Proceso de convivencia y migracion de dominios – Multiples herramientas y laboratorio

Hola a todos,

hace unos anos cree este documento para ilustrar un proceso completo de convivencia y migracion de un dominio a otro, este documento lo hice trabajando para mi anterior empresa y aqui daba mis mejores practicas para estas tareas y a la que debo dar reconocimiento, Vision Software S.A. empresa Colombiana. Creo que esta bien completico y lo he probado varias veces con diferentes equipos de trabajo y ha funcionado. si alguien tiene algo que aportar a este breve y corto resumen de herramientas, con gusto puede escribirme.  lo he actualizado brevemente y espero sea de mucha utilidad.

Algunas de estas herramientas no estan avaladas por Microsoft en ambiente de produccion pero para un piloto estarian bien, mi idea es tambien ilustrar de forma pedagogica conceptos fundamentales dentro de Exchange y Directorio Activo. y lo mas ameno de todo es poder llevar esto a un ambiente piloto plenamente funcional y divertido. como siempre digo: Enjoy!!

 

las herramientas a desarrollar son:

clip_image001 Active Directory Migration Tool (ADMT v3.0)

clip_image001[1] Exchange Migration Wizard (Exchange 2003)

clip_image001[2] Identity Integration Feature Pack (IIFP v3.1 SP1)

clip_image001[3] InterOrg (v6.5)

clip_image001[4] Exchange Profile Update tool (Exprofre)

clip_image001[5] LegacyDC Tool (v6.5)

Objetivos:

Realizar la validación de dichas herramientas para realizar la coexistencia y migración de usuarios y grupos contenidos dentro de un dominio origen y su coexistencia y paulatina migración a un dominio dentro de un bosque distinto.

Dentro de este esquema, se prevee que se tendrá un servidor pivote para las tareas de migración. Para las tareas de coexistencia, se trabajará con los servidores existentes.

Trataré de mencionar la herramienta a utilizar en cada momento y el objetivo de cada set de tareas. Para estas tareas se supondrá un escenario donde las comunicaciones entre los servidores a trabajar tengan canales claros de comunicación sin filtros ni exclusión de puertos. Tomaremos dos dominios uno origen y uno de destino.

Algunas de las instrucciones y apartes descriptivos para las herramientas esta en Inglés debido a que están extractadas de los documentos Microsoft y están modificadas para entornos reales y según mis experiencias y las de algunos amigos consultores.

Se crearon dos bosques para esta guia:

Caribbeantoys.net (Dominio Origen)

Softtoys.loc (Dominio Destino)

Descripción de procedimientos y herramientas

Objetivo: Coexistencia de Mensajería. Dos organizaciones de correo diferentes y que desean ver la GAL unificada en ambos dominios.

Herramienta: Identity Integration Feature Pack (IIFP v3.1 SP1)

Configuración de DNS

Cree una zona secundaria donde el master de replicación será un servidor del dominio destino, no olvide dar los permisos para transferencias de zona en el dominio destino. Haga lo mismo en dominio destino, cree una zona secundaria del dominio origen.

Configuración de servicio Wins

Cree Partners de replicación entre los servidores Wins del dominio origen y de destino y viceversa

Relación de confianza

Cree una relación de confianza Bi-Direccional y verifiquela entre el dominio origen y dominio destino.

Verificación de prerrequisitos en los dominios para la instalacion de IIFP.

Para la instalacion de IIFP es necesario tener Microsoft SQL Server 2000, Enterprise Edition with Service Pack 3ª como minimo o acceso a una instancia creada en un servidor de SQL.

El IIFP se instalará en un servidor del dominio origen.

Una vez instalado el IIFP, el primer paso es crear los Management Agent.

Creando los Management Agents

Los Management Agents (MA) serán llamados Caribbeantoys GALMA y Solfttoys GALMA.

Las reglas para la sincronizacion de GAL no requieren ser configuradas en cada pagina del Management Agent Designer. Las siguientes opciones estan preconfiguradas:

· Select object types

· Select attributes

· Configure connector filters

· Configure join an projection rules

· Configure attribute flow

· Configure deprovisioning

· Configure extensions

Creando Caribbeantoys GALMA

Cree el Caribbeantoys GALMA primero y luego cree el Softtoys GALMA.

