Conseguimos provar em Laboratório que é possível realizar uma migração de um diretório baseado em Linux (Samba) para Active Directory, sem desenvolver nenhum tipo de script para importar as informações de um ambiente para o outro. E melhor, sem gerar impactos para o usuário!
Utilizando a ferramenta ADMT 3.0 conseguimos migrar todos os objetos para o Active Directory, baseado em Windows Server 2003.
Nota: Não conseguimos sucesso na utilização da versão 3.1 da ferramenta ADMT para migrar os objetos do Samba para um Active Directory baseado em Windows Server 2008. Portanto, crie um AD baseado na versão Windows 2003 e use o ADMT 3.0. Após a finalização da migração e término da convivência dos ambientes Samba e AD, atualize o AD para a versão 2008.
Considerações importantes para uma migração aonde o domínio de origem é um Samba emulando um PDC NT:
-
- No Samba, deve-se criar um usuário chamado “Administrator”, com as mesmas permissões do usuário “root”, e com a mesma senha do usuário Administrator do domínio de destino;
-
- Para que as estações possam ser migradas, a propriedade “DNS Suffix for this Connection” (em Advanced/DNS) deve estar em branco;
-
- As senhas dos usuários não podem ser migradas do Samba;
-
- O SIDHistory no domínio de destino não pode ser populado (A funcionalidade “tcpipclientsupport” não está disponível no Samba. Com isso, a migração dos SID’s torna-se inviável);
- Durante a fase de Convivência dos ambientes, devemos manter a Relação de Confiança aonde o Active Directory confia no Samba.
Para contornar o problema da migração dos SID’s, devemos utilizar uma funcionalidade da Ferramenta ADMT que se chama “Conversor de Segurança”. Esta funcionalidade, basicamente, analisa o sistema operacional em busca de permissões atribuídas a usuários do domínio antigo. Os objetos analisados são:
-
- Arquivos e Pastas
-
- Grupos Locais
-
- Impressoras
-
- Registro
-
- Compartilhamentos
-
- Perfis de Usuário
- Direitos de Usuario
Para entender como esta funcionalidade funciona, devemos antes analisar a migração de usuários e grupos. O ADMT, no momento da migração entre domínios, cria um banco de dados local que associa as contas do domínio antigo com as do domínio novo, conforme exemplo abaixo:
Usuário Domínio Antigo |
Usuário Domínio Novo |
<dominioantigo>\contoso | <dominionovo>\contoso |
<dominioantigo>\jtraders | <dominionovo>\jtraders |
OBS: O mesmo princípio vale para os grupos.
No momento da migração de um computador (seja ele uma estação de trabalho ou um servidor de arquivos), o ADMT envia um agente para o mesmo, e com isso, antes de inserir o computador no novo domínio, o agente analisa todos os objetos citados anteriormente. Ao analisar um objeto qualquer:
-
- Analisa a sua ACL e coleta os usuários que possuem permissões;
-
- Busca no banco de dados do ADMT quem são os novos usuários (do novo domínio) associados a estes usuários do domínio antigo;
- Espelha as permissões NTFS do usuário antigo ao usuário novo.
Nota: O Conversor de Segurança não funciona para objetos Built-In do domínio antigo (ex: Domain Admins, etc).
Estratégia para Migração
Nesta estratégia, a ordem de migração do ambiente deve ser:
-
- Todos os Objetos do Samba para o Active Directory;
-
- Migração de todos os Serviços de Rede (Servidores de Arquivos, Aplicações, etc) para o Active Directory;
- Migração das estações de trabalho.
Fase de Convivência dos 2 Ambientes
Durante esta fase, os usuários continuarão logando em suas estações com os usuários antigos (Samba). Os usuários continuarão acessando os servidores já migrados para o Active Directory normalmente. Isso é possível devido a relação de Confiança existente entre os 2 domínios, conforme a ilustração abaixo:
-
- O usuário realiza a autenticação no domínio Samba;
-
- O usuário tenta acesso ao servidor que está no domínio Active Directory;
-
- O Servidor que recebeu a requisição verifica a credencial do usuário no domínio Samba, via Relação de Confiança;
- Após verificação das credenciais, o acesso ao Servidor é liberado para o usuário.
Algumas Informações Importantes para a fase de Convivência:
-
- Qualquer usuário que for criado no ambiente deverá ser criado no domínio Samba, e depois ser migrado para o Active Directory via ADMT;
-
- Qualquer modificação em membros de grupos deve ser feita no domínio Samba, e depois realizar um “Merge” via ADMT do grupo Modificado;
- Toda migração deve ocorrer com o mesmo servidor ADMT, então recomendamos o Backup regular deste servidor.
Passos Necessários para Realizar a Migração
É importante ressaltar que todos os passos abaixo devem ser testados em laboratório antes de serem implementados em Produção!
-
- Criar um usuário “Administrator” no domínio Samba, com a mesma senha do usuário “Administrator” do Active Directory, com as mesmas permissões que o usuário “root”;
-
- Criar uma relação de Confiança aonde o Domínio Active Directory confia no domínio Samba;
-
- Instalar o ADMT em um servidor que esteja no domínio Active Directory;
-
- Migrar Grupos para o Active Directory via ADMT;
-
- Migrar Usuários para o Active Directory via ADMT;
-
- Migrar Servidores de Arquivos para o Novo Domínio via ADMT;
-
- Migrar demais Serviços de Rede para o Novo Domínio Active Directory;
-
- Após Migração de todos os serviços de Rede, migrar as estações gradualmente;
-
- Após a Migração de todas as Estações, aguardar estabilização do ambiente;
-
- Após estabilização, desfazer a Relação de Confiança;
- Desligue o Servidor Samba!