Birinci bölümde Cross Forest Migration için ortamı hazırlamıştık. İkinci bölümde ise gerekli programların kurulumunu gerçekleştireceğiz ve gerekli GPO uygulamalarını gerçekleştireceğiz. Aşağıdaki resim aslında bu bölümde neyi nerede yapacağımızı gösteriyor
Resim-1
Bölüm 1 sonunda ihtiyacımız olan programların linklerini sizlerle paylaşmıştım. İlk olarak SQL kurulumu ile başlıyoruz. ( Kurulum içerisinde bazı resimleri atladım o kısımlarda herhangi bir değişiklik yapmanıza gerek yoktur).
1 ) SQL Kurulumu (Hedef Domain Üzerinde Kurulacak)
Resim-2
Resim-3
Configuration check başarılı bir şekilde tamamlandı. (Warning sorun teşkil etmiyor).
Resim-4
Bu adımda herhangi bir değişiklik yapmadan devam ediyorum.
Resim-5
Kurulumu Windows Authentication Mode‘da yapıyoruz.
Resim-6
Değişiklik yapmadan devam ediyoruz. Daha sonraki adımlarda da değişiklik yapmadan Next Next Finish :).
Resim-7
2) ADMT Kurulumu (hedef Domain üzerinde kurulacak )
İkinci adımda Active Directory Migration Tool ‘u kuruyoruz.
Resim-8
Bu adımda SQL database gösteriyoruz ( .\SQLEXPRESS)
Resim-9
Varsayılan ayarda devam ediyoruz.
Resim-10
3) SID History Filter Disable Etme ( Hedef Domain üzerinde yapılacak – hasan.Local )
Neden SID filter disable ederiz soruna cevap vermek gerekirse;
Eski Domaindeki kullanıcımızı yeni bir Domain ortamına taşıdığımızda, eski Domaindeki sid bilgilerinin yeni Domaine taşınması gerektedir tabi eğer taşıma işleminden sonra hala eski Domaindeki kaynaklara erişmesini isterseniz. SID bilgisini görmek için;
dsquery * -filter “&(objectcategory=user)(samaccountname=user)” -attr objectsid eğer bu komutu yazdıktan sonra iki adet çıktı alırsanız ikincisi sid history dir. SID ne demek olduğunu daha da sadeleştirmek gerekirse ve buna bir örnek vermek gerekirse bizlerdeki tckimlik numarasını karşılığına gelmektedir ve kullanıcı için nerede hangi hakları olduğunu söylemektedir. Herkesin aklına şu soru gelebilir. Peki iki aynı kullanıcı ismi varsa burada nasıl ayrım yapıyor onu da şu şekilde yapıyor RID (relative identifier) dediğimiz bir değer ile ve bu değer benzersizdir. Uzatmadan özetlemek gerekirse Migration’dan sonra kullanılan eski kaynaklara erişsin diyorsanız SID bilgilerini almanız gerekmektedir. Bunun içinde Sid History Filtering Disable konumuna getirmeniz gerekmektedir.
Resim-11
Yukarıda gördüğünüz komut External Trust için geçerlidir. Eğer siz Forest Trust yaptıysanız şu komutu kullanmanız gerekmektedir ;
netdom trust trustingDomain(dimdik.Local) /Domain:trustedDomain(hasan) /enableSIDhistory:yes /usero:DomainAdministrator( Administrator) /passwordo:DomainAdminpass
4) ADMT Password Migration Dll Kurulumu ( Kaynak Domain üzerinde kurulacak -dimdik.Local )
Daha sonraki adımızda ise dimdik.Local üzerindeki şifreleri alabilmek için bir tool kurmamız gerekmektedir. ADMT Password Migration DLL ile kaynak Domaindeki şifreleri de Migrate edebileceğiz.
Burada dikkat etmemiz gereken küçük bir püf noktası var, aşağıda yazmış olduğum komutu hedef Domain üzerinde uyguluyoruz yani benim yapımda hasan.Local ;
ADMT key /option:create /sourceDomain:dimdik.Local /keyfile:”c:\tat” Bu komut sonunda bize key file verecek bu key file’ı kaynak Domaine kopyalıyoruz.(dimdik.Local)
Bu komutu şu şekilde şifreleyerek de oluşturabilirsiniz.
ADMT key /option:create /sourceDomain:dimdik.Local /keyfile:”c:\tat” /keypassword: [Password] bu şekilde yaparsanız oluşturduğunuz key file karşı tarafta browse ederken şifreyi isteyecektir.
Resim-12
Son olarak ise kaynak Domain(dimdik.Local) üzerinde programımızın kurulumunu yapıyoruz.
Resim-13
Hedef Domain’den aldığımız key file burada gösteriyoruz.
Resim-14
Yetkili kullanıcıyı tanımlıyoruz ve devam ediyoruz (Local System Account üzerinde de denemiştim sorunsuz şekilde aldım).
Resim-15
Daha sonra ise sunucumuzu Restart ediyoruz.
Resim-16
Eğer kurulumu yapıp bu şekilde bırakırsanız Password Migrate ederken başarısız olacaksınız. Bu durumla karşılaşmamak için services.msc > Password Export servisini start konumuna getirmeniz gerekmektedir.
Resim-17
Resim-18
5 ) Bilgisayar Taşıma için Ön Hazırlıklar
Resim-19
Yukarıdaki hatayı alıyorsanız tahminen iki sebepten kaynaklanıyordur, Firewall açık olması veya yetkili kullanıcımızın Local Admin hakkının olmamasından kaynaklanmaktadır.
İlk yapmamız gereken kaynak Domain üzerinde Domain Local ve grup tipi Security olan grup yaratıyoruz.
Resim-20
Yaratmış olduğumuz gruba hedef Domaindeki yaratmış olduğumuz ADMT kullanıcısını üye yapıyoruz.
Resim-21
Son olarak ise Group policy yapılandırmamız gerekmektedir.
Comp Conf > Windows Settings > Security Settings > Restricted Group.
Gruba ADMT kullanıcımızı eklemiş olduğumuz ADMT mig ekliyoruz.
Resim-22
Bu grubu da Administrators grubuna üye olduğunu belirtiyoruz.
Resim-23
İkinci yöntem ise;
net Localgroup Administrators “hasan\Domain Admins” /add bat uzantılı olarak kaydedin ve GPO ile startup script olarak atayın.
Son olarak ise Firewalları kapatın.
Evet, sonunda tüm yapımızı Migrate etmek için hazır hale getirmiş bulunuyoruz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Yorumlar (2)