: S-1-5-21-1619521004-1441481110-1935294565-1315;

Wenn für das Benutzerkonto ein Attribut angezeigt wird, das wie im vorherigen Beispiel aussieht, weist es den SID-Verlauf auf. Wenn kein Attribut vorhanden ist oder angezeigt wird, dass es nicht festgelegt ist (z. B. bei der Anzeige mit dem ADSI-Editor), wurde der SID-Verlauf für dieses bestimmte Konto nicht migriert.

noteAnmerkung:
Die für das Attribut aufgeführte SID stimmt mit der SID des ursprünglichen Kontos aus der ursprünglichen Domäne (der Domäne, von der das Konto migriert wurde) überein. Das migrierte Active Directory-Konto verfügt über eine eigene eindeutige SID. Es ist wichtig, dass Sie dies verinnerlichen. Sie haben am Ende keine zwei Konten in zwei Domänen mit identischer SID. Für das Active Directory-Konto ist eine eigene SID sowie die SID des "ursprünglichen" Kontos im sIDHistory-Attribut gespeichert.

Wenn Sie Konten mit dem SID-Verlauf migrieren möchten, müssen Sie dies entsprechend auf der Seite Optionen für die Kontoaktualisierung des Active Directory-Migrationsprogramms festlegen. Aktivieren Sie hierzu das Kontrollkästchen Benutzer-SIDs zur Zieldomäne migrieren.

Jetzt, da Ihre Konten mit SID-Verlauf von Domäne A zu Domäne B migriert wurden, können Sie sich einem anderen Thema widmen. Exchange 5.5-Postfächer sind so eingerichtet, dass Windows NT-Konten in Domäne A als "primäres Windows NT-Konto" festgelegt sind und der ADC dieses Postfach basierend auf dem SID-Verlauf dem (migrierten) Active Directory-Konto zugeordnet hat.

noteAnmerkung:
Dieser Schritt ist optional. Wenn sich die Benutzer mit den neuen migrierten Active Directory-Konten anmelden und auf die Postfächer zugreifen sollen, die noch nicht von Exchange 5.5 verschoben wurden, verwenden Sie am besten den Assistenten zum Migrieren von Exchange-Verzeichnissen.

Sie müssen diesen Assistenten ausführen, wenn Sie das primäre Windows NT-Konto von Exchange 5.5 auf das neue migrierte Active Directory-Konto umstellen möchten. Die Option zum Ausführen des Assistenten zum Migrieren von Exchange-Verzeichnissen ist nach der Migration der Konten verfügbar.

Die Hauptaufgabe des Assistenten zum Migrieren von Exchange-Verzeichnissen besteht darin, das primäre Windows NT-Konto des Postfachs umzustellen und die Zugriffssteuerungslisten (ACLs) für die Exchange 5.5-Verzeichnisobjekte festzulegen, indem das Windows NT 4.0-Konto (je nach ausgewählter Option) überall dort, wo es genannt wird, durch das neue migrierte Active Directory-Konto ersetzt bzw. das neue Konto hinzugefügt und anschließend das alte Konto entfernt wird. Mithilfe dieses Assistenten können Sie die Aufgabe, das Quellkonto überall dort durch das migrierte Konto (mit denselben Berechtigungen) zu ersetzen, wo es genannt wird, für alle im Exchange 5.5-Verzeichnis gespeicherten Objekte ausführen.

