Миграция между доменами с помощью ADMT

Данная пошаговая наглядная статья описывает миграцию пользователей и их паролей, а так же компьютеров между доменами с помощью инструмента Active Directory Migration Tool. Для выполнения миграции через ADMT необходимо выполнить следующие условия:
- доверительные отношения между доменами
- отключение фильтрации SID, если пользователю необходим доступ к ресурсам без изменений
- учётная запись, под который выполняется миграция, должна быть членом группы Administrators в исходном домене
учётная запись, под который выполняется миграция, должна быть членом локальной группы Administrators в каждом компьютере
- для установки ADMT v3.2 необходимо установить MS SQL Express
- для миграции паролей на контроллере исходного домена устанавливается утилита PES
- во время миграции компьютера на нём не должно быть активных сессий

Тестовый стенд реализован на следующем железе. Все образы дисков хранятся на Storage Spaces из 4 HDD:

Тестовая сеть.
Исходный домен:
DC01.OLD.EXONIX.RU              - 192.168.0.10
CLI01                                          - 192.168.0.11
Домен назначения:
DC03.NEW.EXONIX.MOSCOW  - 172.30.130.10
ADMT.NEW.EXONIX.MOSCOW - 172.30.130.11
DC02.MAIN.EXONIX.MOSCOW - 10.10.11.10 - используется только как родительский домен в лесу.
Маршрутизация сетей
ROUTER                                     - все сети

Новый домен с имеющемся лесу создаётся при выборе следующей опции:

admt2.2.png

Результат настройки доверий между лесами должен выглядеть следующим образом: 

admt1.png

Для работы ADMT 3.2 необходимо установить бесплатный SQL Express. В моей статье я буду использовать MS SQL 2012 Express, который устанавливается почти с настройками по умолчанию.

admt2.1.png

Установка ADMT:

admt2.png

Проверка членства администратора целевого домена в группе Administrators исходного домена:

admt4.png

Отключение фильтрации SID в доменах, а так же создание ключа для установки PES.

admt5.png

Установка PES на контроллере исходного домена запускается из командной строки, запущенной с правами Администратора, в противном случае пароль для ключа не будет приниматься.

admt6.png

admt7.png

После установки PES необходимо перезагрузить сервер и в службах вручную включить службу PES.

admt8.1.png

admt8.2.png

В исходном домене создаются соответствующая NetBios имени группа с областью действия "Доменно локальная" как показано ниже:

admt8.png

Приступаем к тестовой миграции группы old$$. Для миграции SID необходимо включить Audit Account Management в обоих доменах. Это можно сделать вручную через локальные политики контроллера домена, который будет указываться во время миграции (или групповые для OU Domain Controllers если таковых несколько, и будет указываться автовыбор контроллера домена) или ADMT это сделает сам как будет показано ниже:

admt9.png

Записываем имена доменов и выбираем контроллеры доменов. Выбор контроллера для исходного домена обязателен, если в домене их больше одного, а PES установлен только на одном из них.

admt10.png

Выбираем ранее созданную группу и указываем путь в AD куда мигрировать.

admt11.png

 ADMT предлагает включить Аудит на указанных контроллерах домена в каждом домене:

admt12.png

Выбираем опции при разрешении конфликтов:

admt14.png

После миграции смотрим логи на предмет миграции SID.

admt15.png

Так же SID можно увидеть в атрибуте sIDHistory. В Событиях можно посмотреть сообщение 4765:

admt16.png

Приступаем к миграции пользователя выбрав соответствующую задачу в ADMT. При первом переносе учётной записи пользователя его пароль не мигрируется, даже если указать соответствующую опцию.

admt17.png

admt18.png

Во время миграции пользователя можно задать миграцию и всех групп, в которые он входит. В моём случае, пользователь входит в одну группу:

admt19.png

admt13.png

Проверяем логи на предмет ошибок. В логах отображено сообщение о том, что пароль не был скопирован, а его, как я понял, хешь записан в текстовый файл, который можно открыть блокнотом запущенным от имени администратора.

admt20.png

При повторной миграции пользователя скопируется его пароль, а так же будет установлен атрибут - смена пароля при первом входе.

admt21.png

Приступаем к миграции компьютера, выбрав соответствующее действие и опции. Рекомендую перед переносом реального пользовательского компьютера протестировать миграцию его клона в тестовой среде, и проверить работоспособность пользовательских приложений, которые используют сертификаты. Например, клиент-банки.

admt22.png

admt23.png

admt24.png

admt26.png

Миграция компьютера в другой домен завершена. Пользователь может залогинится на своём компьютере в новом домене.
Для того, чтобы отключить Аудит, включённый ADMT, необходимо открыть оснастку локальных политик контроллера домена:

admt28.png

Во время переноса может возникнуть ошибка подключения к компьютеру. Это связанно с фаерволом, в котором необходимо включить все правила File Sharing:

admt27.png

Если возникнет ошибка: ERR2:7674 Unable to determine the local path for ADMIN share on the machine 'CLI01'. rc=-2147024891 - это означает, что нет административных прав на данный компьютер для учётной записи, которая выполняет миграцию. Решается добавлением этой учётной записи в локальную группу Администраторы с помощью групповых политик Restricted Groups.

19.04.2015