La oss starte med en rask oppsummering av de tidligere artiklene i denne serien i tilfelle du har hoppet inn i det på dette punktet:

De første tre artikler i denne serien oppført generelle betraktninger om Active Directory restruktureringsprosjekter og fremhevet noen av de begrensningene som er involvert når du bruker ADMT å utføre skog eller domene migrasjoner eller konsolideringer. Sentrale temaer som dekkes i disse artiklene inkludert:

Finne den nyeste versjonen av ADMT

Den kostnadsfaktor og dempe kostnadene

Migrere servere og applikasjoner

Slow pensjonsalder

Migrasjon Rollback

ADMT skalerbarhet

Andre ADMT begrensninger

Den fjerde og femte artikler diskutert noen konkrete spørsmål knyttet til bruk av ADMT seg selv og ting du må være oppmerksom på under planleggingen av migrasjon /konsolidering prosjektet. Sentrale temaer som dekkes i disse artiklene inkludert:

Hvilke først, konsolidere eller oppgradere

SID historie og ADMT

Migrering lokale brukerkontoer
?
Migrasjon og skjema modifikasjoner

Migrering uten truster

Den sjette artikkelen beskrev noen tips og feller som kan være nyttig når du bruker ADMT for Active Directory Migreringer /konsolideringer.

Migrering brukerprofiler

Ulike typer ADMT svikter

Denne syvende Artikkelen fortsetter med å liste opp noen flere spørsmål som kan ofte oppstår når du planlegger en skog eller domene migrasjon eller konsolidering prosjekt med ADMT og antyder noen mulige svar på disse spørsmålene. Mange av disse spørsmålene (og svarene) har blitt overlevert til meg fra IT-kolleger som har jobbet på ulike migreringsprosjekter, og jeg har ikke vært i stand til å teste de fleste av dem slik at deres anbefalinger presenteres "som den er" i denne artikkelen .

Flytte noen PCer til en ny skog

Spørsmål: Vi har en haug med PCer i skogen A og de ansatte går over til et datterselskap, og de ønsker å ta sine PCer sammen og bli med dem til skogen B. Trenger vi å disjoin disse PCene fra skogen A før de tar dem ut døren

Svar: Feil spørsmål! Du bør spørre om det er noen sikkerhetsrisikoer med å bevege PCer fra ett selskap til et annet. For eksempel, siden de PCer er domene-sluttet de sannsynligvis har bufret passord på dem. Det kan også være sensitiv forretningsinformasjon i ulike dokumenter i brukerprofilen mapper av de gamle brukerkontoene på disse maskinene.

Hvis du kommer til å la de ansatte gå ut døren med PCer som dette, du virkelig trenger å tørke sine harddisker først og deretter la admin på det nye selskapet re-bestemmelsen dem.

Uansett men du trenger ikke å disjoin dem først fra skogen A før han begynte dem til skog B, kan du bare slette datamaskinkontoer for disse maskinene i skogen B Active Directory database

Kloning en skog

. Spørsmål: Vi kommer til å være splitte selskapet i to helt separate selskaper, så vi trodde Vi hadde rett og slett dele vår Active Directory infrastruktur ved å klone den og deretter slette unødvendige deler av hver selskapets katalog. For eksempel si at vi i dag har en skog rotdomene contoso.com med to underdomener left.contoso.com og right.contoso.com. Vår plan er å gjøre en nøyaktig kopi av denne skogen og deretter slette unødvendige domener. Resultatet vil være at selskapet A vil ha skogen rotdomene contoso.com og barnet domene left.contoso.com mens Selskap B vil ha skogen rotdomene contoso.com og barnet domene right.contoso.com. Tror det vil fungere

Svar: Ikke gjør det! Splitte en skog ved først å klone det er en veldig dårlig idé fordi det fortsatt vil være sensitiv informasjon i begge katalogene som kan tillate noen i selskapet A å banalisere i selskapet B og vice versa. I stedet for å følge denne tilnærmingen, bør du lage en helt ny skog etter Selskapet A og deretter overføre de nødvendige katalogobjekter for selskapet A til denne new forest. Gjør så det samme etter Selskapet B ved å opprette en helt ny skog for at selskapet og migrere nødvendige katalogobjekter for selskapet B til at skogen. Nå har du to nye skoger som ikke overlapper på noen måte, og du kan avvikle den opprinnelige skogen i din bedrift.

