ADMT (Active Directory Migration Tool) ist ein von Microsoft kostenlos bereitgestelltes Tool, das die Migration von Objekten (Benutzer, Computer und Gruppen) zwischen zwei Active Directory-Domänen ermöglicht.
Einige Beispiele für die Verwendung von ADMT:
- Firmenfusion zur Konsolidierung von Active Directory-Verzeichnissen.
- Geschäftsaufteilung zur Übertragung von Active Directory-Objekten auf die neue Entität.
- Löschen einer untergeordneten Domäne.
Inhaltsverzeichnis
Voraussetzungen
- Ein dedizierter ADMT-Server mit einer SQLExpress-Datenbank in mindestens Version 2008.
- Zwischen den beiden Domänen muss eine Vertrauensbeziehung bestehen.
- Verwenden Sie ein Benutzerkonto, das in der Gruppe BUILTIN\Administrators beider Domänen vorhanden ist.
- Um Computer zu migrieren, muss das Migrationsbenutzerkonto in der Zieldomäne auch ein lokaler Administrator auf der Arbeitsstation sein.
Das Migrationskonto wird bei der ersten Objektmigration zwischen den beiden Domänen konfiguriert. Im Tutorial habe ich das Administratorkonto der Zieldomäne verwendet. Falls Sie ein Konto für ADMT verwenden möchten, muss dieses Mitglied der Gruppe „Domänenadministratoren“ der Zieldomäne und Mitglied der Gruppe „BUILT\Administratoren“ der Quelldomäne sein.
Laden Sie die erforderlichen Tools herunter:
- ADMT 3.2
- Password Export Server (PES) was die Migration von Passwörtern ermöglicht.
Installation von ADMT und PES
ADMT-Installation
Starten Sie die zuvor heruntergeladene ausführbare Datei 1.
Wenn der Installationsassistent startet, klicken Sie auf Weiter 1.
Akzeptieren Sie die Lizenzvereinbarung, indem Sie „Ich stimme zu“ 1 auswählen und dann auf „Weiter“ 2 klicken.
Wählen Sie die für Sie passende Option zum Senden von Informationen an MS 1 und klicken Sie auf Weiter 2.
Geben Sie die SQL Server-Instanzinformationen ein 1 und klicken Sie dann auf Weiter 2.
Bitte warten Sie während der Installation…
Wählen Sie die Option Nein, keine Daten aus einer bestehenden Datenbank importieren (Standard) 1 und klicken Sie auf Weiter 2.
Die Installation ist abgeschlossen. Schließen Sie den Assistenten, indem Sie auf „Fertig stellen“ 1 klicken.
PES installieren
Um Passwörter zwischen den beiden Gesamtstrukturen zu migrieren, müssen wir PES konfigurieren und installieren.
Erstellen Sie auf dem Server, auf dem ADMT installiert ist, einen freigegebenen Ordner, in dem wir den Kennwortverschlüsselungsschlüssel ablegen.
Öffnen Sie als Administrator eine Eingabeaufforderung und geben Sie den folgenden Befehl ein, wobei Sie ihn an Ihre Situation anpassen:
admt key /option:create /sourcedomain:old.lan /keyfile:D:\Passwords\migpwd.pes /keypassword:password
Überprüfen Sie, ob migpwd.pes im Ausgabeordner vorhanden ist.
Führen Sie die Datei pwdmig auf dem Quelldomänencontroller (old.lan) aus. Klicken Sie beim Starten des Installationsassistenten auf Weiter 1.
Akzeptieren Sie die Lizenz 1 und klicken Sie auf Weiter 2.
Geben Sie den Speicherort des Verschlüsselungsschlüssels an 1 und klicken Sie auf Weiter 2.
Geben Sie das Passwort 1 ein und klicken Sie auf OK 2.
Klicken Sie auf Installieren 1.
Konfigurieren Sie den Dienst mit der Option „Lokales Systemkonto“ 1 und klicken Sie dann auf „OK“ 2.
Die Installation ist abgeschlossen, schließen Sie den Assistenten mit einem Klick auf Fertigstellen 1.
PES fordert zum Neustart auf. Klicken Sie auf „Ja“ 1.
Suchen Sie nach dem Neustart nach dem Password Export Server Service und starten Sie ihn.
Fehler während der Installation beheben
Die Kennwortüberprüfung kann mit der folgenden Meldung fehlschlagen:
The supplied password does not match this encryption key’s password.
