none
Миграция домена с помощью ADMT. RRS feed

  • Вопрос

  • Стоит задача мигрировать в другой домен.

    Совсем запутался с инициализацией ADMT и Sid history. Что конкретно нужно включить и на каком из доменов?

    Пока тестирую на виртуальных средах, возник вопрос с Трастами. У меня трасты почему не транзитивны. Так и должно быть?

    Кстати, а ни у кого нет пошаговой инструкции? :-[

    14 апреля 2010 г. 13:49

Ответы

  • Последний раз миграцию выполнял года 3 назад, посему пишу по памяти, не обессудьте.

    > c.      Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport”со значением 1

    ЕМНИП, этот пункт является необязательным в случае, если вы имеете дело с win2k3 (об этом есть оговорка в документации)

    Обратите внимание на учетную запись, под которой будете выполнять миграцию. Для того, чтобы выполнять миграцию компов она должна быть членом группы локадминов на клиентских компах. Причем, как в старом, так и в новых одменах, ЕМНИП.

    Для простоты учетку, под которой вы будете выполнять миграцию, можно включить в группу "Дом. админы" в родном для нее домене и в группу Администраторы - в другом (включить учетку одного домена в группу "Дом. админы" другого домена не получится, т.к. группа эта глобальная) После этих действий ваша учетка будет являть локадмином для всех раб. станций "родного домена", чего нельзя сказать о другом домене. Для того, чтобы учетка, из подкоторой выполняете миграцию, таки имела права локадмина на раб. станциях в соседнем домене, можно использовать политику Restricted Groups (с ее помощью можно добавить эту учетку или доменную группу в группу локальных админов на клиентских станциях)

    Пароли никогда не мигрировал, посему, тут ничего сказать не могу.

    15 апреля 2010 г. 10:50
  • >Про ключик видимо пропустил. Спасибо!

    вы доверяйте, но проверяйте ;)

    >А после миграции Sid-хистори и карантин надо выключить? или оставить?

    netdom trust /?

    /Quarantine         Valid only on an existing direct, outbound trust. Set or
                        clear the domain quarantine attribute. Default is "no".
                       When "yes" is specified, then only SIDs from the directly
                        trusted domain will be accepted for authorization data
                        returned during authentication. SIDS from any other
                        domains will be removed. Specifying /Quarantine without
                        yes or no will display the current state.

    я так понимаю, что если вы установите в yes, то авторизация по sid-history сохранится  только для существующих и directly trusted domain'ов, я бы не отключал

    если вы отключите sidhistory, то не сможете ее воспользоваться, вообще (см там же: netdom trust /?)

     

    15 апреля 2010 г. 11:41
  • /Quarantine         

    я так понимаю, что если вы установите в yes, то авторизация по sid-history сохранится  только для существующих и directly trusted domain'ов, я бы не отключал

     

    Т.е. как я понял, карантин на миграции сидов не скажется?


    если верить тому, что написано в справке, то при условии, что у вас установлены direct trust'ы, сказаться не должно. Я не проверял, миграцию выполнял при

    5.      На новомDCвыполнитьnetdom.exe trust oldcompany.local /domain:company.ru /enablesidhistory:yes”

    6.      На новомDCвыполнитьnetdom.exe trust oldcompany.local /domain:company.ru /quarantine:no”

            и после этого ничего не менял

    15 апреля 2010 г. 12:34

Все ответы

  • >Кстати, а ни у кого нет пошаговой инструкции?

    Все разжевано в документации от MS: http://www.microsoft.com/downloads/details.aspx?familyid=6D710919-1BA5-41CA-B2F3-C11BCB4857AF&displaylang=en, надо только найти в себе силы ее прочитать.

    14 апреля 2010 г. 17:32
  • Есть у меня эта инструкция. И силы есть) Но вот времени до субботы на чтение 200 страниц на английском, обкатку и внедрение в боевой сети нет. :(

    Думал, может у кого есть ман переведенный на родной язык(в обоих смыслах этого выражения).

    15 апреля 2010 г. 5:36
  • 1.  У меня как-то так получилось

      Старый домен –oldcompany.local /OLDCOMPANY/

    a.      Уровень домена и леса – 2003native

    b.     В“Default Domain Controller Policy”опция “Audit account management” имеет значения «Success, Failure”

    c.      Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport”со значением 1

    d.     Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport”со значением 1

    2.      Новый домен– company.ru /COMPANY/

    a.      Уровень домена и леса – 2003native

    b.     В“Default Domain Controller Policy”опция “Audit account management” имеет значения «Success, Failure”

    c.      Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport”со значением 1

    d.     Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport”со значением 1

    e.     УстановитьADMT 3.1

    3.      Настроить перекрестныеsecondary DNSзоны между DNS серверами.

    4.      Настроить двухсторонние трасты между лесами.

    5.      На новомDC выполнить netdom.exe trust oldcompany.local /domain:company.ru /enablesidhistory:yes”

    6.      На новомDC выполнить netdom.exe trust oldcompany.local /domain:company.ru /quarantine:no”

    7.      На новомDC выполнить admt keyoldcompany.local путь пароль и переместить полученный файл PES на старыйDC

    8.      На старомDC запуститьPwdmig.exe и указать путь к файлуPES

    9.      Мигрировать:

    a.      Группы

    b.     Пользователей с паролями иsid’ами

    c.      Компьютеры

    d.     Серверы

    10.  Опустить старыйBDC

    11.  Опустить старыйPDC

     

    Нигде не ошибся?

    15 апреля 2010 г. 10:11
  • Последний раз миграцию выполнял года 3 назад, посему пишу по памяти, не обессудьте.

    > c.      Создать “HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport”со значением 1

    ЕМНИП, этот пункт является необязательным в случае, если вы имеете дело с win2k3 (об этом есть оговорка в документации)

    Обратите внимание на учетную запись, под которой будете выполнять миграцию. Для того, чтобы выполнять миграцию компов она должна быть членом группы локадминов на клиентских компах. Причем, как в старом, так и в новых одменах, ЕМНИП.

    Для простоты учетку, под которой вы будете выполнять миграцию, можно включить в группу "Дом. админы" в родном для нее домене и в группу Администраторы - в другом (включить учетку одного домена в группу "Дом. админы" другого домена не получится, т.к. группа эта глобальная) После этих действий ваша учетка будет являть локадмином для всех раб. станций "родного домена", чего нельзя сказать о другом домене. Для того, чтобы учетка, из подкоторой выполняете миграцию, таки имела права локадмина на раб. станциях в соседнем домене, можно использовать политику Restricted Groups (с ее помощью можно добавить эту учетку или доменную группу в группу локальных админов на клиентских станциях)

    Пароли никогда не мигрировал, посему, тут ничего сказать не могу.

    15 апреля 2010 г. 10:50
  • Про ключик видимо пропустил. Спасибо!

    Про учетку знаю, но спасибо!) Именно через Restricted Groups и сделал.

    А после миграции Sid-хистори и карантин надо выключить? или оставить?

    15 апреля 2010 г. 11:25
  • >Про ключик видимо пропустил. Спасибо!

    вы доверяйте, но проверяйте ;)

    >А после миграции Sid-хистори и карантин надо выключить? или оставить?

    netdom trust /?

    /Quarantine         Valid only on an existing direct, outbound trust. Set or
                        clear the domain quarantine attribute. Default is "no".
                       When "yes" is specified, then only SIDs from the directly
                        trusted domain will be accepted for authorization data
                        returned during authentication. SIDS from any other
                        domains will be removed. Specifying /Quarantine without
                        yes or no will display the current state.

    я так понимаю, что если вы установите в yes, то авторизация по sid-history сохранится  только для существующих и directly trusted domain'ов, я бы не отключал

    если вы отключите sidhistory, то не сможете ее воспользоваться, вообще (см там же: netdom trust /?)

     

    15 апреля 2010 г. 11:41
  • /Quarantine         

    я так понимаю, что если вы установите в yes, то авторизация по sid-history сохранится  только для существующих и directly trusted domain'ов, я бы не отключал

     

    Т.е. как я понял, карантин на миграции сидов не скажется?

    15 апреля 2010 г. 12:30
  • /Quarantine         

    я так понимаю, что если вы установите в yes, то авторизация по sid-history сохранится  только для существующих и directly trusted domain'ов, я бы не отключал

     

    Т.е. как я понял, карантин на миграции сидов не скажется?


    если верить тому, что написано в справке, то при условии, что у вас установлены direct trust'ы, сказаться не должно. Я не проверял, миграцию выполнял при

    5.      На новомDCвыполнитьnetdom.exe trust oldcompany.local /domain:company.ru /enablesidhistory:yes”

    6.      На новомDCвыполнитьnetdom.exe trust oldcompany.local /domain:company.ru /quarantine:no”

            и после этого ничего не менял

    15 апреля 2010 г. 12:34
  • А после миграции карантин обратно включил?
    15 апреля 2010 г. 12:37
  • А после миграции карантин обратно включил?


    .... и после этого ничего не менял

    15 апреля 2010 г. 12:39