Migration von AD-Benutzern mit ADMT: Fehlende Attribute übertragen

Eine Einschränkung von ADMT besteht darin, dass bei der Migration eine Reihe von Attributen auf der Strecke bleibt. Im Unterschied zu anderen Limitierungen kann man diese beheben. Folgende Grafik zeigt den Aufbau einer Migration von Exchange zu Office 365 (Exchange Online), bei der dieses Problem auftrat.

Dabei fiel auf, dass das Attribut proxy Address nicht mit in den neuen Forest über­nommen wurde. Dies führte dazu, dass die Benutzer in Exchange Online beim Abgleich mit dem neuen Forest ihre Mail-Adressen verloren und stattdessen eine Standard-Mail-Adresse erhielten.

Abhilfe schaffte eine eigens erstellte Excludelist. Dies scheint auf den ersten Blick abwegig, weil ja Attribute ein- und nicht ausgeschlossen werden sollen. Die Standard­einstellungen basieren jedoch auf einer Ausschluss­liste, die in der Variable System­Properties­ToExclude des WMI-Namespace ADMT.Migration hinterlegt ist.

Es geht jetzt also darum, die Einträge aus der vorgegebenen Ausschlussliste mit einer eigenen Excludelist zu überschreiben.

Existenz einer individuellen Excludelist prüfen

Im ersten Schritt sollte man jedoch prüfen, ob nicht eventuell schon ein anderer Administrator eine Excludelist gesetzt hat. Dies lässt sich bewerk­stellingen, in dem man in einem Editor eine .vbs-Datei mit folgendem Inhalt erzeugt:

Set o = CreateObject("ADMT.Migration")
WScript.Echo o.SystemPropertiesToExclude

Danach führt man das Script in der Eingabeauf­forderung aus, und zwar unter C:\Windows\SysWOW64. Aufrufe in einem anderen Verzeichnis führen zu Fehlern.

In der obigen Abbildung ist zu sehen, dass es noch keine selbst erstellten Excludelists gibt. Nun kann man sich daran machen, eine solche selbst zu erstellen. Dies erledigt man ebenfalls über ein VB-Script mit folgendem Inhalt:

Set o = CreateObject("ADMT.Migration")
o.SystemPropertiesToExclude = "telephoneAssistant, textEncodedORAddress, trackingLogPathName, type, uid, uidNumber, unauthOrig, unauthOrigBL, unixHomeDirectory, unixUserPassword, unmergedAtts, userPKCS12, userSMIMECertificate, x500uniqueIdentifier"

In diesem Beispiel habe ich einige Attribute in die Liste aufgenommen, die ich nicht migrieren möchte. Will man tatsächlich alle Eigenschaften eines AD-Objekts übertragen, dann würde es reichen, eine leere Liste mit "" anzugeben.

Nachdem ich die Excludelist gesetzt habe, führe ich erneut das erste Script aus, um zu prüfen, welche Attribute von der Migration ausgeschlossen bleiben.

Das Attribut proxy Address ist nun ebenfalls über die ADMT-Konsole auswählbar. Über eine erneute Synchronisation der Benutzer kann ihnen das Attribut nun im neuen Forest hinzugefügt werden. Dadurch vermeidet man, dass alle Konten im neuen Forest gelöscht und eine komplett neue Erstsyn­chronisation durchgeführt werden muss.