Arquivo da categoria: ADMT 3.2

Tutorial ADMT 3.2 Parte 6

Documento técnico para remoção do SID History.

Por: Antonio Cesar Crevelente

Windows Server 2008 e 2008 R2.

Este documento foi elaborado para facilitar o processo de remoção do SID History, utilizado muitas vezes em processo de migração e consolidação de domínios utilizando a ferramenta ADMT.

Passo 1. –Efetuar download da ferramenta gratuita da Quest chamada “ Free power shell comands for Active Directory”

http://www.quest.com/powershell/activeroles-server.aspx

Passo 2. – Instalar a ferramenta no servidor DC Windows Server 2008 R2.

clip_image001

Passo 3 – Efetuar acesso ao produto pode observar que ele é a mesma cara do Windows Power Shel.

clip_image003

Passo 4 – Efetuar a remoção do SidHistory de um usuário.

Get-QADUser user1 | %{Set-QADUser $_ -ObjectAttributes @{sIDHistory=@{delete=$_[‘sIDHistory’]}}}

clip_image005

Passo 5 – Efetuar a remoção do SID Hostory de vários usuários através de um arquivo .TXT.

– criar um arquivo chamado users.txt e nele colocar todos os logins dos usuários.

clip_image007

– salvar o arquivo “users.txt” no diretório C:\

– abrir o ActiveRoles management Shell e deixar o cursor no diretório onde está o arquivo Users.txt, no nosso caso C:\>

clip_image009

Get-content .\users.txt | Foreach-Object{Get-QADUser -SamAccountName $_|

%{Set-QADUser $_ -ObjectAttributes @{sIDHistory=@{delete=$_[‘sIDHistory’]}}}}clip_image011

Abraços

Toninho Crevelente

Tutorial ADMT 3.2 Parte 2

Olá Pessoal, dando continuidade no nosso tutorial vamos iniciar o processo de Trust, nosso amigo Doulgas A. Oliveira deixou um comentario pedindo print das telas, vou postar todo o processo ( Prints e comentarios ).

Configurando as zonas DNS e ativando a relação de confiança (Trust) entre os dominios APOLO.CORP e CREVES.LOCAL

– Dominio de Origem APOLO.CORP

  • Liberação da zona DNS do dominio de Origem (APOLO.CORP )para o dominio de Destino ( CREVES.LOCAL ).
          DNS, clicar sobre dominio de origem ( APOLO.CORP) selecionar PROPRIEDADES.

image

 

  • Escolher a Aba Zone Transfers, marcar a opção “Allow zone servers” marcar a opção Only to the following servers, adicionar os endereços IPS dos Servidores DNS de Origem e Destino ( APOLO.CORP e CREVES.LOCAL)

image

                        • Dominio de Destino ( CREVES.LOCAL)
                        • Vamos efetuar o mesmo processo no servidor DNS do dominio CREVES.LOCAL.image
                        • Dominio de Origem (APOLO.CORP), vamos ativar a copia das zonas DNS do dominio de Destino (CREVES.LOCAL). 
                        • Vamos clicar com botão direito sobre Forward Lookup zones e escolher a opção new zone.
                        • image

                      • Vamos escolher a opção Secondary Zone.
                      • image
                        • Adicionamos o nome da Zona DNS de Destino ( CREVES.LOCAL).
                        • image
                        • Adicionamos o IP do Servidor DNS CRESVES.LOCAL.
                        • image
                        • Clicamos em FInalizar.
                        • Agora efetuamos o mesmo processo no servidor DNS do dominio de Destino (CREVES.LOCAL).

                      image

                      • Adiciona o IP do Servidor DNS APOLO.CORP.
                      • image
                        • Clicar em finalizar, ambos os servidores já devem ter toda a estrutura DNS dos dois dominios.
                        • image

                        image

                       

                       

                       

                       

                        • Voltamos ao servidor do dominio de Origen (APOLO.CORP) e nesse momento vamos configurar a relação de confiança ( TRUST), entrar na opção Active Directory Domains and Trust.