Para crear el Caribbeantoys GALMA

  1. En el controlador de dominio o en servidor donde se instaló el IIIFP, abra el Identity Manager.
  2. Desde el menú Tools, de click en Management Agents.
  3. Desde el menú Actions, de click en Crear
  4. en el Management Agent Designer, en el Management agent for drop-down list, click Active Directory global address list (GAL).
  5. En Name, escriba Caribbeantoys GALMA y de click Next.

When configuring the management agent for Active Directory global address lists, the first step is to provide the name of the forest that the management agent connects to during import and export operations. If you use the example provided in this practice, this management agent connects to the Caribbeantoys forest.

  1. en la pagina Connect to an Active Directory Forest, escriba los valores para forest name (Caribbeantoys.net), user name, password, y domain.
  1. de clic en Next.

Next, specify the directory partition and organizational units (OUs) the management agent uses for GAL synchronization.

  1. en la pagina Configure Directory Partition, en Select directory partitions, seleccione la unica particion que aparece DC=Caribbeantoys,DC=net).
  2. desmarque el check box Sign and encrypt LDAP traffic.
  3. de click en Containers.
  4. desmarque el check box superior para limpiar todo el arbol de unidades organizacionales.
  5. Expanda y escoja las unidades organizacionales que se usarán para la migración.

clip_image003

  1. Seleccione la OU GALSynchronization. En la raíz del árbol de OU´s se crea una unidad organizacional llamada GAL Synchronization y dentro de esta una llamada Contacts. Escoja adicionalmente las unidades organizacionales donde se ubican los usuarios y grupos a sincronizar.
  2. Clic OK y luego dé Next.

The next step is to identify the container that will be used to store the contacts from other forests. Based on the sample data provided with this walkthrough, GAL synchronization will take place between the Contoso and Fabrikam forests. If the scripts accompanying this walkthrough are used, a Fabrikam container is created in the OU structure. Inside the Fabrikam container, an additional container named Contacts is created to act as the storage location for contacts imported from the Fabrikam forest.

  1. En la pagina Configure GAL, bajo GAL container information, dé clic en Target
  2. En Target Container, en Select a partition, Seleccione la unidad organizacional DC=Caribbeantoys,DC=net.
  3. Dé Click Container.
  4. En Select Containers, expanda el contenedor GAL Synchronization, expanda el contenedor Softtoys y seleccione únicamente el contenedor Contacts debajo de él.
  5. Dé Click OK para cerrar Select Containers, y luego dé click en OK otra vez para cerrar Target Container.

Next, you need to identify the container used to store the contacts from the local forest, in this case Caribbeantoys, which contains the contact information that is to be sent to the other forest.

20. Click Source….

21. Asegurese que DC=Caribbeantoys,DC=net esta seleccionado en el Select a partition drop-down list.

22. Click Add Containers….

23. Seleccione las unidades organizacionales que se van a replicar al otro dominio en forma de contactos.

clip_image005

24. Dé click en OK para cerrar Select Containers, y luego dé click en OK nuevamente para cerrar Source Container.

25. En la misma pagina Configure GAL, bajo Exchange configuration, click Edit….

26. Ingrese el sufijo @Caribbeantoys.net y dé click en Add. Click OK.

On the Configure GAL page, do not select the check boxes for routing mail to contacts or specifying an administrative group.

27. Click Next.

The management agent for Active Directory GAL is preconfigured to select specific objects and specific attributes of those objects so MIIS 2003 can synchronize the information necessary to create valid contact objects in the other forest.

28. En la pagina Select Object Types, verifique que los tipos de objetos para la sincronizacion de GAL permanezcan seleccionados.

Any object types that are already selected should remain selected. If they are not selected by default, ensure the following object types are selected: contact, container, domainDNS, group, organizationalUnit, and user.

29. Click Next.

30. En la pagina Select Attributes, seleccione Show All.

Any attributes that are already can remain selected. In addition, verify that the following attributes required for GAL synchronization are selected:

· cn

· company

· displayName

· employeeID

· givenName

· hideDLMembership

· l

· legacyExchangeDN

· mail

· mailNickname

· Name

· proxyAddresses

· sn

· targetAddress

· userAccountControl

31. Click Next.

32. El Management Agent para GAL de Directorio Activo esta preconfigurado para usar extensions de regla (Rules Extension). En la pagina Configure Connector Filter asegurese que el contact, group y user esten configurados para usar rules extension como su tipo de filtro. Dé Click en Next.

Join and Projection, Attribute Flow, and Deprovisioning rules are all preconfigured and require no changes.

