Quest Migration Manager for AD – SIDHistory Mapping
O situatie intalnita cateodata in scenariile de migrare de Active Directory este atunci cand din diverse motive proiectul a fost intrerupt iar software-ul folosit pentru a migra obiectele din AD nu mai exista.
Cum continuam migrarea? Daca ar fi vorba doar de migrat obiecte din AD ar fi simplu, dar ce facem atunci cand migram servere si statii de lucru, unde trebuie sa procesam ACL-urile?
In mare, in procesul de migrare, cand un obiect este migrat din domeniul sursa in domeniul target, undeva intr-o baza de date a soft-ului de migrare se stocheaza informatii ce leaga obiectul din sursa de obiectul din target. Un exemplu foarte simplu ar fi ceva gen: SID-ul X din Domeniul A corespunde cu SID-ul Y din Domeniul B. Iar in momenul in care ne apucam sa procesam un server sau o statie de lucru softul de migrare o sa inlocuiasca SID-ul X cu SID-ul Y. Asta asa in mare.
Dar ce faci cand baza aia de date cu informatiile astea de matching nu mai exista?
Singura solutie pe care o cunosc este prin a folosi Quest Migration Manager for AD. Si functioneaza chiar si daca prima parte a migrarii a fost facut cu un alt software, chiar si ADMT. Conditia este sa se fi folosit SID History in migrare (si de regula este folosit).
Agentul folosit de Quest pentru a procesa ACL-urile de pe sisteme se numeste Vmover si este parte a RUM (Resource Update Manager). Acesta foloseste un mapping file (vmover.ini) ce contine SID-urile sursa si target. Cand agentul intalneste un ACE cu un user din sursa intr-un ACL, il modifica pe baza informatiilor din acel mapping file cu userul din domeniul target.
In cazul nostru, fisierul vmover.ini generat nu va avea informatiile necesare pentru translatarea permisiunilor, dar folosind optiunea SIDHistory Mapping, putem spune agentului sa caute informatiile necesare in domeniul target.
In fisierul vmover.ini se afla si cateva informatii de configurare. Acolo va trebui specificat SIDHistory=Yes si detaliile de conectare la DC exact ca in articolul de mai jos:
Odata setata aceasta optiune, cand Vmover va intalni un user din domeniul sursa setat pe o resursa, ii va obtine SID-ul, se va conecta la domeniul target, va cauta prin toate valorile SID History si asa va localiza userul din domeniul target ce corespunde cu userul din domeniul sursa. Informatia asta va fi adaugata in fisierul vmover.ini, astfel ca data urmatoare cand intalneste acest user intr-un ACL, procesul de translatare va fi super rapid.
Alte cateva resurse pe aceasta tema gasiti in link-urile de mai jos:
https://support.software.dell.com/migration-manager-for-ad/kb/85365
https://documents.software.dell.com/snippets/PrintableVersion.ashx?id=1027