                                                  image

                                                  • Clicamos sobre o dominio APOLO.CORP e clicamos em propriedades.
                                                  • image

                                                  • Selecionamos a aba TRUST e em seguida clicamos em NEW TRUST.
                                                  • image

                                                  • Informamos o nome do dominio de Destino ( CREVES.LOCAL ).
                                                  • image

                                                  • Selecionamos a opção TWO WAY.
                                                  • image

                                                  • Deixamos marcado a opção de This Domin Only.
                                                  • image

                                                  image

                                                  • Colocamos a senha do TRUST.
                                                  • image
                                                  • Vamos ter a informação que o TRUST foi criado com sucesso.
                                                  • Após Configurado temos essa exibição.
                                                  • image
                                                  • Agora vamos no dominio de Destino (CREVES.LOCAL) e vamos configurar a relação de confiança seguindo o mesmo processo.
                                                  • image

                                                    • Clicamos em Next e informamos o nome do dominio de Origem ( APOLO.CORP).
                                                    • image
                                                    • Ao final teremos a informação que foi criado com sucesso.
                                                    • Para testar se o TRUST está funcionamento corretamente, altere a permissão de alguma pasta e na opção Security, deve aparecer ambos os dominios.
                                                    • image

                                                    • Agora vamos desabilitar o SID Filtering em ambos os dominios.
                                                    • Abrir o prompt de comando CMD no dominio de origem APOLO.CORP e executar o comando :   Netdom trust apolo.corp /domain:creves.local /quarantine:No

                                                    image

                                                    • Executar o mesmo comando no servidor de Destino ( CREVES.LOCAL).

                                                    image

                                                        • Habilitando a migração de SID Filtering
                                                          Crie um grupo Local de Segurança com o nome CREVES$$$ (nome do dominio de origem seguido de três $);
                                                          Crie a chave TcpipClientSupport (dword, valor 1) em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA no servidor de origem APOLO.CORP, em seguida reinicie o servidor;

                                                        image

                                                        image

                                                        • Agora é so reiniciar o servidor e estamos com todos os pré requisitos configurados para instalar a ferramenta ADMT 3.2

                                                        Tutorial ADMT 3.2 Parte 1

                                                        Olá Pessoal, já  faz 1 ano que estou gerenciando projetos de migrações de dominio, Domain integracion, Domain Migracion, para todos os projetos utilizo a ferramenta gratuita da Microsoft ADMT, esse Post será uma ajuda  para todos os especialista que necessitam efetuar a implantação da ferramenta ADMT 3.2, mesmo hoje temos muita pouca documentação que explica detalhadamente os pré requisitos para  o processo completo de migração de dominios.

                                                        Montei em laboratorio o seguinte Cenário.

                                                        1 – A empresa Creves.com  acabou de comprar a empresa Apolo.corp, ela tem a necessidade de efetuar a migração de todos os objetos do Active Directory de Apolo.corp para a Creves.com ( migração de usuários, computadores, contas de serviçoes e servidores ), para atender a necessidade iremos utilizar o ADMT 3.2 ( Active Directory Migracion Tool 3.2 ).

                                                        image

                                                        Pré Requisitos:

                                                        1 – Links WAN configurados entre as duas empresas, rotas configurados e ter comunicação (ping ) entre os dois DCs, ping do DC APOLO.CORP para o DC CREVES.COM e ping do DC CREVES.COM para APOLO.CORP.

                                                        2 – Instalar e configurar um novo servidor “pode ser virtual” na empresa APOLO.CORP um DC da empresa CREVES.COM. ( Instalar sistema Operacional Windows 2008 R2 64, atualizar e elejer esse servidor como DOMAIN SERVER de CREVES.COM “DCPROMO”).

                                                        3 – Configurar a relação de confiança entre os dominios “trust”.