33. En la pagina Configure Join and Projection Rules, usted puede ver que los cuatro join y una projection rules for GAL synchronization estan especificados.

You can expand the join and projection rules to see data source attribute, mapping type, and metaverse attribute for each rule.

34. Click Next.

35. En Configure Attribute Flow, usted puede ver que cinco atributos para flow mappings for GAL synchronization estan configurados.

Note:

You can expand the attribute flows to see data source attribute, flow type, and metaverse attribute for each attribute flow mapping.

36. Click Next.

37. En la pagina Configure Deprovisioning, en Deprovisioning Options, verifique que la opcion de Determine with a rules extension este seleccionada.

38. Click Next.

39. En la pagina Configure Extensions, en Rules extension name, verifique que el archive GALSync.dll este especificado.

Note:

The Contoso GALMA looks for this file in the following location: C:Program FilesMicrosoft Identity Integration ServerExtensions.

  1. Click Finish.
Creando Softtoys GALMA

El MA de GALMA es similar al MA de Caribbeantoys exepto por el nombre y la información de forest.

Para crear el Softtoys GALMA:

  1. En el servidor donde se halla montado en IIFP abra el Identity Manager.
  2. Desde el menú Tools, dé Clic en Management Agents.
  3. Desde el menú Actions, de click en Crear
  4. en el Management Agent Designer, en el Management agent for drop-down list, click Active Directory global address list (GAL).
  5. En Name, escriba Softtoys GALMA y de click Next.

Identify the forest and partition that the management agent needs to connect to.

6. En la pagina Connect to an Active Directory forest,escriba los valores en forest name (Softtoys.net) user name, password y domain.

If you used different domain names than those suggested for this walkthrough, enter that information on this page.

7. Click Next.

8. En la pagina Configure Directory Partitions, en Select directory partitions, seleccione la unica particion listada (DC=Softtoys,DC=loc)

9. Limpie el check box de Sign and encrypt LDAP traffic.

Identify the containers that are to be used for synchronizing the GALs.

10. dé click en Containers….

11. Limpie el check box de la raiz del arbol de unidades organizacionales para desmarcarlos completamente.

12. Expanda y escoja las unidades organizacionales que se usarán para la migración.

13. Seleccione la OU GALSynchronization. En la raíz del árbol de OU´s se crea una unidad organizacional llamada GAL Synchronization y dentro de esta una llamada Contacts. Escoja adicionalmente las unidades organizacionales donde se ubican los usuarios y grupos a sincronizar.

clip_image007

14. Clic OK y luego dé Next.

Identify the target container for contact information received from the other forest and the container from this forest that will be used to send contact information to the other forest.

15. En la pagina Configure GAL, bajo GAL container configuration, click Target.

16. En Target Container, en Select a partition, seleccione la unidad organizacional objetivo o destino en DC=Softtoys,DC=loc.

17. Click Container….

18. En Select Containers, expanda la particion de directorio (DC=Softtoys,DC=com), expanda GALSynchronization, expanda Caribbeantoys, y luego marque el check de Contacts.

19. Click OK para cerrar Select Containers, y luego click OK nuevamente para cerrar Target Container.

20. Click Source….

21. Click Add Containers….

22. Expanda el contenedor GALSynchronization, expanda Softtoys y luego marque el check box del contenedor Contacts.

23. Click OK para cerrar Select Containers, y luego dé click en OK nuevamente para cerrar Source Container.

24. En la pagina Configure GAL, configure los settings bajo Exchange configuration. Click Edit….

25. Ingrese @Softtoys.loc y dé click Add. Click OK.

Note:

On the Configure GAL page, do not select the check boxes for routing mail to contacts or specifying an administrative group.

26. Click Next.

27. En la pagina Select Object Types page, verifique que los tipos de objetos requeridos para la sincronizacion de la GAL esten seleccioneados.

If they are not selected by default, ensure the following object types

are selected: contact, container, domainDNS, group,

organizationalUnit, and user.

28. Click Next.

29. En la pagina Select Attributes, seleccione Show All. Any

Any attributes that are already selected should remain selected. In addition, verify that the attributes required for GAL synchronization are selected (use the same list provided for the Caribbean GALMA earlier).

30. Click Next.

31. Connector Filters, Join and Projection Rules, Attribute Flow, and Deprovisioning estan preconfigurados y no requieren cambios. Click Next para pasar hasta la pagina Configure Extensions.

