kantver - Fotolia

Neun Tipps für eine erfolgreiche Active-Directory-Migration

Ein Fehler bei der Active-Directory-Migration kann fatale Folgen haben. Diese Tipps helfen bei der Planung und Durchführung der Migration.

Das Herzstück einer jeden Active-Directory-Migration sollte das Active Directory Migration Tool (ADMT) sein, eine native Microsoft-Lösung, die kostenlos erhältlich ist und somit wohl kaum einen Budget-Rahmen sprengen dürfte. Das Active Directory Migration Tool führt die Migration über eine Reihe an Assistenten durch, beispielsweise den User Account Migration Wizard, den Group Account Migration Wizard oder auch den Computer Migration Wizard.

Jeder Assistent ermöglicht dem Administrator die Auswahl von Quell- und Ziel-Domain sowie des Domänencontrollers. Dieser Prozess beinhaltet auch die Auswahl der zu migrierenden Active-Directory-Objekte, die Entscheidung zur Migrationsweise der Kennwörter und die Konfiguration anderer Einstellungsmöglichkeiten wie beispielsweise der Security IDentifier History.

Nachdem anschließend noch angegeben wird, wie im Fall von Konflikten verfahren werden soll (nicht migrieren oder migrieren und zusammenführen) kann die eigentliche Migration auch gestartet werden.

Best Practices für die Migration eines Active Directory

Backup anfertigen und Wiederherstellung testen: Viele Unternehmen fertigen gar kein Backup ihres Active Directory an oder testen die Wiederherstellung anschließend nie. Vor der Migration einer so wichtigen Komponente ist es aber unerlässlich, eine aktuelle Kopie eines funktionierenden Active Directory zu haben und damit wieder zu einem funktionierenden Zustand zurückkehren zu können, falls etwas schief läuft.

Prestaging und Test der Migration: Sobald das Backup durchgeführt wurde, sollte ein Testanwender angelegt und lokalen Gruppen zugeordnet werden. Danach kann ein Migrations-Job mit dem Testanwender und den Gruppen angestoßen werden. Nachdem die Migration erfolgreich bestätigt wurde, sollte der Testanwender mit seiner Mitgliedschaft in den lokalen Gruppen auch in der Ziel-Domain auftauchen. Die Gruppenmitgliedschaften sind hier der schwierigere Teil.

Migration in kleinen Schritten: Um die Erfolgschancen zu erhöhen, sollte die Migration in kleinen Schritten von 100 bis 200 Endanwendern durchgeführt werden. Es wäre ein mittelgroßes Problem, wenn die Migration von 3.000 Anwendern durch eine unterbrochene Internetverbindung fehlschlägt oder nur unvollständig durchgeführt wird. Durch die Migration in kleineren Wellen wird es einfacher, bei einem Fehler einige wenige Anwender wiederherzustellen. Damit wird es für IT-Mitarbeiter aber auch möglich, die Migration mit Pausen anzugehen oder Konfigurationsänderungen vorzunehmen.

Daten innerhalb des Encrypting File System entschlüsseln: Die meisten Unternehmen verwenden das Encrypting File System (EFS) und haben die Schlüssel hierfür im Active Directory gesichert, um dem Verlust der Keys vorzubeugen. Das Active Directory Migration Tool migriert diese Schlüssel aber nicht zur Ziel-Domain, wodurch die Gefahr besteht, dass EFS-verschlüsselte Dateien dauerhaft verloren gehen, wenn die Quell-Domain aufgelöst wird. Entsprechende Dateien sollten also noch vor der Migration entschlüsselt werden. Nach der Migration können die Dateien wieder verschlüsselt werden und der neue Schlüssel liegt wieder wie gewohnt in der Ziel-Domain.

Zeitsynchronisation: Die Quell- und Ziel-Domain müssen mit der gleichen Zeitquelle synchronisiert werden. Unterschiedliche Systemzeiten können empfindliche Probleme bei der Authentifizierung verursachen und die Migration zusätzlich erschweren.

Änderungen an der Quell-Domain: Der einfachste Weg, mit Änderungen an der Quell-Domain umzugehen, nachdem die Migration bereits gestartet wurde, wäre das erneute Starten der ADMT-Assistenten, um damit die auftretenden Konflikte zu beheben. Damit bleibt alles synchron und die konsistente Verwendung des ADMT hilft dabei, Fehler zu vermeiden.

Weitere Artikel zum Active Directory:

Welche Rolle spielen Funktionsebenen heute noch?

Samba 4 als Active-Directory-Domänencontroller einrichten.

Mit Azure AD Connect hybride AD-Umgebungen überwachen.

Regeln für Gruppen-Typen und Objekt-Mitgliedschaften: Die folgenden Regeln helfen bei der Active-Directory-Migration und sollten auf die Ziel-Domain angewendet werden: Globale Gruppen werden für die Anwender verwendet, lokale Gruppen für Ressourcen wie Drucker, Kontakte oder andere nicht-menschliche Objekte innerhalb des Verzeichnisses. Um bestimmten Gruppen an Anwendern Zugriff auf diese Ressourcen zu gewähren, gibt es schließlich innterhalb der lokalen Gruppen (an Ressourcen) globale Gruppen (an Anwendern).

Neustart der Domänen-PCs nach der Migration: PCs innerhalb der Domäne müssen nach der Migration neu gestartet werden, um die Domänen-Mitgliedschaft sowie die Anmeldedaten zu aktualisieren. Hierfür können die gewohnten Management-Tools verwendet werden. Die Migration ist allerdings nicht vollständig durchgeführt, solange nicht alle Domänen-Mitglieder neu gestartet wurden. In diesem Fall bleiben die Maschinen an die alte Quell-Domäne gebunden.

Planung zur Wiederherstellung vorbereiten: Schon vor der Migration sollte ein Plan zur Wiederherstellung vorhanden sein. Das Roll-Back bei Inter-Domain-Migrationen beinhaltet vor allem die Verwendung der Quell-Domäne, so als sei nie eine Migration durchgeführt worden. Hier müssen zunächst alle migrierten Anwender und Gruppen wieder aktiviert werden, die in der Quell-Domäne deaktiviert wurden. Anschließend können andere Ressourcen über eine Änderung ihrer Domänen-Mitgliedschaft zurückgebracht werden. Bei Inter-Forest-Migrationen müssen die Objekte allerdings in die andere Richtung verschoben werden, auch hier hilft wieder das Active Directory Migration Tool.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Erfahren Sie mehr über Serverbetriebssysteme

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close