Windows server 2003 ADMT

ADMT(Active Directory Migration Tool)是一套向導接口,內建多項多功能的遷移工具--提供将某域的AD資料庫的使用者帳戶,組,計算機,服務帳戶,信任關系等資料,遷移到另一個新域,如此一來,這些AD資料庫就不必重建于新域.

1.ADMT使用前的注意事項

1)備份AD資料庫,為防ADMT遷移工具發生意外狀況,無法恢複被遷移的AD資料.

2)遷移AD的順序,先遷移不太重要或資料比較少的AD,萬一發生問題時,損失較小

3)提升來源與目标域的域功能等級至少為WINDOWS 2000純粹模式,為讓ADMT遷移工具能夠運作正常,将來源與目标域域功能等級提升為WIDOWS 2000純粹械,如此才能夠在遷移過程發生問題時,還能夠通過複原上次遷移向導.

4)利用ADMT工具所提供的測試選項,先測試遷移步驟,ADMT工具提供此機制,友善管理者避免遷移時發生問題無法恢複,建議真正進行遷移工作時,先進行測試.

5)要留意遷移項目的相依性.例如若要遷移的某此帳戶,屬于某個具有特定權限的全局組的成員,是以在遷移這些帳戶資料之前,應先遷移所屬的全局組,才能夠使帳戶遷移後,保持舊有的權限.

2.ADMT使用前的環境設定

下面以來源域"meizhou.com"的AD資料,遷移到目标域"shanghai.com"除了安裝ADMT之外,仍需進行如下的環境設定.

1)建立來源與目标域間的信任關系

2)設定稽核政策

3)在目标域的Pre--Windows 2000 Compatible Access組中,加入"Everyone"與"ANONYMOUS LOGON"等兩個系統組

4)安裝ADMT于目标域的DC上

5)安裝密碼導出伺服器于來源域的DC之上.

建立來源與目标域間的信任關系

設定稽核政策

在來源和目标域的每一台DC上,設定稽核政策,先在目标域的DC上進行,執行"開始/系統管理工具/AD使用者和計算機"指令

點屬性

點編輯

都勾上.

則無論遷移成功或失敗,讓系統的事件檢視器産生相對應的資訊.

完成之後,在來源域的DC上重複上面的操作流程.在預設狀态下等待5分鐘,讓該DC将此稽核政策的新設定,能夠自動更新到域的其它的DC.

将來源/目标域的Domain Admins 組分别加入對方的Administrators組中

進行AD遷移之前,來源域的系統管理者(Domain Administrator)一定要具有備目标域的DC的本機系統管理者的權限.同時目标域的域系統管理者一定要具有備來源域的DC本機系統管理者的權限才行.下面先在目标域的DC上進行

點添加

點位置

選中來源域

然後點進階

點立即查找,選中如圖

點确定

可以看到已在清單之中了.

接着在來源域的DC上同樣操作.

可以看到目标域的DOMAIN ADMINS也在來源域中了.

在目标域的Pre-Windows 2000 Compatible Access組中,加入"Everyone"與"ANONYMOUSLOGON"兩個系統組.

看到兩個都加入了.

安裝ADMT于目标域的DC上

執行WIND2003安裝CD光牒"\I386\ADMT"檔案夾中的"Admigration.msi"

點安裝

下一步

點接受

現在開始安裝了.

點完成

安裝密碼導出伺服器

凡是關系到使用者帳戶的遷移工作,一定會牽涉到帳戶的遷移問題,為了讓使用者帳戶在遷移之後,仍然保留使用者所使用的密碼,則必須先在已安裝ADMT遷移工具的目标域的DC上,制作一把保護使用者密碼的密鑰.

在目标域的DC的ADMT安裝檔案中,執行"admt key來源域名稱儲存密鑰的路徑"指令.圖中"admt key meizhou.com .",其中指令最後的"."代表目前的工作路徑,也就是ADMT安裝檔案夾.

其中"X642SVXB.pes"即為密鑰檔案.完成制作後,将密鑰從目标域的DC中取出,并存放到來源域的DC上,以供即将安裝的密碼導出伺服器使用,安裝密碼導出伺服器,先執行WIN2003安裝CD光牒的"\I386\ADMT\PWDMIG"檔案夾中的"PWDMIG.EXE".

安裝

指定密鑰檔案的存放的路徑

點下一步

現在開始安裝

選否,暫時不要重新開機.

打開系統資料庫

依次打開我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,選取AllowPasswordExport,右擊并執行"修改"指令

數值資料為1.

完成上面步驟後,暫時不重新開機,進行第一次遷移工作時,還需要設定來源域的DC,屆時再重新開機以免麻煩.

3使用ADMT以遷移組

假設在新域的AD組中,要求與舊的AD中完全相同的組與帳戶,若重新逐一建立組與帳戶,就太辛苦了,則用ADMT來遷移組群組内的所有使用者帳戶就很友善.目前要進行的以屬于不同林的組的遷移工作,現在從來源域"meizhou.com"的域控制器遷移到目标域"shanghai.com"中.

要遷移的AD資料是"yangmign"組與成員對象.這些對象都放在組織機關"研發組"中.

可看到yangming組中的成員.

接下來在目标域的DC上執行"開始/系統管理工具/AD遷移工具"指令

先測試再正式遷移

先測試

選擇來源域和目标域

點進階

可以在來源域上選擇要遷移的組

點浏覽

選擇要存放遷移的組的目錄

這裡組選項.如圖勾選

若來源域第一次進行了AD資料的遷移,除了需在來源域的DC上設定一個系統資料庫項"TcpipClientSupport"之外,還需要額外建立一個本地組,其名稱為域的NETBIOS名稱加上"$$$"符号,在此為"XGRAD$$$".此本地組與登入密碼是作為遷移SID的用途.這裡來建立,點是.

點是.

重新啟動來源域中準備遷移AD資料的DC.耐心等待這台來源域的DC重新啟動.

這裡在來源域上關機不是在這正在配置的機上.重新開機好後進行下面的操作

遷移之前,可以在目标域的DC上設定AD資料的遷移的細節,.

輸入來源域的系管理者帳戶和密碼.

若來源域中的組同時存在于目标域,則遷移後會被改名為"OLD_YANGMING"

選第三個選項以通知來源域的密碼導出伺服器,将使用者帳戶的原始密碼,随同遷移到目标域,并且在下面選擇遷移使用者帳戶的密碼的來源DC.

選第一個選項以便啟用被遷移後的使用者帳戶.

現在開始進行遷移

進行中

完成

眯檢視日志

沒問題後開始真正遷移.

隻有這一步不同,開始遷移.

遷移完後.

可以看到成功遷移,因為已有一個使用者組了,是以用OLD辨別

可以看到成員不變.

恢複遷移的錯誤

進行遷移AD資料庫發生錯誤時,可執行"操作/撤銷上次遷移向導"

     本文轉自yangming1052 51CTO部落格，原文連結：http://blog.51cto.com/ming228/104861，如需轉載請自行聯系原作者