Migration einer Active Directory-Domäne zu UCS mit Univention AD Takeover

9.3. Migration einer Active Directory-Domäne zu UCS mit Univention AD Takeover#

UCS unterstützt die Übernahme von Benutzern, Gruppen, Rechnerobjekten und Gruppenrichtlinienobjekten (GPOs) aus einer bestehenden Active Directory (AD)-Domäne. Die Windows-Clients müssen dabei nicht erneut der Domäne beitreten. Diese Übernahme ist ein interaktiver Prozess, der aus drei Phasen besteht:

  1. Kopieren aller Objekte aus Active Directory nach UCS

  2. Kopieren der Gruppenrichtliniendateien aus Active Directory nach UCS

  3. Abschalten des AD-Servers und Zuweisung der FSMO-Rollen auf den UCS Directory Node

Die folgenden Voraussetzungen müssen für die Übernahme erfüllt sein:

  • Der UCS Directory Node (Primary Directory Node) muss mit einem eindeutigen Rechnernamen installiert werden, der nicht in der AD-Domäne vorhanden ist.

  • Der UCS Directory Node muss mit demselben DNS-Domänennamen, NetBIOS-Domänennamen und Kerberos-Domänennamen installiert werden wie die AD-Domäne. Es wird empfohlen auch die selbe LDAP-Basis-DN zu verwenden.

  • Der UCS Directory Node muss eine IPv4-Adresse im selben Subnetz wie der zu übernehmende Active Directory-Domänencontroller verwenden.

Vorsicht

Sofern das System bereits Mitglied in einer Active Directory Domäne ist, wird durch die Installation der Active Directory Takeover Applikation diese Mitgliedschaft entfernt. Deshalb sollte die Installation der Takeover Applikation erst kurz vor der eigentlichen Übernahme der Active Directory Domäne erfolgen.

Für die Migration muss die Applikation Active Directory Takeover aus dem Univention App Center installiert werden. Sie muss auf dem System installiert werden, auf dem der Univention S4 Connector läuft (siehe Univention S4 Connector, normalerweise der Primary Directory Node).

9.3.1. Vorbereitung#

Es wird empfohlen die folgenden Schritte durchzuführen, bevor die Übernahme initiiert wird:

  • Ein Backup des/der AD-Server(s) sollte durchgeführt werden.

  • Sind Benutzeranmeldungen auf dem AD-Server erlaubt (durch Domänenanmeldungen oder Terminalserversitzungen), wird empfohlen, diese zu deaktivieren und alle Dienste zu stoppen, die Daten verarbeiten (z.B. Mailserver). Dies stellt sicher das durch den Rollback auf ein Backup oder einen Snapshot keine Daten verloren gehen.

  • Es wird empfohlen auf dem AD-Server dasselbe Administrator-Passwort zu verwenden wie in der UCS-Domäne. Werden verschiedene Passwörter verwendet, wird anhand der Zeitstempel verglichen, welches Passwort aktueller ist und dieses verwendet.

  • In der Grundeinstellung ist das lokale Administrator Konto auf dem AD-Server deaktiviert. Es sollte in der lokalen Benutzerverwaltung aktiviert werden.

Die Aktivierung des Administrator-Kontos wird empfohlen, weil dieses Konto über die nötigen Berechtigungen verfügt, um die Gruppenrichtlinien-Dateien in der SYSVOL-Freigabe zu kopieren. Der Benutzer kann entweder im AD-Verwaltungs-Tool für Benutzer und Gruppen oder mit den folgenden Kommandos auf der Kommandozeile aktiviert werden:

> net user administrator /active:yes
> net user administrator PASSWORD

9.3.2. Domänenmigration#

Die Übernahme muss auf dem UCS Directory Node gestartet werden, auf dem der Univention S4 Connector läuft (normalerweise der Primary Directory Node). Während der Übernahme sollte Samba nur auf diesem UCS-System laufen. Gibt es weitere UCS Samba/AD Nodes, muss Samba auf diesen angehalten werden. Dies ist wichtig um replikationsbedingte Dateninkonsistenzen zu vermeiden.

Andere UCS Samba/AD-Systeme können gestoppt werden, indem auf jedem UCS Directory Node als Benutzer root folgender Befehl ausgeführt wird

$ /etc/init.d/samba4 stop

Nachdem sichergestellt wurde, dass keine anderen Samba/AD-Domänencontroller laufen, kann die Übernahme beginnen. Wurde die UCS-Domäne mit einer UCS-Version vor 3.2 installiert, muss zuerst die folgende Univention Configuration Registry Variable gesetzt werden:

$ ucr set connector/s4/mapping/group/grouptype=false

Die Übernahme erfolgt mit dem UMC-Modul Active Directory Takeover. Unter Name oder Adresse des Domänencontrollers muss die IP-Adresse des AD-Systems angegeben werden. Unter Active Directory Administratorkonto muss ein Konto der AD-Domäne angegeben werden, das Mitglied der AD-Gruppe Domain Admins ist (z.B. der Administrator) und unter Active Directory Administratorpasswort das dazugehörige Passwort.

Erste Phase der Domänenmigration

Abb. 9.9 Erste Phase der Domänenmigration#

Das Modul prüft, ob der AD-Domänencontroller erreicht werden kann und zeigt die zu migrierenden Domänendaten an.

