Migration von Tectia® SSH für Windows Benutzern und Daten

Dieser Artikel erklärt, wie man CopyRight2 verwendet, um Tectia SSH für Windows® zu migrieren, einschließlich Benutzerkonten und deren Passwörtern, ihren Windows®-Benutzerprofilen, Gruppen, Gruppenmitgliedschaften und Daten, einschließlich Berechtigungen. Tectia®, ursprünglich SSH Communications Security genannt, wurde vom SSH-Erfinder und gebürtigen Finnen Tatu Ylönen als Reaktion auf einen Passwort-Sniffing-Angriff an seiner Universität gegründet.

Inhaltsverzeichnis:

1. Überblick
2. Vor der Migration
3. Migration von Benutzern und Gruppen
4. Migration der Windows Benutzerprofile
5. Daten-Migration
6. Pre-Copy-Phase
7. Final-Copy-Phase / Cutover
8. Nach der Migration
9. Fazit

Überblick

Der Tectia® SSH-Dienst ermöglicht es Benutzern, sich aus der Ferne mit einem SSH-Client anzumelden. Er unterstützt die Authentifizierung mit einem Windows®-Konto und dessen Passwort. Benutzer können sich mit einem lokalen Benutzerkonto oder einem Domänenkonto anmelden. Der Zugriff auf Daten wird durch NTFS-Berechtigungen für Dateien und Ordner gesteuert. Für die Migration zwischen zwei Windows®-Systemen, auf denen der Tectia® SSH-Dienst läuft, ist eine Migration von Benutzern, Gruppen und Daten erforderlich. Zusätzlich können Sie auch die Benutzerprofile wie bei einem RDP-Anwendungsserver migrieren, um die Benutzerumgebungen auf den Zielserver zu migrieren.

Diese Aufgabe kann in einem einzigen oder mehreren separaten Aufträgen erledigt werden. In diesem Artikel wird beschrieben, wie man die Migration in drei separaten Schritten durchführt, zuerst die Benutzer und Gruppen, dann die Benutzerprofile und schließlich die Daten einschließlich der Berechtigungen. Neben der Aufteilung der Aufgabe in drei Aufträge können Sie auch zwei Aufträge verwenden, die die Profil- und Datenmigration kombinieren, oder einen einzigen Datenmigrationsauftrag, der alle drei Schritte kombiniert, wenn Sie den Datenmigrationsauftrag so konfigurieren, dass er automatisch alle Konten migriert, die in den NTFS- oder Freigabeberechtigungen gefunden werden.

Dieser Artikel geht davon aus, dass der Quell- und der Zielserver Domänenmitglieder in derselben Domäne sind. CopyRight2 unterstützt auch Migrationen von oder zu im Arbeitsgruppenmodus konfigurierten Systemen und Mitgliedern in unterschiedlichen Domänen. Die drei definierten Jobs werden zunächst als Pre-Copy ausgeführt, um die Ausfallzeit während der endgültigen Kopierphase (Final-Copy) zu reduzieren. Der Quellserver ist ein Windows® 2016-Server und der Zielserver ein Windows® 2019-Server. Beide sind Mitglied der gleichen Domäne und haben den Tectia® SSH-Dienst installiert. Neben den Benutzern und Gruppen und den Benutzerprofilen gibt es einen Datenordner mit Gruppenfreigaben für die Abteilungen Buchhaltung, Marketing und Vertrieb.

CopyRight2 wurde auf dem Quellserver installiert und die Daten werden von dort auf den Zielserver übertragen (Push Konfiguration). Es ist natürlich auch möglich CopyRight2 auf dem Zielserver zu installieren (Pull Konfiguration).

Vor der Migration

Vor der Migration können sich Benutzer remote mit einem SSH-Client anmelden, unter Verwendung ihres lokalen bzw. Domänen-Benutzerkontos in Verbindung mit ihrem Kennwort. Es ist ein DNS-Eintrag "ssh.domaine.com" definiert, der auf den Quellserver verweist.

SSH Anmeldung an Quellserver

Im Bild oben ist ersichtlich, dass der Benutzer erfolgreich angemeldet wurde und sich zunächst im entsprechenden Benutzerprofilordner befindet.

Migration von Benutzern und Gruppen

In einem ersten Schritt werden die lokalen Benutzer- und Gruppenkonten migriert, indem ein Benutzer- und Gruppenmigrationsauftrag definiert und ausgeführt wird.

Auf dem Quellserver gibt es drei lokale Gruppen und zehn lokale Benutzerkonten, wie in der Abbildung unten ersichtlich.

