Benutzer zwischen AD-Domänen umziehen mit dem Active Directory Migration Tool (ADMT)


    Tags: , ,

    Active Directory MigrationNachdem eine Vertrauens­stellung zwischen der Quell- und Ziel-Domäne einge­richtet ist, kann man Benutzer, Gruppen und Computer von der alten in die neue Gesamt­struktur über­tragen. Ein Werk­zeug dafür ist das kostenlose Active Directory Migration Tool (ADMT), welches auch auf Windows Server 2012 R2 und 2016 läuft.

    Angesichts der geringen Größe der Installationsdatei von nur wenigen MB bietet das ADMT ein erstaunlich großes Leistungs­spektrum. Folgende Objekte können Sie damit migrieren:

    • Benutzer und Dienstkonten (incl. Benutzerprofile, Passwörtern, SID etc.).
    • Gruppen
    • Computerkonten

    Damit deckt es das wichtigste Inventar des AD ab. Anders sieht es aus, wenn Sie Exchange-Eigenschaften migrieren möchten. Das ADMT unterstützt nämlich nicht:

    • E-Mail-Konten
    • Verteilergruppen
    • Öffentliche Ordner
    • Freigabe- und Ressourcenpostfächer
    • Mobile-Device-Einstellungen

    Das ADMT sorgt aber erst einmal dafür, dass der Grundstock, sprich die Benutzer im Active Directory, vorhanden sind, bevor weitere Server und Einstellungen übertragen werden können. Es hat offensichtlich keinen Sinn, ein Postfach zu migrieren, wenn der dazugehörige Benutzer im Active Directory nicht vorhanden ist.

    Wenn man vor hat, den Domain Controller aus der alten Gesamtstruktur nach der Migration auszumustern, dann kann man ihn als Migrations-Server nutzen und das ADMT gleich dort installieren. Andernfalls eignet sich dafür auch ein Member-Server, solange er in der Lage ist, über die Vertrauens­stellung die andere Domäne aufzulösen.

    SQL Server Express einrichten

    Das ADMT benötigt einen SQL Server, so dass ich diese Anleitung mit dem Einrichten der Express Edition beginne. Das Migrations-Tool gibt zwar im ersten Installations­fenster an, dass es gerne einen SQL Server 2008 hätte, aber es funktioniert auch mit aktuelleren Versionen der Datenbank.

    Die Installation von SQL Server ist eigentlich ein Selbstläufer und sollte keine Hürde darstellen. Wichtig ist dabei, dass man sich für später den Instanznamen merkt!

    Instanzname bei der Installation von SQL Server Express angeben

    Bei der Datenbankmodul­konfiguration entscheidet man sich für den Windows-Authentifizierungs­modus.

    Authentifizierungs­modus für SQL Server Express auswählen

    Installation der ADMT

    Nach der Angabe der Datenbank (der Servername kann hier mit .\ abgekürzt werden) beginnt die eigentliche Installation. Sollte die Verbindung zum Datenbank-Server nicht zustande kommen, erhalten Sie spätestens jetzt eine Rückmeldung.

    Eingabe der Datenbank bei der Installation von ADMT

    Da ich keine existierenden Daten aus einer älteren ADMT-Version habe, will ich im nachfolgenden Dialog auch keine importieren.

    Option zur Datenübernahme aus einer anderen ADMT-Installation

    Nun wird die Datenbank angelegt und die Installation ist damit abgeschlossen.

    Zusammenfassung der gewählten Installationsoptionen für ADMT

    Eigentlich könnte man ADMT jetzt schon nutzen, allerdings kann man im jetzigen Zustand noch keine Kennwörter mit übergeben. Hierzu wird noch der Password Export Server Service benötigt.

    Außerdem gilt zu bedenken, dass das ADMT standard­mäßig nicht alle Attribute berück­sichtigt , so dass die Migration unvoll­ständig sein kann. Dieses Verhalten lässt sich durch Über­schreiben der vorge­gebenen Ausschluss­liste ändern.

    Password Export Server Service konfigurieren

    Die Installation dieses weiteren Tools erfordert ein Encryption file, also einen Verschlüsselungs­schlüssel für die Zieldomäne. Um diesen zu erstellen, brauche ich Windows PowerShell inklusive Active-Directory-Modul, die ich mit erhöhten Rechten starte.

    Dort führe ich folgenden Befehl aus:

    admt key /option:create /sourcedomain:roland.local /keyfile:C:\Service\PWKey /keypassword:*

    Die Verwendung eines Platzhalters für das Passwort bewirkt, dass man es interaktiv eingeben muss.

    Encryption Key für den Password Export Service erzeugen

    Jetzt füge ich den eben generierten Passwort-Key ein

    Generierten Verschlüsselungsschlüssel eingeben

    und danach das vorhin festgelegte Passwort.

    Als nächstes muss ein User mit administrativen Rechten angegeben werden:

    Konto für die Ausführung des Password Migration Service spezifizieren

    Die Installation ist damit abgeschlossen. Der Server sollte danach einmal neu gestartet werden. Nach dem Reboot sollte man kontrollieren, ob der Dienst Password Export Server Service läuft.

    Prüfen, ob der Password Migration Service läuft

    Daten migrieren mit dem ADMT

    Das ADMT erleichtert den Umzug von AD-Objekten mit Hilfe mehrerer Wizards, die sich aus dem Kontextmenü des Wurzel­elements starten lassen. Damit Sie ein Gefühl für die Migration bekommen, empfiehlt es sich, mit einem Testbenutzer zu beginnen.

    Wizards in ADMT zur Migration von AD-Objekten

    Wichtig! Beachten Sie bitte, dass bei einer Migration eines Computerkontos der jeweilige Computer eingeschaltet sein sollte. Zuverlässiger wäre es in diesem Fall ansonsten, den Rechner per Hand in die neue Domain zu verschieben.

    Migration von Postfächern

    Wie bereits erwähnt, bietet das ADMT nicht die Mittel für den Umzug von Exchange-spezifischen Objekten. Hier besteht die Möglichkeit, diese in PowerShell mit einem New-MoveRequest auf den neuen Exchange-Server zu übertragen.

    Eine weitere, aber unschöne und recht aufwendige Möglichkeit wäre es, die Migration händisch mit einem Export/Import per PST-Datei abzuwickeln.

    Exchange-Daten migrieren mit der Software von CodeTwo

    Wer es hingegen einfach haben möchte, dem empfehle ich das Programm Exchange Migration vom Software-Hersteller CodeTwo. Die Übertragung der Postfächer sowie der öffentlichen Ordner lässt sich damit wesentlich einfacher bewerk­stelligen.

    Verfügbarkeit

    Die hier besprochenen Tools können von Microsofts Website herunter­geladen werden. Hier die Links zu den Download-Quellen:

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Hat sich im keyfile Pfad eine Fehler eingeschlichen? C:\Service statt C:Service

    admt key /option:create /sourcedomain:roland.local /keyfile:C:Service\PWKey /keypassword:*

    Bild von Wolfgang Sommergut

    Danke fürs aufmerksame Lesen :-) Habe den Backslash eingefügt.