09/10/2019

Forest Migration

Bunu yapmak için ADMT (Ad Migration tool) adında microsoft un sayfasında indirilebilecek bir tool mevcuttur.

A forestindan B forestına migrate ederken :
* Kullanıcı hesapları
* Managed Service Accounts
* Computer Accounts
* Gruplar
migrate edilir.

Ayrıca SID-History de istersek kullanıcılar ile bir forestdan diğerine gönderilir.
SID history özellikle B forestina göçerken A da kullandıkları şeyleri kullanmaya devam etmelerini sağlar bu nedenle önemlidir.

Migration dan önce yapılması gereken işlemler

  • Vista SP1 den veya Windows Server 2008 R2 den önceki sistemlerde Registry yi ayarlayıp cryptography’i Windows NT 4.0 ile uyumlu hale getirmek gerekmektedir.
  • Firewall dosya ve printer paylaşımına açılmalıdır.
  • Kaynak ve hedef AD DS ayarlanacak böylece users, groups ve kullanıcı profilleri çalışabilecek.
  • Rollback planı olmalı.
  • Trust bağlantısı kurulmalı.
  • Kaynak ve hedef AD DS’ler SID-History migration için enable edilmeli.
  • Göç edeccek servis hesapları belirlenmeli
  • Mutlaka test migration yapılmalı ve tespit edilen sorunlar çözülmeli.

Migration uzun bir süreçtir. Microsoftun web sayfasında bu konu ile ilgili 250 sayfalık doküman mevcuttur.

Güzel bir video bu konuda : https://www.youtube.com/watch?v=wXsLjzpb9ZA

Adım 1 : Yeni yapılanma planı oluşturun

  • Account migration planı oluşturun
  • Mevcut objectlerin yeni yerlerlerini planlayın (mapping)
  • Test planı geliştirin.
  • Rollback planı oluşturun.
  • İletişim planı oluşturun. personeli bilgilendirin işlemler yapılırken.

Adım 2:

  • 128-bit encryption kullanılacak.
  • en az tek yönlü trust gerekiyor.
  • Göç edecek hesapların kaynak ve hedef tarafında permissionları olmalı.
  • ADMT SID-Historyi otomatik yapacak.
  • Hedefte ki OU yapısını kontrol edin
  • ADMT yi hedef domainde kurun.
  • Password migration’ı enable edin.
  • Test migration’ı yapın (küçük bir test olarak da icra edilebilir)

Adım 3 : Hesapları Migrate edin

  • Service hesaplarını aktarın
  • Global grupları aktarın
  • Hesapları aktarın

Adım 4: Kaynakları (resources) migrate edin

  • Workstatin ve üye serverları aktarın.
  • Domain local grupları aktarın
  • DC’leri aktarın

Adım 5: Migration i tamamlayın

  • Yönetim processlerini hedef domaine aktarın.
  • En az 2 faal DC olduğundan emin olun.
  • Kaynak domain’i decomission yapın.

SID-History aktarımı çok önemli. Eski SIDlerin aktarıldığı yeni domainde kullanıcıların 2 SIDsi olacak ama böylece kullanıcılar eski resourceları kullanmaya devam edebilecekler. Herşey bittikten sonra eski domain kapandıktan sonra eski SID’ler artık silinebilir.

Leave a Reply