“Nguồn Nguyên Lê trong Group Quản trị & Bảo mật hệ thống”
Hôm nay mình xin được chia sẽ với các bạn các phương án để thực hiện việc migrate Active Directory (AD) từ một domain cũ sang một domain mới.
Mình đã triển khai trên thực tế thành công và ko gặp nhiều những rắc rối hay trở ngại gì đáng kể. Chỉ cần các bạn làm đúng trình tự các bước theo hướng dẫn mình sắp share bên dưới thì 100% là sẽ ổn.
Đối với trường hợp Migrate AD từ một server cũ sang một server mới hay trường hợp các bạn muốn upgrade hệ thống lên version mới hơn trong cùng một domain thì việc này khá là đơn giản.
Trước đây đã có nhiều anh em chia sẽ trong group rồi. Nhưng trường hợp mình muốn share với các bạn ở đây đó là: Migrate AD từ domain cũ sang domain mới (hai domain khác nhau nằm ở 2 forest khác nhau chứ ko cùng chung 1 domain). Nếu các bạn ủng hộ mình sẽ share tiếp làm thế nào để đồng bộ Window Active Directory (WAD) đến Azure Active Directory (AAD).
Nghĩa là làm thế nào để WAD có thể syn được với AAD, từ On-Premise đến Cloud (ở đây bên mình xài Microsoft Azure) sau khi đã migrate thành công sang server mới-domain mới.
1. Sử dụng Active Directory Migration Tool (ADMT) để Migrate AD trên hệ thống và kết hợp với Prowiz Tool để migrate phía end-user. (Về phía end-user, mình khuyên nên sử dụng tool này để đảm bảo vẫn giữ nguyên toàn bộ profile của người dùng bên domain cũ sang domain mới)
1.1 Các bước triển khai (các bạn có thể xem topo hình ảnh đính kèm)
+ DNS Settings on all DCs.
+ Creating Trust Relationship.
+ Configuration DNS Suffix Search List.
+ Installing SQL Express.
+ Installing ADMT 3.2.
+ Creating Encryption Key.
+ Add ADMT Migration Account in Administrator Group.
+ Installing ADMT Password Migration DLL.
+ Starting Password Export Server Service
+ Create OU in Target OU
* Migration steps:
+ Group migration
+ Users account migration
+ Security Translation
+ Computers account migration
=> Ưu điểm: Cài đặt và cấu hình không quá phức tạp. Sau khi migrate sang vẫn giữ được toàn bộ thuộc tính, quyền, user, group và vẫn giữ được toàn bộ SID của domain cũ. Chỉ cần migrate user từ OU của source domain vào chính xác OU của target domain là mọi thứ vẫn còn nguyên vẹn. Tất cả các folder đều giữ nguyên permision, bạn ko cần phải grant permision lại cho từng folder.
=> Nhược điểm: Phải tạo trước OU ở Target Domain. Bạn có tổng cộng bao nhiêu OU ở souce domain thì phải tạo ra bấy nhiêu OU ở target domain. Có thể Migrate cùng 1 lúc 50 user hoặc 50 group nhưng nếu vượt quá số lượng thỉnh thoảng sẽ bị miss 1 vài user ko thể qua được ở domain đích. Lúc đó bạn sẽ tiến hành migrate lại lần 2 là sẽ ok.
Một nhược điểm nữa đó là thỉnh thoảng sẽ có 1 vài user không thể migrate được password (user domain account) sang sau khi qua domain mới. Có thể là do mật khẩu của họ quá phức tạp, đối với những user đặt pass đơn giản hơn chút thì migrate qua thành công, ko phải reset và hướng dẫn họ đổi pass mới.
2. Đổi tên Domain (Rename Domain Name) sau khi đã đồng bộ được database của AD từ domain cũ sang domain mới. (Source Domain to Target Domain). Kết hợp với công cụ Microsoft Window Server Migration Tool để migrate File Server.
2.1 Các bước triển khai:
– Creating Trust Relationship between the old and new domains.
– Build a new domain to become an ADC (Additional Domain Controller)
– Transfer Master Roles from the old domain server to the new domain server.
– Rename Domain Name.
– Remove and disjoin old domain server.
=> Ưu và nhược điểm: Mọi thứ đều rất dễ dàng cho đến khi bạn thực hiện bước cuối cùng đó là Rename Domain Name. Cấu hình rất phức tạp, và hệ thống sẽ phát sinh ra rất nhiều lỗi fix rất mệt. Đã test nhưng không khả thi lắm nên mình chọn cách 1 ở trên.
Cuối cùng các bạn cần lưu ý một điều đó là nên triển khai cài đặt và cấu hình ADTM ngay trên Target Domain thay vì Source Domain như một vài bài hướng dẫn trên các forum IT hay của Microsoft.
Mình đã thực hiện thành công việc Migrate AD từ phiên bản Window Server 2016 trên domain cũ đến Window Server 2019 trên domain mới. Và đã từng hoàn thành các task liên quan đến AD Migration cho hệ thống với hơn 1k user trong quá khứ. Các bạn xem hình ảnh thực tế và hình ảnh minh họa cũng như link hướng dẫn ở comment bên dưới nha.
