序文の書き方がわからないので、すぐに要点を説明します。
移行方法の簡単な説明:
移行は並行して行われるため、並列AD DS \ Exchangeインフラストラクチャと関連サービスを展開する必要があります。 ステージ:
1.ターゲットインフラストラクチャの展開。
2.ドメイン間の双方向の信頼とADMTのインストール。
3.グローバルアドレス帳の同期とメール組織の共存のセットアップ。
4.実際の移行。メール、ユーザー、コンピューターの移行で構成されます。
カットの下の詳細。
ユーザーおよびコンピューターの移行-ADMT 3.2、メールボックスの移行-powershell、グローバルアドレス帳の同期-FIM、空き時間情報の同期-Inter-Organization Replication Tool したがって、移行中に使用されるすべてのツールは無料です。 これらのツールを使用して約600人のユーザーを移行しましたが、重大な問題は発生しませんでした。 ソリューションは問題なくスケーリングします。
移行が50%(最小)成功するかどうかは計画段階に依存します。この段階では、すべてを事前に検討する必要があります。
このサービスは通常、組織にとって非常に重要であり、このサービスの問題は非常に迅速に「ポップアップ」するため、メール組織の共存に最も注意を払う必要があります。
1.名前空間。
メール組織の共存中にメール組織間でメールを転送するための戦略を検討する必要があります。 1つのオプションは、すべてのメールをExchange 2010経由でルーティングし、「古い」メール組織のメールをリレー(リダイレクト)することです。 これを行うには、「古い」メール組織のメールドメインを「新しい」メール組織の「承認済みドメイン」に追加し、このドメインを「内部リレー」として構成してから、古いExchangeにメールを転送するように新しいExchangeサーバーを構成する必要があります(実際に転送先を指定し、多分、新しいExchangeは古いものについて何も知らないでしょう)。 この場合、このドメインからユーザーのメールを受信すると、Exchange 2010メールサーバーは指定されたアドレスのユーザーを探します。このユーザーがいない場合、メッセージは「古い」メール組織のメールサーバーにリダイレクトされます。
2.古いドメイン内の新しい郵便組織(SCPレコード)の公開および移行されていないユーザーによるそれへのアクセスの禁止。
新しいメール組織のExchangeコマンドラインで、コマンド "Export-AutoDiscoverConfig -TargetForestDomainController target_domain_controller_domain(古い)-MultipleExchangeDeployments $ true -TargetForestCredential $ targetcredentials"を実行する必要があります。 このコマンドは、古いSCPドメインに新しいメール組織のレコードを作成します。 ドメインのルートに近いため、Outlookクライアントは古いメール組織のSCPレコードよりも早くそれを見つけるため、古いドメインの移行されていないユーザーはこのSCPレコードから情報を読み取れないため、セキュリティグループを作成し、移行されたユーザーをそこに追加する必要があります)そして、このSCPへの読み取りアクセスを許可し、Authenticated UsersグループからこのSCPを読み取る許可を削除します。
トラブルシューティング:: Ctrlキーを押しながらタスクバーのOutlookアイコンを右クリックし、[電子メールの自動構成のテスト]を選択します。 Outlookで追加のログを有効にすることもできます。
3. GALと空き時間情報の同期。
FIM 2010 R2は、GALの同期に使用されます。 連絡先を同期するには、すべての組織単位から同期する必要のない連絡先を削除する必要があります(もちろん、FIMフィルターでも同じことを行うことができますが、これは第一に困難であり、第二に悪化します)。
空き時間情報を同期するには、Inter-Organization Replication Toolを使用します(詳細はこちら )。
4.メール移行戦略。
名前空間に戻って、xxx.company.comドメインからcompany.comドメインに移行する場合、firm.comなどの中間ドメイン(メールのみ)を介して移行する必要があります。 Exchangeサーバーは、それが子ドメインであると「考え」、すべてが正しく行われてもエラーを返すため、これが必要です。
一般に、2つのオプションがあります。
-最初にPrepare-MoveRequest、次にADMT(順序:Prepare-MoveRequest、ADMT、New-MoveRequest)
-最初にADMT、次にPrepare-MoveRequest(順序:ADMT、Enable-MailUser、Prepare-MoveRequest、New-MoveRequest)
最初のシナリオは、新しいドメイン\フォレストに移行し、その中にこれらのユーザーのコピーがない場合に適しています。 テキストの後半で詳細を説明します。
5.ユーザー移行戦略。
ユーザーの移行は、メールの移行後に実行されます(実際、これは完全に真実ではありません。ユーザーは新しいドメイン\フォレストのメンバーになることができ、古いドメイン\フォレストからメールを使用できます。 プロセスは非常にシンプルで直感的です。 すべての操作はADMTを使用して行われます。 ここで与えられる唯一のアドバイスは、日ごとに移住者の計画とリストを作成し、事前にビジネスと調整することです。
6.コンピューターの移行戦略。
コンピューターの移行は最後に行うことです。この場合、コンピューターで動作したことのあるすべてのユーザープロファイルが移行されるためです。 2人のユーザーが作業しているコンピューターを移行し、そのうちの1人のみが新しいドメイン\フォレストに移行される場合、コンピューター移行後に「古い」プロファイル(実際には「新しい」プロファイルにコピーされる)がこのユーザーのみに使用可能かどうかを説明します。 2番目のユーザーのプロファイルは空になります。