ADMT’s Password Migration Filter DLL will not install without a valid encryption key.
Schließen Sie den Installationsassistenten, öffnen Sie ein Befehlsfenster als Administrator und geben Sie den folgenden Befehl ein, um ihn je nach Speicherort der Datei pwdmig.msi anzupassen:
msiexec -i C:\Apps\pwdmig.msi
Vorbereiten der Active Directory-Objektmigration mit ADMT
Nachdem ADMT und PES installiert sind, empfiehlt es sich, zunächst eine Organisationseinheit zu erstellen, die die Objekte aus der Quelldomäne empfängt.
Auf den folgenden Seiten sehen wir die Migration der folgenden Objekte:
- Gruppen
- Benutzer
- Computer.
Um einen reibungslosen Ablauf der Migration zu gewährleisten, empfehle ich Ihnen, zunächst eine Testgruppe und einen Testbenutzer anzulegen und die Computermigration vor den Produktionsobjekten zu testen.
Darüber hinaus ist es notwendig, die Benutzer über den Domänenwechsel zu informieren und sicherzustellen, dass sie sich bei der neuen Domäne anmelden.
Während der ersten Objektmigration werden Sie aufgefordert, die Überwachung der Quell- und Zieldomäne für die SID-Migration zu konfigurieren, damit das migrierte Objekt auf nicht migrierte Ressourcen zugreifen kann.
Objektmigration
ADMT: Gruppenmigration
Klicken Sie in der ADMT-Konsole mit der rechten Maustaste auf Active Directory Migration Tool 1 und klicken Sie auf Group Account Migration Wizard 2, um den Assistenten zu starten.
Wenn der Assistent gestartet wird, klicken Sie auf Weiter 1.
Wählen Sie die Quelldomäne 1 und den Domänencontroller 2 aus, machen Sie dann dasselbe für die Zieldomäne 3 und den Controller 4 und klicken Sie auf Weiter 5.
Wählen Sie die Option „Gruppe aus Domäne auswählen“ 1 und klicken Sie dann auf „Weiter“ 2.
Klicken Sie auf Hinzufügen 1.
Sélectionner le ou les groupes à migrer 1 et cliquer sur OK 2.
Klicken Sie bei ausgewählten Gruppen auf Weiter 1.
Klicken Sie auf Browser 1, wählen Sie dann die Ziel-OU 2 aus und klicken Sie auf OK 3.
Klicken Sie nach der Konfiguration auf „Weiter“.
Wählen Sie Migrationsoptionen aus, aktivieren Sie auch „Gruppen-SIDs zur Zieldomäne migrieren“ 1 und klicken Sie auf „Weiter“ 2.
Es wird eine Warnmeldung angezeigt, die darauf hinweist, dass die Überwachung nicht konfiguriert ist. Diese ist für die SID-Migration erforderlich. Klicken Sie bei allen drei Meldungen auf „Ja 1“.
Geben Sie den Benutzernamen 1 und das Kennwort 2 eines Administratorkontos in der Quelldomäne ein und klicken Sie dann auf Weiter 3.
Auf dieser Seite können Sie auswählen, welche Attribute migriert werden sollen. Standardmäßig werden alle Attribute in die Zieldomäne migriert. Klicken Sie auf Weiter 1.
Konfigurieren Sie das ADMT-Verhalten im Konfliktfall. Standardmäßig wird das Objekt bei Erkennung eines Konflikts nicht migriert. Klicken Sie auf Weiter 1.
Eine Zusammenfassung zeigt die durchzuführenden Aktionen an. Klicken Sie auf „Fertig stellen“ 1, um die Migration zu starten.
Es öffnet sich ein Fenster, in dem Sie die Migration überwachen können. Nach Abschluss können Sie die Protokolle einsehen. Wenn die Migration erfolgreich war, klicken Sie auf Schließen 1.
Beispielprotokoll:
Überprüfen Sie auf dem Zieldomänencontroller, ob die Gruppe 1 in der Organisationseinheit vorhanden ist. Überprüfen Sie außerdem, ob das sIDHistory-Attribut 2 vorhanden ist und die SID der Quelldomäne enthält.
ADMT: Benutzermigration
Nachdem wir nun gesehen haben, wie eine Gruppe migriert wird, werden wir einen Benutzer migrieren. Das Verfahren ist ähnlich wie bei Gruppen.
