Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Lo que los administradores de Exchange deben saber sobre la herramienta de migración para Active Directory

 

Última modificación del tema: 2007-12-28

Publicación: 3 de agosto de 2004

Por Nino Bilic

Puede que se pregunte por qué los administradores de Exchange deben conocer el funcionamiento de la herramienta de migración para Active Directory (ADMT), si se trata de una herramienta de Active Directory y no de una herramienta de Exchange.

Según mi experiencia personal, la migración de cuentas es un aspecto con el que muchos de nuestros clientes tienen problemas durante las migraciones de Microsoft Exchange Server 5.5 a Exchange 2000 Server y Exchange Server 2003. La versión 2 de ADMT, que salió a la venta con Microsoft Windows Server 2003, tiene cierta funcionalidad relacionada con Exchange muy útil que simplifica el proceso.

Muchos clientes usan productos que no son de Microsoft en lugar de la ADMT. El uso de productos que no son de Microsoft no es ningún obstáculo, siempre y cuando se sepa exactamente lo que hay que hacer. Yo suelo intervenir cuando la cosa se pone fea, pero, en este caso, he escrito este artículo para ayudar a evitar que aparezcan problemas.

He incluido una introducción de cómo se hace la migración de la cuenta de Windows NT con la ADMT y he descrito el lugar que ocupa en una migración de Exchange.

La versión 1 de la ADMT se publicó con Microsoft Windows 2000 Server. Como hemos mencionado anteriormente, la versión 2 de la ADMT se publicó con Windows Server 2003. Se encuentra en el CD de Windows Server 2003.

Puede utilizar la ADMT para migrar usuarios, equipos y grupos de un dominio a otro. Este tipo de migración suele asociarse a una migración de un dominio de Windows NT 4.0 a un dominio de Active Directory.

Una de las mejoras más importantes de la nueva versión de la ADMT es que puede migrar las contraseñas de los usuarios. Esto reduce los problemas para los usuarios porque ya no tendrá que pedirles que creen nuevas contraseñas al migrar sus cuentas. Pueden continuar usando las antiguas contraseñas de Windows NT 4.0. No obstante, pueden presentarse situaciones en las que la duración y la complejidad de la antigua contraseña de Windows NT 4.0 no cumpla con la directiva de contraseñas del servicio de directorio Active Directory, por lo que puede que desee que los usuarios cambien las contraseñas al mover las cuentas.

  1. Ejecute el programa de instalación de la herramienta de migración para Active Directory desde el CD de Windows Server 2003 (en \i386\ADMT).
  2. En el Panel de control o en el menú Inicio, haga clic en Herramientas administrativas y, a continuación, en Herramienta de migración para Active Directory.
  3. Cuando se abra la ventana, haga clic con el botón secundario en Herramienta de migración para Active Directory y, a continuación, haga clic en Asistente para migración de cuentas de usuario.
    noteNOTA:
    Puede que algunas opciones no estén disponible hasta que se realice una migración correcta de algunas cuentas.
  4. Haga clic en Siguiente en la página inicial del Asistente para migración de cuentas de usuario.
  5. En este momento, puede seleccionar Probar la configuración de migración y migrar más tarde o Migrar ahora. Esta opción es muy útil si desea probar la migración antes de cambiar el entorno de producción (una práctica recomendada). Seleccione la opción adecuada y haga clic en Siguiente.
  6. Elija los dominios que se utilizarán en su migración. Su bosque actual y cualquier dominio que tenga en el sitio determinan los dominios disponibles.
importantImportante:
El dominio de destino debe ejecutarse en modo nativo para utilizar la herramienta de migración para Active Directory.

Si ejecuta la herramienta de migración para Active Directory por primera vez, hay varias tareas que la ADMT debe realizar para asegurarse de que la migración sea correcta. Entre estas tareas se incluyen, sin limitarse a, las siguientes:

  • Comprobación de los prerrequisitos
  • Modificación de las entradas del Registro en el controlador de dominio primario (PDC) de Windows NT 4.0
  • Reinicio de Windows NT 4.0 PDC
  • Modificación de la directiva de seguridad en Windows 2000 Server o Windows Server 2003

Las tareas que realiza la herramienta de migración para Active Directory se basan en las opciones y los tipos de dominios seleccionados. Una explicación sobre las posibles opciones y tipos de dominios queda fuera del ámbito de este artículo. No obstante, se le pedirá que las especifique a lo largo del proceso.

noteNOTA:
Durante esta fase, tenga a mano el archivo Léame que se incluye en el CD.

