none
Миграция учёток AD в новый домен. RRS feed

  • Вопрос

  • Добрый день.
    Стоит задача перенести всех пользователей и компьютеры в новый домен сохранив их SID-ы. Причина - неисправимая ошибка в схеме AD.
    Хотел подпихнуть пользователей и компьютеры в новый домен со старым именем проделав миграцию в два этапа (domen1 -> domen2; new domen1; domen2->domen1). Для решения задачи пробовал использовать ADMT 3.0  В тестовой среде вроде бы всё прошло удачно (ошибок во время миграции небыло). Но в итоге компьютеры из "domen1" не видят (не признают) "new domen1"
    Можно ли решить такую задачу не бегая потом по всем пользователям что бы перерегестрировать их в новом домене?

    Спасибо!
    21 апреля 2009 г. 14:03

Ответы

  • Удаленное отключение и подключение к новому домену доступно через утилиту netdom.exe (из Support Tools)
    NETDOM REMOVE - Removes a workstation or server from the domain.
    NETDOM JOIN - Joins a workstation or member server to the domain.
    нужно знать пароль локаьного администратора на удаленных системах.

    напишите сценарий, в который передавайте через параметры имя системы, и логин/пароль (тк для локализованных систем логин Администратор, а для других administrator)
    Пример unjoin.bat:

     

    NETDOM REMOVE %1 /Domain:mydomain /UserO:%1\%2 /PasswordO:%3 /REBoot:10 REM pause "для тестирования"
    Команда для выполнения:

     

    unjoin.bat client19 administrator password
    аналогично с подключением.
    22 апреля 2009 г. 6:25
    Модератор
  • Галочку "Global Catalog" поставили для нового контроллера домена ? Что говорит nslookup на клиентах и новом контроллере домена ? Что в логах контроллера ? Роли AD все перенеслись ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Не совсем понял по поводу GC и ролей, у меня получается новый домен в новом леу, там же свой GC и свои роли. Но в любом случаи эксперемент был признан неудачным :) Сейчас пробую реализовать первый ваш совет с ADMT3.1 Подняв standalone Win2008.

    ADMT позволяет мигрировать 2003 -> 2003 (причем и профили пользователей) и Windows 2008 вам не нужен.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    • Предложено в качестве ответа leovit 2 июня 2009 г. 11:02
    • Помечено в качестве ответа Vinokurov YuriyModerator 5 апреля 2010 г. 9:30
    27 апреля 2009 г. 10:17
    Модератор

Все ответы

  • Добрый день.
    Стоит задача перенести всех пользователей и компьютеры в новый домен сохранив их SID-ы. Причина - неисправимая ошибка в схеме AD.
    Хотел подпихнуть пользователей и компьютеры в новый домен со старым именем проделав миграцию в два этапа (domen1 -> domen2; new domen1; domen2->domen1). Для решения задачи пробовал использовать ADMT 3.0  В тестовой среде вроде бы всё прошло удачно (ошибок во время миграции небыло). Но в итоге компьютеры из "domen1" не видят (не признают) "new domen1"
    Можно ли решить такую задачу не бегая потом по всем пользователям что бы перерегестрировать их в новом домене?

    Спасибо!
    Вам поможет

    Active Directory Migration Tool version 3.1
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    21 апреля 2009 г. 14:06
  • Я правильно понял, что вы рекомендуете поднять домен на Win 2008, а потом мигрировать обратно на Win 2003?

    21 апреля 2009 г. 14:09
  • Я правильно понял, что вы рекомендуете поднять домен на Win 2008, а потом мигрировать обратно на Win 2003?

    А зачем мигрировать обратно на 2003 (на 2008 нет лицензий ?)

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    21 апреля 2009 г. 14:11
  • К сожалению нет
    21 апреля 2009 г. 14:13
  • К сожалению нет
    А какой DNS используют ПК в новом домене ? Что в логах проблемных ПК ?

    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    21 апреля 2009 г. 14:22
  • Используют DNS нового домена.
    В системных событиях:
    Появляется при загрузке компа, до ввода пароля:

    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 5719
    Дата:  21.04.2009
    Время:  19:05:03
    Пользователь:  Н/Д
    Компьютер: VM-TESTDRIVE
    Описание:
    Для домена AVANGARD0 нет доступного контроллера домена. Ошибка:
    Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .
    Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

    В системных событиях появляется после неудачной попытки ввойти под доменной учётной записью:
    Тип события: Ошибка
    Источник события: NETLOGON
    Категория события: Отсутствует
    Код события: 3210
    Дата:  21.04.2009
    Время:  19:12:23
    Пользователь:  Н/Д
    Компьютер: VM-TESTDRIVE
    Описание:
    Произошла ошибка при проверке имени этого компьютера на контроллере \\server.avangard.loc, являющимся контроллером домена Windows для домена AVANGARD0, и в результате этот  компьютер может отвергать попытки входа в систему. Неспособность проверить имя может быть вызвана наличием в этой сети другого компьютера с таким же именем или тем, что не опознан пароль для этой учетной записи компьютера. Если это сообщение повторяется, обратитесь к сетевому администратору.


