如何為 Dell Security Server 執行 Active Directory 網域遷移

• Dell Security Management Server (先前稱為 Dell Data Protection | Enterprise Edition) 已上線並加入網域。
• 現有的網域已新增至 WebUI 主控台底下的「網域」區段。
• 已針對伺服器啟用端點。
• 需要遷移網域。
• 我們也正規劃遷移 AD 物件的 SID 歷程記錄。
• 端點具有伺服器的完整連線能力，可在開始網域遷移程序之前，擷取舊網域上的原則。
• 端點上的加密資料可完全存取，端點會啟用，並可停用再重新啟用。我們可以使用任何端點的快速 WSDeactivate ，確認正在啟用，沒有任何問題。

整體步驟不是太複雜，但必須瞭解的是，如果整個程序未正確執行，資料可能會遺失，或可能需要復原機器。最後，雖然此程序可在任何版本的 Dell Security Management Server 和用戶端上執行，但 Dell Technologies 建議至少安裝 8.3.0 用戶端和 8.5 伺服器，因為此後已進行多項改良，讓 Dell Security Management Server 端的整體遷移程序更輕鬆。以下概述整體程序的運作方式，以及一些最令人擔心的問題。

第一個步驟是瞭解是否需要網域遷移。在某些情況下，例如當公司移至 Office 365 時，其中足以新增別名，並將此選項設為 AD 使用者的主要 UPN。這不是真正的網域遷移，除了將新別名新增至設定、網域別名清單一節底下的網域別名清單外，Dell Data Protection | Enterprise Edition 伺服器上不需要採取任何其他動作。如果已建立新網域，且 AD 物件必須從已解除代理的舊網域移至新網域，此時則必須規劃網域遷移。

每次規劃網域遷移時，第一個步驟是也考慮遷移 SID 歷程記錄。若要在 Dell Security Management Server 端成功進行網域遷移，必須保留 SID 歷程記錄，否則 Dell Security Management Server 會將 AD 物件視為新物件，因此在重新啟用後，我們無法使用相同的加密金鑰。Dell 需要遷移 SID 歷程記錄。我們不會把時間花在如何執行網域遷移上，因為這不是 Dell Data Protection | Encryption 工作，但有幾個可用工具，例如來自 Microsoft 的 ADMT，可讓組織將網域 A 遷移至網域 B。如上所述，必須進行 SID 歷程記錄遷移，才能在金鑰方面保持持續性。遷移 SID 歷程記錄表示我們新增到在舊使用者 SID 預先遷移的 AD 中的 SID 歷程記錄屬性，保證遷移物件的持續性。

如 AD 端的規則：

• 重新命名任何物件時，objectSID 屬性 (SID) 的值不會變更。當您將物件從一個網域移到另一個網域時，objectSID 必須變更，因為其中一部分是特定網域，而舊的 SID 會新增至 SIDHistory 屬性 (假設這已遷移)。您可以使用 ADSI 編輯檢視 SIDHistory (您可以採用十六進位或十進位檢視)。如果沒有值，就不會有 SID 歷程記錄，或物件從未從其他網域移動。
• SIDhistory 只有在網域或樹系之間遷移帳戶時才能使用。

以下螢幕擷取畫面說明如何使用屬性編輯器來判斷 SIDHistory 是否已遷移：

確認已遷移使用者的 SIDHistory 和機器也已移動後，我們便可繼續進行 Dell Security Management Server 組態。如果需要更多關於如何執行網域遷移以及如何保留 SID 歷程記錄的資訊，請參閱下列 Microsoft 說明文件：

