Migration von Windows NT 4 Domäne nach Windows 2003 Active

Transcription

Migration von Windows NT 4 Domäne nach Windows 2003 Active
Migration von Windows NT 4 Domäne
nach Windows 2003 Active Directory
Geschrieben von:
Philipp Lohr
10.12.2004 Rechen- und Kommunikationszentrum Aachen
Version: Beta1
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Inhalt:
1.
2.
Einleitung: .......................................................................................................................... 3
Vorbereitende Maßnahmen ................................................................................................ 3
2.1.
Windows 2003 Server ................................................................................................ 3
2.1.1.
Installation Windows 2003 Server ..................................................................... 3
2.1.2.
Erstellung einer bidirektionalen Vertrauensstellung: ......................................... 3
2.1.3.
Eintragen der Domain – Admins der NT4.0 Domäne in die Gruppe der
Lokalen Administratoren: .................................................................................................. 5
2.1.4.
Gruppenzuordnungen ......................................................................................... 5
2.1.5.
Überwachungsrichtlinien ................................................................................... 5
2.1.6.
Anpassung der Kennwortrichtlinien................................................................... 6
2.1.7.
Erstellen eines Migrationskeys zur Passwortübertragung über das Netzwerk... 6
2.2.
Windows NT 4.0 Server............................................................................................. 7
2.2.1.
Bestätigung der NT4 Vertrauensstellung ........................................................... 7
2.2.2.
Administratoren in Domain – Admingruppe eintragen...................................... 8
2.2.3.
Domain Gruppe anlegen..................................................................................... 9
2.2.4.
Installation des Internet Explorer 6.0 SP1.......................................................... 9
2.2.5.
Installation von ADMT ...................................................................................... 9
2.2.6.
Regkeys ............................................................................................................ 10
2.2.7.
Überwachung ................................................................................................... 10
2.3.
Migration.................................................................................................................. 10
2.3.1.
Benutzer Migration .......................................................................................... 10
2.3.2.
Computermigration .......................................................................................... 14
2.3.2 Datei – Migration .................................................................................................... 16
2.3.3.
Abschluss ......................................................................................................... 17
3. Weiter Informationen ....................................................................................................... 18
3.1.
WMI ......................................................................................................................... 18
3.1.1.
Überblick.......................................................................................................... 18
3.1.2.
Visual Basic Script .......................................................................................... 18
3.1.3.
netsh ................................................................................................................. 18
Seite 2 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
1. Einleitung:
Dieses White – Paper beschreibt die notwendigen Schritte einer Inter – Forest – Migration.
Bei einer solchen Migration sind Quell- und Zieldomäne nicht teil der gleichen
Gesamtstruktur. Die Migration erfolg über eine bidirektionalen Vertrauensstellung.
2. Vorbereitende Maßnahmen
2.1. Windows 2003 Server
2.1.1. Installation Windows 2003 Server
a.
b.
c.
d.
Installation Support Tools
Installation Subinacl (Resource Kit oder MS - Downloadseite)
Installation von ADMT (ebenfals Resource Kit oder MS – Downloadseite)
Installation Windows 2003 Active Directory mit lokalem DNS Server
2.1.2. Erstellung einer bidirektionalen Vertrauensstellung:
a. Wechseln nach „Active Directory – Domänen und Verrtauensstellungen“
Æ rechte Maustaste auf Domäne
Æ Eigenschaften
Æ Reiter Vertrauensstellungen und „Neue Vertrauensstellung“ anklicken
Angeben der zu vertrauenden Domäne und Angabe der Verrtauensrichtung:
Seite 3 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Angabe des Authentifikationsmodus und des Vertrauensstellungspasswort :
Frage nach Bestätigungen von Verrtauensstellungen
Fertig Meldung:
Das letzte Hinweisfenster gibt an, dass die SID History deaktiviert ist und mit dem Befehl:
Netdom trust NameDerVertrauendenDomäne /domain:NameDerVertrauenswürdigenDomäne
/quarantine:No /usero:Domänenadministratorkonto /passwordo:Domänenadministratorkennwort
Wieder aktiviert werden. Bsp.:
netdom trust mtest /domain:test_dom /quarantine:No /usero:Administrator /passwordo:!Test123
Seite 4 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
2.1.3. Eintragen der Domain – Admins der NT4.0 Domäne in die Gruppe
der Lokalen Administratoren:
Æ „Active Directory – Benutzer und Computer“
Æ Build in Æ Administratoren Æ Hinzufügen der Domäins Admins der NT4.0
Domäne
2.1.4. Gruppenzuordnungen
Genauso müssen die Benutzergruppen „Anonymus Login“ und „Jeder“ der Biultin Gruppe „Prä
Windows 2000 Zugriff“ Hinzugefügt werden.