32. En la pagina Configure Extensions, en Assembly name, verifique que el archivo GALSync.dll este escrito.

The Softtoys GALMA looks for this file in the following location: C:Program Files Microsoft Identity Integration ServerExtensions.

33. Click Finish.

Hasta este punto hemos creado los puntos de referencia y en los pasos siguientes vamos a ejecutar y sincronizar.

Corriendo los Management Agents y habilitando Provisioning

Antes de correr los agentes verifique los siguiente:

1. Abra Identity Manager.

2. desde el menú Tools menu, click Options.

3. En Metaverse Rules Extensions, asegurese que este marcado el check box Enable metaverse rules extensions.

4. Asegurese que este seleccionado el check box Enable Provisioning Rules Extension.

5. Click OK.

Ahora siga esto al pie de la letra para que no tenga ni un solo problema:

Para correr el Full Import del CaribbeanToys GALMA

1. En el Identity Manager, en la vista de Management Agents, seleccione el CaribbeanToys GALMA.

2. Desde el menu Actions, click Run.

3. En Run Management Agent, en Run Profiles, click Full Import (Stage Only), y luego dé click en OK.

Haga lo mismo para Softtoys GALMA.

Para correr Full Synchronization del CaribbeanToys GALMA.

1. En Identity Manager, en la vista de Management Agents, seleccione el CaribbeanToys GALMA.

2. Desde el menu Actions, click Run.

3. En Run Management Agent, en Run Profiles, click Full Synchronization, y luego click OK.

Haga lo mismo para Softtoys GALMA.

Hasta aquí ha poblado el Metaverso. Ahora esta información se exportará a cada dominio.

Para correr Export del CaribbeanToys GALMA.

1. En Identity Manager, en la vista de Management Agents, seleccione el CaribbeanToys GALMA.

2. Desde el menu Actions, click Run.

3. En Run Management Agent, en Run Profiles, click Export, y luego click OK.

Haga lo mismo para Softtoys GALMA.

 

Descripción de procedimientos y herramientas: Coexistencia de Mensajería. Dos organizaciones de correo diferentes y que desean ver las Carpetas publicas y la disponibilidad de agenda en ambos dominios.

Herramienta: InterOrg (v6.5)

Aqui se contará con el mismo escenario manejado hasta ahora:

Caribbeantoys.net (Dominio Origen – servidor Editor o Publicador)

Softtoys.loc (Dominio Destino – servidor Suscriptor)

Para preparar el servidor editor para replicación InterOrg:

1. Cree una Cuenta de Windows NT y un buzón asociado Exchange que se utilizará como una cuenta de servicio.

Nota: El buzón se debe crear en un servidor de Exchange que tiene un almacén de carpetas públicas. Para la cuenta de servicios, los privilegios minimos deben ser Domain admin. Y Enterprise admin.

2. Utilizando Outlook, agregue el buzón de cuenta de servicio que creó como un propietario para cada carpeta y subcarpeta de nivel superior que desea replicar.

3. Utilizando Outlook, cree una carpeta pública denominada ExchsyncSecurityFolder en la carpeta pública raíz. Conceda permiso Carpeta visible al buzón de cuenta de servicio que creó. No especifique ningún permiso Predeterminado o Anónimo de esta carpeta, esta es utilizada por el servicio de replicación para obtener seguridad adicional; debe estar presente en los dos servidores, en el publicador y en el suscriptor.

Prepare el suscriptor

Para preparar el servidor de suscriptor para replicación InterOrg:

1. Cree una Cuenta de Windows NT y un buzón asociado Exchange que utiliza la utilidad como una cuenta de servicio.

2. Utilice Outlook para crear una carpeta de nivel superior para cada parte de la jerarquía de carpetas que está replicando. La utilidad crea subcarpetas automáticamente.

Nota El buzón se debe crear en un servidor de Exchange que tiene un almacén de carpetas públicas.

3. Utilice Outlook para conceder permiso Editor de publicación para cada carpeta de nivel superior al buzón de cuenta de servicio que creó.

4. Utilice Outlook para crear una carpeta pública denominada ExchsyncSecurityFolder en la carpeta pública raíz. Conceda permiso Carpeta visible al buzón de cuenta de servicio que creó. No especifique ningún permiso Predeterminado o Anónimo en esta carpeta, esta es utilizada por el servicio de replicación para obtener seguridad adicional.