Og i alle fall, er klonet eller delt skoger støttes ikke av Microsoft slik at du er på egen hånd hvis du bestemmer deg for å gå den veien ...

Domain Admins SID migrasjon

Spørsmål: Vi pleide ADMT å utføre en migrering. Etterpå la vi merke til at SID av Domain Admins gruppen i kildedomene ikke ble lagt til sidHistory av Domain Admins gruppen i målet domene. Dette skapte noen problemer for admins prøver å få tilgang til ressurser som hadde tillatelser gitt for Domain Admins gruppen i kildedomene

Svar:. Dette er design. Av sikkerhetsmessige grunner ADMT ikke migrere sidHistory for følgende grupper:

Domain Admins

domenebrukere

Domenedatamaskiner

Hva du trenger å gjøre er å endre ACL for ressurser til å gi tilgang til dem ved Domain Admins gruppen i kildedomenet. Eller enda bedre, lage egne grupper i kilde domene for disse formålene og migrere dem til det nye domenet.

Her er noen flere opplysninger som kan hjelpe i dette scenariet.

Migrering en klynge

Spørsmål: Vi migrerer ting fra domene A til domene B. Domain A har en failover-klynge i det. Kan jeg bruke ADMT å migrere klyngekonfigurasjonen til domenet B

Svar: Nope. Failover clustering er tett integrert med Active Directory, og hvis du trenger å flytte en klynge fra domene A til domene B så må du ødelegge klyngen i domenet A og deretter gjenskape det i domenet B.

Bruke migrerte kontoer

Spørsmål: Jeg har migrert kontoer fra kilden domenet til målet domene. Kan jeg fortsatt bruke regnskapet i kildedomene etter min migrasjon

Svar: Ikke

Sammenslåing kontoer i en skog

. Spørsmål: Min nåværende Active Directory oppsett har to domenekontoer for hver bruker. En brukes for å få tilgang til ting i ressurs-domenet, mens den andre kontoen i et annet domene brukes for å få tilgang til innboksen sin på Microsoft Exchange. Dette skjedde for historiske årsaker, og nå som vi migrerer AD vi ønsker å endre dette. Kan ADMT hjelp

Svar: Nope. Du kan ikke bruke ADMT å slå sammen to kontoer i samme skog. Prøv en tredjepart migrasjon verktøyet. På den annen side, kan du bruke ADMT å slå sammen to kontoer hvis en av dem er i en annen skog ...

Migrering passord for kontoer

Spørsmål: Vi migrert brukerkontoer med hell, men passordene for disse kontoene ble ikke migrert. Hva gikk galt

Svar:?. Se "Aktivere Migrering av passord"

SID ikke migrert

Spørsmål: Vi har en veldig stor infrastruktur Active Directory og vi ble migrere en haug med ting mellom domener og noen av SID fikk ikke migrert. Noen ideer hvorfor ikke

Svar: Se Knowledge Base-artikkel KB328889 "Brukere som er medlemmer av mer enn 1,015 grupper kan mislykkes påloggingsgodkjenning",

Migrering organisasjonsenheter

Spørsmål: Kan jeg bruke ADMT å migrere organisasjonsenheten (OU) struktur fra min kilde domene til min destinasjon domene

Svar:?. Ja, men du må gjøre det fra kommandolinjen, se denne linken Anmeldelser
Hvorfor kan ikke ...

Spørsmål: Hvorfor kan ikke ADMT gjøre < denne >?

Svar: Det er et gratis verktøy så funksjonaliteten er begrenset. Hvis du vil ha noe kraftigere med innebygd automasjon evner, rapportering, etc etc så må du skall ut noen dollar til enten en leverandør av AD migreringsverktøy eller et konsulentselskap som kan gjøre overgangen for deg. Vi skal se på noen av disse i siste artikkelen i denne serien. Anmeldelser