Übersicht über die zu migrierenden Daten

Abb. 9.10 Übersicht über die zu migrierenden Daten#

Nach einem Klick auf Weiter werden die folgenden Schritte automatisch durchgeführt:

  1. Anpassung der Systemzeit des UCS-Systems auf die Systemzeit der Active Directory-Domäne (wenn diese um mehr als drei Minuten nachgeht).

  2. Beitritt des UCS Directory Nodes in die Active Directory-Domäne.

  3. Start von Samba und dem Univention S4 Connector zur Replikation der AD-Objekte in das UCS-OpenLDAP-Verzeichnis.

  4. Wenn ein Benutzerkonto oder eine Gruppe mit einer „Well Known“ RID nach UCS OpenLDAP synchronisiert wird, setzt ein Listener-Modul auf jedem UCS-System lokal eine Univention Configuration Registry Variable, die dem englischen Namen den nicht-englischen Namen zuordnet.

    Diese Variablen werden verwendet, um die in den UCS-Konfigurationsdateien verwendeten englischen Begriffe in die im Active Directory verwendeten Namen zu übersetzen. Wenn zum Beispiel Domain Admins einen anderen Namen im AD hat, dann wird die Univention Configuration Registry Variable groups/default/domainadmins auf den spezifischen Namen gesetzt (analog für Benutzer, z.B. users/default/administrator).

Zusätzliche Informationen werden nach /var/log/univention/ad-takeover.log sowie nach /var/log/univention/management-console-module-adtakeover.log protokolliert.

Nun enthält der UCS Directory Node alle Benutzer, Gruppen und Rechner aus der Active Directory-Domäne. Im nächsten Schritt wird die SYSVOL-Freigabe kopiert, in der u.a. die Gruppenrichtlinien gespeichert werden.

Nun muss eine Anmeldung als Administrator am Active Directory-Domänencontroller erfolgen und dort die Dateien mit den Gruppenrichtlinien aus der SYSVOL-Freigabe des AD-Servers auf den UCS-Server kopiert werden.

Das aufzurufende Kommando wird im UMC-Modul angezeigt. Wenn es erfolgreich aufgerufen wurde, muss mit Weiter bestätigt werden.

Kopieren der SYSVOL-Freigabe

Abb. 9.11 Kopieren der SYSVOL-Freigabe#

Wenn robocopy nicht vorhanden ist, kann es mit den Windows Server 2003 Resource Kit Tools nachinstalliert werden. Ab Windows 2008 ist es vorinstalliert.

Bemerkung

Hinweis: Die robocopy-Option /mir spiegelt das Quellverzeichnis mit dem Zielverzeichnis. Es muss beachtet werden, dass bei einem erneuten Aufruf des Tools Dateien, die im Quellverzeichnis gelöscht wurden, auch im Zielverzeichnis gelöscht werden.

Nach erfolgreichem Abschluss dieser Schritte sollten der/die AD-Domänencontroller heruntergefahren werden. Anschließend muss im UMC-Modul auf Weiter geklickt werden.

Herunterfahren des/der AD-Systeme

Abb. 9.12 Herunterfahren des/der AD-Systeme#

Die folgenden Schritte werden nun automatisch durchgeführt:

  1. Übertragung der FSMO-Rollen auf den UCS Directory Node. Diese kennzeichnen verschiedene Aufgaben, die ein Server in einer AD-Domäne übernehmen kann.

  2. Einrichten des Rechnernamens des AD-Servers als DNS-Alias (siehe CNAME-Record (Alias-Records)) für den UCS-Server.

  3. Konfiguration der IP-Adresse des AD-Servers als zusätzliche virtuelle IP-Adresse des UCS-Servers.

  4. Verschiedene Anpassungen, z.B. Entfernen des alten AD-Domänencontroller-Eintrags aus der Samba SAM-Datenbank.

  5. Abschließender Neustart von Samba und DNS-Server.

9.3.3. Abschluss der Übernahme#

Abschließend müssen noch die folgenden Schritte durchgeführt werden:

  1. Der Domänenfunktionslevel der migrierten AD-Domäne muss mit dem folgenden Kommando geprüft werden:

    > samba-tool domain level show
    

    Wenn das Kommando die Meldung ATTENTION: You run SAMBA 4 on a forest function level lower than Windows 2000 (Native) anzeigt, müssen die folgenden Befehle aufgerufen werden:

    > samba-tool domain level raise --forest-level=2003 --domain-level=2003
    > samba-tool dbcheck --fix --yes
    
  2. Gab es in der migrierten AD-Domäne mehr als einen Domänencontroller, müssen die Rechnerkonten der weiteren Domänencontroller im UMC-Modul Rechnerverwaltung gelöscht werden. Außerdem müssen sie aus der Samba SAM-Datenbank gelöscht werden. Dies kann erreicht werden, indem von einem migrierten Windows-Client eine Anmeldung als Mitglied der Gruppe Domain Admins erfolgt und das AD-Verwaltungstool für Benutzer und Computer aufgerufen wird.

  3. Gibt es weitere Samba-Domänencontroller, müssen diese neu der Domäne beitreten.

  4. Alle Windows-Clients müssen neu gestartet werden.

9.3.4. Tests#

Es wird empfohlen nach der Übernahme gründliche Tests mit Windows-Clients durchzuführen, z.B.

  • Anmeldung auf einem migrierten Client mit einem migrierten Benutzer.

  • Anmeldung auf einem migrierten Client als Administrator.

  • Test der Gruppenrichtlinien.

  • Domänenbeitritt eines neuen Windows-Clients.

  • Anlegen eines neuen Benutzers und Anmeldung an einem Windows-Client.