Su consultor TI

Conozca su infraestructura, mejore lo que necesite

ADMT – Active Directory Migration Tool, como usarlo de forma sencilla

Hola, en estas fechas y con mucha gente intentando migrar o cambiar de Windows Server 2003 a 2008 o 2012 por la próxima caducidad del soporte para el 2k3, me estoy encontrando con que no se conoce o no se consigue utilizar correctamente la herramienta que Microsoft proporciona para estos menesteres y que es ADMT (Active Directory Migration Tool).

Lleva por este mundo dando tumbos desde Windows 2000 si no recuerdo mal y, actualmente, va por la versión 3.2, con una última versión de junio de 2014. Con ella podréis migrar los objetos de Directorio Activo (usuarios, grupos, OUs…) de un dominio 2003 a un 2008 o 2012. Si tenéis un dominio en 2000 tendréis que usar la versión 3.1 para migrarlo a 2003 y de ahí a 2012 o 2008, no se puede hacer de forma directa.

ADMT-esquema

Si somos puristas, yo no migraría un dominio con ADMT, lo lógico sería meter un servidor miembro en 2k12 o 2k8 y promoverlo a controlador de dominio. Después de que hubiera sincronizado todo correctamente, migraríamos los roles (FSMOs) al nuevo servidor a mano (mejor que dejárselo al dcpromo) y con un dcpromo sobre los viejos DCs iríamos eliminando los controladores en 2003 para dejar al final como únicos DCs los nuevos que hayamos montado en 2k12 o 2k8. Una vez hecho esto, podríais subir los niveles del bosque y el dominio a 2008 o 2012 (mejor 2008 o 2008 R2 por mantener la compatibilidad, el nivel 2012 no aporta gran cosa). También habría que desactivar la replicación del SYSVOL por FSR y pasarla a DFSR para dejarlo todo fetén.

Pero si queréis montar un dominio totalmente nuevo, lo que no es raro si realmente no migráis del 2003 sino que huis de él porque está hecho unos zorros y queréis empezar en blanco, ADMT es vuestra herramienta.

Podríais pensar que si no tenéis gran cantidad de usuarios podréis recrearlos a mano pero probablemente os arrepentiríais ya que perderíais los identificadores únicos o SID de cada usuario y tendríais que regenerar los perfiles de los equipos de puesto, entre otras cosas. Al migrar con ADMT, los SID antiguos se incorporan a los nuevos usuarios en su SIDhistory, manteniendo compatibilidad con aplicaciones que se basen en ese identificador.

Lo primero que tenéis que hacer es verificar que tanto el nivel del bosque como del domino origen están a nivel de 2003. Si no es así, deberéis subirlo de nivel. Este proceso puede ser muy sencillo o muy complejo si os da un error. En caso de que no podáis subirlo a 2003 por algún error, deberéis hacer una limpieza de metadatos del dominio origen casi seguro, eliminado DCs que ya no existan y cosas similares, pero eso se escapa de la intención de lo que quería comentar aquí.

Antes de empezar, deberéis verificar además que hay conectividad IP entre los DCs de ambos dominios y sobre todo, que sus DNS resuelven nombres entre ellos. Lo normal, dado que salvo error, los DCs serán servidores de DNS, es que pongáis en sus DNS las IPs del otro DC como reenviadores (acordaos de quitarlas cuando terminéis). Una vez verificado con un simple ping que tanto en FQDN del dominio como del DC se resuelven por ambos servidores, podremos continuar.

Para que no os pille luego de susto, voy a detallaros lo que necesitaremos para poder ejecutar la herramienta:

  • Dos DCs, uno de cada dominio que tengan conectividad y resolución de nombres entre ellos.
  • Un servidor 2008 R2 incluido en el dominio de destino que usaremos únicamente como equipo para instalar el ADMT y que luego podremos desechar una vez migrado.
  • SQL Server 2008 Express SP1 instalado en el servidor 2008 R2.
  • El fichero de instalación de ADMT 3.2 y el de PES (Password Export Service) si deseamos migrar también las contraseñas.

Os dejo en el enlace inferior un fichero ISO creado por mi en el que ya tengo todo lo necesario salvo el 2008 R2 y el SQL Server Express. Está en ISO ya que la mayoría realizareis todo esto con máquinas virtuales y es tan sencillo como montar este fichero como si fuera el DVD del equipo y a funcionar. Incluyo el ADMT junto con el PES de 32 y 64 bits.

