Active Directory Cross Forest Migration – Bölüm 2

Merhabalar ;

Birinci bölümümüzde Cross Forest Migration için ortamımızı hazırlamıştık. Bu bölümde ise gerekli olan programların kurulumunu gerçekleştireceğiz ve gerekli gpo uygulamalarını gerçekleştireceğiz . Aşağıdaki resim aslında  bu bölümü özetliyor neyi nerde yapacağımızı sizlere gösteriyor.

PARTDRAW

Bölüm 1 sonunda ihtiyacımız olan programların linklerini sizlerle paylaşmıştım. İlk olarak Sql kurulumu ile başlıyoruz. ( Kurulum içerisinde bazı resimleri atladım o kısımlarda herhangi bir değişiklik yapmanıza gerek yoktur)

1 ) SQL Kurulumu (Hefef Domain Üzerinde Kurulacak)

mig18 mig19

Configuration check başarılı bir şekilde tamamlandı.( warning sorun teşkil etmiyor)

mig20

Bu adımda herhangi bir değişiklik yapmadan kuruluma devam ediyorum.

mig21

Kurulumu Windows Authentication Mode‘da yapıyoruz.

mig22

Değişiklik yapmadan devam ediyoruz. Daha sonraki adımlarda da değiklik yapmadan next next finish :)

mig23

2)ADMT Kurulumu (hedef domain üzerinde kurulacak )

İkinci adımda  Active Directory Migration tool ‘u kuruyoruz.

mig24

Bu adımda sql database gösteriyoruz ( .\SQLEXPRESS)

mig25

Varsayılan ayarda devam ediyoruz.

mig26

3) SID History Filter Disable Etme ( Hedef Domain üzerinde yapılacak – hasan.local )

Neden SID filter disable ederiz soruna cevap vermek gerekirse ;

Eski domaindeki kullanıcımızı yeni bir domain ortamına taşıdığımızda ,eski domaindeki sid bilgilerinin yeni domaine taşınması gerektedir tabi eğer taşıma işleminden sonra hala eski domaindeki kaynaklara erişmesini isterseniz. SID bilgisini görmek için ;

dsquery * -filter “&(objectcategory=user)(samaccountname=user)” -attr objectsid eğer bu komutu yazdıktan sonra iki adet çıktı alırsanız ikincisi sid history dir. SID ne demek olduğunu daha da sadeleştirmek gerekirse ve buna bir örnek vermek gerekirse bizlerdeki tckimlik numarasını karşılığına gelmektedir ve kullanıcı için nerede hangi hakları olduğunu söylemektedir.Herkesin aklına şu soru gelebilir ee peki iki aynı kullanıcı ismi varsa burada nasıl ayrım yapıyor onu da şu şekilde yapıyor RID(relative identifier) dediğimiz bir değer ile ve bu değer benzersizdir. Uzatmadan özetlemek gerekirse migration’dan sonra kullanı eski kaynaklara erişsin diyorsanız sid bilgilerini almanız gerekmektedir. Bunun içinde Sid History Filtering Disable konumuna getirmeniz gerekmektedir.

mig27

Yukarıda gördüğünüz komut External Trust için geçerlidir.Eğer siz Forest Trust yaptıysanız şu komutu kullanmanız gerekmektedir ;

netdom trust trustingDomain(dimdik.local) /domain:trustedDomain(hasan) /enableSIDhistory:yes /usero:domainadministrator( administrator) /passwordo:domainadminpass

4) ADMT Password Migration Dll Kurulumu ( Kaynak domain üzerinde kurulacak -dimdik.local )

Daha sonraki adımızda ise dimdik.local üzerindeki şifreleri alabilmek için bir tool kurmamız gerekmektedir. ADMT Password Migration DLL ile kaynak domaindeki şifreleri de migrate edebileceğiz.

Burada dikkat etmemiz gereken küçük bir püf noktası var , aşağıda yazmış olduğum komutu hedef domain üzerinde uyguluyoruz yani benim yapımda hasan.local ;

admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat”  Bu komut sonunda bize key file verecek bu key file’ı kaynak domaine kopyalıyoruz.(dimdik.local)

Bu komutu şu şekilde şifreleyerek de oluşturabilirsiniz.

admt key /option:create /sourcedomain:dimdik.local /keyfile:”c:\tat” /keypassword: [Password] bu şekilde yaparsanız oluşturduğunuz key file karşı tarafta browse ederken şifreyi isteyecektir.mig28

Son olarak ise kaynak domain(dimdik.local) üzerinde programımızın kurulumunu yapıyoruz.

mig29

Hedef domain’den aldığımız key file burada gösteriyoruz.

mig30

Yetkili kullanıcıyı tanımlıyoruz ve devam ediyoruz (Local System Account üzerinde de denemiştim sorunsuz şekilde aldım)mig31

Daha sonra ise sunucumuzu restart ediyoruz.

mig32-1

Eğer kurulumu yapıp bu şekilde bırakırsanız Password migrate ederken başarısız olacaksınız. Bu durumla karşılaşmamak için services.msc > Password Export servisini start konumuna getirmeniz gerekmektedir.

mig33 mig34

5 ) Bilgisayar Taşıma için Ön hazırlıklar ;

cr63

Yukarıdaki hatayı alıyorsanız tahminen iki sebepten kaynaklanıyordur , Firewall açık olması veya yetkili kullanıcımızın local admin hakkının olmamasından kaynaklanmaktadır.

İlk yapmamız gereken kaynak domain üzerinde domain local ve grup tipi security olan grup yaratıyoruz.

mig35-1

Yaratmış olduğumuz gruba hedef domaindeki yaratmış olduğumuz admt kullanıcısını üye yapıyoruz.

mig36

Son olarak ise Group policy yapılandırmamız gerekmektedir.

Comp Conf > Windows Settings > Security Settings > Restricted Group 

Gruba admt kullanıcımızı eklemiş olduğumuz ADMT mig ekliyoruz.

mig37

Bu grubuda administrators grubuna üye olduğunu belirtiyoruz.

mig38

İkinci yöntem ise ;

net localgroup administrators “hasan\domain admins” /add  bat uzantılı olarak kaydedin ve gpo ile startup script olarak atayın .

Son olarak ise Firewalları kapatın.

Evet sonunda tüm yapımızı migrate etmek için hazır hale getirmiş bulunuyoruz.

Umuyorum faydası Dokunmuştur

Hasan DİMDİK

Leave your vote

0 points
Upvote Downvote

Comments

0 comments

Bir cevap yazın

This site uses Akismet to reduce spam. Learn how your comment data is processed.