Drei Schritte zur Konsolidierung von Active Directory nach einer Fusion

Es ist der erste Tag nach der Fusion oder Übernahme. Sie haben hart gearbeitet, um sicherzustellen, dass die Benutzer sofort zusammenarbeiten können. Sie haben alles vorbereitet, damit die Benutzer einander in einem geteilten Verzeichnis finden, interne und externe E-Mails versenden und Termine planen können.

So haben Sie sich etwas Luft verschafft, um die Migration zu einer gemeinsamen IT-Infrastruktur zu bewerkstelligen. Es geht mit dem Fundament des Messaging-Systems los: Active Directory. In diesem Beitrag erläutern wir die drei Hauptschritte zur Synchronisierung bestehender Active Directory Instanzen, sowie der Integration und Migration in eine neue, verbesserte Infrastruktur.

1. Integrieren Sie Ihre Verzeichnisse

Der erste Schritt ist die Synchronisierung getrennter Active Directory Instanzen, so dass Benutzer in den verschiedenen Umgebungen als ein Unternehmen zusammenarbeiten können. Falls Sie diesen Schritt als Vorbereitung für Tag eins schon erledigt haben, können Sie direkt mit Schritt 2 fortfahren. Vermutlich konnten Sie zunächst jedoch nur die E-Mail-Verzeichnisse synchronisieren. Es ist also noch viel zu tun, und so gehen Sie es an:

Verzeichnisse synchronisieren. Vor und während der Migration müssen die Verzeichnisse jeweils die eigenen Objekte weiter bedienen. Jedes Verzeichnis verfügt über eigene Benutzer, Gruppen, Geräte und andere Objekte, die es weiterhin unterstützt. Wahrscheinlich müssen Objekte im Rahmen der Migration hinzugefügt und angepasst werden. Die erste Aufgabe ist also die kontinuierliche Synchronisierung der zwei Verzeichnisse. Wenn Sie eine Veränderung in einer der Instanzen vornehmen, soll diese umgehend auch in der anderen abgebildet werden.

Richten Sie einen „Trust” ein. Bei der Synchronisierung von Verzeichnissen werden diese so eingerichtet, dass beide Umgebungen im folgenden zwei anstelle von einem Objektset beibehalten. Dies erreichen Sie durch dass Einrichten eines „Trusts” zwischen den beiden Verzeichnissen, wodurch die Unterstützung neuer Objekte ermöglicht wird. Ziel ist es, dass Benutzer beider Unternehmen einfach auf Ressourcen des jeweils anderen Unternehmens zugreifen können – wie Servern, Arbeitsplätzen, Druckern und anderen Geräten. Benutzer benötigen möglicherweise auch Zugriff auf die Daten der anderen Umgebung und diese Daten haben möglicherweise unterschiedliche Freigaben oder befinden sich auf SharePoint-Seiten in einem anderen Verzeichnis.

Administratorrechte aktualisieren. Bei der Zusammenführung von Unternehmen treffen auch unterschiedliche Systemadministratoren aufeinander. Häufig benötigen die Administratoren Zugriff auf Objekte in Verzeichnissen, die sie bisher nicht verwaltet haben. Bei der Errichtung eines „Trusts” zwischen Verzeichnissen geht es also nicht nur um „technisches” Vertrauen. Es geht auch um menschliches Vertrauen: Das Vertrauen, dass die Administratoren der neuen Gruppe sich an die Richtlinien der Administratoren in der alten Gruppe halten. Hierfür müssen die Administratorrichtlinien möglicherweise angepasst werden, um besser auf die Bedürfnisse eines kombinierten Unternehmens einzugehen.

Als Ergebnis erhalten Sie eine integrierte Active Directory-Umgebung. Das war der erste Schritt.

 integrated Active Directory environment

2. Aufbau einer neuen AD-Umgebung

Nachdem Sie zwei oder mehr bestehende Verzeichnisse integriert haben, geht es daran, eine optimale Verzeichnisstruktur zu entwickeln, die dem kombinierten Unternehmen gerecht wird. Kann eines der bestehenden Verzeichnisse Ihre Anforderungen erfüllen? Das ist möglich. Aber meistens macht es mehr Sinn, eine neue Active Directory-Infrastruktur aufzubauen.