簡単に(比較的)、最初の項目を除く各項目について説明します。
ドメイン間の信頼:
この段階は、直接移行する必要があるだけでなく、100人以外のユーザー数を移行する場合、移行プロセスに複数の週末がかかり、新しいドメインのユーザーが古いドメインのリソースとサービスにアクセスする必要があるため、重要です。 この瞬間は、インターネット上で詳細に説明されており、フォーラムおよびブログ投稿のトピックの99%がこの記事にリンクしています 。 ただし、SIDの検疫により、信頼されたドメインの管理者は信頼されたドメインを管理できなくなり、古いドメインのリソースへのアクセスは開かれません。 これを行うには、信頼のためにSIDの履歴を有効にする必要があります(私はきついかもしれませんが、SID検疫がどこでも説明されていることを実行しないことに気付くまで、多くの時間を費やしました) 詳細はこちら 。
便宜上:SID履歴-Netdom trust TrustingDomainName / domain:TrustedDomainName / enablesidhistory:Yes / userd:domainadministratorAcct / passwordd:domainadminpwd and quarantine SIDs-Netdom trust TrustingDomainName / domain:TrustedDomainName / quarantine:No / userdctdaddadministrator
ADMTを(新しいドメインのドメインコントローラーに)インストールするには、ボタンを特定の回数クリックします(SQL Express 2008では機能しませんでした。2005年は簡単です)。 パスワードをエクスポートする必要がある場合は、古いドメインのPDCエミュレーターにパスワードエクスポートサービスをインストールする必要があります(インストール後、サービスを開始するか、自動開始に切り替える必要があります。デフォルトでは手動モードでオフになっています)。
さらに、新しいドメインでPDCロールを持つドメインコントローラーのレジストリキーを修正する必要があります。 HKLM \ System \ CurrentControlSet \ Services \ Netlogon \ Parameters \ AllowNT4Cryptoは、Windows XP、Vista(SP1以前)および2000を実行しているワークステーションの移行をサポートします。
3.グローバルアドレス帳を同期する
これを行うには、SQLサーバー1個、FIM同期サービス1個、FIMサーバー上のExchange 2010コンソール1個(並列に必要)が必要です。 インストールプロセスは、次にボタンを押して、非常に明白なパラメーター(SQLサーバーのアドレスなど)を指定することになります。 唯一のこと-FIM同期サービス用に別のサービスアカウントを作成することをお勧めします。
FIMの構成は、グラフィカルインターフェイスを介して行われます。
最初にプロビジョニングを有効にする必要があります。 [ツール]タブ> [オプション]> [プロビジョニングルール拡張を有効にする]。
次に、2つの管理エージェントを作成する必要があります。1つは古いドメインから新しいドメインに連絡先を同期し、2番目はその逆です。
既定では、GALSync管理エージェントは次のユーザーを同期しません:グローバルアドレス帳から隠されているユーザー、空のlegacyExchangeDNパラメーター、空の(同時に)msExchangeHomeServerNameおよびtargetAddressパラメーター、またはproxyAddressesパラメーターが入力されていない場合さらに、「メールボックスプラン」、「調停メールボックス」または「ディスカバリーメールボックス」の場合。
アドレス帳を同期する管理エージェントの作成を始めましょう。
2つのエージェント管理を作成する必要があります(まったく同じように作成されます)。最初の画面で、「Active Directoryグローバルアドレスリスト(GAL)」を選択し、エージェントに名前を付ける必要があります。
次の画面で、フォレスト\ドメインとそれに接続する資格情報を指定する必要があります。
次の画面で、FIMがデータを収集する組織単位と、クロスフォレスト連絡先を配置するコンテナを選択する必要があります(ボタン「コンテナ」)。
次の画面が最も興味深いです;)。 smtpサフィックスを指定する必要があります。最も重要なのは、連絡先を配置する場所と連絡先を取得する場所をFIMに指示することです。 連絡先を作成する組織単位を指定するには、[ターゲット]ボタンをクリックする必要があります。[ソース]ボタンを使用すると、同期するユーザーを含む組織単位を構成できます。 「フォレスト間の委任のサポート(Exchange 2007または2010のみ)」は、メールが有効なユーザーオブジェクト(たとえば、カレンダーの読み取り)への権限の委任に必要なパラメーターを作成します。
次に、次のボタンを何度もクリックする必要があります;)最後の画面で、電子メールサーバーのバージョン(新しいドメイン用)およびExchange 2010が配置されているアドレス(http:// exchangeFQDN / powershell)を指定する必要があります。