El modelo de permisos de Windows NT se basa en identificadores de seguridad de usuario (SID), más que en nombres de usuario. El SID de un usuario es un número (largo y exclusivo) que le identifica de forma única cada vez que intenta tener acceso a un recurso del dominio. De este modo, puede cambiar el nombre de la cuenta de dominio de un usuario sin tener que volver a asignar permisos de usuario para el nuevo nombre de la cuenta. Éste también es el motivo por el que, si se elimina un usuario, no podrá simplemente volver a crearlo con el mismo nombre y tener acceso a los recursos para los que anteriormente sí tenía permisos. Tendrá que volver a asignar permisos para la nueva cuenta. El SID de la nueva cuenta no coincidirá con el SID de la cuenta antigua.

Se suele hacer mención al Historial SID en relación con las migraciones de Windows y Exchange. El atributo sIDHistory se agrega a la cuenta que se está migrando. Se rellena con el SID de la cuenta de inicio de sesión original.

Supongamos que el Dominio A es el dominio de origen y el Dominio B, el de destino. Si la cuenta se migra con Historial SID, la cuenta migrada del Dominio B tendrá un atributo que alberga el SID de la cuenta original del Dominio A.

Hay al menos dos razones por las que es necesario utilizar el Historial SID:

  • La presencia del atributo sIDHistory en la cuenta migrada del Dominio B permite que la cuenta tenga acceso a cualquier recurso sobre el que la cuenta original (del Dominio A) tenía derechos. Recurso en este contexto significa cualquier elemento para el que se establecen permisos (por ejemplo, un uso compartido de NTFS o una impresora).
  • El conector de Exchange Active Directory (ADC) utiliza SID History al hacer coincidir el objeto de directorio de Exchange 5.5 con la cuenta de Active Directory.
    Ejemplo: Un servidor de Exchange 5.5 está en el Dominio A y la cuenta de Windows NT principal del buzón de Exchange 5.5 es la cuenta del Dominio A. Esta cuenta se migra mediante la herramienta de migración para Active Directory y SID History. Se crea una cuenta en el Dominio B que tiene el SID de la cuenta del Dominio A marcado en el atributo sIDHistory. A continuación, se configura un Acuerdo de conexión de destinatario de ADC desde el servidor de Exchange 5.5 de un Dominio A a un controlador de dominio del Dominio B. Cuando se ejecuta ADC, comprueba la cuenta principal de Windows NT del buzón de Exchange 5.5 y lee su SID. Encuentra una coincidencia en Active Directory porque el Historial SID está marcado en la cuenta migrada. Si el Historial SID no estaba presente en la cuenta del Dominio B, la herramienta ADC podría crear una nueva cuenta deshabilitada e incluir un “-1” en su nombre. Para obtener más información acerca de este problema, consulte el artículo 256862 de Microsoft Knowledge Base, Cómo corregir cuentas no coincidentes después de la replicación del conector de Active Directory.

Si se ve el atributo sIDHistory en Active Directory mediante una herramienta LDAP como LDP.exe, su aspecto es parecido a éste:

1> sIDHistory: S-1-5-21-1619521004-1441481110-1935294565-1315;

Si observa un atributo en la cuenta del usuario parecido al ejemplo anterior, significa que el Historial SID está presente. Si el atributo falta o está marcado como “Sin establecer” (si, por ejemplo, lo visualiza mediante ADSI Edit), el Historial SID no se migró para esa cuenta concreta.

noteNOTA:
El SID que aparece en este atributo coincidirá con el SID de la cuenta original del dominio original (el dominio desde el que se migró la cuenta). La cuenta migrada de Active Directory tendrá su SID exclusivo. Es importante comprender esto. No terminará teniendo dos cuentas en dos dominios que tienen el mismo SID. La cuenta de Active Directory tiene su propio SID así como el SID de la cuenta “original” almacenado en el atributo sIDHistory.

Si desea migrar cuentas mediante el Historial SID, deberá especificarlo en la página Opciones de transición de cuenta de la herramienta de migración para Active Directory. Active la casilla Migrar los SID de usuario a dominios de destino.

Una vez migradas las cuentas del Dominio A al Dominio B con la opción SID History seleccionada, puede que desee solucionar otro problema. Los buzones de Exchange 5.5 están configurados para disponer de las cuentas Windows NT del Dominio A establecidas como "Cuenta principal de Windows NT" y el ADC ha asociado ese buzón a la cuenta de Active Directory (migrada) basada en el Historial SID.

noteNOTA:
Este paso es opcional. Si desea que los usuarios empiecen a registrarse utilizando las nuevas cuentas migradas de Active Directory y el acceso a buzones que aún no se han movido de Exchange 5.5, deberá utilizar el Asistente para la migración del directorio de Exchange (EDMW).

