Verschiedenes - MOVEDOM

Wie verschieben Sie eigentlich ihre System aus einer Domäne in die andere ? Besonders wenn Sie noch in der Umstellung sphase von Windows NT4 Domänen in das Active Directory sind, kann das Verschieben von hunderten oder mehr Systemen zu einem größeren Arbeitspensum werden. Die normalen Wege sind:

  • Handarbeit
    Sie gehen an jeden Computer und ändern die Domänenzugehörigkeit. Keine leichte Aufgabe und sehr arbeitsintensiv. Aber für kleine Umgebungen machbar, wenn Sie die Anwender an den Computer lassen. Abstimmungsbedarf besteht auf jeden Fall. Gerade bei Notebooks, die nur zeitweise in der Firma sind. Und was machen Sie mit Außendienstsystemen und Heimarbeitsplätzen ?
  • ADMT
    Das Migrationsassistent erlaubt die Umstellung der Domäne aus der Ferne. Aber Sie müssen dies von Hand ausführen und der PC muss erreichbar sein. Sind sie sicher, dass alle PCs damit erreicht werden können ?
  • Neuinstallation
    Oftmals ist deine Migration auch mit einem Update der Clients verbunden. Meist durch eine Neuinstallation mittels RIS (Remote Installation Services) oder anderen Hilfsprogramme. Hier müssen Sie nichts machen.
  • Softwaremanagement
    Vielleicht haben Sie eine Softwareverteilung. Dann können Sie damit dein "Auftrag" einplanen. Aber Achtung: Die Migration in eine andere Domäne benötigt einige Rechte.
  • MOVEDOM
    Interessiert ?, dann einfach weiter lesen !

Sowohl ADMT als auch die Handarbeit sind keine echte Alternative, für eine mittlere Firma. Wo bleibt der ADMT-Ansatz mit einem Automatismus? Genau das ist MOVEDOM. Ein zentrale Server verschiebt die Systeme, aber der Client sagt bescheit, wenn er eingeschaltet wird.

Wie geht es ?

MOVEDOM besteht aus zwei Prozessen, die über eine simple Dateifreigabe miteinander kommunizieren. Wobei kommunizieren schon wieder zuviel ist. Es ist eher ein einmaliges Informieren

  • Notify-Prozess
    Der Benachrichtigungsprozess kann von jedem Anwender selbst ausgeführt werden und informiert den MOVER-Prozess darüber, dass ein PC noch nicht in der richtigen Domäne ist. Der Anwender benötigt keine besonderen Rechte und keine weiteren Programme. In der Regel handelt es sich um einige Zeilen Batch-Code, der in das Anmeldeskript eingebunden wird. Ich gehe davon aus, dass alle Anwender zumindest einen gemeinsamen Teil eines Anmeldskriptes der Domäne nutzen. Das Skript stellt fest, ob der PC in der falschen Domäne ist und informiert den zweiten Prozess über eine simple Datei in einer Freigabe
  • Mover-Prozess
    Dieser Prozess läuft im Hintergrund z.B.: auf einem Domain Controller und überwacht, welche Anwender eine Migration anfordern. Dann verbindet sich dieser Prozess mit dem Client und verschiebt den PC in die neue Domäne. Dabei wird das Microsoft Tool "NETDOM" genutzt. Der PC wird danach neu gestartet. Der Anwender konnte in der Zeit noch nichts tun, da dies einmal direkt beim Anmelden passiert

Nach der Aktivierung dieser Logik bedeutet dies, dass jeder Anwender an einem PC, der noch nicht in der richtigen Domäne ist ohne weitere Aktion eine Migration selbst anstößt. Er muss dazu keine Rechte habe, außer in eine Freigabe eine Datei abzulegen. Und das macht das Anmeldeskript für ihn.

