Exchange Server Cross Forest Migration – Forestlar Arası Mailbox Taşıma

Günümüzde şirket evlilikleri, satın almalar, güvenlik, coğrafi engeller vb. nedenlerden dolayı Kurumlar içerisinde 1’ den fazla Forest olabiliyor ve bu Forestlar arası kullanıcı mailbox taşıma gibi ihtiyaçlarla zaman zaman IT uzmanları olarak karşılaşmaktayız. Bu durum Exchange Server 2003’den 2003, 2007 ve 2010’a, Exchange Server 2007’ den 2007, 2010 ve 2013’e, Exchange Server 2010’dan 2010, 2013’e ve Exchange Server 2013’den 2013’e Cross Forest özelliği sayesinde kullanıcı mailboxlarını (export-import ile uğraşmadan) kolaylıkla taşıyabiliyoruz. Bu makalemde Windows Server 2008 R2 SP1 ortamında Exchange Server 2010 SP3’ den Exchange Server 2010 SP3’e mailbox taşıma işlemini adım adım anlatmaya çalışacağım. Öncelikle domain ve sunucu bilgileri bu şekildedir.

 

DC-CPeski           DC                                                         COZUMPARKeski.local

EXC-CPeski         Exchange (CAS-HUB-MBX)         COZUMPARKeski.local

DC-CPyeni          DC                                                          COZUMPARKyeni.local

EXC-CPyeni        Exchange (CAS-HUB-MBX)         COZUMPARKyeni.local

 

İşlem adımları biraz uzun bu nedenle yapılması gereken adımları özetlemek gerekirse;

 

1-      2 Forest arası çift yönlü Forest Trust kurulması,

2-      Active Directory Migration Tool (ADMT) ile Kaynak domainden Hedef domaine kullanıcı taşıma,

3-      Kaynak Exchange Sunucuda (CAS Sunucu) Mailbox Replication Proxy Servisinin (MRS Proxy) aktif edilmesi,

4-      Kaynak Exchange Sunucudan Hedef Exchange Sunucuya sertifikanın export-import yapılması,

5-      Gerekli Exchange Management Shell komutlarının çalıştırılması ve test,

 

Makale içerisinde kullanılacak programlar;

 

Active Directory Migration Tool

SID ve Password Export (x64)   -   (x86)

Microsoft SQL Server 2005 Express SP3

 

Forest Trust oluşturmak için 2 ön şart bulunmaktadır, Bunlardan ilki her 2 forest’ın functional  level ları minimum 2003 ve üzeri olması gerekiyor ve ikinci şart olarak her 2 Forest içerisinde DNS sunucuları birbirlerine Conditional Forwarder olarak eklenmiş olması gerekmektedir. Bunun için DNS’de Conditional Forwarders üzerinde sağ tıklayarak New Conditional Forwarder…  Seçeneği ile basit şekilde ekleyebilirsiniz, olması gereken kayıt aşağıdadır;

 

 

 

 

 

 

İlk adım olan Forest Trust için COZUMPARKyeni.local Domain Controller Sunucusunda Administrative Tools’da Active Directory Domains and Trusts açıyoruz,

 

 

 

 

Açılan ekranda domain ismimizin üzerinde sağ tıklayarak Properties ve sonrasında Trusts tabına geliyoruz.

 

 

 

 

Yukarıda görüleceği üzere daha önce yapılan herhangi bir Trust bulunmamaktadır. New Trust diyerek Trust oluşturma sihirbazını açıyoruz. Trust kurulmasını istediğimiz yani eski olarak adlandırdığımız COZUMPARKeski domainini yazarak ilerliyoruz,

 

 

 

 

Sonraki ekranda Forest trust seçeneğini seçiyoruz,

 

 

 

 

Çift yönlü Trust kuracağımız için Two-way seçiyoruz,

 

 

 

 

 

Trust kurulacak domainde Admin yetkili kullanıcı hesabınız yoksa This domain only seçerek ortak bir Credential hesabı belirleyip Trust kurma adımlarının aynısını Trust kurulacak domainde yapmanız gerekecektir ama Trust kurulacak domainde Administrator kullanıcı şifre bilgisine sahip olduğum için Both this domain and the  specified domain seçerek her iki Forest için otomatik uygulanmasını sağlamış oluyoruz,

