目标域(新建域):Windows Server 2003 DC (域名 DomainB.com,NetBIOS 域名 DomainB)要求:平滑迁移,用户在迁移过程中始终能访问源域的资源 一. ADMT 迁移之前的准备工作 1. 为了更好的降低风险,备份源域 DC、要迁移的服务器、VIP 客户机(比如领导的)和目标 域 DC 的系统状态和系统盘数据(系统盘数据中包括本地用户配置文件),步骤如下: a. 单击开始,指向程序,指向附件,指向系统工具,然后单击备份 b. 取消选择“总是以向导模式运行”,单击“取消”关闭备份工具,重新打开备份工具 c. 单击备份选项卡 d. 单击以选中 C:(假设系统盘为 C:)、系统状态如果是 Exchange Server,还需选中 Microsoft Exchange Server\ServerName\Microsoft Information Store e. 指定备份媒体或文件名,开始备份 2. 在开始迁移之前,请执行如下的测试迁移步骤:创建测试用户,将该测试用户添加到合适的 全局组,然后在迁移之前和之后验证资源的访问权限3. 对利用加密文件系统 (EFS) 方式加密的文件进行解密。
解密加密文件失败将导致迁移后无 法访问加密文件请确保告知最终用户必须解密所有加密的文件,否则他们将无法访问那些文 件 4. 请确保要从中迁移对象的每个域中的系统时间都是同步的时间偏差将导致 Kerberos 身份 验证失败二. 为迁移配置环境1. 配置源域和目标域以满足迁移需求 1)请验证是否建立了相应的信赖关系 推荐在源帐户域和目标域之间建立双向信任关系,使源域和目标域相互信任但最少源域要信 任目标域2)为执行迁移任务分配相应的凭据: 要执行迁移,您必须是安装有 ADMT 的计算机上的 Builtin\Administrators 组成员 要迁移用户,您必须是源域和目标域中的 Builtin\Administrators 组成员 要迁移计算机,您必须是源域和目标域中的 Administrators 组成员以及每台要迁移的计算机上 的 Administrators 组成员 要与 SID 历史一起迁移,您必须是源域中的 Administrators 组成员以及目标域中的 Domain Admins 组成员一个满足上述所有权限的简单做法: a.在目标域的 DC 上,把源域的 Domain Admins 组加入目标域的 Administrators 组 b.在源域的 DC 上,把目标域的 Domain Admins 组加入源域的 Administrators 组 c.把 ADMT 安装在目标域 DC 上,要执行迁移时,在 ADMT 计算机上用属于源域的内置 Administrator 帐号登录源域,然后执行迁移操作。
3)为管理迁移对象配置目标域组织单位 (OU) 结构4)建议提升源域域功能级别为 Windows 2000 本机模式或 Windows Server 2003,目标域域 功能级别必须是 Windows 2000 本机模式或 Windows Server 2003 注意:提升域功能级别一定要慎重,此过程不可逆,要先确保没有其他低版本域控制器存在并 且以后不需提升低版本的域控制器2. 配置源域和目标域以迁移 SID 历史 要配置源域和目标域以从 Active Directory 域迁移 SID 历史,请完成以下过程: 1)在源域中创建支持审核的本地组 在源域中,创建本地组 DomainA$$$不要向此组中添加成员;否则,SID 历史迁移将失败2) 启用对源域 PDC 模拟器的 TCP/IP 客户端支持(从 Windows Server 2003 域迁移到其他 Windows Server 2003 域,可以忽略此步骤) a. 在源域中持有 PDC 模拟器操作管理器角色的域控制器上,单击“开始”,然后单击“运行” 在“打开”中,键入 regedit,然后单击“确定” b. 在“注册表编辑器”中,定位到以下注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA 修改数据类型 REG_DWORD 的注册表项 TcpipClientSupport,将该值设置为 1。
c. 关闭“注册表编辑器”,然后重新启动计算机3)在 Windows Server 2003 域中启用审核 a. 以管理员的身份登录到目标域中的任何域控制器上 b. 单击“开始”,依次指向“所有程序”和“管理工具”,然后单击“Active Directory 用户和计算机”c. 在控制台树中,扩展该域,右键单击“域控制器”OU,然后单击“属性” d. 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑” e. 依次双击“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”和“审核策略” f. 双击“审核帐户管理”,然后选中“成功”和“失败”复选框 g. 单击“应用”,然后单击“确定” h. 在源域中重复第 a 步到第 g 步3. 配置密码迁移 执行林间迁移时,可以使用密码导出服务器 (PES) 服务迁移密码PES 服务可以安装在支持 128 位加密(Win2000 SP3 后就支持)的源域中的任何域控制器中源域中的 PES 服务安装 需要加密密钥,但您必须在目标域中运行 Active Directory 迁移工具 v3 (ADMT v3) 的计算机 上创建加密密钥。