    21 апреля 2009 г. 15:13
  • Галочку "Global Catalog" поставили для нового контроллера домена ? Что говорит nslookup на клиентах и новом контроллере домена ? Что в логах контроллера ? Роли AD все перенеслись ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/
    21 апреля 2009 г. 17:49
  • Удаленное отключение и подключение к новому домену доступно через утилиту netdom.exe (из Support Tools)
    NETDOM REMOVE - Removes a workstation or server from the domain.
    NETDOM JOIN - Joins a workstation or member server to the domain.
    нужно знать пароль локаьного администратора на удаленных системах.

    напишите сценарий, в который передавайте через параметры имя системы, и логин/пароль (тк для локализованных систем логин Администратор, а для других administrator)
    Пример unjoin.bat:

     

    NETDOM REMOVE %1 /Domain:mydomain /UserO:%1\%2 /PasswordO:%3 /REBoot:10 REM pause "для тестирования"
    Команда для выполнения:

     

    unjoin.bat client19 administrator password
    аналогично с подключением.
    22 апреля 2009 г. 6:25
    Модератор
  • Галочку "Global Catalog" поставили для нового контроллера домена ? Что говорит nslookup на клиентах и новом контроллере домена ? Что в логах контроллера ? Роли AD все перенеслись ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Не совсем понял по поводу GC и ролей, у меня получается новый домен в новом леу, там же свой GC и свои роли. Но в любом случаи эксперемент был признан неудачным :) Сейчас пробую реализовать первый ваш совет с ADMT3.1 Подняв standalone Win2008.
    27 апреля 2009 г. 10:08
  • Nikita Panov, Медали пользователяспасибо за совет! Если не получиться с ADMT 3.1 сделать всё "автоматически" буду писать скрипт.
    27 апреля 2009 г. 10:10
  • Будем ждать от вас вестей
    27 апреля 2009 г. 10:14
    Модератор
  • Галочку "Global Catalog" поставили для нового контроллера домена ? Что говорит nslookup на клиентах и новом контроллере домена ? Что в логах контроллера ? Роли AD все перенеслись ?
    Первое правило Windows - делай резервную копию. Коды ошибок смотрите по адресу http://support.microsoft.com и http://eventid.net/

    Не совсем понял по поводу GC и ролей, у меня получается новый домен в новом леу, там же свой GC и свои роли. Но в любом случаи эксперемент был признан неудачным :) Сейчас пробую реализовать первый ваш совет с ADMT3.1 Подняв standalone Win2008.

    ADMT позволяет мигрировать 2003 -> 2003 (причем и профили пользователей) и Windows 2008 вам не нужен.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    • Предложено в качестве ответа leovit 2 июня 2009 г. 11:02
    • Помечено в качестве ответа Vinokurov YuriyModerator 5 апреля 2010 г. 9:30
    27 апреля 2009 г. 10:17
    Модератор
  • Проблему с переносом компьютеров я решил, то что не работало в виртуальной среде (я имею в виду ADMT Agent) нормально заработало на живых машинах. Но столкнулся с другой проблемой. После переноса пользователей и компьютеров в новый домен, не цепляется старый локальный профиль на компьютерах пользователей и пропадает доступ к узлам SharePoint. При этом доступ к шарам на сервере остаётся (т.е. SID-ы мигрировали нормально). 

    P.S. Фильтрацю SID-в я естественно отключил.

  • Вообще-то это нормально. При миграции ADMT и не должен подхватывать профили пользователей. А доступ к SharePoint потому и пропал, что пользователи получили новые UPN имена в новом домене.

    1. Ваши профили хранились на standalone сервере? Каким образом они подключались, при помощи ГП или folder redirection?
    2. Приведите примеры UPN имен пользователей в старом и новом домене
    Модератор
  • 1. У нас не перемещаемые профили (если я правильно понял вопрос), у каждого пользователя своя рабочая станция и профили хранятся локально на ней.
    2. в старом - avangard.loc\user1  он же в новом - temp.local\user1 (в Documents And Settings получается два профился user1 и user1.TEMP соответственно)

    Я в принципе понял, что проблема с UPN пользователей. Мне было интересно существует ли какой то механизм или хитрый приём что бы вернуть профили и решить проблему с UPN в SharePoint. В реестре нашёл ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ProfileList в которой храняться свойства профиля, и в частности ключ ProfileImagePath помяняв который можно подцепить старый профиль. Может возможно написать какой-то скрипт, который смог бы это автоматезировать (хотя я себе это слабо представляю). Или может просто поможет после миграции всех в temp.local прибить старый avangard.loc. Поднять его заного и мигрировать обратно. Теоретически UPN станут старыми, а практически такое будет работать никто не сталкивался с подобной задачей? Или может есть ещё какой способ решить такую проблему?