  1. Klicken Sie in der Systemsteuerung oder im Menü Start auf Verwaltung, und klicken Sie dann auf Active Directory-Migrationsprogramm.
  2. Wenn das Fenster geöffnet ist, klicken Sie mit der rechten Maustaste auf Active Directory-Migrationsprogramm, und klicken Sie dann auf Assistent zum Migrieren von Benutzerkonten.
  3. Klicken Sie auf der ersten Seite des Assistenten zum Migrieren von Benutzerkonten auf Weiter.
  4. An dieser Stelle können Sie entweder Die Migrationseinstellungen testen und später migrieren oder Jetzt migrieren auswählen. Wählen Sie die zutreffende Option aus, und klicken Sie auf Weiter.
  5. Auf der Seite Optionen für die Sicherheitskonvertierung können Sie verschiedene Aufgaben auswählen, die Sie mit dem Assistenten zum Migrieren von Exchange-Verzeichnissen ausführen können:
    • Ersetzen   Wenn Sie diese Option auswählen, wird das ursprüngliche Quelldomänenkonto überall dort, wo es genannt wird, durch das Zieldomänenkonto ersetzt; dabei werden dieselben Berechtigungen verwendet.
    • Hinzufügen   Wenn Sie diese Option auswählen, bleibt das Quelldomänenkonto erhalten, und das Zieldomänenkonto wird hinzugefügt; dabei werden dieselben Berechtigungen verwendet.
    • Entfernen   Wenn Sie diese Option auswählen, wird das Quelldomänenkonto nach Ausführung der zuvor erwähnten Option Hinzufügen entfernt.
  6. Führen Sie den Assistenten bis zum Ende aus, um das Exchange 5.5-Verzeichnis zu ändern.

Da der Assistent zum Migrieren von Exchange-Verzeichnissen das primäre Windows NT-Konto für das Exchange 5.5-Postfach umstellen kann, sodass es das migrierte Konto der Zieldomäne wird, können Sie sicher sein, dass beim Ausführen des ADC die korrekte Übereinstimmung gefunden wird.

In diesem Fall ist es nicht unbedingt erforderlich, den SID-Verlauf für Konten zu migrieren. Dies wäre für Organisationen hilfreich, in denen Windows NT-Konten bereits migriert, aber nicht mit dem SID-Verlauf migriert wurden und die Migration nun abgeschlossen werden muss.

noteAnmerkung:
Es kann Situationen geben, in denen Sie in der Windows NT-Domäne mit dem Active Directory-Konto auf Ressourcen zugreifen müssen. In diesem Fall würde dann der SID-Verlauf benötigt.

Wenn Sie entscheiden, den Assistenten zum Migrieren von Exchange-Verzeichnissen zu verwenden und den SID-Verlauf nicht zu migrieren, sieht der Migrationspfad wie folgt aus:

  1. Migrieren Sie die Konten mit dem Active Directory-Migrationsprogramm, aber ohne den SID-Verlauf.
  2. Führen Sie den Assistenten zum Migrieren von Exchange-Verzeichnissen aus, und ersetzen Sie (im Exchange 5.5-Verzeichnis) Sicherheitsverweise des Quelldomänenkontos durch die entsprechenden Verweise des (migrierten) Zieldomänenkontos. Dies bedeutet u. a., dass das primäre Windows NT-Konto der Exchange 5.5-Postfächer das neue migrierte Konto in der Active Directory-Domäne ist.
  3. Führen Sie den ADC aus. Da das neue migrierte Active Directory-Konto nun das primäre Windows NT-Konto des Postfachs ist, müsste der ADC die Übereinstimmung finden, und es sollten keine doppelten Objekte erstellt werden.
noteAnmerkung:
Doppelte Konten werden ggf. nach wie vor erstellt, wenn einem Windows NT-Konto auf der Exchange 5.5-Seite mehrere Postfächer zugeordnet sind. Dieses Problem kann durch Ausführung des Assistenten zum Migrieren von Exchange-Verzeichnissen nicht behoben werden. Verwenden Sie den Assistenten für die ADC-Tools, um dieses Problem zu vermeiden, wenn Sie den Exchange 2003 ADC verwenden. Informationen zum Verwenden des Exchange 2000 Server ADC finden Sie im Microsoft Knowledge Base-Artikel 274173, Dokumentation für das Dienstprogramm NTDSNoMatch.

Einige hilfreiche Informationen zum Active Directory-Migrationsprogramm finden Sie hier:

 
Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft