AD 遷移

ADMT 3.0遷移測試

一. 虛拟環境

Target Domain

Domain Name： Msft.Local (windows 2003)

IP Address：192.168.0.1

Source Domain

Domain Name：leaderit.com (windows 2003)

IP Address：192.168.0.100

Client PC

Name: Client

IP Address：192.168.0.200

建立帳号和群組，共享資源

二. 遷移流程

ADMT 3.0可以實作三種環境的遷移

1.Windows NT 4.0 Domain Restructure to an Active Directory Forest

2.Interforest Active Directory Domain Restructure

3.Intraforest Active Directory Domain Resturcture

其中在Interforest和Intraforest中還是有一些差別的

主要一點是Interforest裡面對象是克隆，而在Intraforest裡面對象是移動

Migration Consideration

Interforest Restructure

Intraforest Restructure

Object preservation

Objects are cloned rather than migrated. The original object remains in the source location to maintain user access to resources.

Objects are migrated and no longer exist in the source location.

SID history maintenance

Maintaining SID history is optional.

SID history is required.

Password retention

Password retention is optional.

Passwords are always retained.

Local profile migration

You must use tools such as ADMT to migrate local profiles.

For workstations that run the Microsoft Windows®°2000 Server operating system and later, local profiles are migrated automatically because the user’s GUID is preserved. However, you must use tools such as ADMT to migrate local profiles for workstations that run Windows NT 4.0 and earlier.

Closed sets

You do not need to migrate accounts in closed sets.

You must migrate accounts in closed sets.

整個遷移的流程圖

三. 遷移前期工作

target域需要Windows 2000或者Windows 2003域功能級别

建立source和target之間的域信任關系

關閉SID Filter, 預設在Windows 2000 SP4以上及Windows2003啟用了SID Filter, 在遷移過程中，為了讓使用者可以正常原有資源，我們需要遷移SID Histrory.

在指令行中通過netdom指令關閉SID Filter

将目标域的Domain Admins群組加入到Source administrators群組

以下三個步驟可以在ADMT第一次運作時由ADMT自動建立

1.在source域中建立source_name$$$本地群組

2.在source PDC角色上開啟TCP/IP Client Support功能

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\LSA

   TcpipClientSupport   DWORD   1

3.在target和source域上開啟稽核

   Group Policy-Default Domain Controllers Policy-Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit Policy

   Audit accout management   Success,Failure

四.安裝ADMT

在target domain controller上安裝ADMT 3.0 (ADMT 3.1支援Windows 2008)

ADMT3.0需要資料庫支援，無論是采用SQL還是WMSDE，預設都會在本地安裝WMSDE。

五.啟用密碼遷移

   森林之間遷移使用PES(Password Export Server)服務來遷移密碼，PES服務可以安裝在source域的任何DC上(支援128位加密，Windows 2003，2000+sp3以上預設支援)。

   安裝PES服務首先需要一個加密鑰匙，這個加密鑰匙在target域安裝ADMT的機器上建立

   admt key /option:create /sourcedomain:<> /keyfile:<>/keypassword:<>

在source域DC上啟動PES服務，需要安裝ADMT,

執行%systemroot%\windows\ADMT\PES\pwdmig.msi

導入剛才在target域導出的加密鑰匙

輸入服務帳号，建議使用在target域中驗證的帳号，如果使用本地系統帳号，確定在target域中，Pre windows 2000 compatible access group中包含everyone group和Anonymous logon group

在services裡面啟動PES服務

六.正式遷移

   按照ADMT遷移文檔的建議，共享檔案資源，采用Users->Global Groups->Local Domain Groups->Permission的方式

   遷移帳号順序：Services Account-->Global Group-->User Account

   遷移user account步驟：

1.遷移所有帳号，選擇不更新現有使用者密碼，生成複雜密碼

禁用目标帳戶，将使用者SID遷移到目标域

轉換漫遊配置檔案

2.轉換使用者profile

安全性轉換向導，先前遷移的對象

使用者配置檔案

替換安全性引用

3.遷移工作站

選擇工作組和擁護權利

選擇添加

遷移代理

4.再次遷移帳号

遷移密碼

啟用目标帳戶

轉換漫遊配置檔案,更新使用者權利,修複使用者的組成員身份

遷移并合并沖突的對象

5.再次遷移所有全局組

 遷移完成後,使用使用者帳号登陸,桌面一切都正常, 結果通路源域共享資源竟然提示不能通路, 奇怪

步驟都是按照help的文檔

使用Adsiedit.msc檢查帳号和群組的SIDhistory屬性，都已經遷移過來

通過Windows Resource Kit工具檢查

WhoamI /All, SIDhistory也已經存在

使用者資訊

----------------

使用者名     SID                                        

========== ============================================

msft\user1 S-1-5-21-921174561-3067888446-272819519-1113

組資訊

-----------------

組名                             類型   SID                                            屬性                         

================================ ====== ============================================== ==============================

Everyone                         已知組 S-1-1-0                                        必需的組, 啟用于預設, 啟用的組

BUILTIN\Users                    别名   S-1-5-32-545                                   必需的組, 啟用于預設, 啟用的組

NT AUTHORITY\INTERACTIVE         已知組 S-1-5-4                                        必需的組, 啟用于預設, 啟用的組

NT AUTHORITY\Authenticated Users 已知組 S-1-5-11                                       必需的組, 啟用于預設, 啟用的組

NT AUTHORITY\This Organization   已知組 S-1-5-15                                       必需的組, 啟用于預設, 啟用的組

LOCAL                            已知組 S-1-2-0                                        必需的組, 啟用于預設, 啟用的組

MSFT\Global Group1               組     S-1-5-21-921174561-3067888446-272819519-1111   必需的組, 啟用于預設, 啟用的組

MSFT\user1                       使用者   S-1-5-21-4123853966-2211756669-3874129515-1108 必需的組, 啟用于預設, 啟用的組

MSFT\Global Group1               組     S-1-5-21-4123853966-2211756669-3874129515-1112 必需的組, 啟用于預設, 啟用的組 (SIDHistory)

特權資訊

----------------------

特權名                  描述         狀态 

======================= ============ ======

SeChangeNotifyPrivilege 跳過周遊檢查 已啟用

從網上翻了下資料，有說到SID Filter開啟會導緻資源不能通路這個情況，可以明明我已經作過了關閉SID Filter指令了

再仔細看看我前面做的Netdom trust指令，突然想到，是不是原來做的時候源域和目标域的方向反了

重新執行指令。

netdom trust leaderit /domain:msft /quarantine:no /userd:administrator /passwordd:pass01!

原文來自 [url]http://www.cnitblog.com/joyclear/archive/2008/11/10/50143.html[/url]