Diese Zugehörigkeiten werden für den Späteren Zugriff auf die Windows NT4.0
Benutzerobjekte benötigt und müssen, um Angriffsmöglichkeiten so kleine wie
Möglich zu halten, nach der Migration wieder entfernt werden.
Für eine Bessere Überwachung, empfehlen wir die Kontoüberwachung auf beiden
Seiten der Vertrauensstellung zu aktivieren.
2.1.5. Überwachungsrichtlinien
Öffnen Sie nun den Ordner Computer Konfiguration -> Windows Einstellungen ->
Sicherheitseinstellungen -> Lokale Richtlinien -> Überwachungsrichtlinie.
Nach Doppelklick auf Kontoverwaltung überwachen aktivieren Sie dort bitte alle
Überwachungsmöglichkeiten.
Seite 5 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
2.1.6. Anpassung der Kennwortrichtlinien
Ein wesentlicher Schritt zum Guten gelingen einer Benutzermigration inklusive
Passwort Hashwerten ist das temporäre Anpassen der Kennwortrichtlinien um eine
Übernahme aus NT 4.0 zu gewährleisten.
Öffnen Sie nun den Ordner Computer Konfiguration -> Windows
Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien ->
Kontorichtlinien -> Komplexitätsanforderung -> deaktivieren
Zum Update der Gruppenrichtlinien in der Eingabeauffoderung „gpupdate“
eingeben. Dieser Befehl führt zu einer Aktualisierung aller lokalen
Gruppenrichtlinien.
2.1.7. Erstellen eines Migrationskeys zur Passwortübertragung über das
Netzwerk
Da das Übertragen von Passwörtern während einer Migration hohes ein
Sicherheitsrisiko darstellt wird von Microsoft eine verschlüsselte Übertragung der
Passwörter zwingend vorgegeben.
Seite 6 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Aus diesem Grund muss ein SSL Key durch ADMT mit folgendem Befehl erzeugt
werden:
Admt key [Vertrauendedomäne] *
(der Stern steht als Jokerzeichen, für ein im folgenden Dialog abgefragtes
Passwort)
2.2. Windows NT 4.0 Server
2.2.1. Bestätigung der NT4 Vertrauensstellung
Öffnen Sie nun den Ordner Start -> Programme -> Verwaltung -> BenutzerManager -> Richtlinien -> Vertrauensstellungen
Im folgenden Aufgehenden Dialogfeld wird ebenfalls eine Vertrauensstellung
eingerichtet, um eine Bi – Direktionale Vertrauensstellung zu realisieren:
Es ist Notwendig eine Vertrauensstellung zur und von der zu vertrauenden
Domäne zu erstellen.
Auf Hinzufügen klicken, die entfernte Domäne hinzufügen und bestätigen.
Seite 7 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Um die Berechtigungen „dieser Domäne zu vertrauen“
Zur vereinfachten Einrichtung einer Bi – Direktionalen Vertrauensstellung
verwende ich auf beiden Seiten das gleiche Passwort.
2.2.2. Administratoren in Domain – Admingruppe eintragen
Öffnen Sie nun den Ordner Start -> Programme -> Verwaltung -> BenutzerManager -> Administratoren (Gruppen)
Seite 8 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
2.2.3. Domain Gruppe anlegen
Öffnen Sie nun den Ordner Start -> Programme -> Verwaltung -> BenutzerManager -> Benutzer -> Neue lokale Gruppe
Eine Gruppe mit dem Domänen Namen anlegen, ohne Mitglieder und endet
mit 3 $
2.2.4. Installation des Internet Explorer 6.0 SP1
Um die Benutzermigration inklusive Passwörter erfolgreich zu Ende zu führen, ist
die Installation des IE 6 SP1 unumgänglich. Es installiert auf einer Windows
NT4.0 Maschine das High Encryption Pack, welches für das Verschlüsseln der
Passwörter benötigt wird.