 

 

 

 

Trust kurulacak domaindeki admin bilgilerini giriyoruz,

 

 

 

 

Bu ekranda kullanıcıların bütün kaynaklara erişebilmesi için Forest-wide authentication seçeneği ile ilerliyoruz, (Detaylı bilgi için tıklayınız…)

 

 

 

 

 

 

Oluşturulacak Trust’ın özet bilgileri,

 

 

 

 

 

 

 

 

 

Ve Trust işlemimiz sona erdi.  Şuanda her iki Forest birbirlerinin kaynaklarını görüntüleyip yönetebilir konumundadır, kontrol için Active Directory Users and Computers da Change Domain diyerek diğer domain ismini yazdığınızda ilgili domaine ait bilgileri görebilmeniz gerekmektedir.

 

 

 

 

 

 

Trust işlemi sonrasında ADMT kurulumuna geçiyoruz fakat ADMT kurulumu için bir SQL database gerekiyor eğer yoksa SQL Express kurabilirsiniz, makalenin başında verdiğim linki kullanarak SQL Server 2005 Express i varsayılan değerlerde bırakarak kurabilirsiniz ve bu kısım basit olduğu için makalede yer vermiyorum hızlıca Hedef Forest daki DC-CPyeni  sunucuda ADMT kurulumuna geçiyorum.

 

 

 

 

 

 

 

 

COZUMPARKyeni forest’ında bulunan DC ‘ye Active Directory Migration Tool kurulmuş oldu.

 

3. adım olarak Kaynak Forest ta yani COZUMPARKeski.local de bulunan Exchange (CAS) sunucumuzdaki Mailbox Replication Servisini aktif edeceğiz. Eğer yapımızda bir den fazla CAS sunucu olsaydı hepsinde bu değeri True yapmak gerekecekti, bu servis kurulumla birlikte gelmekte ve varsayılan değer FALSE’dır,

 

 

 

 

True yapmak için aşağıdaki komut Exchange Management Shell’de çalıştırılmalıdır, Eğer Exchange 2010 sunucumuz SP2 ve öncesi olsaydı bu komut çalışmayacaktı yerine C:\Program FIles\Microsoft\Exchange Server\v14\ClientAccess\exchweb\ews dizinindeki Web.config dosyasının içine girerek değiştirecektik.

 

Set-WebServicesVirtualDirectory -Identity “EWS (Default Web Site)” -MRSProxyEnabled $true

 

 

 

 

MRSProxyEnabled değeri true olarak değiştirildi.

 

Kullanıcı aktarma işlemine başlamadan önce COZUMPARKeski.local  forest da bulunan Exchange Sunucudaki  İsmail Kızılırmak kullanıcısının mail durumuna göz atalım.

 

 

 

 

Yukarıdaki kullanıcımızı COZUMPARKeski.local’den COZUMPARKyeni.local’e aktarmadan önce taşıma için gerekli yetkiye sahip olması için yeni forest daki Admin kullanıcısını  Eski forest da Administrator grubuna ekliyoruz,

 

 

 

 

Şimdi kullanıcıyı COZUMPARKyeni.local forestına taşıyabiliriz. Aşağıdaki komutları COZUMPARKyeni forestındaki Exchange sunucuda Management Shell de çalıştırıyoruz,

 

$localCredentials = Get-Credential

 

 

 

 

$RemoteCredentials = Get-Credential

 

 

 

 

 

.\Prepare-MoveRequest.Ps1 -Identity “ismail.kizilirmak@COZUMPARKeski.local” -RemoteForestDomainController DC-CPEski.COZUMPARKeski.local -RemoteForestCredential $RemoteCredentials -LocalForestDomainController DC-CPYeni.COZUMPARKyeni.local -LocalForestCredential $LocalCredentials –UseLocalObject –verbose

 

Bu komutu C:\Program Files\Microsoft\Exchange Server\V14\Scripts dizininde çalıştırıyoruz, Komutun başarılı olduğunu 1 mailbox ready to move bilgisini görerek anlıyoruz.

