Slik utfører du en Active Directory-domenemigrering for Dell Security Server

• Dell Security Management Server (tidligere kalt Dell Data Protection | Enterprise Edition) er stått opp og domene tilknyttet.
• Et eksisterende domene er lagt til i "domain"-delen under WebUI-konsollen.
• Endepunkter er aktivert mot serveren.
• En migrering av domene er nødvendig.
• Vi planlegger også å overføre SID-historikken for AD-objektene.
• Endepunkter har full tilkobling til serveren og kan hente policyer på det gamle domenet før du starter domenemigreringsprosessen.
• Krypterte data på endepunktene er fullt tilgjengelige, endepunkter aktiveres og det er mulig å deaktivere og reaktivere dem. Vi kan bekrefte at aktiveringer skjer uten problemer ved hjelp av en rask WSDeactivate av alle endepunktene.

De overordnede trinnene er ikke for komplekse, men det er nødvendig å forstå at hvis hele prosessen ikke utføres riktig, kan data gå tapt eller en gjenoppretting av maskiner kan være nødvendig. Selv om denne prosessen kan utføres på en hvilken som helst versjon av Dell Security Management Server og klient, anbefaler Dell Technologies å ha minst 8.3.0-klienten og 8.5-serveren installert, siden det er gjort flere forbedringer siden den gang som gjør den totale migreringsprosessen enklere på Dell Security Management Server-siden. Nedenfor er en oversikt over hvordan den generelle prosessen fungerer og noen av de mest bekymringsfulle spørsmålene.

Det første trinnet er å forstå om en domeneoverføring er nødvendig. Det finnes situasjoner som når et firma flytter, for eksempel til Office 365, der det er nok å legge til et alias og angi dette som det primære UPN-navnet for AD-brukerne. Dette er ikke en reell domenemigrering, og Dell Data Protection | Enterprise Edition-server enn å legge til det nye aliaset i domenealiaslisten under delen Innstillinger, Liste over domenealiaser . Hvis et nytt domene opprettes og AD-objekter må flyttes fra det gamle nedlagte domenet til det nye, må det planlegges en domenemigrering.

Når en domenemigrering er planlagt, vurderer det første trinnet å migrere SID-historikken også. For at domenemigreringen skal lykkes på Dell Security Management Server-siden, er det nødvendig å bevare SID-historikken, ellers anses AD-objekter som nye på Dells sikkerhetsadministrasjonsserver, og dermed etter reaktivering som vi ikke kan benytte av de samme krypteringsnøklene. Dell krever å migrere SID-historikken. Vi kommer ikke til å bruke tid på hvordan en domenemigrering utføres, da dette ikke er en Dell Data Protection | Kryptering oppgave, men det er flere verktøy rundt som ADMT fra Microsoft som gjør det mulig for en organisasjon å migrere et domene A til et domene B. Som nevnt ovenfor, er det nødvendig med en SID-historikkmigrering for at vi skal beholde utholdenhet når det gjelder nøkler. Migrering av SID-historikken betyr at vi legger til SID-historikkattributtet i AD for den gamle brukeren SID-premigrasjon, noe som garanterer kontinuitet i de migrerte objektene.

Som regel på AD-siden:

• Når et objekt får nytt navn, endres ikke verdien for objectSID-attributtet (SIDen). Når du flytter et objekt fra ett domene til et annet, må objectSID endres, da en del av det er domenespesifikt, og den gamle SIDen legges til SIDHistory -attributtet (forutsatt at dette er overført). Du kan se SIDHistory ved hjelp av ADSI Edit (du kan vise i heksadesimal eller desimal). Hvis det ikke finnes noen verdier, finnes det ingen SID-historikk, eller objektet ble aldri flyttet fra et annet domene.
• SIDhistory er bare tilgjengelig ved overføring av kontoer mellom domener eller skoger.

Nedenfor er et skjermbilde av hvordan du finner ut om SIDHistory er overført ved hjelp av attributtredigering:

Når vi har bekreftet at SIDHistory av de migrerte brukerne og maskinene også er flyttet, kan vi gå videre med konfigurasjonen av Dell Security Management Server. Hvis du trenger mer informasjon om hvordan du utfører en domeneoverføring og hvordan du beholder SID-loggen, kan du se følgende Microsoft-dokumentasjon:

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

Nedenfor ser du hva som skjer under en domenemigrering på Dell Security Management Server-siden.