Instalacion de los archivos de utilidad Replicador de InterOrg

Para configurar la utilidad Replicador de InterOrg:

1. Cree un directorio de trabajo de que la utilidad utiliza un directorio de trabajo (tal como C:Exchsync).

2. Copie los archivos Exssrv.exe y Exscfg.exe en su directorio de trabajo.

Cree un archivo de configuración

Para configurar la replicación, debe crear un archivo de configuración para la replicación de información free and busy así como un archivo de configuración para replicación de carpetas públicas.
Crear un archivo de configuración de replicación free and busy:

1. Haga doble clic en el archivo Exscfg.exe.

2. En el menú Session, haga clic en Add.

3. En el cuadro Select Session Type, haga clic en Schedule+ Free/Busy Replication y a continuación, escriba un nombre para mostrar para la sesión.

4. En el cuadro Schedule, escriba la hora, el día y la frecuencia para la sesión de replicación.

5. Si desea que la utilidad escriba un registro durante el proceso de duplicación, haga clic en Logging y a continuación, establezca los parámetros adecuados.
Nota: el Informe de archivo de registro muestra si el servicio inicia o si se detiene, cualquier error que encuentre e información estadística para cada sesión (por ejemplo número de mensajes y carpetas replicadas).

6. Escriba el nombre de servidor Publisher y de servidor Suscriber y los buzones de cuenta de servicio que creó para cada uno.

7. Haga clic en Advanced y a continuación, escriba el dominio de Windows NT, la cuenta de servicio y la contraseña para cada una de las cuentas de editor y suscriptor.

8. Haga clic en OK para agregar la sesión al archivo de configuración y a continuación, guardar.

Para crear un archivo de configuración para replicación de carpetas públicas:

1. Haga doble clic en el archivo Exscfg.exe.

2. En el menú Session, haga clic en Add.

3. En el cuadro de diálogo Select session type, haga clic en Public Fólder Replication y a continuación, escriba un nombre para mostrar para la sesión.

4. En el cuadro Maximum task Number, escriba el número de subprocesos que desea utilizar para replicación.
Nota El número de subprocesos debe ser menor o igual al número de sitios para los que desea replicar información. Si utiliza mayores valores numéricos de tarea, puede afectar negativamente a rendimiento.

5. En el cuadro Schedule, escriba la hora, el día y la frecuencia para la sesión de replicación.

6. Si desea que la utilidad escriba un registro durante el proceso de duplicación, haga clic en Logging y a continuación, establezca los parámetros adecuados.
Nota Informe de archivo de registro si el servicio inicia o si se detiene cualquier error que encuentre e información estadística para cada sesión (por ejemplo número de mensajes y carpetas replicadas).

7. Escriba el nombre para el servidor Publisher y el de servidor suscriber y los buzones de cuenta de servicio que creó para cada.

8. Haga clic en Advanced y a continuación, escriba el dominio de Windows NT, la cuenta de servicio y la contraseña para cada una de las cuentas de editor y suscriptor.

9. Haga clic en Folder List para seleccionar las carpetas que desea replicar. En el cuadro de diálogo Session Fólder List, seleccione la carpeta o la jerarquía de carpetas en el publicador que desea replicar y a continuación, seleccione la carpeta de destino en el suscriptor.

10. Hace clic en el boton > para señalar el sentido de la replicación y hagalo dos veces para activar replicación bidireccional.

11. Haga clic en OK para agregar la sesión al archivo de configuración y guardar.

Configure el servicio de replicación

Antes de iniciar el servicio de replicación, debe proporcionar el programa con parte de información que es necesaria para el proceso de replicación.

1. Haga doble clic en el archivo Exssrv.exe. Haga clic la primera vez que ejecuta el archivo Exssrv.exe en Install.

2. Escriba el nombre domainaccount de Windows NT y la contraseña de la cuenta de servicio y del buzón que creó. Puede utilizar la cuenta de servicio de editor o la cuenta de servicio de suscriptor.

3. Escriba la ruta de acceso del archivo de configuración que creó

4. Especifique si desea que el servicio se inicie automáticamente al encender el equipo.
Después de haber instalado el servicio, haga clic en Inicio o inícielo desde Panel de control.

Nota Para cada buzón en el servidor editor que desea replicar información free and busy, deben existir unos destinatarios personalizados correspondientes en el servidor de suscriptor. La dirección SMTP del buzón es la clave única utilizada para hacer que los buzones coincidan.

