Migration von AD-Benutzern mit ADMT: Fehlende Attribute übertragen

    Active Directory MigrationDas Active Directory Migration Tool (ADMT) dient dazu, AD-Objekte in andere Domänen oder Forests umzu­ziehen. Standard­mäßig berück­sichtigt es aber nicht alle Attribute, so dass die Migration unvoll­ständig sein kann. Dieses Verhalten lässt sich durch Über­schreiben der vorge­gebenen Ausschluss­liste ändern.

    ADMT ist Microsofts kostenloses Werkzeug zur Migration von AD-Objekten, mit dem Admins in vielen Fällen ihr Auslangen finden (siehe dazu: Benutzer zwischen AD-Domänen umziehen mit dem Active Directory Migration Tool). Für weitergehende Ansprüche, etwa den Umzug sämtlicher Objekttypen, sieht der Hersteller den Microsoft Identity Manager vor.

    Problem bei einer Beispielmigration

    Eine Einschränkung von ADMT besteht darin, dass bei der Migration eine Reihe von Attributen auf der Strecke bleibt. Im Unterschied zu anderen Limitierungen kann man diese beheben. Folgende Grafik zeigt den Aufbau einer Migration von Exchange zu Office 365 (Exchange Online), bei der dieses Problem auftrat.

    Aufbau der Migration von Exchange nach Office 365

    Dabei fiel auf, dass das Attribut proxy Address nicht mit in den neuen Forest über­nommen wurde. Dies führte dazu, dass die Benutzer in Exchange Online beim Abgleich mit dem neuen Forest ihre Mail-Adressen verloren und stattdessen eine Standard-Mail-Adresse erhielten.

    Abhilfe schaffte eine eigens erstellte Excludelist. Dies scheint auf den ersten Blick abwegig, weil ja Attribute ein- und nicht ausgeschlossen werden sollen. Die Standard­einstellungen basieren jedoch auf einer Ausschluss­liste, die in der Variable System­Properties­ToExclude des WMI-Namespace ADMT.Migration hinterlegt ist.

    Es geht jetzt also darum, die Einträge aus der vorgegebenen Ausschlussliste mit einer eigenen Excludelist zu überschreiben.

    Existenz einer individuellen Excludelist prüfen

    Im ersten Schritt sollte man jedoch prüfen, ob nicht eventuell schon ein anderer Administrator eine Excludelist gesetzt hat. Dies lässt sich bewerk­stellingen, in dem man in einem Editor eine .vbs-Datei mit folgendem Inhalt erzeugt:

    Set o = CreateObject("ADMT.Migration")
    WScript.Echo o.SystemPropertiesToExclude

    Danach führt man das Script in der Eingabeauf­forderung aus, und zwar unter C:\Windows\SysWOW64. Aufrufe in einem anderen Verzeichnis führen zu Fehlern.

    Prüfen, ob eine individuelle Excludelist für ADMT bereits existiert

    In der obigen Abbildung ist zu sehen, dass es noch keine selbst erstellten Excludelists gibt. Nun kann man sich daran machen, eine solche selbst zu erstellen. Dies erledigt man ebenfalls über ein VB-Script mit folgendem Inhalt:

    Set o = CreateObject("ADMT.Migration")
    o.SystemPropertiesToExclude = "telephoneAssistant, textEncodedORAddress, trackingLogPathName, type, uid, uidNumber, unauthOrig, unauthOrigBL, unixHomeDirectory, unixUserPassword, unmergedAtts, userPKCS12, userSMIMECertificate, x500uniqueIdentifier"

    In diesem Beispiel habe ich einige Attribute in die Liste aufgenommen, die ich nicht migrieren möchte. Will man tatsächlich alle Eigenschaften eines AD-Objekts übertragen, dann würde es reichen, eine leere Liste mit "" anzugeben.

    Neue Excludelist mit Hilfe eines VB-Scripts erstellen

    Nachdem ich die Excludelist gesetzt habe, führe ich erneut das erste Script aus, um zu prüfen, welche Attribute von der Migration ausgeschlossen bleiben.

    Das Attribut proxy Address ist nun ebenfalls über die ADMT-Konsole auswählbar. Über eine erneute Synchronisation der Benutzer kann ihnen das Attribut nun im neuen Forest hinzugefügt werden. Dadurch vermeidet man, dass alle Konten im neuen Forest gelöscht und eine komplett neue Erstsyn­chronisation durchgeführt werden muss.

    Keine Kommentare