1. På klientsiden:
   • Vi løser brukernes UPN til SID-en. Vi ser etter deres SID i hvelvfilen. Vi finner den ikke.
   • Vi finner ut at dette er en ny bruker, og vi kontakter sikkerhetsserveren og sender UPN-passordet som en vanlig aktiveringsforespørsel.
2. På serversiden:
   • Vi mottar aktiveringsforespørselen. Vi kontakter Active Directory og slår opp UPN-et. Deretter sorterer vi brukeren, som en del av denne triageprosessen ser vi at SIDen i Entity-tabellen ikke samsvarer med SIDen i AD. Vi undersøker SIDHistory for å se etter SIDen i enhetstabellen. Hvis vi ikke finner den, kaster vi et unntak, og aktiveringen mislykkes ettersom vi allerede har den SCID på plass. Når vi finner SID-en, oppdaterer vi enhetstabellen med den nye SID-en (i UID-delen er den første delen domenet, og vi oppdaterer den og oppdaterer endepunktdomenedelen).
   • Så sender vi ned til klienten de gamle nøklene, policy, DCID, så videre (som om det var en reaktivering).
3. Tilbake på klienten:
   • Endepunktet mottar denne informasjonen, og legger til en oppføring i credsys.vlt-filen, at brukeren er aktivert og brukeren på det punktet er logget på som normalt.

Et viktig punkt på Dell Security Management Server-siden er forståelsen av om et nytt domene må legges til under webgrensesnittet for å få ting til å fungere med nye og gamle brukere mens du aktiverer eller reaktiverer.

Ved en domenemigrering legger vi ikke til det nye domenet i Dell Security Management Server-konsollen HVIS rotdomenet som er forelderen for det gamle og det nye migrerte domenet er der. Det er nok å legge til det nye domenet i form av et alias under seksjonen "Innstillinger", "Domene Alias Liste." (Og vi antar at det er på plass en toveis tillit mellom det overordnede og det nye underordnede domenet.) Tjenestekontoen for rotdomenet bør konfigureres muligens i det overordnede domenet. Hvis vi i stedet migrerer et domene A.local til B.local og de to domenene ikke er underordnet av samme rotdomene eller de tilhører en annen skog, trenger vi et nytt domene som legges til under konsollen vår, da vi må binde eksisterende endepunkter til det nye domenet og en ny tjenestekonto.

Forståelsen av ovenstående svever over å konfigurere Dell Security Management Server riktig er et sentralt punkt, ellers står vi overfor flere problemer etter migreringen. Det er også viktig å få en forståelse av hva slags klarering som er på plass mellom disse domenene og rotdomenene deres (hvis noen), og hva som er den gjeldende domenelisten under Dell Security Management Server-konsollen. Regelen er enkel. Hvis du har en form for tillit mellom foreldre eller barn, og deretter har du under Dell Data Protection | Enterprise Edition-server Rotdomenet og aliasene på plass er nok. Ellers må vi legge til så mange underordnede domener under Dell Security Management Server som deres virkelige underdomener, og denne regelen gjelder også for domenemigrering.

Til slutt, som mer generelt, bør vi * aldri * få lagt samtidig et barn og foreldre domene som å ha samme bruker potensielt synlig på begge nivåer bryte ting for oss. Fjerning av domene er (enda) ikke en fullt støttet oppgave på Dell Security Management Server-siden.

Hvis klienten er på v8.2.1 eller tidligere og serveren er på v8.3.1 eller eldre, WSDeactivate er et nødvendig trinn siden vi ikke endret navn på endepunktsdomenedelen på serversiden automatisk. Dette gjelder ikke for de nyeste versjonene av Dell Security Management Server eller endepunkt.

Gamle domener kan ikke fjernes fra databasen Dell Security Management Server manuelt eller ved hjelp av konsollen. Dette skyldes at Dell Security Management Server slår opp en bruker eller gruppe og deretter avgjør at det er domenemedlemskap. På grunn av det, hva som må skje når et domene blir fjernet, bør alle objektene som er en del av det domenet også fjernes. Ingen av alternativene støttes på dette stadiet. Dell forsker på å endre denne virkemåten i fremtidige versjoner av Dell Security Management Server, men på dette stadiet er dette ikke en støttet eller levedyktig oppgave. Som en side notat hvis vi velger å merke (manuelt) domenet som fjernet i databasen, begynner vi å få en feil som kastes i serverloggene hvert 15. minutt for alle tilknyttede foreldreløse brukere og grupper.

Hvis beskyttelsen avinstalleres på et migrert endepunkt, er det nødvendig med de samme trinnene som kreves for å håndheve en normal (ikke-domene) reaktivering mot samme beskyttelses-ID her. I vanlige krypterte filer må vi håndheve den samme DCID i registeret før vi lar endepunktet aktiveres på nytt mot Dell Data Protection | Enterprise Edition-server eller Dell Security Management Server. Hvis du har spørsmål, kan du kontakte teknisk kundestøtte for å få mer hjelp.

Nei, en ny domenelisens er ikke nødvendig siden Dell Data Protection | Enterprise Edition Server 8.x. På eldre versjoner av Dell Data Protection | Enterprise Edition Server, er en ny lisens fortsatt nødvendig. Ta kontakt med det tekniske støtteteamet for mer informasjon.