經過本人試驗,覺得初期準備工作是很重要的。項目開始前請大家一定要做好基礎架構調研、需求确認、制定初步計劃并預留一定的buffer時間。要知道外接因素和環境因素是瞬息萬變的:)
後面有3個pdf,一個是這個文章的,一個是另外收集修改的詳細圖文步驟,還有一個是微軟官方出的最佳實踐操作手冊,友善查閱。
源域:Windows Server 2003 DC (域名DomainA.com,NetBIOS域名DomainA)
目标域(建立域):Windows Server 2003 DC (域名DomainB.com,NetBIOS域名DomainB)
要求:平滑遷移,使用者在遷移過程中始終能通路源域的資源 <注意:以下步驟都是以這個環境為中心展開的,如果環境不一樣,需根據具體情況調整相應步驟。>
一. ADMT遷移之前的準備工作
1. 為了更好的降低風險,備份源域DC、要遷移的伺服器、VIP客戶機(比如上司的)和目标域DC的系統狀态和系統盤資料(系統盤資料中包括本地使用者配置檔案),步驟如下:
a. 單擊開始,指向程式,指向附件,指向系統工具,然後單擊備份。
b. 取消選擇“總是以向導模式運作”,單擊“取消”關閉備份工具,重新打開備份工具。
c. 單擊備份頁籤。
d. 單擊以選中C:(假設系統盤為C:)、系統狀态。如果是Exchange Server,還需選中Microsoft Exchange Server\ServerName\Microsoft Information Store。
e. 指定備份媒體或檔案名,開始備份。
2. 在開始遷移之前,請執行如下的測試遷移步驟:建立測試使用者,将該測試使用者添加到合适的全局組,然後在遷移之前和之後驗證資源的通路權限。
3. 對利用加密檔案系統 (EFS) 方式加密的檔案進行解密。解密加密檔案失敗将導緻遷移後無法通路加密檔案。請確定告知最終使用者必須解密所有加密的檔案,否則他們将無法通路那些檔案。
4. 請確定要從中遷移對象的每個域中的系統時間都是同步的。時間偏差将導緻 Kerberos 身份驗證失敗。
二. 為遷移配置環境
1. 配置源域和目标域以滿足遷移需求
1)請驗證是否建立了相應的信賴關系。
推薦在源帳戶域和目标域之間建立雙向信任關系,使源域和目标域互相信任。但最少源域要信任目标域。
2)為執行遷移任務配置設定相應的憑據:
要執行遷移,您必須是安裝有 ADMT 的計算機上的Builtin\Administrators 組成員。
要遷移使用者,您必須是源域和目标域中的Builtin\Administrators 組成員。
要遷移計算機,您必須是源域和目标域中的Administrators 組成員以及每台要遷移的計算機上的 Administrators 組成員。
要與 SID 曆史一起遷移,您必須是源域中的 Administrators 組成員以及目标域中的 Domain Admins 組成員。
一個滿足上述所有權限的簡單做法:
a.在目标域的DC上,把源域的Domain Admins組加入目标域的Administrators組
b.在源域的DC上,把目标域的Domain Admins組加入源域的Administrators組
c.把ADMT安裝在目标域DC上,要執行遷移時,在ADMT計算機上用屬于源域的内置Administrator帳号登入源域,然後執行遷移操作。
3)為管理遷移對象配置目标域組織機關 (OU) 結構。
4)建議提升源域域功能級别為Windows 2000 本機模式或 Windows Server 2003,目标域域功能級别必須是 Windows 2000 本機模式或 Windows Server 2003。
注意:提升域功能級别一定要慎重,此過程不可逆,要先確定沒有其他低版本域控制器存在并且以後不需提升低版本的域控制器。
2. 配置源域和目标域以遷移 SID 曆史
要配置源域和目标域以從 Active Directory 域遷移 SID 曆史,請完成以下過程:
1)在源域中建立支援稽核的本地組
在源域中,建立本地組 DomainA$$$。不要向此組中添加成員;否則,SID 曆史遷移将失敗。
2) 啟用對源域 PDC 模拟器的 TCP/IP 用戶端支援(從Windows Server 2003 域遷移到其他Windows Server 2003 域,可以忽略此步驟)
a. 在源域中持有 PDC 模拟器操作管理器角色的域控制器上,單擊“開始”,然後單擊“運作”。在“打開”中,鍵入 regedit,然後單擊“确定”。
b. 在“系統資料庫編輯器”中,定位到以下系統資料庫子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
修改資料類型 REG_DWORD 的系統資料庫項 TcpipClientSupport,将該值設定為 1。
c. 關閉“系統資料庫編輯器”,然後重新啟動計算機。
3)在 Windows Server 2003 域中啟用稽核
a. 以管理者的身份登入到目标域中的任何域控制器上。
b. 單擊“開始”,依次指向“所有程式”和“管理工具”,然後單擊“Active Directory 使用者和計算機”。
c. 在控制台樹中,擴充該域,右鍵單擊“域控制器”OU,然後單擊“屬性”。
d. 在“組政策”頁籤上,單擊“預設域控制器政策”,然後單擊“編輯”。
e. 依次輕按兩下“計算機配置”、“Windows 設定”、“安全設定”、“本地政策”和“稽核政策”。
f. 輕按兩下“稽核帳戶管理”,然後選中“成功”和“失敗”複選框。
g. 單擊“應用”,然後單擊“确定”。
h. 在源域中重複第 a 步到第 g 步。
3. 配置密碼遷移
執行林間遷移時,可以使用密碼導出伺服器 (PES) 服務遷移密碼。PES 服務可以安裝在支援 128 位加密(Win2000 SP3後就支援)的源域中的任何域控制器中。源域中的 PES 服務安裝需要加密密鑰,但您必須在目标域中運作 Active Directory 遷移工具 v3 (ADMT v3) 的計算機上建立加密密鑰。
1)在安裝ADMT的目标域DC上建立加密密鑰
進入指令行中,輸入下列内容:
cd /d c:
md admt
admt key /option:create /sourcedomain:domainA /keyfile:c:\admt\admt.pes /keypassword:ms123
2)在源域中配置 PES 服務
a. 把ADMT計算機上生成的c:\admt\admt.pes檔案以及PES目錄(預設%windir%\ADMT\PES)複制到源域中将要運作 PES 服務的域控制器。
b. 運作 Pwdmig.msi。在“需要密鑰密碼”對話框中提供建立密鑰時給出的密碼“ms123”,然後單擊“下一步”。
c. 在選擇運作 PES 服務所使用的帳戶時不要使用Local System帳号,請指定内置Administrator帳号。
d. 安裝完成後,重新啟動域控制器。
e. 域控制器重新啟動後,若要啟動 PES 服務,請指向“開始”,指向“所有程式”,指向“管理工具”,然後單擊“服務”。在詳細資訊窗格中,右鍵單擊“Password Export Server Service”,然後單擊“啟動”。
注意:請隻在遷移密碼時運作 PES 服務。完成密碼遷移後請停止 PES 服務。
4. 禁用SID Filtering
SID Filtering功能若啟用将阻止受信任域(目标域)使用者通路信任域(源域)資源。
為了禁用SID Filtering,在ADMT計算機上用源域Administrator登入,運作:
netdom trust domainA.com /domain:domainB.com /quarantine:no
确認得到提示:The command completed successfully.