 

 

 

 

COZUMPARKyeni forestımızda İsmail Kızılırmak kullanıcısı disable olarak ve sID bilgisi boş mail enable contact olarak gelmiştir.

 

 

 

 

 

 

 

 

ADMT ile eski forest’ dan yeni foresta kullanıcı SID bilgilerini taşımak ve hesabı Enable yapmak için Makalenin  başında belirttiğim Password Export Server version 3.1 kullanacağız. Programı önce DC-CPYeni sunucusuna kuracağım ama kurmadan önce  aşağıdaki komutu Command Prompt da çalıştırıyorum ve oluşan Key.pes dosyasını kurulum ekranında programa göstereceğim.

 

admt key /option:create /sourcedomain:COZUMPARKeski.local /keyfile:key.pes

 

 

 

 

 

 

 

Encryption File kısmında bir önceki komutla oluşturduğumuz key.pes dosyasını gösteriyoruz, sonraki adımları varsayılan değerlerde bırakarak kurulumu DC-CPyeni sunucusunda tamamlıyoruz.

 

 

 

Kurulum tamamlandıktan sonra Servisleri açıyoruz ve kurulumdan sonra gelen Password Export Server Service i Started konumuna alıyoruz,

 

 

 

 

Aynı şekilde DC-CPeski sunucuya da Password Export Server version 3.1 programını DC-CPyeni de oluşturduğumuz key.pes dosyasını göstererek kuruyoruz ve Servisi Started konumuna getiriyoruz. Kurulum adımları yukarıdaki adımlarla aynı olduğu için tekrar burada göstermiyorum.

 

DC-CPyeni sunucusunda ADMT yi açıyoruz ve Active Directory Migration Tool’a sağ tıklayarak User Account Migration Wizard’ı çalıştırıyoruz,

 

 

 

 

Source ve Target forestlarımı yazarak ilerliyorum,

 

 

 

 

 

Taşıma yapacağımız kullanıcıyı seçiyoruz,

 

 

 

 

Taşınacak kullanıcının bulunacağı OU’ yu belirtiyoruz,

 

 

 

 

 

Migrate passwords seçerek ilerliyoruz,

 

 

 

 

 

Target same as source ve Migrate user SIDs to target domain seçiyoruz,

 

 

 

 

 

 

 

 

 

 

 

 

Aşağıdaki gibi seçerek devam ediyoruz,

 

 

 

 

 

Kullanıcı taşıma işlemini bitirmiş oluyoruz,

 

 

 

 

Bu işlem sonrası İsmail Kızılırmak kullanıcısının Active Directory de hesabı aktif olmuş ve SID bilgileri gelmiştir ama hala Mailboxı gelmemiştir.

 

 

 

 

Son adım kullanıcı mailboxı nı da taşımak için EXC-CPyeni sunucusunda Exchange Management Shelli açarak aşağıdaki 3 komutu ayrı ayrı çalıştırıyoruz,

 

$localCredentials = Get-Credential

 

$RemoteCredentials = Get-Credential

 

New-MoveRequest –Identity ismail.kizilirmak@COZUMPARKeski.local –Remote –Remotehostname EXC-CPEski.COZUMPARKeski.local  -RemoteCredential $RemoteCredentials –TargetDeliverydomain COZUMPARKyeni.local

 

Not: Yukarıdaki 3 komutu çalıştırmadan önce her iki forest’ın kendilerine ait Root sertifikalarını MMC’den birbirlerinin Trusted Root Certification Authorities altına import edilmesi gerekmektedir.

 

 

 

 

Yukarıda görüldüğü üzere mailbox taşıma işlemi başlamıştır, EXC-CPyeni sunucumuzda EMC’ den baktığımızda artık kullanıcının mailboxını görebiliyoruz.

 

 

 

 

İsmail Kızılırmak kullanıcımızın COZUMPARKeski forestındaki şifre bilgisiyle yeni domainden OWA da oturum açıp maillerimizi kontrol ettiğimizde bütün maillerin eksiksiz geldiğini gördük.

 

 

 

Bir başka makalede görüşmek üzere…

http://www.cozumpark.com/blogs/exchangeserver/archive/2013/05/05/exchange-server-cross-forest-migration-forestlar-aras-mailbox-ta-ma.aspx