iT邦幫忙

0

Server2003 AD資料轉換到OPEN LDAP?!

雖然公司server架設AD運作時間大約有一年多,不過最近想把它全部轉為linux的系統,總之感覺linux系統較windows穩定多了,又有軟體可以bonding,用windows server系統總擔心哪天那給我來個心情大轉變那我可就不好玩了,雖然我每日定時做同步化,每個月都會做個大備份,每年年關都會把檔案燒成光碟存放,深怕那天來個陰晴不定,重點我這次發文所想要詢問的就是目前我公司所有電腦都加入到網域內,如果在server 2003下idifde將檔案匯出存為idif檔在Linux上再做匯入的動作不知道會不會影響到現行網域,如果在ad轉換完成後想將現行ad重灌為linux作為bdc server,所以想詢問各位是否有人有相關經驗,能否分享出來做個參考,因為這個問題已困惑我多時。
最後我理想目標就是將現行ad資料完整轉至新Linux PDC伺服器上,再將現行ad廢除改灌Linux系統
系統說明:
Linux Version: CentOS 5.4
PDC = Samba + Openldap
大概就是這樣了!請大家踴躍分享!

jameslwg iT邦新手 4 級 ‧ 2015-06-13 16:32:51 檢舉
做任何資料轉換,都要做事前規劃,要做好備份。我公司用ahsay來備份文件,挺不錯. http://www.ahsay.com/jsp/tc/home/
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
6
marshuang
iT邦新手 1 級 ‧ 2010-02-09 16:51:49
最佳解答

有工具可以轉移AD到OpenLdap, 不過, 實務上可能會有一些AD上的Schema轉不過去.
Password migration tool. Migrates dump from Windows NT SAM or Active Directory to rfc2307 ldif file. The script says to look for pwdump at http://www.webspan.net/~tas/pwdump2/, but it seems to live here these days:
http://www.bindview.com/Services/razor/Utilities/Windows/pwdump2_readme.cfm
請參考http://en.opensuse.org/Migrate_from_Active_Directory
參考資料:http://140.128.17.77/speech/Files/PU.seminar.pdf

我很仔細地評估各種轉換方式,先前提供的方式乃是破解手法轉換.
建議改使用微軟內建工具去做匯出再匯入至openldap會比較好.
http://support.microsoft.com/kb/555636/zh-tw
1.先把ad匯出成ldif(如ad.ldif)格式,再做點整理,密碼可能要重設
2.在openldap上把密碼先做hash及encode,如
slappasswd -h {SHA} -s 11111111 | base64 > ad-pwd.txt
slappasswd -h {SHA} -s 22222222 | base64 >> ad-pwd.txt
3.把ad-pwd.ldif檔匯入ldap db
/etc/init.d/openldap stop
slapadd -b dc=xx -l ad.ldif
/etc/init.d/openldap start
4.使用ApacheDirectoryStudio-win32-1.5.0.v20091102工具方便匯入.

因為不小心砍了回答,所以再貼一次

謝謝!我會在試試看的,最近有點忙!所以沒什麼時間可以測試,但還是會找時間測試一下,不過大致看一下如果沒有操作失敗的話,成功率應該很高有其又有公去的輔助。

4
gibicu
iT邦新手 3 級 ‧ 2010-02-06 15:33:10

AD下,DNS與之整合在一塊,並動態隨AD資料庫覆寫,雖資料可匯出,但網域內的資料將無法正常再動態更新,朋友只是將DNS服務移給支援動態更新linux的DNS SERVER,便整個大亂,在公司做,一個狀況,弄不好就工作没了,或是釘個滿頭包。

在虛擬機下玩個清楚,確定無誤再用到公司主機,要不然練工不成,工作堪慮!

4
ansonchen
iT邦新手 1 級 ‧ 2010-02-14 00:28:08

版主你好,小弟看了內文,好奇想問是因windows AD不穩定嗎?
以小弟工作經驗在win2000時代確實可能會有莫名的問題發生,
但在win2003版本AD建置或移轉時沒發生狀況,其win2003 Schema架構
已與2000有很大不同。
AD環境一般2台以上即可,AD資料庫會定時複寫(不同站台建議修改複寫時間)
若有分公司放置DC也可作異地備援與登入驗證。AD網域功能針對檔案權限管控
可作到很微小, 且AD也可建RADIUS作外部服務的驗證, 盡量不要將LDAP資訊提供外部使用確保安全。
而Linux系統確實蠻穩定的,但是對於企業的管理運用有限。
但Linux系統可以建構網管系統、Mail、DNS等等,將AD功能以外的服務放在Linux上。一方面減低windows當機帶來的困擾,也可增加可靠穩定性。

大多數企業比較省,很多IT人員就將Server也架在DC上,其這都是不保險的。
微軟本身只對自家windows軟體支援,就連exchange裝在DC上也會發生問題了,何況是其他軟體。

只要硬體不要太差, 一台Linux系統可以放許多不同服務在上面都不會有太大問題。
以上是小弟建議,因我也是Linux愛好者。

我要發表回答

立即登入回答