1)在安装 ADMT 的目标域 DC 上创建加密密钥 进入命令行中,输入下列内容: cd /d c: md admt admt key /option:create /sourcedomain:domainA /keyfile:c:\admt\admt.pes /keypassword:ms1232)在源域中配置 PES 服务 a. 把 ADMT 计算机上生成的 c:\admt\admt.pes 文件以及 PES 目录(默认% windir%\ADMT\PES)复制到源域中将要运行 PES 服务的域控制器b. 运行 Pwdmig.msi在“需要密钥密码”对话框中提供创建密钥时给出的密码“ms123”,然后 单击“下一步” c. 在选择运行 PES 服务所使用的帐户时不要使用 Local System 帐号,请指定内置 Administrator 帐号 d. 安装完成后,重新启动域控制器 e. 域控制器重新启动后,若要启动 PES 服务,请指向“开始”,指向“所有程序”,指向“管理工 具”,然后单击“服务”在详细信息窗格中,右键单击“Password Export Server Service”,然 后单击“启动”。
注意:请只在迁移密码时运行 PES 服务完成密码迁移后请停止 PES 服务4. 禁用 SID Filtering SID Filtering 功能若启用将阻止受信任域(目标域)用户访问信任域(源域)资源为了禁用 SID Filtering,在 ADMT 计算机上用源域 Administrator 登录,运行: netdom trust domainA.com /domain:domainB.com /quarantine:no确认得到提示:The command completed successfully.5. 启用 SID History SID History 功能若禁用将阻止受信任域(目标域)用户使用 SID History 访问信任域(源域) 资源为了启用 SID History,在 ADMT 计算机上用源域 Administrator 登录,运行: netdom trust domainA.com /domain:domainB.com /enablesidhistory:yes确认得到提示:The command completed successfully.三. 正式开始迁移1. 迁移用户账户和组使用用户帐户迁移向导迁移用户帐户 1)在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“用户帐户迁移向导”。
2)使用下表中的信息完成用户帐户迁移向导 向导页 操作 域选择 在“域”下拉列表中的“源”下,键入或选择源域的 NetBIOS 或域名系统 (DNS) 名称在 “域控制器”下拉列表中,键入或选择域控制器的名称,或选择“任何域控制器” 在“域”下拉列表中的“目标”下,键入或选择目标域的 NetBIOS 或 DNS 名称在“域控制器”下 拉列表中,键入或选择域控制器的名称,或选择“任何域控制器”,然后单击“下一步” 用户选择选项 单击“从域中选择用户”,然后单击“下一步”在“用户选择”页中,单击需要迁移 的一批用户帐号,单击“添加”,然后单击“下一步” 组织单位选择 在“目标 OU”中,确保默认情况下列出正确的目标组织单位 (OU)如果它不正 确,则键入正确 OU 的可分辨名称,或者单击“浏览”在“浏览容器”对话框中,找到目标域和 OU,然后单击“下一步” 密码选项 选择“迁移密码”密码选项,然后单击“下一步” 帐户转换选项 对于目标域,单击“禁用目标帐户” 最后,请选中“将用户 SID 迁移至目标域”复选框,然后单击“下一步”用户帐户 在“用户名”、“密码”和“域”中,键入包括源域中的 Administrator 帐户的信息,然后 单击“下一步”。
用户选项 要自定义用户迁移,请选中以下用户选项的复选框,然后单击“下一步”: 转换漫游配置文件(如果有漫游配置文件) 更新用户权利 迁移关联的用户组 修复用户的组成员身份(必须选,否则用户将和组脱离) 冲突管理 要指定如何处理迁移冲突,请单击迁移并合并冲突对象 单击“迁移并合并冲突对象”,并选择在合并前删除现有目标帐户的用户权利 完成选择选项后,请单击“下一步” 完成用户帐户迁移向导 复查您的选择,然后单击“完成”注意:建议分批迁移用户帐号,比如 50 个为一批 迁移漫游配置文件(非本地配置文件)也在这一步做 选择“迁移关联的用户组”选项以同时迁移组 选择修复用户的组成员身份以保证用户和组关联 先禁用目标用户帐号,等到用户配置文件迁完再启用,否则用户若提前使用目标用户帐号登录 目标域,用户配置文件迁移将失败 默认情况下,迁移后的目标域用户帐号必须在下次使用时修改密码,如不需要等迁移后在用户 帐号属性中手动取消这个选项2. 迁移用户计算机帐号和安全(包括本地用户配置文件)确保要迁移的用户计算机开机并接入网络,使用计算机迁移向导迁移计算机帐户 1) 在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“计算机迁移向导”。
2) 使用下表中的信息完成计算机迁移向导 向导页 操作 域选择 在“域”中的“源”下,键入源域的 NetBIOS 或域名系统 (DNS) 名称,或者单击下拉列表 中的名称在“域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器” 在“域”中的“目标”下,键入目标域的 NetBIOS 或 DNS 名称,或者单击下拉列表中的名称在 “域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器”,然后单击“下一步” 计算机选择选项 单击“从域中选择计算机”,然后单击“下一步”在“计算机选择”页上,单击源 域中要迁移的所有计算机,单击“添加”,然后单击“下一步” 组织单位选择 在“目标 OU”中,将列出默认的目标组织单位 (OU)确保它是正确的目标 OU 如果它不正确,则键入正确 OU 的可分辨名称,或者单击“浏览”在“浏览容器”对话框中,找 到目标域和 OU,然后单击“下一步” 转换对象 选中下列要执行安全性转换的对象的。