Tags: Active Directory, Migration, Exchange
Nachdem eine Vertrauensstellung zwischen der Quell- und Ziel-Domäne eingerichtet ist, kann man Benutzer, Gruppen und Computer von der alten in die neue Gesamtstruktur übertragen. Ein Werkzeug dafür ist das kostenlose Active Directory Migration Tool (ADMT), welches auch auf Windows Server 2012 R2 und 2016 läuft.
Angesichts der geringen Größe der Installationsdatei von nur wenigen MB bietet das ADMT ein erstaunlich großes Leistungsspektrum. Folgende Objekte können Sie damit migrieren:
- Benutzer und Dienstkonten (incl. Benutzerprofile, Passwörtern, SID etc.).
- Gruppen
- Computerkonten
Damit deckt es das wichtigste Inventar des AD ab. Anders sieht es aus, wenn Sie Exchange-Eigenschaften migrieren möchten. Das ADMT unterstützt nämlich nicht:
- E-Mail-Konten
- Verteilergruppen
- Öffentliche Ordner
- Freigabe- und Ressourcenpostfächer
- Mobile-Device-Einstellungen
Das ADMT sorgt aber erst einmal dafür, dass der Grundstock, sprich die Benutzer im Active Directory, vorhanden sind, bevor weitere Server und Einstellungen übertragen werden können. Es hat offensichtlich keinen Sinn, ein Postfach zu migrieren, wenn der dazugehörige Benutzer im Active Directory nicht vorhanden ist.
Wenn man vor hat, den Domain Controller aus der alten Gesamtstruktur nach der Migration auszumustern, dann kann man ihn als Migrations-Server nutzen und das ADMT gleich dort installieren. Andernfalls eignet sich dafür auch ein Member-Server, solange er in der Lage ist, über die Vertrauensstellung die andere Domäne aufzulösen.
SQL Server Express einrichten
Das ADMT benötigt einen SQL Server, so dass ich diese Anleitung mit dem Einrichten der Express Edition beginne. Das Migrations-Tool gibt zwar im ersten Installationsfenster an, dass es gerne einen SQL Server 2008 hätte, aber es funktioniert auch mit aktuelleren Versionen der Datenbank.
Die Installation von SQL Server ist eigentlich ein Selbstläufer und sollte keine Hürde darstellen. Wichtig ist dabei, dass man sich für später den Instanznamen merkt!
Bei der Datenbankmodulkonfiguration entscheidet man sich für den Windows-Authentifizierungsmodus.
Installation der ADMT
Nach der Angabe der Datenbank (der Servername kann hier mit .\ abgekürzt werden) beginnt die eigentliche Installation. Sollte die Verbindung zum Datenbank-Server nicht zustande kommen, erhalten Sie spätestens jetzt eine Rückmeldung.
Da ich keine existierenden Daten aus einer älteren ADMT-Version habe, will ich im nachfolgenden Dialog auch keine importieren.
Nun wird die Datenbank angelegt und die Installation ist damit abgeschlossen.
Eigentlich könnte man ADMT jetzt schon nutzen, allerdings kann man im jetzigen Zustand noch keine Kennwörter mit übergeben. Hierzu wird noch der Password Export Server Service benötigt.
Außerdem gilt zu bedenken, dass das ADMT standardmäßig nicht alle Attribute berücksichtigt , so dass die Migration unvollständig sein kann. Dieses Verhalten lässt sich durch Überschreiben der vorgegebenen Ausschlussliste ändern.
Password Export Server Service konfigurieren
Die Installation dieses weiteren Tools erfordert ein Encryption file, also einen Verschlüsselungsschlüssel für die Zieldomäne. Um diesen zu erstellen, brauche ich Windows PowerShell inklusive Active-Directory-Modul, die ich mit erhöhten Rechten starte.
Dort führe ich folgenden Befehl aus:
admt key /option:create /sourcedomain:roland.local /keyfile:C:\Service\PWKey /keypassword:*
Die Verwendung eines Platzhalters für das Passwort bewirkt, dass man es interaktiv eingeben muss.
Jetzt füge ich den eben generierten Passwort-Key ein
und danach das vorhin festgelegte Passwort.
Als nächstes muss ein User mit administrativen Rechten angegeben werden:
Die Installation ist damit abgeschlossen. Der Server sollte danach einmal neu gestartet werden. Nach dem Reboot sollte man kontrollieren, ob der Dienst Password Export Server Service läuft.
Daten migrieren mit dem ADMT
Das ADMT erleichtert den Umzug von AD-Objekten mit Hilfe mehrerer Wizards, die sich aus dem Kontextmenü des Wurzelelements starten lassen. Damit Sie ein Gefühl für die Migration bekommen, empfiehlt es sich, mit einem Testbenutzer zu beginnen.
Wichtig! Beachten Sie bitte, dass bei einer Migration eines Computerkontos der jeweilige Computer eingeschaltet sein sollte. Zuverlässiger wäre es in diesem Fall ansonsten, den Rechner per Hand in die neue Domain zu verschieben.
Migration von Postfächern
Wie bereits erwähnt, bietet das ADMT nicht die Mittel für den Umzug von Exchange-spezifischen Objekten. Hier besteht die Möglichkeit, diese in PowerShell mit einem New-MoveRequest auf den neuen Exchange-Server zu übertragen.
Eine weitere, aber unschöne und recht aufwendige Möglichkeit wäre es, die Migration händisch mit einem Export/Import per PST-Datei abzuwickeln.
Wer es hingegen einfach haben möchte, dem empfehle ich das Programm Exchange Migration vom Software-Hersteller CodeTwo. Die Übertragung der Postfächer sowie der öffentlichen Ordner lässt sich damit wesentlich einfacher bewerkstelligen.
Verfügbarkeit
Die hier besprochenen Tools können von Microsofts Website heruntergeladen werden. Hier die Links zu den Download-Quellen:
Täglich Know-how für IT-Pros mit unserem Newsletter
Roland Eich ist gelernter Fachinformatiker für Systemintegration und in der IT seit über 14 Jahren zu Hause. Roland deckt aufgrund seiner Erfahrungen ein breites Spektrum der Microsoft-Produktpalette ab.Zudem besitzt er verschiedene Zertifizierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
// Kontakt: E-Mail //
Verwandte Beiträge
- Migration von AD-Benutzern mit ADMT: Fehlende Attribute übertragen
- Migration auf Exchange 2016: alten Server entfernen
- Microsoft Exchange: Auflisten von Mitgliedern einer statischen Verteilergruppe verhindern
- Im Test: On-prem-Exchange nach Microsoft 365 umziehen mit CodeTwo Office 365 Migration
- Active Directory-Zertifikatdienste auf einen neuen Server migrieren
Weitere Links
2 Kommentare
Hat sich im keyfile Pfad eine Fehler eingeschlichen? C:\Service statt C:Service
admt key /option:create /sourcedomain:roland.local /keyfile:C:Service\PWKey /keypassword:*
Danke fürs aufmerksame Lesen :-) Habe den Backslash eingefügt.