Descripción de procedimientos y herramientas

Objetivo: Migración de Usuarios. Dos dominios de directorio activo que desean migrar sus usuarios y grupos manteniendo sus contraseñas y acceso a recursos durante la tarea.

Herramienta: Active Directory Migration Tool (ADMT v3.0)

Configuración de DNS

Cree una zona secundaria donde el master de replicación será un servidor del dominio destino, no olvide dar los permisos para transferencias de zona en el dominio destino. Haga lo mismo en dominio destino, cree una zona secundaria del dominio origen.

Configuración de servicio Wins

Cree Partners de replicación entre los servidores Wins del dominio origen y de destino y viceversa

Relación de confianza

Cree una relación de confianza Bi-Direccional y verifiquela entre el dominio origen y dominio destino.

Instalación de Sistema Operativo en servidor Pivote donde se instalará la herramienta. En varias integraciones he utilizado maquinas virtuales para este procedimiento.

  • Promoción como controlador de dominio en el dominio destino.

Verificación de prerrequisitos en las estaciones de trabajo:

  •  
    • Revisar Firewall de windows XP SP2 – desactivado
    • maquinas deben responder ping
    • Grupo administradores del dominio debe estar dentro del grupo administrators local (En caso que algunas o muchas haga falta esto busque el articulo How To Force Adding Of Domain Admin Group to Local Admin Group 555026)
    • Una recomendación adicional es tener el listado de las maquinas a migrar y su orden (para el caso de muchas estaciones de trabajo y migrarlas por áreas por ejemplo)
  • Verificación de prerrequisitos en los dominios:
    • Los dominios deben estar en modo nativo 2000 (Mínimo)
    • Mover las cuentas deshabilitadas en dominios a unidad organizacional aparte en cada uno de ellos pues ellas no podrán migrarse. (se pueden activar mientras la migración y se desactivan nuevamente)
    • Inventario nombres lógicos de las máquinas
    • Listado servidores de archivos e impresoras compartidas y permisos
  • Verificación de prerrequisitos en los dominios para la instalacion de ADMT:
    • Realizar verificaciones previas
      • Contraseñas de las cuentas administradores no pueden estar en blanco.
      • Internet Explorer 5.5 o superior debe estar instalado.

Deshabilitar SID Filter en dominio origen y en dominio destino

Instale las herramientas de soporte.

En dominios 2003:

Netdom.exe trust TargetDom /domain:SourceDom /quarantine:no /userd: SourceAdmin /passwordd:SourceAdminPwd

En dominios 2000:

netdom trust SourceDom /D:TargetDom /UD:TargetAdmin /PD: TargetAdminPwd /UO: SourceAdmin /PO: SourceAdminPwd /filtersids:no

En DomDestino: Los grupos EVERYONE y “anonymous logon” deben ser miembros del grupo Pre-Windows 2000 Compatible Access. Si hace falta en el grupo, ejecute los siguientes comandos:

NET LOCALGROUP “Pre-Windows 2000 Compatible Access” Everyone /ADD

NET LOCALGROUP “Pre-Windows 2000 Compatible Access” “Anonymous Logon” /ADD

En DomDestino: Hacer miembro al administrador del dominio origen del grupo BUILTINAdministrators del dominio destino.

En DomDestino: Iniciar sesión con la cuenta Admin del dominio origen.

En DomDestino: instalar ADMT 3.0 en el DC involucrado

En DomDestino: Generar Key en la ruta especificada en el DC del DomDestino. Para esto ejecute:

C:WINDOWSADMTADMT.exe key /option:create /SD:”FQDN SourceDomain” /KF:C:WINDOWSADMTfilename

En DomOrigen: Iniciar sesión con el Admin del Dom e Instalar el Sdor de Exportación de Contraseñas generado en el paso anterior. Para esto copie la carpeta PES que se encuentra en el servidor destino en la ruta C:WINDOWSADMT al servidor origen. Ejecute allí el archivo PWDMIG.exe y programa le preguntará por el archivo que se acaba de crear, busquelo en la carpeta copiada. Esta instalación pedirá el reinicio del servidor, tenga esto en cuenta.

En DomOrigen: Habilitar en el registro la exportación de contraseñas. Para esto habilite la siguiente llave de registro en el servidor donde instalo PES:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA

Modify the registry entry AllowPasswordExport, of data type REG_DWORD, by setting the value to 1.