                                                        4 – Instalar outro Servidor “pode ser virtual” este servidor será o de ADMT ( Active Directory Migracion Tool ) Instalar sistema Operacional Windows 2008 R2 64, atualizar e ingressa esse servidor ao dominio CREVES.COM.

                                                        5 – Configurando os dominios de origem e de destino para a migração de hisórico SID.

                                                        Você pode manualmente configurar os domínios de origem e de destino para migrar o histórico de identificador de segurança (SID) antes de iniciar uma migração entre florestas, Para configurar domínios de origem e de destino manualmente, execute estes procedimentos:

                                                        · Crie um grupo local no domínio de origem para suporte de auditoria.

                                                        · Habilite o suporte as clientes TCP/IP no emulador do controlador de domínio primário (PDC) do domínio de origem.

                                                        Se você estiver migrando de um domínio com controladores de domínio que executam o Windows Server 2003 ou posterior para outro domínio com controladores de domínio que executam o Windows Server 2003 ou posterior, a entrada do Registro TcpipClientSupport não terá de ser modificada.

                                                        · Habilite a auditoria de gerenciamento de contas nos domínios de origem e de destino. Para o Windows Server 2008 R2 e o Windows Server 2008, você também precisa habilitar a auditoria de acesso do serviço de diretório para migrar usuários com histórico SID entre florestas.

                                                        clip_image002Para criar um grupo local no domínio de origem para suporte de auditoria

                                                        · No domínio de origem, crie um grupo local chamado DomínioDeOrigem$$$, onde DomínioDeOrigem é o nome NetBIOS do seu domínio de origem, por exemplo, CREVES$$$. Não adicione membros a esse grupo; caso o faça, a migração do histórico SID falhará.

                                                        clip_image002[1]Para habilitar o suporte a clientes TCP/IP no emulador de PDC do domínio de origem

                                                        – No controlador de domínio do domínio de origem APOLO.CORP que possui as funções de mestre de operações (também conhecidas como operações de mestre único flexíveis ou FSMO), clique em Iniciar e em Executar.

                                                        – No campo Abrir, digite regedit e clique em OK.

                                                        clip_image003Cuidado

                                                        A edição incorreta do Registro pode danificar gravemente o sistema. Antes de alterar o Registro, faça um backup de todos os dados importantes que estiverem no computador. Você também pode usar a opção de inicialização Última configuração válida se encontrar problemas após realizar as alterações.

                                                        – No Editor do Registro, navegue até a seguinte subchave de Registro:

                                                        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

                                                        -. Modifique a entrada do Registro TcpipClientSupport, de tipo de dados REG_DWORD, configurando o valor como 1.

                                                        – Saia do Editor do Registro e reinicie o computador.

                                                        clip_image002[2]Para habilitar a auditoria em domínios Windows Server 2008 R2 e Windows Server 2008

                                                        – Faça logon como um administrador em qualquer controlador de domínio do domínio de destino.

                                                        – Clique em Iniciar, aponte para Todos os Programas, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo.

                                                        – Navegue até o seguinte nó:

                                                        Floresta | Domínios | Domínio | Controladores de Domínio | Diretiva de Controladores de Domínio Padrão

                                                        -. Clique com o botão direito do mouse em Diretiva de Controladores de Domínio Padrão e clique em Editar.

                                                        – No Editor de Gerenciamento da Diretiva de Grupo, na árvore do console, navegue até o seguinte nó:

                                                        Configuração do Computador | Diretivas | Configurações do Windows | Configurações de Segurança | Diretivas locais | Diretiva de Auditoria

                                                        – No painel de detalhes, clique com o botão direito do mouse em Auditoria de gerenciamento de contas e, em seguida, clique em Propriedades.

                                                        – Clique em Definir estas configurações de diretivas e, em seguida, clique em Êxito e Falha.

                                                        – Clique em Aplicar e em OK.

                                                        – No painel de detalhes, clique com o botão direito do mouse em Acesso ao serviço de diretório de auditoria e clique em Propriedades.