2.2.5. Installation von ADMT
Für eine erfolgreiche Passwortmigration ist es notwendig, dass ein
Passwortmigrtionstool auf dem NT4.0 Server installiert wird.
Für die Installation wird der zuvor erzeugte ADMT Key benötigt:
Nach Ausführen der „admt\pwdmig\pwdmig.exe“ ist ein Neustart.
Anschließend wird diese exe nochmals gestartet und nun muss der zuvor
generierte ADMT Key eingelesen werden. Dieser darf sich nicht auf einem
Netzlaufwerk befinden. Da ADMT sonst die Verwendung verweigert. Im
anschließenden Dialog wird das bei der Erstellung des Keys angegebene Passwort
abgefragt.
Seite 9 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Nun folgen weitere Hinweisboxen und Abfragen, danach darf neu gestartet
werden.
2.2.6. Regkeys
Nachdem man sich wieder als Admin angemeldet hat müssen 2 Registrykeys
angepasst werden, die sich unter
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Befinden.
„AllowPasswordExport“ muss auf den Hexadezimalwert 1 eingestellt werden.
Zusätzlich muss ein DWORT mit der Bezeichnung TcpipClientSupport und dem
Wert 1 angelegt werden.
2.2.7. Überwachung
Das Aktivieren der Überwachungsrichtlinien ist ebenfalls notwendig und wird im
Benutzer Manager ausgeführt.
Nachdem die Aktivierung erfolgt ist, darf wieder neu gestartet wreden.
2.3. Migration
2.3.1. Benutzer Migration
Seite 10 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Zur Durchführung der Benutzermigration muss das ADMT Tool auf dem Windows
2003 Server gestartet werden und der „User“ oder der „Group Account Migration
Wizzard“ gestartet werden. Nah dem start des „Wizards“ bekommt man die Auswahl
Option für eine Testmigration und die eigentliche Migration.
Im folgenden Dialogfeld wird die Quell und die Zieldomäne Abgefragt.
Um nun ALLE Benutzer zu Migrieren werden die nicht „builtin“ – Gruppen ausgewählt
Seite 11 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Jetzt wird bestimmt in welche Organisationseinheit die Benutzerobjekte kopiert werden sollen.
Danach wird angegeben welche Gruppenoptionen mit migriert werden.
Zur Durchführung der Migration ist die Angabe eines Domainadmin Accounts notwendig.
Danach wird abgefragt, wie mit Konfliktbehafteten Accounts passieren soll.
Folgend wird nach art der Passworterstellung gefragt. Mit Hilfe aller Vorbereitenden
Maßnahmen wird eine Migration der Passwörter durchgeführt. Im nächsten Dialogfeld wird
abgefragt wie mit den Quellaccounts umgegangen werden soll.
Seite 12 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Nun kann mit der Testmigration begonnen werden.
Nach erfolgreicher Kontrolle der Logdatei auf Fehler kann mit der eigentlichen Migration
begonnen werden.
Nach Durchführung der Migration kann der Erfolg an einem Client PC kontrolliert werden.
Nach Auswahl der neuen Domäne im Auswahldialog der Anmeldung muss eine Anmeldung
mit einem vorhandenem Account und dessen Passwort.
Im „Active Directory Benutzer und Computer“ Dialog kann der Erfolgriche Transfere der
Benutzerobjekte kontrolliert werden.
Seite 13 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
2.3.2. Computermigration
Hinweis: Die Computer Migration erfolgt von einem Client PC in der noch
bestehenden NT 4.0 Domäne. Dies ist notwendig, da der Zugriff auf die lokale
Administratorengruppe der Client PC’s zu bekommen.
Das ADMT auf dem „Admin“-PC installieren und den „Computer Migration Wizard“
auswählen und im ersten Schritt die Migrations Einstellungen testen
Auswählen der Quell- und Zieldomäne & Auswählen der Ziel OU
Auswahl der Ziel OU mittels eines Auswahlfenster, es zeigt alle
Organisationseinheiten der Windows 2003 Domäne an.
