5 Tips voor een goedkopere en schonere Active Directory

Het zou verstandig zijn om je bestaande Active Directory structuur eens te evalueren, om daarna te besluiten de domeinen te consolideren om tijd, geld, beheer en support te besparen. Als je dat doet, dan betekent dat waarschijnlijk dat je behoorlijk wat moeite zult moeten steken in het migreren van gebruikers, groepen, computers, profielen en nog veel meer. Maar dat is het allemaal waard! Bovendien heb ik vijf tips ontwikkeld die het proces wat makkelijker maken.

Geen budget

Onlangs vroeg een grote organisatie met meer dan 50.000 gebruikers of het mogelijk was om die grote stap te zetten. De eerste vraag die ze stelden was: Wordt dit een intraforest of een interforest overstap? Dat maakt nogal een verschil omdat intra betekent dat je domeinen gaat consolideren in een bestaande forest. Als je het interforest doet, dan betekent dat dat je een heel nieuw forest aanmaakt, waarna je de accounts van het oude naar het nieuwe verplaatst. Een interforest migratie is veel complexer, maar het resultaat ervan is een veel schoner eindproduct, omdat je helemaal opnieuw begint. Daarom heb ik de klant een interforest migratie aangeraden.

De vraag was alleen hoe dat moest gebeuren. Mijn eerste reactie: doe het met Quest migratietools. Bij de meeste migraties, of het nu om Active Directory gaat of Exchange, denk ik direct aan Quest, zeker bij grote en complexe omgevingen. Bij kleine omgevingen kun je natuurlijk de gratis tools overwegen, maar vanaf een zeker aantal gebruikers of domeinen moet je toch echt aan de third party software. En Quest is nu eenmaal mijn eigen favoriet als het gaat om migraties. Jammer genoeg is die software nogal prijzig, en het budget van deze klant voor third party tools was om precies te zijn nul komma nul.

Dus haalde ik er een andere Active Directory expert bij. Zijn eerste woorden waren: "Gebruik Quest!" Toen ik hem inlichtte over het niet-bestaande tools-budget, en over mijn plan om de gratis Active Directory Migration Tool van Microsoft te gaan gebruiken, keek hij me wel heel meewarig aan.

Active Directory Migration Tool

Laat ik eerst wat achtergrond geven over de Active Directory Migration Tool (ADMT): Het is gebleken dat deze tool niet erg betrouwbaar is. Eigenlijk heb ik nog nooit meegemaakt dat het echt perfect werkte. Maar de laatste versie (3.1) zag er toch veelbelovend uit, dus dacht ik dat ik die in ieder geval kon proberen. Ik heb er een paar dagen mee getest om het aan mijn wensen aan te passen (om daarna nog meer te testen). En toen werkte het. Ik kon er gebruikersaccounts, group accounts, lokale profielen en computeraccounts, met alles wat daarbij hoorde, mee migreren van het ene naar het andere forest. Gebruikers konden naderhand inloggen alsof er niets gebeurd was.

Vervolgens komt natuurlijk de vraag of het echt out-of-the-box werkte. Het antwoord: Zeker niet! Bij elke stap op de weg zijn we fouten tegengekomen, en de documentatie, een 232-pagina's tellende nachtmerrie genaamd "Active Directory Management Tool v3.1 Guide: Migratiing en Restructuring Active Directory Domains", was een van de moeilijkste documenten die ik ooit ben tegengekomen. Zeker een dozijn beheerders zijn er minstens een dag mee bezig geweest, en nog konden ze er geen chocola van maken. We moesten er stap voor stap doorheen ploegen, steeds op en neer bladerend door dat gevaarte.

Maar het werkt. En nu wij hebben uitgevonden hoe we het werkend kunnen krijgen, kunnen we vijf belangrijke geheugensteunen en trucjes met je delen. Daarmee ben je al flink op weg.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.