                                                        – Clique em Definir as configurações dessas diretivas e, em seguida, clique em Êxito.

                                                        – Clique em Aplicar e em OK.

                                                        – Se as alterações precisarem ser refletidas imediatamente no controlador de domínio, abra o prompt de comando elevado e digite gpupdate /force.

                                                        – Repita as etapas de 1 a 12 no domínio de origem.

                                                         

                                                         

                                                        6 – O ADMT v3.2 requer uma instância pré-configurada do SQL Server para o seu armazenamento de dados subjacente. Você deve usar o SQL Server Express. Quando você usa uma das versões do SQL Server Express a seguir, a instalação do ADMT aplica os seguintes requisitos de service pack:

                                                        O SQL Server 2005 Express deve ser instalado com o Service Pack 3 (SP3) ou posterior.

                                                        O SQL Server 2008 Express deve ser instalado com o Service Pack 1 (SP1) ou posterior.

                                                        observação: Se você usar o SQL Server Express, o console do ADMT deverá ser instalado e executado localmente no servidor que hospeda a instância do banco de dados do SQL Server Express.

                                                        Baixe o SQL Server 2005 Express (http://go.microsoft.com/fwlink/?LinkId=181159) ou crie uma nova instância de banco de dados em uma instalação do SQL Server para usar com o ADMT v3.2.

                                                        7 – Embora você possa usar o ADMT v3.2 para migrar contas e recursos de ambientes do Active Directory que tenham um nível de domínio funcional do Windows Server 2003 ou posterior, só será possível instalar o ADMT v3.2 em um servidor que execute o Windows Server 2008 R2.

                                                         

                                                        8 – Habilitando a migração de Senhas.

                                                        Aplica-se ao: Ferramenta de Migração do Active Directory 3.1 (ADMT 3.1) e ADMT 3.2

                                                        A Ferramenta de Migração do Active Directory (ADMT) usa a versão 3.1 do serviço Servidor de Exportação de Senha (PES v3.1) para ajudá-lo a migrar senhas quando você executar uma migração entre florestas. Tanto o ADMT v3.1 quanto o ADMT v3.2 utilizam a versão 3.1 do Servidor de Exportação de Senha (PES). Baixe o PES v3.1 do Centro de Download da Microsoft. Para computadores baseados em x86, consulte Servidor de Exportação de Senha versão 3.1 (x86) (http://go.microsoft.com/fwlink/?LinkId=147652). Para computadores baseados em x64, consulte Servidor de Exportação de Senha versão 3.1 (x64) (http://go.microsoft.com/fwlink/?LinkId=147653). O serviço PES pode ser instalado em qualquer controlador de domínio gravável no domínio de origem que suporte criptografia de 128 bits.

                                                        O serviço de PES não pode ser instalado em controladores de domínio somente leitura (RODCs).

                                                        Como o ADMT não verifica todas as configurações da diretiva de senhas do domínio de destino, os usuários precisam definir explicitamente suas senhas após a migração a menos que os sinalizadores A senha nunca expira ou Cartão inteligente é necessário para logon interativo estejam definidos.

                                                        A instalação do serviço de PES no domínio de origem APOLO.COPR exige uma chave de criptografia. Contudo, é preciso criar a chave de criptografia no computador que está executando o ADMT no domínio de destino. Ao criar uma chave, salve-a em uma pasta compartilhada em sua rede ou em uma mídia removível para que você possa copiá-la para a unidade de disco local do controlador de domínio de origem onde o serviço PES está instalado. Armazene-a em um local seguro que você possa reformatar após a migração ser concluída.

                                                        Você pode instalar o serviço PES após instalar o ADMT.

                                                        Estar associado ao grupo Administradores, ou equivalente, é o requisito mínimo para a conclusão deste procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em Local e Domínio Padrão (http://go.microsoft.com/fwlink/?LinkId=83477).