古いドメイン用にエージェントをセットアップすると、問題が発生します。)実際には、Active DirectoryにはデフォルトでFIMが検索するパラメーターが存在しないため、パラメーター「msExchRecipientTypeDetails」の欠如に関連するエラーにより、 「。 この悲しい事実を修正するには、「接続フィルターの構成」手順でユーザーエンティティを選択し、「msExchRecipientTypeDetails」へのすべての参照を削除する必要があります。 ただし、これはほんの始まりに過ぎません。「結合および投影ルールの構成」ステップでは、「オブジェクトタイプ:ユーザー」パラメーターを選択し、このエンティティのプロパティで「msExchRecipientTypeDetails」を見つけて削除し、「Object Type:contact」エンティティの「msExchRecipientDisplayType」を削除する必要がありますおよび「msExchRecipientTypeDetails」。 その他の設定は同じです(アドレスが終了したことを示す場合を除き、これは不要です)。 または、/ PrepareADスイッチを使用して古いドメインでExchange 2010サーバーインストーラーを実行します;)
次に、グローバルアドレス帳を同期するか、スケジュールを設定する必要があるたびにエージェントを実行する必要があります。 エージェントの起動順序は重要ではありません。最初にエージェントの完全インポートを開始し、次に完全同期を開始してからエクスポートする必要があります。 その後、確認インポートを行う必要がありますが、FIMがすべての変更がターゲットシステムに正常に行われたことを確認する必要があります。
トラブルシューティングを行うには、「イベントログ」を使用する必要があります。 ただし、特定のユーザー/連絡先に問題がある場合は、FIMのツールを使用して問題の解決を試みるよりも、ターゲットシステムの情報を変更することをお勧めします。
4.移行
グラフィカルインターフェイスを介して行われ、直感的であるため、ユーザーとコンピューターの移行については説明しません。 メールの移行プロセスについて詳しく説明します。
まず、Prepare-MoveRequestスクリプトがターゲットドメイン内の連絡先を検索する原理を検討します。 FIMでメール連絡先を既に作成しているため、このプロセスを理解する必要があります。そうしないと、何か問題が発生した場合、ドメイン内に2つの同一のエンティティが存在し、その理由を理解できません。
-連絡先proxyAddressesパラメーターは、ソース連絡先のproxyAddressesパラメーターの値の少なくとも1つと一致します。
-連絡先は「メール対応ユーザー」であり、「メール対応ユーザー」に入力する必要があるActive Directoryのすべてのフィールドに入力しています。
-パラメーター「-UseLocalObject」および「-OverwriteLocalObject」を使用してスクリプトを実行する必要があります。
これらの条件が満たされると、スクリプトは既に作成された連絡先を使用します。 一般に、FIMによって作成された連絡先の場合、これは常に当てはまります(問題は発生していません)。
したがって、最初にADMTを実行してからスクリプトを実行する場合、アクションはおよそ次のようになります。
-FIMによって作成されたメール連絡先(移行しようとしているユーザー)を削除します。
-ADMTを使用してユーザーを移行します。
-移行したユーザーを「メールが有効なユーザー」にし、パラメーター「-ExternalEmailAddress」を設定して、元のユーザーのアドレスの1つと一致するようにします。
いずれにせよ、古いドメインのメールボックスを受け入れることができるユーザーがいます。 次に、CSVファイルを使用してメールを移行するために使用できるスクリプトを提供します。
オフにして実行します... cd "C:\ Program Files \ Microsoft \ Exchange Server \ V14 \ Scripts"
$ c =(Get-Credential YourOldDomain \ Postal Organization Administrator)
Import-Csv c:\ _。Csv | ForEach {。\ Prepare-MoveRequest.ps1 -Verbose -Identity $ _。Identity -UseLocalObject -OverWriteLocalObject -RemoteForestDomainController olddomain_controller_domain_name -RemoteForestCredential $ c}
Import-Csv c:\ _。Csv | ForEach {New-MoveRequest -Identity $ _。Identity -Verbose -TargetDeliveryDomain your new domain.com -TargetDatabase database_name -RemoteLegacy -RemoteCredential $ c}、パラメーター「-BadItemLimit」および「-AcceptLarge」もお勧めします。 また、「-RemoteLegacy」スイッチに注意を喚起したいと思います。実際には、それに加えて「-Remote」スイッチがあり、正しいスイッチではなく誤って挿入すると、EXCHENGEがMRSProxyサーバーを要求します。 CAS Exchange 2010。
フルネームのリストのみで構成されたCSVファイルを使用しましたが、私の場合はこれで十分でしたが、十分ではないかもしれません。
メールデータベースに移行するメールボックスは、データベースの要件(たとえば、これらのメールボックスサイズ)を満たす必要があることに注意してください。
現時点では、興味深い質問と回答がある場合、他の落とし穴を思い出せません。記事を補足します。 質問は大歓迎です。
追伸 便利なリンク:
-FIMと郵便組織の共存に関する非常に良い記事
- メールの移行に関する詳細な記事
- 自動検出、SCP、および郵便組織の共存に関する有用な記事。
- 「映画のリクエスト」などの作業を理解するのに役立つ記事 。
この投稿は、疑似ランダムデータのセットです。
4c74356b41
「フォレスト間」移行:Active Directory 2003> 2008 r2、Exchange 2003> 2010、ユーザーおよびコンピューター。 アドレス帳の同期
All Articles