Suponiendo que ya lo tengáis todo listo, para comenzar deberemos crear una relación de confianza bidireccional entre ambos dominios y necesitaremos conocer usuarios con permisos de administrador en los dos.

Eso lo haremos desde la herramienta “Dominios y confianzas de Active Directory“. Las acciones que comento a continuación deberemos repetirlas exactamente igual tanto en el dominio origen como en el destino al que queremos copiar los usuarios, grupos o lo que sea que queramos migrar. La única diferencia serán los nombres de usuarios con permisos de administrador, que en cada caso deberemos poner los adecuados.

ADMT-AD-domains_trust

En dicha herramienta, pincharemos con el botón derecho sobre el nombre del dominio y seleccionaremos propiedades. Una vez en propiedades, entraremos en la segunda pestaña, la de “Confianzas” y crearemos una nueva relación con el botón “Nueva confianza” que parece en la parte inferior. Esto lanzará un asistente que es prácticamente idéntico tanto en 2003 como en 2008 y 2012.

ADMT-confianza2

En el primer paso, deberéis indicar el dominio con el que deseáis establecer la relación de confianza. Este paso NO DEBE fallar, si os da un mensaje diciendo que no se contacta con el servidor o cualquier otra cosa, revisad la conectividad entre los dos servidores porque hay algo que no está bien.

ADMT-confianza

El asistente es muy simple, solamente tenéis que elegir las opciones de confianza a nivel de bosque, bidireccional y saber los usuarios y contraseñas de administración del dominio remoto. También os pedirá confirmar/validar la relación de confianza en ese momento. Decidle que sí y proporcionad las credenciales del otro dominio para ello. No os puedo detallar con capturas todo el proceso porque no tengo “a mano” ningún dominio que migrar en este momento, pero no reviste excesiva complejidad si hay conectividad.

Al final, os debe quedar algo similar a esto:

ADMT-relacion

Después de esto, entrareis en las propiedades de los dos dominios y les daréis al botón de “Validar”. Recordad que todo esto lo tendréis que realizar tanto en el dominio origen (2003) como en el de destino (2008/2012).

ADMT-validacion

Una vez correctamente establecida y validada, iréis al “Administrador de Usuarios y Equipos de Active Directory” en incluiréis los respectivos usuarios administrador de cada dominio en el grupo local “Administradores” del otro para que tengamos permisos de administración cruzados entre ambos dominios. Además, esto sería la prueba final de que la confianza funciona correctamente en ambos sentidos y de que no tendremos problemas para migrar objetos a causa de ella.

Tras esto y suponiendo que ya tenéis montado vuestro servidor 2008 R2 x64 montado e incluido en el dominio destino como miembro, pasaremos a instalar los programas necesarios que son los siguientes:

SQL Server Express 2008 SP1 x64

Lo instalareis en el servidor 2008 R2. No vale la versión sin SP1 pero sí que sirve otro servidor de bases de datos que podáis tener en otro equipo aunque la verdad, siendo que solo lo vamos a usar un rato, lo mejor es usar esta versión y luego desecharla. La instalación es la normal por defecto, no voy a entrar en más detalles. Simplemente puntualizar que cuando os pida el usuario para arrancar la instancia, deberéis darle el de administración del dominio destino, no pongáis uno local o restringido porque probablemente luego casque el proceso de importación. No me preguntéis porque, pero me ha pasado algunas veces.
Si al instalar la versión SP1 os fallara nada más empezar (tampoco me preguntéis porque algunas veces pasa), antes de darle aceptar al mensaje de error del instalador, id al disco C:\ y copiaros la carpeta temporal donde lo ha descomprimido a otro lugar en el servidor (el escritorio por ejemplo). Después, simplemente ejecutad la instalación desde esa carpeta con el paquete ya descomprimido y mágicamente os funcionará sin errores (o eso espero).

ADMT 3.2

Una vez tengáis el SQL Server instalado, podéis lanzar la instalación del ADMT. Es de 32 bits, pero no pasa nada. El proceso es bien simple, sota caballo y rey, solo tendréis que decirle la instancia de la base de datos, pero en el propio asistente os aparece lo que debéis teclear si habéis usado el Express (.\SQLEXPRESS).