Lokale Benutzerkonten auf Quellserver

Um die Benutzerkonten zu migrieren, wird ein neuer Benutzer- und Gruppenmigrationsauftrag mit dem Namen "User and Group Migration" definiert:

Benutzer- und Gruppen-Migration / Name und Beschreibung

Wir geben die Namen des Quell- und des Zielservers auf der "Source and Destination" Seite an:

Benutzer- und Gruppen-Migration / Quell- und Zielserver

Als nächstes werden die lokalen Benutzer und Gruppen ausgewählt, die migriert werden sollen:

Benutzer- und Gruppen-Migration / Auswahl der zu migrierenden Objekte

Jetzt konfigurieren wir den Filter, der festlegt, welche Art von Objekten migriert und wie Objekte behandelt werden sollen, die bereits auf dem Ziel existieren. Wir setzen Benutzer auf Add/Update/Remove, um Objekte hinzuzufügen, die noch nicht existieren, bestehende Konten zu aktualisieren und Konten zu entfernen, die zuvor migriert wurden, aber in der Quelle mittlerweile nicht mehr existieren:

Benutzer- und Gruppen-Migration / Kontenfilter

Abschließend werden die Einstellungen zum Migrieren von Benutzern einschließlich Passwörtern und deren Gruppenmitgliedschaften konfiguriert:

Benutzer- und Gruppen-Migration / Einstellungen

Nachdem die Einstellungen für die Benutzer- und Gruppenmigration festgelegt wurden, kann der Auftrag ausgeführt werden:

Ausführung des Benutzer- und Gruppen-Migrations-Jobs

Nachdem der Auftrag ausgeführt wurde, können wir sehen, dass die Benutzer und Gruppen auf dem Zielsystem erstellt worden sind:

Lokale Benutzerkonten auf Zielserver

Migration der Windows Benutzerprofile

Der zweite Schritt ist die Migration von Benutzerprofilen. Wir können sehen, dass es Windows-Benutzerprofile für lokale und Domänenkonten im Ordner „c:\users“ des Quellservers gibt:

Windows Benutzerprofile auf Quellserver

Wir definieren einen Datenmigrationsjob, um diese Windows-Profile auf den Zielserver zu migrieren:

Benutzerprofil-Migration / Name und Bescheibung

Als Nächstes gehen wir auf die "Source and Destination" Seite und klicken auf die Schaltfläche "Add", um die Quell- und Zielordner dem Auftrag hinzuzufügen:

Benutzerprofil-Migration / Hinzufügen von Quell- und Zielordnern

Nach dem Hinzufügen der Ordner ändern wir die Synchronisierungsoption auf Add/Update/Delete, damit der Auftrag eine Synchronisierung durchführt, wenn derselbe Auftrag zu einem späteren Zeitpunkt erneut ausgeführt wird:

Benutzerprofil-Migration / Quell- und Zielordner

Auf der "ACL and Owner Permissions" Seite aktivieren wir die Option "Assign security identifiers of groups and users on the source computer automatically to identically named groups and users on the destination computer". Andernfalls würde CopyRight2 vor dem Ersetzen von Berechtigungen um eine Bestätigung bitten. Diese Option wäre nicht erforderlich, wenn der Datenmigrationsauftrag die Migration von Benutzern und Gruppen durchführen würde, aber in diesem Szenario haben wir uns für die Definition eines separaten Benutzer- und Gruppenmigrationsauftrags entschieden:

Benutzerprofil-Migration / ACL und Besitzer-Berechtigungen

Um die Benutzerprofile zu migrieren, zum Beispiel die NTUser.Dat-Datei jedes Benutzers, die während einer Windows-Anmeldung als HKEY_CURRENT_USER gemountet wird, müssen wir die "Reacl NTUser.Dat registry permissions" Option aktivieren. Dadurch wird sichergestellt, dass die migrierten Konten auf ihre Profile zugreifen können, und verhindert, dass Windows während der Anmeldung ein neues Profil erstellt:

Benutzerprofil-Migration / Benutzerumgebung

Abschließend aktivieren wir die Option „Ignore errors resulting from locked files“ der "Error Processing", um gesperrte Dateien nicht als Fehler zu behandeln. Dies ist während der Pre-Copy-Phase erforderlich, in der Benutzer noch arbeiten und möglicherweise Dateien gesperrt sind. Für die endgültige Kopie, die ausgeführt wird, bevor die Umstellung stattfindet, muss diese Option deaktiviert werden:

Benutzerprofil-Migration / Fehlerbehandlung

Daten-Migration

Der dritte und letzte Schritt ist die Migration von Daten inklusive NTFS-Berechtigungen und Dateifreigaben einschließlich Berechtigungen. Wie bei allen CopyRight2-Jobs beginnen wir die Definition des Jobs mit der Angabe eines Jobnamens:

Datenmigration / Name und Beschreibung

Als nächstes geben wir die Quell- und Zielordner an. In diesem Fall soll der Inhalt des Ordners "E\Data" des Quellservers in den Ordner "E:\Data" des Zielservers migriert werden. So sollte es aussehen, nachdem das Quell- und Zielpaar dem Auftrag hinzugefügt wurde:

