Software
Consulting
HomeDownloadForumBestellenKontaktFür ResellerSitemap
Aktuelle Version: LOGINventory 5.1.5
Sie sind hier: Home AD-Migrations Projekt Vorstudie Migrationsweg
Deutsch English

Vorstudie Migrationsweg

Es gibt zwei verschiedene Ansätze, um ein Windows NT-Netzwerk nach Windows 2000/2003 Active Directory (AD) zu migrieren: In-Place Upgrade und Domain-Restrukturierung, auch Konsolidierung genannt. Die Entscheidung für einen dieser beiden Ansätze - oder wie man sie am besten kombiniert - hat große Auswirkung beim Betrieb des migrierten Netzes.

In-Place Upgrade

Microsoft nennt das In-Place Upgrade in diversen Dokumenten das "einfachste Verfahren mit geringstem Risiko" um eine AD-Struktur zu schaffen, da es die existierenden Domains, deren User und Computer Accounts sowie alle Security-Gruppen beibehält.
Home-Shares, LOGON-Scripts und Zugriffsrechte auf alle Ressourcen bleiben bei diesem Verfahren unverändert; die Security IDs (SIDs) bleiben ebenfalls erhalten.

Schwierigkeiten entstehen bei diesem Verfahren, falls die Windows NT-Struktur aus Ressource- und Account-Domains bestand. Dies stellt zwar kein Problem für User-basierende Policies dar, verkompliziert aber die Verwendung von Group Policy Objekten (GPOs), da während des LOGON auch auf GPOs aus der Ressource Domain zugegriffen werden muss.

Außerdem ist generell zu berücksichtigen, dass eventuell vorhandene Windows NT Policies (NTconfig.POL) auch bei Windows XP-Workstations Anwendung finden und sich nachträglich nur mit großem Aufwand entfernen lassen.

Alle Accounts befinden sich nach dem Upgrade noch nicht in OUs, sondern in den beiden Ordnern "Computers" und "Users" und müssen nachträglich verschoben werden.

Wenn die migrierte Domain erst einmal in den "Native Mode" geschaltet wurde, lässt sich die vorhandene und von Windows NT übernommene Domain-Struktur sehr einfach mittels Microsoft Active Directory Migration Tool (ADMT) oder NetIQ konsolidieren. Das Verschieben von Accounts innerhalb eines Forests zwischen zwei "native Mode"-Domains funktioniert vollkommen transparent unter Verwendung der SID-History, d.h. die SID bleibt erhalten. Auf diese Weise lassen sich nicht mehr gewünschte oder benötigte Domains im Anschluss an ein In-Place Upgrade sehr elegant restrukturieren.

Domain-Restrukturierung

Die Alternative zum In-Place Upgrade besteht darin, eine neue Domain- und OU-Struktur aufzusetzen und mittels ADMT die User und Computer Accounts aus den vorhandenen Domains zu importieren. Diese Domain-Restrukturierung hat folgende Vorteile gegenüber dem In-Place Upgrade:

  • Keine Seiteneffekte durch vorhandene NT4 Policies.
  • Erstellen und Test von GPOs, bevor produktive User und Computer migriert werden.
  • Die importierten Accounts werden direkt in ihren OUs angelegt.
  • Die neue Domain Struktur ist unabhängig von den vorhandenen Strukturen.

Allerdings gibt es auch eine Reihe von Nachteilen:

  • Account-Konflikte: Während der Restrukturierung kann sich durch das Zusammenlegen mehrerer Domains die Notwendigkeit ergeben, dass User Accounts umgenannt werden müssen.
  • Neue SIDs: Accounts erhalten generell eine neue SID, d.h. alle Zugriffsrechte und ACLs müssen neu gesetzt werden. Ein größeres Problem stellt dies für Ressourcen auf nicht-Windows Computern (Unix, VMS, NAS) dar.
  • Aufwand: Das Umschalten von der alten in die neue Umgebung bedarf einer ausführlichen Planung.

Lösungsansatz

Es ist zu Prüfen, ob nicht die Kombination aus beiden Verfahren - also zuerst ein In-Place Upgrade aller Domains in einen gemeinsamen Forest mit anschließender Restrukturierung - am leichtesten zum angestrebten Ergebnis führt, da dieser Ansatz die folgenden Vorteile bietet:

  • Active Directory ist mit minimalem Aufwand betriebsbereit.
  • Das In-Place Upgrade beeinflusst den laufenden Betrieb nicht.
  • Alle Accounts behalten Ihre SID; ACLs bleiben unverändert: Die Restrukturierung kann die SID-History verwenden.