PES

Si queréis migrar también las cuentas con las contraseñas, en el servidor de dominio origen deberéis instalar el paquete PES que corresponda (32 o 64 bits) e instalarle un certificado digital para que cifre las contraseñas por la red. El certificado os lo pedirá el asistente y no podréis continuar si él. Ese certificado digital lo habremos generado previamente en el equipo 2008 con el ADMT y el comando que os pongo a continuación.

admt key /option:create /sourcedomain:FQDN_dominio_origen /keyfile:nombre_fichero /keypassword:{|*}

Creo que es bastante auto explicativo, si tenéis alguna duda poned un comentario y os explicaré como generarlo con más detalle.

El certificado que generéis (un fichero con la extensión .cer), lo deberéis copiar al servidor de dominio origen y durante el proceso de instalación del PES os pedirá que le indiquéis la ruta.

Tened en cuenta que, por seguridad, el servicio que crea el PES (Password Export Service) se queda como manual sin arrancar. Antes de comenzar con la migración deberéis arrancarlo a manubrio.

Bueno, pues una vez llegado a este punto, procederemos con la migración. ADMT tiene dos formas de usarse, mediante un asistente o mediante línea de comandos para poder incluirlo en scripts. Yo personalmente solo uso la línea de comandos para generar el certificado antes comentado, pero si hay algún masoquista o especialmente friki, puede leerse el manual que incluyo en la ISO o buscar por internet, hay artículos muy buenos en ingles sobre su uso.

Bueno, pues a la faena. Arrancaremos ADMT y en el único componente que aparece en la consola, pincharemos con el botón derecho para que nos muestre el menú con todas las opciones de migración que permite ADMT. Yo solo he necesitado la de migrar usuarios, pero imagino que las demás serán similares en su uso.

ADMT-menu

Elegiremos la primera opción para migrar usuarios y en la primera pantalla indicaremos los dominios y servidores implicados, tanto de origen como de destino. En el desplegable deberían apareceros ya disponibles los servidores respectivos, si no os aparece nada podéis introducirlos a mano, pero empezamos con mal royito el proceso…

ADMT-origen-destino

En los siguientes pasos os pedirá que indiquéis que deseáis migrar y en que forma. Yo siempre lo he dejado todo por defecto salvo que especifico que sí deseo migrar los SID de usuarios (muy importante esto) y que sí que quiero migrar contraseñas.

En un punto del proceso os pedirá que seleccionéis que usuarios del dominio deseáis migrar. Al final aparecerá una ventana con el progreso del proceso y poco más.

ADMT-progreso-proceso

Solo me queda avisaros de que, si por alguna cosa necesitáis repetir el proceso, suponiendo que haya terminado bien una primera vez, deberéis desinstalar tanto SQL Server como ADMT y eliminar sus respectivas carpetas y datos o el proceso final os fallará, aunque todos los pasos previos hasta llegar a ese final funcionarán perfectamente.

Espero que os haya sido útil.

2 Comentarios

Nuevo comentario
  1. Hola
    Estoy intentando migrar mi antiguo servidor windows 2003 server a windows 2012 server a traves de admt 3.2. El problema que tengo es que cuando voy a instalar admt en mi windows 2008 server 64 me da un error admtinst.exe no es una aplicacion win32 valida.

    Lo he probado bajandomelo de microsoft, desde tu web y desde varios sitios y me da el mismo error.
    Lo he intentado instalar tambien en un windows 2003 server por si el problema venia del 64 bits

    A ver si me puedes ayudar

    A espera de noticias

    Saludos

    1. Hola Carlos, perdona la tardanza. En mi caso no tuve ese problema en ninguna de las instalaciones que migré. Yo siempre he instalado un 2008 exprofeso para ello, en una máquina virtual, bien en un host ESXi o bien en mi portátil con VMWare Workstation. Después elimino el servidor virtual y a por el siguiente.

      Con una instalación limpia desde la ISO del 2008 R2 x64 no deberías tener ningún problema. El error tan genérico que te da, si es un 2008 existente y con sus kilómetros, puede ser cualquier cosa, hasta que no lo guste la marca de tu ratón.

      Un saludo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


*

Su consultor TI © 2014 Frontier Theme