Datenmigration / Quell- und Zielserver

Identisch mit dem zuvor definierten Job zum Migrieren der Windows-Benutzerprofile aktivieren wir die Option "Assign security identifiers of groups and users on the source computer automatically to identically named groups and users on the destination computer". Dadurch wird verhindert, dass CopyRight2 nach einer Bestätigung fragt, bevor Quell- durch Zielkonten in Freigabe- und NTFS-Berechtigungen ersetzt werden:

Datenmigration / ACL und Besitzer-Berechtigungen

Als Nächstes aktivieren wir die Migration von Dateifreigaben, um automatisch die Abteilungsfreigaben zu migrieren, die sich unterhalb des angegebenen Ordners „E:\Data“ befinden. Wir wählen Add/Update, um die Dateifreigabeberechtigungen jedes Mal zu aktualisieren, wenn der Job ausgeführt wird:

Datenmigration / Netzwerk-Freigaben

Schließlich aktivieren wir die Option "Ignore errors resulting from locked file" auf der "Error Processing" Seite, damit das Programm gesperrte Dateien überspringt, ohne in der Pre-Copy-Phase einen Fehler zu produzieren. Genau wie der zuvor definierte Auftrag zur Migration der Benutzerprofile muss diese Option in der abschließenden Kopierphase (final copy) vor dem Cut-over deaktiviert werden:

Datenmigration / Fehlerbehandlung

Pre-Copy-Phase

Während der Pre-Copy-Phase, bevor die Benutzer mit dem Zielsystem arbeiten, können Sie die Jobs so oft ausführen, wie Sie es für notwendig erachten, um die migrierten Konten, Daten und Berechtigungen zu aktualisieren. Es ist wichtig, dass Sie alle drei Jobs in der folgenden Reihenfolge ausführen:

1. Der "User and Group Migration“ Job, um Benutzer und Gruppen zu migrieren, damit sie in Berechtigungen verwendet werden können.
2. Der "User and Profile Migration" Job zum Migrieren der lokalen und Domänen-Windows-Profile.
3. Der "Data Migration" Job, um die eigentlichen Daten einschließlich der Berechtigungen zu kopieren.

Während dieser Phase und bei aktivierter Option "Ignore errors resulting from locked files“ werden alle gesperrten Dateien übersprungen. In der Protokolldatei des Jobs können Sie sehen, wie viele und welche Dateien übersprungen wurden, weil sie gesperrt waren.

Final-Copy-Phase / Cutover

Während der abschließenden Kopierphase müssen Sie die Option "Ignore errors resulting from locked files" deaktivieren, um sicherzustellen, dass alle Daten migriert werden. Es ist wichtig das Benutzer in diesem Zeitraum keine Änderungen an den Daten vornehmen. Um diesen Zeitraum möglichst kurz zu halten, wurden die Daten zuvor in der Pre-Copy-Phase bereits auf das Ziel kopiert. Um diesen Zeitraum weiter zu verkürzen kann die Real-Time-Synchronisation von CopyRight2 verwendet werden.

Dann werden alle drei Jobs ein letztes Mal ausgeführt, bevor der Schwenk auf das Ziel (Cutover) stattfindet:

1. Der "User and Group Migration“ Job, um Benutzer und Gruppen zu migrieren, damit sie in Berechtigungen verwendet werden können.
2. Der "User and Profile Migration" Job zum Migrieren der lokalen und Domänen-Windows-Profile.
3. Der "Data Migration" Job, um die eigentlichen Daten einschließlich der Berechtigungen zu kopieren.

Nachdem die abschließende Kopierphase ohne Fehler abgeschlossen wurde, sollten Sie entweder die IP-Adresse auf das Zielsystem verschieben oder entsprechende Änderungen in DNS vornehmen, um sicherzustellen, dass Benutzer, die versuchen, eine Verbindung herzustellen, das Ziel statt den Quellserver erreichen.

Nach der Migration

Nachdem die Migration durchgeführt wurde, bemerken die Benutzer nicht, dass der zugrunde liegende Server migriert wurde, und sie können sich mit ihren bekannten Passwörtern anmelden. Zum Beispiel mit einem der lokalen Benutzerkonten:

SSH Anmeldung an Zielserver mit lokalem Benutzer

Oder mit einem Domänenbenutzerkonto:

SSH Anmeldung an Zielserver mit Domänenbenutzer

Fazit

Nach der Lektüre dieses Artikels sollten Sie nun ein besseres Verständnis dafür haben, wie man einen Tectia SSH Server für Windows einschließlich Benutzern, ihrer Passwörter, Gruppen, Gruppenmitgliedschaften, Benutzerprofilen, Daten, NTFS-Berechtigungen, Freigaben und Freigabelevel-Berechtigungen migriert.

Sollten Sie positives oder negatives Feedback oder weitere Fragen haben, lassen Sie es uns bitte in den Kommentaren unten wissen. Vielen Dank.