Value: 1 (1 Enable, 0 Disable)

En DomDestino: Iniciar el proceso de migración de cuentas de usuarios. Vuelva al servidor donde instalo el ADMT.

Abra la consola de Active Directory Migration Tool.

De clic derecho como se señala en la grafica:

clip_image009

Seleccione User Account Migration Wizard.

Al abrirse el asistente dé clic en next.

En la pagina Domain Selection marque el dominio y servidor Origen y el dominio y servidor Destino.

clip_image011

Dé Clic en Next

En la pagina User Selection Option, seleccione Select users from domain.

Dé Clic en Next.

En la pagina User Selection seleccione los usuarios a migrar al dominio destino.

Dé Clic en Next

En la pagina Organizacional Unit Selection seleccione la unidad organizacional donde depositará los usuarios seleccionados en el punto anterior.

Dé Clic en Next

En la pagina password options seleccione Migrate Passwords y seleccione el servidor donde instaló el PES.

En la pagina Account Transition Options seleccione bajo target account state, target same as source.

En la misma pagina seleccione Migrate User SIDs to target domain.

Dé Clic en Next

En la pagina User Account, validese con la cuenta administradora del dominio origen.

Dé Clic en Next

En la pagina User Options, seleccione Update User Rights y fix users´ group memberships.

Dé Clic en Next hasta finalizar.

En DomDestino: Iniciar el proceso de migración de cuentas de Grupos. Vuelva al servidor donde instalo el ADMT.

Abra la consola de Active Directory Migration Tool.

De clic derecho como se señala en la grafica:

clip_image013

Seleccione Group Account Migration Wizard.

Al abrirse el asistente dé clic en next.

En la pagina Domain Selection marque el dominio y servidor Origen y el dominio y servidor Destino.

Dé Clic en Next

En la pagina Group Selection Option, seleccione Select groups from domain.

Dé Clic en Next.

En la pagina Group Selection seleccione los usuarios a migrar al dominio destino.

Dé Clic en Next

En la pagina Organizacional Unit Selection seleccione la unidad organizacional donde depositará los grupos seleccionados en el punto anterior.

Dé Clic en Next

En la pagina Group Options seleccione Update users Rights, Fix membership of group y Migrate Group SID to target domain.

En la pagina User Account, validese con la cuenta administradora del dominio origen.

Dé Clic en Next hasta finalizar.

En DomDestino: Iniciar el proceso de migración de cuentas de Computadores. Vuelva al servidor donde instalo el ADMT.

Abra la consola de Active Directory Migration Tool.

De clic derecho como se señala en la grafica:

clip_image015

Seleccione User Account Migration Wizard.

Al abrirse el asistente dé clic en next.

En la pagina Domain Selection marque el dominio y servidor Origen y el dominio y servidor Destino.

Dé Clic en Next

En la pagina Computer Selection Option, seleccione Select computers from domain.

Dé Clic en Next.

En la pagina Computer Selection seleccione los usuarios a migrar al dominio destino.

Dé Clic en Next

En la pagina Organizacional Unit Selection seleccione la unidad organizacional donde depositará los usuarios seleccionados en el punto anterior.

Dé Clic en Next

En la pagina Translate Objects, seleccione todos los check box.

Dé Clic en Next

En la pagina Security Translation Options seleccione Add.

Dé Clic en Next

En la pagina Computer Options seleccione 5 minutos. Aquí hay un Bug, si usted coloca un valor diferente a los que aparecen en el asistente, no se reinicia el PC.

Dé Clic en Next hasta finalizar. Una vez concluye el proceso de migración, dé Clic en Close. Allí aparecerá una nueva pagina Active Directory Migration Tool Agent Dialog. Bajo Agent Actions seleccione Run Pre-Check and Agent operation.

Dé Clic en Start.

Dentro de todas las operaciones de migración de PC´s estos se reiniciarán. Tener esto en cuenta.

Dé Clic en Close.

Descripción de procedimientos y herramientas

Objetivo: Migración de Perfiles de Outlook. Una vez se ha migrado el PC de dominio el perfil de Outlook tendrá problemas buscando el nuevo servidor Exchange.

