Home .:. Suporte .:. Certificados
Procurar (Powered by Bing):
 
 

.:. Menu

  Home

  News (Português)

  Anuncie no site

  Suporte

 

.:. Tecnologias

  Exchange 2010

  Exchange 2007

  Exchange 2003

  OCS

  Online Services

  ISA Server

  Windows Server
 

  BizTalk e SQL

  ForeFront Family

  System Center
 

  Artigos

  Guias Práticos

 

.:. Sobre..

  Sobre o site

  Colaboradores


 

     Migrando usuários usando o ADMT e configurando pré-requisitos

AP164 - Migrando usuários usando o ADMT e configurando pré-requisitos

Autor: Anderson Patricio / Marcelo Vighi
Publicação: 15/Aug/2010
Este tutorial se aplica a: Windows Server 2008
Compartilhe este artigo: Bookmark and Share

Overview

Estamos mostrando em uma série de tutoriais aqui no site como utilizar o ADMT. Neste de hoje estaremos mostrando como fazer o primeiro assistente do ADMT que irá também configurar alguns pré-requisitos para a cópia dos objetos (configuração de Auditoria e grupos no ambiente(s))

  • Estamos usando somente os usuários Administrator dos domínios, em ambiente mais complexos é necessário utilizar contas diferentes como também associar permissões para cada uma das contas que podem ter diferentes papéis durante o processo de migração;
  • Um trust entre os domínios tem que existir. A criação do trust é mostrado em um tutorial da seção Tutoriais relacionados
  • Para sincornização de senhas o serviço PES tem que estar instalado e iniciado
  • Não estamos olhando o componente Firewall e o mesmo tem que ser configurado dependendo do ambiente
  • É interessante criar uma OU (Organization Unit) onde os objetos serão migrados (neste tutorial vamos usar uma OU chamada Migrated accounts)
  • SID Filtering é um componente a ser analisado dependendo do ambiente
  • Resolução DNS entre os domínios
  • O usuário do domínio destino precisa ter as permissões corretas no domínio origem

Tutoriais relacionados:

AP773 - Instalando o Windows Server 2008 Full

AP162 - Instalando Active Directory Migration Tool (ADMT) 3.1

AP163 - Instalando o ADMT Password Migration utility

AP161 - Implementado Cross-Forest Trusts em uma infra-estrutura Windows 2003

Solução

O ADMT é muito flexível e permite migração de usuários, grupos, contas de computadores, contas de serviço e etc. Vamos estar mostrando a ferramenta em uma série de artigos aqui do site. . Os passos para fazer uma migração de usuários e também estas configurações iniciais são mostrados abaixo, como segue:

  1. Logado no servidor ADMT, vamos abrir o Active Directory Migration Tool a partir do menu Iniciar. E então vamos cliar com o botão direito no primeiro item e depois clique em User Account Migration Wizard

  1. Na tela inicial do assistente apenas clique em Next.

  1. Na página Domain Selection. No domínio origem vamos digitar o domínio origem (em meu exemplo é patricio.local) e no destino vamos digitar o domínio onde o servidor ADMT se encontra (em meu exemplo Andy.local), podemos também estar selecionando controladores de domínio específicos, mas se não tiver nenhuma necessidade específica pode-se deixar a opção <Andy domain controller> e depois clicar em Next.

  1. Na página User Selection Option. Podemos escolher os usuários através da lista do domínio ou usando um arquivo, a forma mais comum é utilizando a primeira onde podemos listar todos os usuários do outro domínio e escolher os que serão migrados. Vamos deixar a opção Select users from domain e vamos clicar em Next.

  1. Na página Organization Unit Selection. Vamos clicar em Browse e selecionar a OU (organization unit) onde os objetos migrados serão criados e depois clicar em OK o resultado será o caminho LDAP da OU selecionado como mostrado na figura abaixo.

  1. Na página Password Options. Aqui está uma das opções mais importantes relacionadas a migração de usuário, podemo estar gerando senha para os novos usuários o que pode fazer sentido em algumas migrações, mas a mais interessante é a opção Migrate passwords e definição do servidor origem que será o PES (Password Export Server) o nome é familiar não? Caso não seja, olhe na seção tutoriais relacionados como instalar o serviço PES no servidor de origem. Feito isso clique em Next.