Danach müssen die Computer ausgewählt werden, die Migriert werden sollen. Die zu
migrierenden Computer müssen eingeschaltet sein um eine Clientsoftware zu
Seite 14 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Weiter müssen die Attribute ausgewählt werden, die mit in das neue Computerobjekt
migriert werden sollen. Weiter wird angegeben, dass das Computerobjekt aus der
Quelldomäne gelöscht wird.
Der Wizard bietet eine Option den Rechner neu zu starten, jedoch funktioniert diese Option
NICHT, die Rechner müssen von Hand neu gestartet werden.
Konflikt behaftete Computerkonten werden nicht migriert. Sie müssen später von Hand
nachmigriert werden.
Nachdem nun der Wizard fertig durchlaufen ist wird nun ein Probelauf durchgeführt.
Wenn dieser erfolgreich ist, kann die wirkliche Migration ausgeführt werden.
Seite 15 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Nach dem der Test erfolgreich war wird die eigentliche Migration gestartet. Die zuvor
eingegebenen Einstellungen werden wiedergegeben und können so wieder übernommen
werden. Wie sie im Test eingegeben wurden.
2.3.2 Datei – Migration
Da die alten Dateien mit Zugriffsberechtigungen der alten Domäne versehen sind, müssen
diese gegen die neuen Attribute ausgetauscht werden. Diese Methode funktioniert bei allen
Dateisystemfreigaben. Bei Berechtigungen die auf Freigaben basiert funktioniert diese
Methode nicht.
Danke der aktivierten SID History kann jedoch auch weiterhin auf die Dateien zugegriffen
werden, auch wenn diese noch ACL für alte Berechtigungen besitzt.
Für diese Durchführung wird ein Tool namens Subinacl benötigt, das sich im Resourcekit zu
Windows Server 2003 oder auf der Windows Webseite befindet.
Verwendung:
Subinacl /subdirectories \\fileserver\share\*.* /changedomain=alte_dom=neue_dom
Seite 16 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
Um nun die neuen Dateien auf einen anderen Server zu kopieren, muss ein Laufwerk von
dem neuen Server gemountet werden und mittels xcopy kopiert werden.
Da xcopy alle acls mit kopiert.
2.3.3. Abschluss
Nachdem nun alle ACL’s angepasst wurden und Dateien verschoben sind, muss nur
noch die bidirektionale Vertrauensstellung aufgelöst werden und die NT 4 Domäne
kann, soweit sie nicht mehr gebraucht wird abgeschaltet werden.
Seite 17 / 18
Migration einer Windows NT4.0 Domäne in eine Windows 2003 Active Directory
3. Weiter Informationen
3.1. WMI
3.1.1. Überblick
WMI ist eine ab Windows 2000 fest integrierte Datenbank. Sie ermöglicht einen
einheitlichen Zugriff auf Systemparameter und dient zum einen zur
Informationsbeschaffung und zum anderen zur Verwaltung von Systemparametern.
Weiter Informationen:
http://www.rz.rwth-aachen.de/events/kursunterlagen/wb/SoSe04/wmi.pdf
3.1.2. Visual Basic Script
Um Abfragen auf die WMI Datenbank auszuführen wird standardmäßig Visual Basic
Script verwendet.
Da eine umfassende Einleitung in VB zu Umfangreich wäre um sie hier
niederzuschreiben, empfehle ich folgende Bücher:
RRZN Visual Basic 6.0
Scripting für Administratoren von MSDN ISBN: 3-86063-633-2
Scripting Host von Tobias Welter
ISBN: 3-7723-7656-8
3.1.3. netsh
Für die Steuerung der Windows XP Firewall bietet der Befehl „netsh“ Möglichkeiten
diese zu steuern.
Weitere Informationen:
Auf den Microsoftseiten:
http://support.microsoft.com/default.aspx?scid=kb;en-us;875357
http://support.microsoft.com/default.aspx?kbid=842242
Auf andern Seiten:
http://www.ss64.com/nt/netsh.html
http://www2.uibk.ac.at/zid/security/windows-firewall.html
Seite 18 / 18