Para cambiar la cuenta principal de Windows NT de de Exchange 5.5 a la nueva cuenta migrada de Active Directory, deberá ejecutar el EDMW. La opción de ejecutar el EDMW estará disponible después de migrar las cuentas.

La función principal del Asistente para la migración del directorio de Exchange es modificar la cuenta principal de Windows NT del buzón y establecer las listas de control de acceso (ACL) en los objetos de directorio de Exchange 5.5 para sustituir, agregar o eliminar (en función de la opción que seleccione) las menciones de la cuenta de Windows NT 4.0 con la nueva cuenta migrada de Active Directory. Gracias a este asistente, puede realizar la tarea de reemplazar todas las menciones de la cuenta de origen con la cuenta migrada (con los mismos permisos) en todos los objetos almacenados en el directorio Exchange 5.5.

  1. En el Panel de control o en el menú Inicio, haga clic en Herramientas administrativas y, a continuación, en Herramienta de migración para Active Directory.
  2. Cuando se abra la ventana, haga clic con el botón secundario en Herramienta de migración para Active Directory y, a continuación, haga clic en Asistente para migración de cuentas de usuario.
  3. Haga clic en Siguiente en la página inicial del Asistente para migración de cuentas de usuario.
  4. En este momento, puede seleccionar Probar la configuración de migración y migrar más tarde o Migrar ahora. Seleccione la opción adecuada y haga clic en Siguiente.
  5. En la página Opciones de conversión de seguridad, puede seleccionar diferentes tareas que realizar mediante el Asistente para la migración del directorio de Exchange:
    • Sustituir   Si se selecciona esta opción cualquier mención de la primera cuenta de dominio de origen se sustituirá con la cuenta de dominio de destino, con los mismos permisos.
    • Agregar   Al seleccionar esta opción, se mantiene la cuenta de dominio de origen, pero también se agregar la cuenta de dominio de destino, con los mismos permisos.
    • Eliminar   Al seleccionar esta opción, la cuenta de origen del dominio se eliminará una vez ejecutada la opción Agregar que se explica anteriormente.
  6. Complete el resto del asistente para modificar el directorio de Exchange 5.5.

Ya que el EDMW puede modificar la cuenta principal de Windows NT en el buzón de Exchange 5.5 para que sea la cuenta migrada desde el dominio de destino, puede estar seguro de que se encontrará la coincidencia correcta al ejecutar ADC.

En este caso, puede que no necesite migrar el Historial SID en las cuentas. Esto sería útil para las organizaciones que ya han migrado cuentas de Windows NT, pero sin el Historial SID y ahora desean completar la migración.

noteNOTA:
Podrían presentarse situaciones en las que deba tener acceso a los recursos del dominio de Windows NT con la cuenta de Active Directory, en cuyo caso sería necesario el Historial SID.

Si prefiere utilizar el EDMW y no migrar el Historial SID, la ruta de migración sería ésta:

  1. Migre las cuentas mediante la herramienta de migración para Active Directory, pero sin Historial SID.
  2. Ejecute EDMW y sustituya (en el directorio de Exchange 5.5) las referencias de seguridad de la cuenta de dominio de origen con los de la cuenta del dominio de destino (migrada). Como resultado, entre otras cosas, la cuenta principal de Windows NT de los buzones de Exchange 5.5 será la nueva cuenta migrada en el dominio de Active Directory.
  3. Ejecute la herramienta ADC. Ya que la nueva cuenta migrada de Active Directory es ahora la cuenta principal de Windows NT del buzón, el ADC debe encontrar la coincidencia y no se deben crear objetos duplicados.
noteNOTA:
Es posible que se creen cuentas duplicadas si varios buzones se asocian a la misma cuenta de Windows NT en el lado de Exchange 5.5. La ejecución de EDMW no resuelve este problema. Para evitarlo (si se usa Exchange 2003 ADC), use el Asistente de las herramientas ADC. Si usa Exchange 2000 Server ADC, consulte el artículo 274173 en Microsoft Knowledge Base, Documentación de la utilidad NTDSNoMatch.

Algunas informaciones útiles sobre la Herramienta de migración para Active Directory:

 
¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft