none
Несколько вопросов по проведению миграции RRS feed

  • Вопрос

  • Добрый вечер!

    Передо мной стоит задача перевести организацию (входит в группу компаний, AD-домен общий на все компании) на свой домен. Заодно, и полностью на своё железо, софт и т.д. В данный момент, используются:
    1. Домен AD, с несколькими secondary-DC, всё на Server-2003, мигрируем тоже на Server-2003.
    2. Exchange, поятное дело, привязанный к AD.
    3. Citrix Presentation Server + Program Neigborhood
    4. Некоторое количество сетевых принтеров, они просто расшарены и отмечены как "List in the directory"
    5. Перенести надо около 200 пользователей, которые на старом домене лежат в отдельном OU. Включены Desktop и MyDocs redirection.
    6. Между старым и новым доменами - двустороннее доверие

    Собственно, благодаря коммьюнити, разобрался со многогими проблемами при использовании ADMT 3.0, за что большое вам всем спасибо))

    К этому моменту:
    1. Перенёс на новый домен группы, на всякий случа все, что были на старом домене. Потом буду удалять те, в которые не входит ни одного пользователя.
    2. Без проблем переносятся пользователи с миграцией паролей и SID. В логах, правда, есть два ворнинга:

    "2008-06-13 21:10:42 WRN1:7561 ADMT could not migrate some properties for this object type (user) due to schema mismatches.  Please refer to the Schema Section in the migration log for a complete listing.  The Schema Section will be available once object migration is complete.
    2008-06-13 21:10:42 WRN1:7857 Could not copy following properties for 'CN=Александров Александр'.
    2008-06-13 21:10:42     showInAddressBook = CN=Default Global Address List,CN=All Global Address Lists,CN=Address Lists Container,CN=Main Organization,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=firma_old,DC=ru, ...  A constraint violation occurred.
    2008-06-13 21:10:42     lastLogonTimestamp = 128571218965162500  The server is unwilling to process the request."

    3. С переносом машины есть некоторые трудности. Я пробовал создавать тестовую учётку в старом домене, заходил под ней на машину-клиента, бросал файлы на рабочий стол, менял обои, менял разрешение экрана, устанавливал программы и т.д. Во время миграции, ADMT Agent прошёл pre-check, написал "Completed with errors" и удачно прошёл post-check. Клиент вошёл в новый домен, настройки рабочего стола остались, папки стали редиректиться на мой сервер, как я и прописал в политике и т.д. Вобщем, вроде, всё нормально, НО:

    А). Не перенеслись установленные сетевые принтеры. Причём, через поиск по AD они не находятся, требуется заходить на сервер, где они установлены и добавлять оттуда.
    Б). Почта работает, но при запуске Аутлука, он просит его настроить заново - с указанием сервера Exchange, логина с паролем и т.д.
    В). Не работает Citrix. В настройках стоит Pass-through authentication, как я знаю, аутентификация на Ситрикс-сервере происходит одновременно с входом а AD. При этом, Ситрикс не просит пароль ввести - значок Program Neigborhood горит как будто он подключен, но список приложений - пуст. На этой тестовой учётке в стором домене всё ок.

    При миграции реальной машины всё то-же самое, только плюс к этому ещё и не сохранились обои, настройки Рабочего стола, тема и пр. При работе агента были только ошибки из-за работающего антивируса, при миграции тестовой машины так же в логах были только они:
    "2008-06-13 21:10:04 ERR3:7330 Failed to open registry key HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection, rc=5  Отказано в доступе.
    2008-06-13 21:10:07 ERR3:7330 Failed to open registry key HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\ePolicy Orchestrator, rc=5  Отказано в доступе.
    2008-06-13 21:10:08 ERR3:7330 Failed to open registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\McAfeeFramework, rc=5  Отказано в доступе.
    2008-06-13 21:10:09 ERR3:7330 Failed to open registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\McAfeeFramework, rc=5  Отказано в доступе.
    2008-06-13 21:10:10 ERR3:7330 Failed to open registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\McAfeeFramework, rc=5  Отказано в доступе."