RISIKO und Probleme

  • Sicherheit
    Diese Verfahren hat einen großen Nachteil. Wer immer weiß, in welchem Verzeichnis er welche Datei ablegen muss, kann die vorgegebene Aktion anstoßen. D.h. wenn ich den Namen des Computers meines Chefs weiß, kann ich den indirekt über diesen Weg booten. Daher ist de Verifikation des Vorgehens besonders wichtig. Der MOVER-Prozess prüft dabei ebenfalls, ob die Domäne des Arbeitsplatzes wirklich unterschiedlich ist, nicht dass jemand mit falschen Notify-Dateien, eine wilde MoveDom-Orgie startet.
  • Keine lokalen Rechte
    Der Mover-Prozess muss auf alle Clients lokale Administratorrechte haben. Daher läuft dieser Prozess meist als Domänenadministrator auf einem Domain Controller. Aber selbst dann gibt es sicher Systeme, die die Gruppe der "Domänen Administratoren" aus der lokalen Gruppen entfernt haben. Oftmals hilft es dann einfach einen lokalen Administrator einzutragen oder diese wenigen PCs von Hand umzustellen.
  • Kein Anmeldeskript
    Wird auf einem Computer nie ein Anmeldeskript ausgeführt, dann kann der Mover auch keine Information darüber erhalten. Daher sollten Sie alle neue Computerkonten in der neuen Domäne in der alten Domäne entfernen. So nach und nach erkennen Sie die "alten" Systeme. Hilfreich ist auch die NetzwerkUmgebung. Ebenfalls gibt es Programm, die das Kennwortalter eines Computerkontos auslesen. Jede Windows NT Workstation ändert alle 60 Tage ihr Computerkennwort. Ist das Kennwort in der Domäne daher älter als z.B.: 90 Tage, können Sie davon ausgehen, dass der Computer schon lange nicht mehr aktiv war. Letztlich ist dies die notwendig Handarbeit, wenn Sie keine Inventarsoftware einsetzen.
  • Kennworte
    Der NETDOM Befehl benötigt Kennworte für das Active Directory (Computerkonto anlegen) und die Clients (lokaler Administrator). Stellen Sie unbedingt sicher, dass das Skript nur von autorisierten Benutzern aufgerunden und eingesehen werden kann

Nach einigen Tagen oder Wochen sollten alle System migriert sein. Bitte migrieren Sie aber keine Server mit diesem Weg. Domain Controller findet NETDOM noch alleine heraus und verweigert die Arbeit.

Praktische Erfahrung

Diese Lösung wurde in abgewandelter und angepasster Form bei mehreren Kunden eingesetzt, um meist mehrere Windows NT4 Domänen durch ein Active Directory abzulösen und dabei bestehende Workstations, die nicht neu installiert werden, zügig zu migrieren. Schließlich sollen die alten Domänen demontiert werden und die Gruppenrichtlinien wirken können

Bis auf wenige einzelne Ausnahmen funktioniert die Umstellung problemlos. Hierbei hilft natürlich, wenn die Workstation mit Windows 2000 oder neuer installiert sind und in der neuen Domäne mittels Gruppenrichtlinie die weiteren Einstellungen erhalten, z.B.: die DefaultLogonDomain. Meist sind 60-70% aller Arbeitsplätze am ersten Tag umgestellt und ca. 80-90% nach eine Woche. Die verbliebenen System sind oft Notebooks oder gar nicht mehr vorhanden.

Der der MOVER-Prozess als Batch sowohl im Endlosmodus als Schleife laufen als auch als Batch mit der Angabe eines Zielsystems genutzt werden kann, ist auch eine manuelle Verschiebung gerade aktiver Systeme aus der Kommandozeile möglich.

Download

Hier finden Sie in einem Archiv zwei triviale Skripte als Muster. Sie können diese NICHT blind einsetzen, sondern müssen einiges anpassen.

movedom.zip  (2 KByte)

Versuchen Sie die Funktion zu verstehen und dann können Sie dies in ihrem Netzwerk umsetzen. Sie benötigen einige manuelle Anpassungen, z.B.:

  • Anpassen des NOTIFY-Skripts mit korrekten Pfaden
  • Einbindung der MOTIFY-Komponente ins Anmeldeskript
  • Sicherstellung, dass auf allen PCs das Anmeldeskript aufgerufen wird
  • Einrichten einer Freigabe (bevorzugt "verborgen") mit entsprechenden Rechten
  • Anpassen des MOVER-Skripts mit korrekten Pfaden und Kennworten
  • Starten des MOVER-Skripts auf einem Server
  • Überwachen, dass das Skript funktioniert

Wenn Sie sich dies nicht zutrauen oder die Batchfiles nicht verstehen, dann sollten Sie diese nicht umsetzen. Der MOVER-Prozess hat sehr weit reichende Rechte und kann damit einiges an Schaden anrichten.

Die Prozesse können natürlich in jeder Hinsicht erweitert werden. z.B. dass der MOVER-Prozess eine Mail für jeden migrierten Computer sendet oder aussagekräftige Fehlermeldungen protokolliert. Ihrer Fantasie sind Grenzen gesetzt.

Zusammenfassung

Klein, einfach, effektiv, verständlich und kostet nicht. Das sind die wesentlichen Attribute, die Kunden mir immer wieder sagen, weil große Probleme und Arbeiten mit so einfachen Mitteln so einfach gelöst werden können. Übrigens ist MOVEDOM nur eine pfiffige Lösung aus dem gesamten Werkzeugkasten, mit dem Net at Work Migrationen beschleunigt.