Um Ihnen die Funktionen von ADMT zu zeigen: Der Benutzer, den wir migrieren werden, ist ein Mitglied der zuvor migrierten Gruppe. Nach der Migration ist der Benutzer ein Mitglied der Gruppe, die unmittelbar zuvor migriert wurde.
Klicken Sie in der ADMT-Konsole mit der rechten Maustaste auf Active Directory Migration Tool 1 und klicken Sie auf User Account Migration Assistent 2.
Wenn der Migrationsassistent gestartet wird, klicken Sie auf Weiter 1.
So gruppieren Sie die Migration: Konfigurieren Sie Quell- und Zieldomäne und -controller 1 und klicken Sie dann auf Weiter 2.
Wählen Sie „Benutzer aus Domäne auswählen“ 1 und klicken Sie auf „Weiter“ 2.
Wählen Sie den/die zu migrierenden Benutzer aus 1 und klicken Sie auf Weiter 2.
Konfigurieren Sie die Ziel-OU 1 und klicken Sie dann auf Weiter 2.
Wählen Sie die Option „Passwörter migrieren“ 1, geben Sie den Quelldomänencontroller an 2 und klicken Sie auf „Weiter“ 3.
Konfigurieren Sie den Kontostatus 1 nach der Migration auf Quell- und Zieldomäne, aktivieren Sie das Kontrollkästchen Benutzer-SID zur Zieldomäne migrieren 2 und klicken Sie dann auf Weiter 3.
Geben Sie für die SID-Migration die Anmeldeinformationen eines Administratorkontos aus der Quelldomäne 1 ein und klicken Sie auf Weiter 2.
Konfigurieren Sie die Migrationsoptionen 1 und klicken Sie dann auf Weiter 2.
Konfigurieren Sie bei Bedarf die auszuschließenden Attribute und klicken Sie auf Weiter 1.
Konfigurieren Sie das Konfliktmanagement und klicken Sie auf Weiter 1.
Eine Zusammenfassung der Migrationseinstellungen wird angezeigt. Klicken Sie auf „Fertig stellen“ 1, um den Assistenten zu schließen und die Migration zu starten.
Sobald die Migration abgeschlossen ist, schließen Sie 1 das Migrationsfenster.
Auf dem Zieldomänencontroller sehen wir, dass der Benutzer migriert wurde.
In den Kontoeigenschaften wurde das Kontrollkästchen „Passwort ändern“ aktiviert, was bedeutet, dass der Benutzer bei der nächsten Anmeldung sein Passwort ändern muss.
Auf der Registerkarte „Mitglied von“ sehen wir auch, dass der Benutzer tatsächlich Mitglied der zuvor migrierten Gruppe ist.
ADMT: Computermigration
ADMT ermöglicht auch die Migration von Computerobjekten. Es ist jederzeit möglich, den Computer aus der alten Domäne zu entfernen und ihn der neuen hinzuzufügen. Die Computermigration bietet folgende Vorteile:
- Gruppenverfolgung
- Verarbeitung von Benutzerprofilen, wodurch die erneute Erstellung des Benutzerprofils vermieden wird.
Die identischen Assistentenfenster zur Migration von Gruppen und Benutzern werden in diesem Teil schneller durchlaufen.
Zur Erinnerung: Das für die Migration konfigurierte Zieldomänenkonto muss ein lokaler Administrator der Arbeitsstation sein.
Klicken Sie in der ADMT-Konsole mit der rechten Maustaste auf Active Directory Migration Tool 1 und klicken Sie auf Computer Migration Wizard 2.
Klicken Sie auf Weiter 1.
Konfigurieren Sie Quelle und Ziel und klicken Sie auf Weiter 1.
Klicken Sie auf Weiter 1, um zur Computerauswahloption zu gelangen.
Wählen Sie den zu migrierenden Computer aus 1 und klicken Sie auf Weiter 2.
Bestätigen Sie die Ziel-OU, indem Sie auf Weiter 1 klicken.
Wählen Sie die Objekte aus, die in die neue Domäne übertragen werden sollen 1 und klicken Sie auf Weiter 2.
Konfigurieren Sie die Objektübertragung 1 und klicken Sie auf Weiter 2.
