Het zou verstandig zijn om je bestaande Active Directory structuur eens te evalueren, om daarna te besluiten de domeinen te consolideren om tijd, geld, beheer en support te besparen. Als je dat doet, dan betekent dat waarschijnlijk dat je behoorlijk wat moeite zult moeten steken in het migreren van gebruikers, groepen, computers, profielen en nog veel meer. Maar dat is het allemaal waard! Bovendien heb ik vijf tips ontwikkeld die het proces wat makkelijker maken.

Geen budget

Onlangs vroeg een grote organisatie met meer dan 50.000 gebruikers of het mogelijk was om die grote stap te zetten. De eerste vraag die ze stelden was: Wordt dit een intraforest of een interforest overstap? Dat maakt nogal een verschil omdat intra betekent dat je domeinen gaat consolideren in een bestaande forest. Als je het interforest doet, dan betekent dat dat je een heel nieuw forest aanmaakt, waarna je de accounts van het oude naar het nieuwe verplaatst. Een interforest migratie is veel complexer, maar het resultaat ervan is een veel schoner eindproduct, omdat je helemaal opnieuw begint. Daarom heb ik de klant een interforest migratie aangeraden.

De vraag was alleen hoe dat moest gebeuren. Mijn eerste reactie: doe het met Quest migratietools. Bij de meeste migraties, of het nu om Active Directory gaat of Exchange, denk ik direct aan Quest, zeker bij grote en complexe omgevingen. Bij kleine omgevingen kun je natuurlijk de gratis tools overwegen, maar vanaf een zeker aantal gebruikers of domeinen moet je toch echt aan de third party software. En Quest is nu eenmaal mijn eigen favoriet als het gaat om migraties. Jammer genoeg is die software nogal prijzig, en het budget van deze klant voor third party tools was om precies te zijn nul komma nul.

Dus haalde ik er een andere Active Directory expert bij. Zijn eerste woorden waren: “Gebruik Quest!” Toen ik hem inlichtte over het niet-bestaande tools-budget, en over mijn plan om de gratis Active Directory Migration Tool van Microsoft te gaan gebruiken, keek hij me wel heel meewarig aan.

Active Directory Migration Tool

Laat ik eerst wat achtergrond geven over de Active Directory Migration Tool (ADMT): Het is gebleken dat deze tool niet erg betrouwbaar is. Eigenlijk heb ik nog nooit meegemaakt dat het echt perfect werkte. Maar de laatste versie (3.1) zag er toch veelbelovend uit, dus dacht ik dat ik die in ieder geval kon proberen. Ik heb er een paar dagen mee getest om het aan mijn wensen aan te passen (om daarna nog meer te testen). En toen werkte het. Ik kon er gebruikersaccounts, group accounts, lokale profielen en computeraccounts, met alles wat daarbij hoorde, mee migreren van het ene naar het andere forest. Gebruikers konden naderhand inloggen alsof er niets gebeurd was.

Vervolgens komt natuurlijk de vraag of het echt out-of-the-box werkte. Het antwoord: Zeker niet! Bij elke stap op de weg zijn we fouten tegengekomen, en de documentatie, een 232-pagina’s tellende nachtmerrie genaamd “Active Directory Management Tool v3.1 Guide: Migratiing en Restructuring Active Directory Domains”, was een van de moeilijkste documenten die ik ooit ben tegengekomen. Zeker een dozijn beheerders zijn er minstens een dag mee bezig geweest, en nog konden ze er geen chocola van maken. We moesten er stap voor stap doorheen ploegen, steeds op en neer bladerend door dat gevaarte.

Maar het werkt. En nu wij hebben uitgevonden hoe we het werkend kunnen krijgen, kunnen we vijf belangrijke geheugensteunen en trucjes met je delen. Daarmee ben je al flink op weg.