Durch den Bau eines neuen Verzeichnisses stellen Sie sicher, dass Sie die kombinierten Bedürfnisse und Anforderungen der neuen Organisation erfüllen können. Sie schaffen damit die Voraussetzungen, auch bei zukünftigem Wachstum den neuen Anforderungen gerecht zu werden. Das neue Unternehmen steckt sich schließlich größere Ziele als es zuvor die beiden getrennten Unternehmen getan haben.

Für diesen neuen Weg gilt es zunächst, die Bedürfnisse der neuen Organisation zu beurteilen. Folgende Fragen sollten Sie sich stellen:

  • Was passiert mit bestehenden Objekten, Gruppen, Geräten, Daten, Sicherheitsmaßnahmen, Projekten und Richtlinien?
  • Wie betrachtet das neuen Unternehmen diese Komponenten? Was soll zukünftig mit ihnen geschehen?
  • Welche Strukturen benötigen Sie, um diese Ansichten und Bedürfnisse zu befriedigen?
  • Wie muss die neue AD-Infrastruktur beschaffen sein, damit sie sich an zukünftiges Wachstum anpassen kann?

 

Combined Active Directory Environment

3. Migration des Alten in das Neue

Für diesen Schritt gehen wir davon aus, dass Sie für Ihr Unternehmen eine brandneue Active Directory-Instanz aufgebaut haben. Hierfür entwerfen und entwickeln Sie zunächst die neue Instanz. Dann müssen Sie sie mit den bestehenden Verzeichnissen synchronisieren und mit der Migration der Daten starten. Das geht so:

Alt mit neu synchronisieren. Bevor Sie mit der Migration der Daten starten, müssen Sie die bestehenden Umgebungen mit der neuen synchronisieren. Wie schon in Schritt 1 beschrieben, müssen alle beteiligten Verzeichnisse integriert werden, um eine Zusammenarbeit zu ermöglichen. Wenn Sie als dritte separate Instanz ein neues Active Directory einrichten, müssen Sie ein Koexistenz-/Interoperabilitätsdreieck etablieren. Dies bedeutet, dass alle bestehenden Verzeichnisse in das neue zu integrieren sind.

Wählen Sie einen Endzeitpunkt. Hierbei handelt es sich um den Zeitpunkt, ab dem keine neuen Objekte mehr in die bestehenden Verzeichnisse gelegt werden. Ab jetzt verwenden Sie das neue Active Directory für alle neu geschaffenen Objekte, seien es Benutzer, Gruppen, Server, Drucker, Arbeitsplätze oder was sonst in dem Verzeichnis verwaltet wird.

Verschieben Sie Ihre Daten. Jetzt können Sie damit beginnen, alte Objekte und Anwendungen in das neue Verzeichnis zu verschieben. Bei großen Unternehmen wird dieser Prozess nicht über Nacht abgeschlossen. Meistens zieht dieser Prozess sich eine Zeit lang hin. Deshalb ist Interoperabilität so wichtig.

Mustern Sie Ihre veralteten Verzeichnisse aus. Nach Abschluss der Migration können die alten Verzeichnisse ausgemustert werden. Hierfür reicht es für gewöhnlich nicht, einfach die Maschinen zu entfernen, in denen sich die Domain Controller befinden. Es müssen auch alle Spuren der alten Namensstrukturen und alten Objektattribute aus der neuen Infrastruktur entfernt werden. Bei dem Ausmusterungsprozess wird also nicht nur ausgemustert. In der neuen Infrastruktur müssen auch alle Referenzen auf die alte Infrastruktur bereinigt werden.

 Active Directory transformation

Das war's. Das waren die drei wichtigsten Schritte zur Transformation von Active Directory. Binary Tree ist immer zur Stelle, wenn Sie Hilfe bei der Detailarbeit zu Ihrem Projekt benötigen. Finden Sie heraus, wie wir Sie bei der Transformation von Active Directory unterstützen können.