Während der Migration wird der Computer neu gestartet. Konfigurieren Sie die Verzögerung 1 und klicken Sie auf Weiter 2.
Klicken Sie in den beiden folgenden Fenstern auf Weiter 1.
Starten Sie die Migration, indem Sie auf „Fertig stellen“ 1 klicken, um den Assistenten zu schließen.
Es öffnet sich ein Fenster, in dem Sie den Migrationsagenten steuern können. Wählen Sie Computer 1 aus und klicken Sie auf Start 2.
Sobald die Tests validiert wurden, wählen Sie „Vorprüfung und Agentenvorgang ausführen“ 1 und klicken Sie auf „Starten“ 2.
Bitte warten Sie, während die Migration stattfindet… Sie können die Migration im Detail verfolgen, indem Sie auf Agentendetails 1 klicken.
Sobald die Migration abgeschlossen ist, sehen wir, dass der Computer auf den Neustart wartet.
Auf dem Computer wird eine Meldung angezeigt, dass ein Neustart durchgeführt wird.
In der Zieldomäne sehen wir, dass der Computer in der Migrations-OU vorhanden ist.
Sobald die Arbeitsstation neu gestartet wurde, können wir sehen, dass die Domäne erfolgreich geändert wurde.
Im Agentenverfolgungsfenster sehen wir auch, dass die Migration abgeschlossen ist.
ADMT: Berichterstellung
ADMT bietet die Möglichkeit, Berichte zur Nachverfolgung migrierter Elemente zu erstellen. Klicken Sie in der Konsole mit der rechten Maustaste auf „Active Directory Migration Tool“ 1 und dann auf „Berichtsassistent“ 2.
Wenn der Assistent gestartet wird, klicken Sie auf Weiter 1.
Wählen Sie die Quell- und Zieldomänen für die Berichterstellung aus und klicken Sie auf Weiter 1.
Wählen Sie den Speicherort der Berichte aus und klicken Sie auf Weiter 1.
Wählen Sie die zu generierenden Berichte aus 1 und klicken Sie dann auf Weiter 2.
Klicken Sie auf „Fertig stellen“ 1, um mit der Berichterstellung zu beginnen.
Sie sind von der Konsole aus zugänglich, indem Sie auf Berichte 1 klicken.
Beispielberichte:
Häufig gestellte Fragen
Was ist ADMT und wofür wird es angewendet?
Das Active Directory Migration Tool (ADMT) ist ein kostenloses Tool von Microsoft, mit dem Sie Benutzer, Gruppen und Computer zwischen verschiedenen Active Directory-Domänen migrieren können, ohne Berechtigungen oder Benutzerprofile zu verlieren.
Welche Arten von Active Directory-Objekten können mit ADMT migriert werden?
Mit ADMT können Sie Benutzer, Gruppen, Computer und Dienstkonten migrieren und gleichzeitig Sicherheitsbeziehungen und Profile auf Client-Workstations beibehalten.
Ist es für ADMT erforderlich, dass die Active Directory-Dienste während der Migration heruntergefahren werden?
Nein, ADMT wird im Onlinemodus ausgeführt und erfordert kein Herunterfahren der Active Directory-Dienste, sodass eine nahtlose Migration für Benutzer möglich ist.
Gibt es irgendwelche Voraussetzungen für die Verwendung von ADMT?
Ja, es ist erforderlich, auf beiden Domänen über ein Konto mit Administratorrechten zu verfügen, Vertrauensbeziehungen zwischen den Domänen vorzubereiten und über einen Server zu verfügen, auf dem das ADMT-Tool installiert werden kann.
Kann ADMT Migrationsberichte erstellen?
Ja, das Tool ermöglicht Ihnen die Erstellung detaillierter Berichte zu migrierten Objekten, möglichen Fehlern und dem Gesamtstatus der Migration und erleichtert so die Überwachung und Fehlerbehebung.
Abschluss
ADMT ist ein nützliches Tool für Umgebungen, in denen mehrere Domänen nebeneinander existieren, sei es um Domänen zusammenzuführen oder um beispielsweise bei einer Änderung der Zuordnung Objekte von einer Domäne in eine andere zu verschieben.
Ich persönlich habe ADMT auch verwendet, um Objekte aus einem beschädigten Forest in einen neuen Forest zu migrieren. Dadurch musste ich nicht alle Objekte (Gruppen, Computer und Benutzer) manuell neu erstellen.