    Буду очень признателен за любую помощь, спасибо)


    13 июня 2008 г. 18:03

Ответы

  • 1. Ошибки.

    Эти две ошибки при миграции пользователей можно игнорировать. ADMT просто не может перенести данные атрибуты.

    2. Перенаправленные папки.

    По опыту, при миграции перенаправленные папки лучше оставить на том же сервере (оставить такой же ссылку в политике. если ссылка по netbios имени - можно сделать alias в DNS) Потом просто сервер мигрировать.

    3. Exchange.

    Странно, что не пускает на сервер. Проверьте, корректно отработал ли перенос SID. Например, есть ли у пользователя в новом домене доступ к ресурсу, расшареному для учетной записи в старом домене. если есть и проблема в чем то другом, обходное решение следующее: дать новой учетной записи права Associated External Account и Full Mailbox Access на почтовый ящик.  

    4. Citrix.

    Так же смахивает на не работающий SID History.

    Возможно, в старом домене не отключен sid filtering.

    15 июня 2008 г. 16:09

Все ответы

  • В принципе, как решить проблему с принтерами, я придумал.
    Просто сразу подниму принт-сервер, сделаю в АД объекты-принтеры, и назначу их соответствующим подразделениям по географическому принципу. В принципе, сейчас именно так и сделано, только несколько криво.
    Итак, тогда останутся следующие проблемы - как заставить работать ситрикс, авторизация в котором происходит из чужого домена; разобраться с Exchange, так как суть в том, что я хотел сделать миграцию незаметной для пользователей; разобраться с не всегда срабатывающим folder redirection, - отключу его нафик, наверное...)
    Плюс, очень конкретный вопрос - что означают ворнинги при миграции пользователя из поста выше?)
    13 июня 2008 г. 21:27
  • 1. Ошибки.

    Эти две ошибки при миграции пользователей можно игнорировать. ADMT просто не может перенести данные атрибуты.

    2. Перенаправленные папки.

    По опыту, при миграции перенаправленные папки лучше оставить на том же сервере (оставить такой же ссылку в политике. если ссылка по netbios имени - можно сделать alias в DNS) Потом просто сервер мигрировать.

    3. Exchange.

    Странно, что не пускает на сервер. Проверьте, корректно отработал ли перенос SID. Например, есть ли у пользователя в новом домене доступ к ресурсу, расшареному для учетной записи в старом домене. если есть и проблема в чем то другом, обходное решение следующее: дать новой учетной записи права Associated External Account и Full Mailbox Access на почтовый ящик.  

    4. Citrix.

    Так же смахивает на не работающий SID History.

    Возможно, в старом домене не отключен sid filtering.

    15 июня 2008 г. 16:09
  • Александр, спасибо!
    1. Насчёт ошибок - я тоже так решил)
    2. Что касается перенаправления папок - у меня отлично срабатывает перенаправление на свой сервер. Я уже принял решение отказаться от перенаправления - не вижу причин его использовать, тем более, что минусы очевидны. Скорее всего, мигрирую все синхронизируемые папки на свой сервер и отключу политику перенаправления - чтобы все файлы хранились локально.
    3. Насчёт Exchange - видимо, мне попалась какая-то неправильная машина) Вчера я проверил миграцию на двух реальных машинах - всё прошло абсолютно безболезненно. Всё, что надо было сделать пользователю - выбрать новый домен. Exchange отлично цепляется, Аутлук никаких паролей не спрашивает, вся почта видна.

    4. Единственная проблема - с Citrix осталась. Главное, он при этом никаких ошибок не выдаёт(
    16 июня 2008 г. 13:04

  • Единственная проблема - с Citrix осталась. Главное, он при этом никаких ошибок не выдаёт(


    Быть может в настройках на доступ к опубликованным приложениям явно указаны пользователи "старого" домена?
    Попробуйте убрать галку "Pass-through authentication" и посмотрите какая ошибка будет выдаваться при явной аутентификации
    16 июня 2008 г. 13:14