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

以下是在 Dell Security Management Server 端進行網域遷移期間發生的情況。

1. 在用戶端：
   • 我們將使用者 UPN 解析至 SID。我們會在存放庫檔案中尋找其 SID。我們找不到。
   • 我們決定這是新的使用者，我們聯絡 Security Server，將 UPN 密碼傳遞為典型的啟用要求。
2. 在伺服器端：
   • 我們收到啟用要求。我們聯絡 Active Directory 並查閱 UPN。接著我們會將使用者分級，作為此分級程序的一部分，我們注意到實體表格中的 SID 與 AD 中的 SID 不相符。我們會檢查 SIDHistory 以查看在我們實體表格中的 SID。如果我們找不到，我們就會擲出例外情形，而啟動會失敗，因為我們已備妥 SCID。當我們找到 SID 時，我們會使用新的 SID 更新實體表格 (在 UID 部分中，第一部分是網域，我們將其更新，然後更新端點網域部分)。
   • 接著我們向用戶端傳遞舊金鑰、原則、DCID 等 (就像是重新啟動一樣)。
3. 返回用戶端：
   • 端點會接收此資訊，並在 credsys.vlt 檔案中新增項目，即該使用者已啟用，且該點的使用者已正常登入。

Dell Security Management Server 端的關鍵點是瞭解是否必須在 WebUI 下新增一個新網域，才能在啟用或重新啟用時讓新使用者和舊使用者正常運作。

在網域遷移時，如果舊網域和新遷移網域的根網域有父項存在，我們不會將新網域新增至 Dell Security Management Server 主控台。在「設定」區段、「網域別名清單」底下，以別名的形式新增新網域就足夠了。(而且我們假設父與新子網域之間擁有雙向信任。)根網域的服務帳戶可能應在父網域中設定。如果要將網域 A.local 遷移至 B.local，而這兩個網域不是相同根網域的子項，或是屬於不同的樹系，我們需要在主控台中加入新網域，因為我們必須將任何現有的端點綁定至新網域和新的服務帳戶。

正確理解上述將游標停留在設定 Dell Security Management Server 上是一個關鍵點，否則在遷移後我們會遇到一些問題。瞭解這些網域與其根網域 (如果有) 之間所建立信任的類型，以及這些網域目前在 Dell Security Management Server 主控台下所列出的網域，同樣至關重要。規則很簡單，如果您在父/子之間有某種信任，那麼在 Dell Data Protection | Enterprise Edition 伺服器下有就定位的根網域和別名即已足夠。否則，我們必須在 Dell Security Management Server 下新增多個子網域做為其真正的子域，而此規則亦適用於網域遷移。

最後，總而言之，我們 *不應* 同時新增一個子網域和父網域，因為在兩個層級中顯示相同使用者的可能性可能會造成我們無法運作。而且移除網域還不是 Dell Security Management Server 端完全支援的工作。

如果用戶端為 v8.2.1 或更舊版本，而伺服器為 v8.3.1 或更舊版本， WSDeactivate 是必要的步驟，因為我們並未自動重新命名伺服器端的端點網域部分。在 Dell Security Management Server 或端點的最新組建中，情況並非如此。

無法從 Dell Security Management Server 資料庫手動或使用主控台移除舊網域。這是因為 Dell Security Management Server 會尋找使用者或群組，然後判斷其為網域會員資格。因此，當網域移除時，必須發生的情況是屬於該網域的所有物件也應移除。在這個階段，這兩個選項都不支援。Dell 目前正在研究如何在未來的 Dell Security Management Server 組建中變更此行為，不過在目前階段，這並不是受到支援或可行的工作。另需注意，如果我們選擇 (手動) 將網域標記為已在資料庫中移除，就會開始收到錯誤，每 15 分鐘會將所有相關聯的孤立使用者和群組擲回到伺服器記錄中。

若是在遷移的端點上解除安裝 Shield，則必須執行與相同 Shield ID 的正常 (非網域) 重新啟用所需的相同步驟。在常見的加密檔案中，我們必須在登錄中強制執行相同的 DCID，然後才允許端點針對 Dell Data Protection | Enterprise Edition Server 或 Dell Security Management Server 重新啟用。如有任何問題，請聯絡技術支援小組以取得更多協助。

否，自 Dell Data Protection | Enterprise Edition Server 8.x 起即不需要新的網域授權。舊版 Dell Data Protection | Enterprise Edition Server 仍需要新的授權。如需詳細資訊，請聯絡技術支援小組。