Herramienta: Exchange Profile Update tool (Exprofre)

Descargue el ejecutable desde: http://www.microsoft.com/downloads/details.aspx?FamilyId=56F45AC3-448F-4CCC-9BD5-B6B52C13B29C&displaylang=en

Coloquelo en un compartido donde tengan acceso todos los usuarios a aplicar dicho paquete y cree un archivo de Logon para asociarlo a un politica. Un ejemplo de este archivo bat es:

\softtoysdcmigracionexprofre.exe /targetgc=softtoysdc /logfile=\softtoysdcmigracionmigracion.log

Descripción de procedimientos y herramientas

Objetivo: Migración de Buzones. Migración de buzones entre dos organizaciones.

Herramienta: Exchange Migration Wizard (Exchange 2003)

En el servidor Exchange destino, abra Exchange Migration Wizard.

En el asistente dé clic en Next.

En la pagina de Migration, seleccione Migrate form Microsoft Exchange.

Dé clic en Next dos veces.

Seleccione el servidor destino de los buzones y el Storage Group adonde se alojarán. Una recomendación es que este storage debe tener el Circular Logging habilitado para evitar contratiempos de espacio en disco.

En la pagina Source Exchange Server, limpie el check box de Exchange 5.5 Server y añada el servidor de donde se tomarán los buzones y la validación necesaria. Observe bien este ejemplo en la grafica:

clip_image017

En la pagina de Migration Information, seleccione Create/Modify Mailbox Accounts

En la pagina Account Migration, seleccione las cuentas a migrar.

En la pagina for a new Windows Accounts seleccione una unidad organizacional donde se alojarán las nuevas cuentas de usuario en caso de que el asistente no pueda realizar la asociación con una cuenta del dominio destino.

En la pagina Windows Account Creation and association verifique que haya encontrado los usuarios.

Dé clic en Next y al finalizar la tarea dé clic en finalizar.

Descripción de procedimientos y herramientas

Objetivo: Migración de bases de datos entre organizaciones de Exchange. Dos organizaciones de correo diferentes y que desean pasar bases de datos de una organización a otra sin migrar buzones.

Herramienta: LegacyDN (v6.5)

Descargue la herramienta desde:

http://www.microsoft.com/downloads/details.aspx?familyid=5ef7786b-a699-4aad-b104-bf9de3f473e5&displaylang=en

Descomprima en el servidor de destino.

Baje los Information Store a copiar (por lo menos el First Storage Group y el Public Store)

Copie y pegue o restaure las bases de datos de Exchange de una organización a otra. Puede renombrar las existentes.

Ejecute la herramienta LegacyDN desde el sitio que la descomprimió así:

Abra un cmd.

Vaya a la ruta donde se aloja la herramienta y ejecutela con el switch /forcewrite

Ejm: c:LegacyDNlegacydn.exe /forcewrite

Dé click en Yes.

clip_image019

Realice el logon con el dominio destino:

clip_image021

clip_image023

  1. Si usted solo va a renombrar la organización Exchange:

En el cuadro de Change Organization Name to: escriba el nuevo nombre de la organización y presione el boton de Change Org. Por defecto, esta herramienta cambiará el LegacyExchangeDN también. Si esto cambia las bases de datos existentes no subirán.

  1. Si usted desea recuperar las bases de datos de la organización origen. En el campo de Change LegacyExchangeDN stem value to: coloque el legacyExchangeDN de la organización origen y presione el boton de ChangeLegacyDN.

clip_image025

En los Information Store que estan abajo

Seleccione el information store donde se aloja la base de datos a restaurar. De clic derecho, y en el menú contextual seleccione Properties.

Seleccione el tab de Database y seleccione el check box de This Database can overwritten by a restore.

clip_image027

Presione OK y monte los stores.

 

Hecho en 2004 por Hans Avendano P. – MCSE en su version 1 y 2, laborando para Vision Software. aqui publicada en internet por su autor Hans Avendano P. Derechos Reservados y unicamente para fines educativos. 🙂

5 comentarios en “Proceso de convivencia y migracion de dominios – Multiples herramientas y laboratorio”

  1. Hans Buenas Tardes,

    Tengo una consulta. Estoy planeando la migracion de un forest a otro forest diferente. Existe un servidor Great Plains con Bases de datos SQL 2005. La autenticacion se realiza en la bases de datos con directorio activo. Es posible realizar esta migracion de forest de algo como Great Plains?

    Gracias por tu colaboracion.

  2. Estimado, muy buenos documentos, en relacion a IIFP es necesario que pertenezca a un dominio en particular? cuantas gal se pueden sincronizar?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *