ADMT Installation und Einrichtung

Das Active Directory Migration Tool (ADMT) steht zum Download auf der Microsoft-Website zur Verfügung und benötigt eine vorkonfigurierte Microsoft SQL Server-Instanz zur Speicherung der zugrunde liegenden Daten.

• Für SQL Server Express-Benutzer: Muss ADMT direkt auf dem Server installiert und betrieben werden, auf dem die SQL Server Express-Datenbankinstanz ausgeführt wird.
• Für vollständige SQL Server-Benutzer: Haben Sie die Möglichkeit, die ADMT-Konsole auf einem Remote-Computer zu installieren und auszuführen, mit der Option, mehrere ADMT-Konsolen auf verschiedenen Remote-Computern zu betreiben.

ADMT Voraussetzungen und Empfehlungen

• Das Konto, das für die ADMT-Migration verwendet wird, muss ein Domain-Administrator in der Ziel-Domäne sein.
• Es muss außerdem Mitglied der Administratorengruppe in der Quell-Domäne sein.
• Zusätzlich sollte das Administrator-Konto der Ziel-Domäne zur Administratorengruppe der Quell-Domäne hinzugefügt werden, um Vertrauen und Migrationsberechtigungen zu erleichtern.
• ADMT muss auf dem Rechner installiert sein, auf dem ADManager Plus installiert ist.
• Nach der Installation von ADMT starten Sie ADManager Plus neu, um sicherzustellen, dass die Eingabeaufforderung das neu installierte Programm erkennt.
• Eine leere Gruppe mit dem Namen <DomainDNS>$$$ muss sowohl in der Quell- als auch in der Ziel-Domäne erstellt werden.
• Vor der Installation von ADMT muss sichergestellt werden, dass alle vorherigen Versionen über Programme hinzufügen oder entfernen in der Systemsteuerung.
• entfernt wurden.
• Da ADMT keine direkten Upgrades unterstützt, können Sie eine bestehende SQL Server-Datenbank ab Version 3.0 wiederverwenden. SQL Server-Datenbanken der Versionen 1.0 und 2.0 sind nicht kompatibel.
• Vermeiden Sie die Installation von ADMT auf Servern mit Server Core oder Read-Only Domain Controller (RODC) für optimale Leistung.
• Bei der Einrichtung von SQL Server haben Sie zwei Optionen:
• Installieren Sie SQL Server Express lokal.
• Verwenden Sie eine bestehende SQL Server-Instanz, um die erforderliche ADMT-Datenbank zu erstellen.
• Für beste Ergebnisse wird empfohlen, ADMT auf dem Ziel-Domänencontroller zu installieren.

Melden Sie sich auf dem Rechner mit installiertem ADMT mit dem ADManager Plus-Dienstkonto an oder führen Sie sowohl SQL Server als auch ADMT-Installationen mit diesem Konto aus. Dies vermeidet Berechtigungsprobleme bei Installation und Ausführung.

Einrichtung von SQL Server für ADMT

• ADMT v3.2 benötigt eine vorkonfigurierte SQL Server-Instanz als Datenspeicher. Wenn Sie SQL Server Express verwenden, stellen Sie sicher, dass folgende Anforderungen erfüllt sind:
• SQL Server 2005 Express muss mit Service Pack 3 (SP3) oder höher installiert sein.

SQL Server 2008 Express benötigt Service Pack 1 (SP1) oder höher.

1. Hinweis: Stellen Sie sicher, dass das Dienstkonto, das während des Serverkonfigurations- schritts der SQL Server-Installation verwendet wird, dasselbe Konto ist, das während des gesamten Migrationsprozesses verwendet wird, einschließlich der Domäneneinstellungen

2. Konfiguration von ADManager Plus. Auf der Datenbank-Engine-Konfigurations- Seite wählen Sie Windows-Authentifizierungsmodus und fügen das Migrationsdienstkonto unter SQL Server-Administratoren festlegen

hinzu, um die korrekten Berechtigungen sicherzustellen.

Installation von ADMT

1. Für die Installation von ADMT benötigen Sie Administratorrechte oder gleichwertige Berechtigungen. Folgen Sie diesen Schritten, um die Installation abzuschließen: Doppelklicken Sie auf admtsetup32.exe
2. Konfiguration von ADManager Plus. aus dem ADMT-Downloadpaket, um den Setup-Assistenten zu starten. Begrüßungs- Seite, bestätigen Sie, dass alle Voraussetzungen und Empfehlungen erfüllt sind, und klicken dann auf.

3. Weiter Seite, bestätigen Sie, dass alle Voraussetzungen und Empfehlungen erfüllt sind, und klicken dann auf.

4. Konfiguration von ADManager Plus. Akzeptieren Sie die Lizenzvereinbarung und fahren Sie durch Klicken auf Datenbankauswahl Seite fort, geben Sie den Datenbank-(Server\Instanz) Namen ein. Für lokale Installationen können Sie einen Punkt (“.”) verwenden, um den lokalen Server darzustellen. Standardmäßig heißt die SQL Server Express-Instanz.
   • SQLEXPRESS
   
5. Zum Beispiel geben Sie ".\SQLEXPRESS" ein, um eine Standard-SQL Server Express-Instanz auf dem lokalen Server zu verwenden. Wenn SQL Express ausgewählt ist und die ADMT.mdfDatenbankdatei an der Standardposition (%windir%\ADMT\Data ) nicht gefunden wird, erscheint die Datenbankimport- Seite. Wenn die Datei vorhanden ist, wird ADMT sie automatisch anhängen und die Zusammenfassungs-
• Konfiguration von ADManager Plus. ) nicht gefunden wird, erscheint die Seite wird angezeigt. Seite, wenn Sie keine Daten importieren möchten, wählen Sie Nein, keine Daten aus einer bestehenden Datenbank importieren (Standard). Wenn Sie Daten aus einer früheren ADMT-Installation importieren müssen, wählen SieJa
• , importieren Sie Daten aus einer bestehenden ADMT v3.0- oder ADMT v3.1-Datenbank und suchen Sie die Datei.
6. Vor dem Importieren von Daten aus einer bestehenden Datenbank stellen Sie sicher, dass die Datenbankdatei mit den entsprechenden SQL Server-Befehlen vom SQL Server getrennt wurde. Seite. Wenn die Datei vorhanden ist, wird ADMT sie automatisch anhängen und die Überprüfen Sie abschließend die Details auf der Seite und klicken Sie auf Fertigstellen

, um die Installation abzuschließen.

Anforderungen an die sIDHistory-Migration

1. Um die sIDHistory erfolgreich zu migrieren, stellen Sie folgende Abhängigkeiten sicher:

   Aktivieren Sie Erfolgs- und Fehlerüberwachung Sowohl die Quell- als auch die Ziel-Domänen benötigen die Überwachung für Kontoverwaltung. Um dies zu aktivieren, navigieren Sie zu.

   • Standardrichtlinie für Domänencontroller > Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Überwachungsrichtlinie Klicken Sie mit der rechten Maustaste auf Kontoverwaltung überwachen und wählen Sie.
   • Eigenschaften Aktivieren Sie das Kontrollkästchen fürDiese Richtlinieneinstellungen definieren und aktivieren Sie sowohl Erfolg als auch Fehler
   • Optionen. Klicken Sie auf OK

   

   

2. , um zu übernehmen.

   Erstellen Sie eine leere lokale Gruppe

3. Erstellen Sie in der Quell-Domäne eine leere lokale Gruppe namens „{SourceNetBIOSDom}$$$“.

   Registrierungskonfiguration Setzen Sie auf dem primären Domänencontroller der Quell-Domäne den Registrierungsschlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport 1.

4. auf

   Starten Sie den primären DC neu

5. Nach der Konfiguration der Registrierung starten Sie den primären DC in der Quell-Domäne neu, damit die Änderungen wirksam werden.

   Administratorrechte Das Benutzerkonto, das die Migration durchführt, muss Administratorrechte

in sowohl der Quell- als auch der Ziel-Domäne besitzen.

Optional kann ADMT automatisch alle nicht korrekt konfigurierten Abhängigkeiten reparieren. Um diese Funktion zu nutzen, stellen Sie sicher, dass das Konto, das ADMT ausführt, in jeder Domäne über ausreichende Berechtigungen verfügt, um diese Änderungen vorzunehmen.

Installation der ADMT Password Migration DLL

Um Benutzerpasswörter erfolgreich von der Quell- zur Ziel-Domäne zu migrieren, muss die ADMT Password Migration DLL auf dem Domänencontroller der Quell-Domäne installiert werden.

1. Befolgen Sie die nachstehenden Schritte zur Installation der ADMT Password Migration DLL: Bevor Sie die ADMT Password Migration DLL installieren, müssen Sie auf dem Domänencontroller, auf dem ADMT in der Ziel-Domäne ausgeführt wird, einen Verschlüsselungsschlüssel erstellen. Führen Sie ADMT Key /Option:Create /SourceDomain: <SourceDomainName> /KeyFile:C:\FMP\FileMigPass.pes /KeyPassword: <Passwort>

   

2. Konfiguration von ADManager Plus. in der Eingabeaufforderung mit Administratorrechten aus, um den Verschlüsselungsschlüssel zu erstellen. Begrüßung des ADMT Password Migration DLL Installationsassistenten Seite, bestätigen Sie, dass alle Voraussetzungen und Empfehlungen erfüllt sind, und klicken dann auf.

   

3. Weiter Seite, klicken Sie auf

   

4. Konfiguration von ADManager Plus. Weiter. Verschlüsselungsdatei- Seite, klicken Sie auf Durchsuchen Seite, klicken Sie auf

   

   

   

5. Geben Sie das beim Erstellen des Verschlüsselungsschlüssels in Schritt 1 verwendete Passwort ein und klicken Sie dann OK.

   

6. Konfiguration von ADManager Plus. Bereit zur Installation der ADMT Password Migration DLL Begrüßung des ADMT Password Migration DLL Installationsassistenten Installieren , um die Installation zu starten.

   

7. Führen Sie jetzt den Password Export Server (PES) Dienst als ADMT-Konto in der Ziel-Domäne aus. Geben Sie das Passwort ein und klicken Sie Klicken Sie auf.

   

8. Optionen. Klicken Sie auf im Dialogfeld, das anzeigt, dass das Recht 'Als Dienst anmelden' für das angegebene Konto gewährt wurde, auf.

   

9. Um den Setup-Assistentenzu beenden, klicken Sie Seite und klicken Sie auf.

   

10. Optionen. (Standard). Wenn Sie Daten aus einer früheren ADMT-Installation importieren müssen, wählen Sie , um den Domänencontroller neu zu starten und die Installation der ADMT Password Migration DLL abzuschließen.

    

Starte Password Export Server Service

Nach dem Neustart des Domänencontrollers muss der Password Export Server Service manuell gestartet werden. Um den Dienst zu starten:

1. Navigieren Sie zu Start > Administrative Tools > Services.
2. Wählen Sie Password Export Server Service auf der Services (Local) Seite aus und klicken Sie dann auf Starten.

Der Password Export Server Service läuft nun wie in der Status Spalte angezeigt.

Beste Praktiken für die Migration

• Regelmäßige Backups: Es ist wichtig, Domänencontroller sowohl in der Quell- als auch in der Zieldomäne während des Migrationsprozesses regelmäßig zu sichern. Wenn Sie Computer migrieren, die Dateifreigaben enthalten, stellen Sie zur sicheren Übersetzung sicher, dass diese Maschinen ebenfalls während der gesamten Migration gesichert werden.
• Testmigration zuerst: Erstellen Sie vor einer vollständigen Migration einen Testbenutzer und fügen Sie ihn den notwendigen globalen Gruppen hinzu. Überprüfen Sie den Zugriff auf Ressourcen vor und nach der Migration, um sicherzustellen, dass alles ordnungsgemäß funktioniert.
• Testen in einer kontrollierten Umgebung: Führen Sie Migrationen immer zuerst in einer Testumgebung durch, bevor Sie Änderungen in der produktiven Live-Umgebung vornehmen. So können potenzielle Probleme frühzeitig erkannt und behoben werden.
• Haben Sie einen Wiederherstellungsplan: Ein guter Wiederherstellungsplan ist unerlässlich. Testen Sie ihn gründlich in der Vor-Migrationsphase, um sicherzustellen, dass er bei Bedarf effektiv funktioniert.
• Zeit-Synchronisation: Stellen Sie sicher, dass die Systemzeit auf allen an der Migration beteiligten Domänen synchronisiert ist. Nicht synchronisierte Zeiten können dazu führen, dass die Kerberos-Authentifizierung fehlschlägt, daher ist dieser Schritt für einen reibungslosen Migrationsprozess entscheidend.

Einschränkungen von ADMT

1. Unterstützung veralteter Betriebssysteme

   ADMT wurde ursprünglich zur Unterstützung von Migrationen zu Windows 2000 und Windows Server 2003 veröffentlicht. Es wurde nicht aktualisiert, um neuere Betriebssysteme zu unterstützen, einschließlich:

   • Windows 11
   • Windows 10
   • Windows 8.1
   • Windows Server 2022
   • Windows Server 2019
   • Windows Server 2016
   • Windows Server 2012 R2
2. Probleme mit nicht unterstützten Betriebssystemen

   Bei Verwendung von ADMT auf einem nicht unterstützten Betriebssystem können folgende bekannte Probleme auftreten:

   • Benutzerprofile können nicht von oder zu Betriebssystemen neueren als Windows 7 oder Windows Server 2008 R2 migriert werden.
   • ADMT ist nicht kompatibel mit den Sicherheitsstandards moderner Betriebssysteme.
   • ADMT wurde mit neueren Versionen von Microsoft SQL Server nicht getestet, was zu Inkompatibilitäten oder Fehlern führen kann.
3. Migrationsfehler bei Sonderzeichen

   Migrationsversuche schlagen fehl, wenn Objekt- oder OU-Namen Sonderzeichen wie doppelte Anführungszeichen enthalten, wenn die Befehlszeilenoptionen von ADMT verwendet werden.

4. Inkompatibilität mit Windows Defender Credential Guard

   ADMT funktioniert nicht auf Geräten mit aktiviertem Windows Defender Credential Guard. Sie können Fehler wie:

   "Failed to move source object CN=User1. Verify that the caller's account is not marked sensitive and therefore cannot be delegated. hr=0x8009030e. No credentials are available in the security package."

   Lösung: Deaktivieren Sie Credential Guard vorübergehend auf dem ADMT-Server.

   Hinweis: Konsultieren Sie immer Ihr Sicherheitsteam, bevor Sie die Credential Guard-Einstellungen ändern, und sichern Sie den ADMT-Server, bevor Sie Änderungen vornehmen.

5. Anforderung der uneingeschränkten Delegierung

   Während der Migration erfordert ADMT, dass Domänencontroller uneingeschränkte Delegierung verwenden, was nicht mehr empfohlen wird.

   Lösung: Installieren und führen Sie ADMT auf dem Domänencontroller der Ziel-Domäne aus, um die Notwendigkeit der Delegierung zu vermeiden.

6. Ausgeschlossene Attribute während der Migration

   Wenn Sie die ADMT-Benutzermigration zum ersten Mal ausführen, generiert das Tool eine Liste der systemseitig auszuschließenden Attribute, die in seiner Datenbank gespeichert wird. Standardmäßig enthält diese Ausschlussliste zwei Attribute: mail und proxyAddresses. Zusätzlich scannt ADMT das Schema der Ziel-Domäne und schließt automatisch alle Attribute aus, die nicht im Basisschema enthalten sind.

   Lösung: Administratoren können die Liste der systemseitig auszuschließenden Attribute nur mit einem Skript ändern.

   Zum Beispiel, um die mail und proxyAddresses Attribute aus der Ausschlussliste zu entfernen:

   • Kopieren Sie den folgenden Code in ein Notepad-Dokument und speichern Sie es mit der .vbs Erweiterung (z. B. DisplayExclusionList.vbs): Set o = CreateObject("ADMT.Migration") WScript.Echo o.SystemPropertiesToExclude
   • Öffnen Sie eine Administrative Eingabeaufforderung, navigieren Sie zu C:\Windows\SysWow64und führen Sie den folgenden Befehl aus, um das Skript auszuführen: cscript.exe <Ort, an dem das DisplayExclusionList.vbs Skript gespeichert ist>\DisplayExclusionList.vbs
   • Überprüfen Sie die Liste der ausgeschlossenen Attribute – einschließlich mail und proxyAddresses– in der angezeigten Ausgabe.
   • Nachdem Sie bestätigt haben, dass nur die notwendigen Attribute ausgeschlossen sind, ändern Sie die Ausschlussliste, indem Sie die folgenden Schritte ausführen:
     • Kopieren Sie das folgende Skript in ein Notepad-Dokument und speichern Sie es mit der .vbs Erweiterung, z. B. ExclusionList.vbs: Set o = CreateObject("ADMT.Migration")o.SystemPropertiesToExclude = "<Liste der Attribute aus dem vorherigen Schritt nach dem Entfernen von mail und proxyAddresses>"
     • Führen Sie das Skript mit folgendem Befehl aus: cscript.exe <Ort, an dem das ExclusionList.vbs Skript gespeichert ist>\ExclusionList.vbs

So können Sie die während der Migration auszuschließenden Attribute bei Bedarf anpassen.