De vijf belangrijke tips:

1. Active Directory Management Tool v3.1 draait op Windows Server 2008, maar niet op R2. Je kunt het opzetten op een server die onderdeel is van een domein met Windows Server 2008 R2 domain controllers, maar probeer het niet te installeren op een Windows Server 2008 R2 server. Dan krijg je alleen te horen dat Active Directory Management Tool moet worden geïnstalleerd op Windows Server 2008. Microsoft werkt nog aan een fix voor v3.2.

2. Je moet een trust relationship tussen de twee forests opzetten. Een tweeweg trust werkt het beste, hoewel eenrichtingsverkeer ook ondersteund wordt. Als je SIDs gaat behouden met de migratie, houd dan in gedachten dat je SID Filtering moet uitschakelen op de trust. Dat is makkelijker gezegd dan gedaan. De commando’s netdom trust /domain: /quarantine:no en netdom trust /domain: /enablesidhistory:yes moeten gedraaid worden door iemand met de juiste rechten, aan beide kanten van het forest.

3. Het is niet makkelijk om de juiste rechten te krijgen waarmee je alle taken van de migratie kunt uitvoeren. Je moet een enkele ADMT Admin (of hoe je het ook wilt noemen) aanmaken met alle rechten (domein en erterprise admins), en plaats dat account in de ingebouwde Administrator’s groep van de source en target domeinen. Dat mag een beetje overdreven lijken, maar zorg er toch voor dat dit account zoveel mogelijk rechten heeft, waarmee het alles kan doen. Een migratie over forests heen is namelijk bezaaid met fouten doordat de rechten niet overeen komen.

4. Als je wilt dat de wachtwoorden van de gemigreerde gebruikers gelijk blijven, dan moet je ook nog de Password Migration Tool (PMT) v3.1 downloaden op het source domein. Deze tool is niet echt nodig om gebruikers te migreren; met de wizard kun je nieuwe wachtwoorden aanmaken als je de gebruikers overzet. Als je PMT wel gebruikt om de wachtwoorden te behouden, dan moet je je er wel bewust van zijn dat deze niet-gedocumenteerde vereisten bestaan: Je moet een .pes file aanmaken op het doeldomein. Daarna moet je dat .pes bestand ook nog importeren in het doel. Dat lijkt overbodig, maar het is een noodzakelijke stap om de tool aan het werk te krijgen.

5. Om de werkstations over te krijgen, moet de ADMT Admin account (of hoe je het ook hebt genoemd) ook rechten krijgen op de werkstations. Hiervoor moet je misschien even de firewall uitzetten, zodat de agent kan installeren en de werkstations over kan zetten naar het nieuwe domein.

Oefening baart kunst

Het belangrijkste dat nodig is om dit alles op de juiste manier werkend te krijgen, dat weten we allemaal, is oefenen, documenteren en testen. Voer de taken eerst uit in een laboratoriumomgeving waarin je de echte omgeving nabootst. Documenteer elke fout, en ontwikkel zo stap voor stap het proces dat toegespitst is op jouw specifieke organisatie. Test elke overgang die nodig is, niet alleen in een lab, maar ook – en dat is belangrijk – in je echte omgeving.

Je kunt de Active Directory Management Tool installeren en daarna elke stap testen voor je begint. Een van de goede dingen aan deze tool is dat je beide forests simultaan kunt draaien tot je klaar bent voor de overstap. Neem de tijd die je nodig hebt om te testen en nog eens te testen, voordat je de duik in het diepe neemt.

Goed met kans op verbetering

Al met al bleek de Active Directory Management Tool een prima tool. Het werkt, het is gratis, en als je eenmaal voorbij de akelige documentatie bent en ziet hoe het allemaal bij elkaar komt, dan zul je tevreden zijn over de resultaten en over de besparingen.

Wat mij betreft mag het team achter de Active Directory Management Tool wel even goed kijken naar de nieuwe Exchange Deployment Assistant. Dat is een geweldige online tool die een paar vragen stelt over wat je wilt doen, en er dan voor zorgt dat je de juiste stappen kunt nemen, in de juiste volgorde. Dat maakt het zoveel makkelijker. De Active Directory Management Tool zou zo’n assistent goed kunnen gebruiken.

Bron: Techworld