  1. Na página Account transition Options. Aqui podemos definir qual vai ser o estado da conta que está sendo migrada, podemos escolher: Habilitar a conta, desabilitar a conta ou deixar exatamente como estava na origem (mais coerente e também o mais escolhido na maioria das migrações). Também podemos gerenciar o que iremos fazer com as contas migradas que estão na origem podemos dizer que elas serão desabilitas, ou ainda, que elas terão X dias para expirar, estas opções são muito legais e vão ser escolhidas durante a fase de planejamento da migração.
    A última opção e junto com a migração de senhas é importantíssima é a Migrate user SIDs to target domain onde faremos a cópia do SID (Security IDentifier) da conta de origem com isto o usuário migrado terá acesso a todos os recursos do domínio antigo (acesso a servidores de arquivo, caixas postais e etc.).
    Feito as escolhas vamos clicar em Next.

Aqui começa a parte interessante quando executamos o ADMT a primeira vez, a Microsoft  documenta que vários passos são necessários, no entanto quando rodamos o ADMT a primeira vez se tais passos não estão configurados o assistente vai validar que os mesmos não foram feitos e vai pedir se pode efetua-los, confirmando os mesmos você garante que todos vão ser feitos.

O primeiro é relacionado a Auditoria que é um dos requerimentos, se o mesmo não estiver habilitada a cópia do SID entre domínios não vai funcionar, para habilitá-lo na origem basta apenas clicar em Yes.

A auditoria também é requerida no destino (leia-se domínio atual) basta clicar em Yes novamente.

Outro requerimento é a criação de grupos com o domínio NETBios na origem e tal grupo também é necessário para movimentar SIDs, clique em Yes.

  1. Na página User Account. Para migrarmos a SID corretamente precisamos de um usuário no domínio origem com permissões adequadas. Em nosso tutorial estamos usando as contas Administrator em ambos os domínios, no entanto algumas implementações que precisam diferentes papéis e funções durante a migração podem optar por diferentes contas para efetuar diferentes passos na migração, neste caso é necessário planejar um pouco mais e associar permissões corretamente entre os domínios para que as contas utilizadas para este fim consigam funcionar corretamente.
    Vamos preencher os dados com as credenciais do domínio origem e vamos clicar em Next.

  1. Na página User Options. Podemos escolher o que o assistente irá efetuar durante a migração, neste exemplo estamos nos certificando que os grupos que o usuário pertencia na origem vão ser migrados no destino, caso os grupos já estejam no destino, o usuário sendo migrado será adicionado. Vamos clicar em Next.

  1. Na página Object Property Exclusion. Podemos excluir determinados objetos da migração do objeto, a lista de todos objetos possíveis de serem removidos são mostrados na lista Included Properties e para habilitá-la temos que clicar em Exclude specific object properties from migration. Em nosso tutorial vamos migrar todos os atributos disponíveis  e não temos necessidade de excluir nenhum atributo para a migração. Feito isso vamos clicar em Next.

  1. Na tela final do assistente vamos ter um sumário de tudo que escolhemos até agora, vamos clicar em Finish.

Após clicar em Finish uma nova janela irá aparecer e irá mostrar o processo da migração, contendo três colunas (Examinados, Copiados e Erros) na tela abaixo podemos ver que os dois usuários que selecionamos fomos copiadas corretamente, podemos sempre clicar em View Log para ter a informação do que está rodando em background neste processo de cópia e também para diagnosticar possíveis erros.

Nota: Olhando a figura abaixo, vocês podem ver que o processo já parou (porque o botão Stop já está desabilitada) e vocês podem se perguntar porque ele não copiou nenhum grupo sendo que por padrão todos os usuários tem pelo menos o grupo Domain Users, correto? A resposta é simples, o ADMT como qualquer outra ferramenta de mercado só copia grupos não padrão, grupos Domain Admins e Domain Admins não serão copiados porque é design da ferramenta (e porque também possui SID conhecidos em todas os domínios).

Agora que já sabemos que a migração ocorreu podemos abrir o Active Directory Users and Computer e olhar a OU que especificamos no assistente, o resultado no seu ambiente deve ser parecido com o que temos na figura abaixo, onde dois novos objetos são mostrados.

 

Um outro teste para validar se a migração foi com sucesso em nível de servidor é analisar o atributo sIDHistory do usuário migrado, como mostrado na figura abaixo. Se você ainda não estiver contente e achar que tem trapaça :) faça o teste de logon com o usuário usando a senha do outro domínio.

Conclusão

Neste tutorial mostramos como configurar os pré-requisitos para o ADMT como também migrar usuários com suas respectivas senhas e SID para um novo domínio.

 


 
 

Site desenvolvido em Front-Page e por um IT Pro, ou seja, a aparência não é o ponto forte do site :). Dúvidas ou sugestões:  webmaster@andersonpatricio.org