5. 啟用SID History
SID History功能若禁用将阻止受信任域(目标域)使用者使用SID History通路信任域(源域)資源。
為了啟用SID History,在ADMT計算機上用源域Administrator登入,運作:
netdom trust domainA.com /domain:domainB.com /enablesidhistory:yes
三. 正式開始遷移
1. 遷移使用者賬戶群組
使用使用者帳戶遷移向導遷移使用者帳戶
1)在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“使用者帳戶遷移向導”。
2)使用下表中的資訊完成使用者帳戶遷移向導。
向導頁 操作
域選擇 在“域”下拉清單中的“源”下,鍵入或選擇源域的 NetBIOS 或域名系統 (DNS) 名稱。在“域控制器”下拉清單中,鍵入或選擇域控制器的名稱,或選擇“任何域控制器”。
在“域”下拉清單中的“目标”下,鍵入或選擇目标域的 NetBIOS 或 DNS 名稱。在“域控制器”下拉清單中,鍵入或選擇域控制器的名稱,或選擇“任何域控制器”,然後單擊“下一步”。
使用者選擇選項 單擊“從域中選擇使用者”,然後單擊“下一步”。在“使用者選擇”頁中,單擊需要遷移的一批使用者帳号,單擊“添加”,然後單擊“下一步”。
組織機關選擇 在“目标 OU”中,確定預設情況下列出正确的目标組織機關 (OU)。如果它不正确,則鍵入正确 OU 的可分辨名稱,或者單擊“浏覽”。在“浏覽容器”對話框中,找到目标域和 OU,然後單擊“下一步”。
密碼選項 選擇“遷移密碼”密碼選項,然後單擊“下一步”。
帳戶轉換選項 對于目标域,單擊“禁用目标帳戶”
最後,請選中“将使用者 SID 遷移至目标域”複選框,然後單擊“下一步”。
使用者帳戶 在“使用者名”、“密碼”和“域”中,鍵入包括源域中的Administrator帳戶的資訊,然後單擊“下一步”。
使用者選項 要自定義使用者遷移,請選中以下使用者選項的複選框,然後單擊“下一步”:
轉換漫遊配置檔案(如果有漫遊配置檔案)
更新使用者權利
遷移關聯的使用者組
修複使用者的組成員身份(必須選,否則使用者将群組脫離)
沖突管理 要指定如何處理遷移沖突,請單擊遷移并合并沖突對象
單擊“遷移并合并沖突對象”,并選擇在合并前删除現有目标帳戶的使用者權利
完成選擇選項後,請單擊“下一步”。
完成使用者帳戶遷移向導 複查您的選擇,然後單擊“完成”。
注意:建議分批遷移使用者帳号,比如50個為一批。
遷移漫遊配置檔案(非本地配置檔案)也在這一步做。
選擇“遷移關聯的使用者組”選項以同時遷移組。
選擇修複使用者的組成員身份以保證使用者群組關聯。
先禁用目标使用者帳号,等到使用者配置檔案遷完再啟用,否則使用者若提前使用目标使用者帳号登入目标域,使用者配置檔案遷移将失敗。
預設情況下,遷移後的目标域使用者帳号必須在下次使用時修改密碼,如不需要等遷移後在使用者帳号屬性中手動取消這個選項。
2. 遷移使用者計算機帳号和安全(包括本地使用者配置檔案)
確定要遷移的使用者計算機開機并接入網絡,使用計算機遷移向導遷移計算機帳戶
1) 在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“計算機遷移向導”。
2) 使用下表中的資訊完成計算機遷移向導。
域選擇 在“域”中的“源”下,鍵入源域的 NetBIOS 或域名系統 (DNS) 名稱,或者單擊下拉清單中的名稱。在“域控制器”中,單擊域控制器的名稱,或單擊下拉清單中的“任何域控制器”。
在“域”中的“目标”下,鍵入目标域的 NetBIOS 或 DNS 名稱,或者單擊下拉清單中的名稱。在“域控制器”中,單擊域控制器的名稱,或單擊下拉清單中的“任何域控制器”,然後單擊“下一步”。
計算機選擇選項 單擊“從域中選擇計算機”,然後單擊“下一步”。在“計算機選擇”頁上,單擊源域中要遷移的所有計算機,單擊“添加”,然後單擊“下一步”。
組織機關選擇 在“目标 OU”中,将列出預設的目标組織機關 (OU)。確定它是正确的目标 OU。如果它不正确,則鍵入正确 OU 的可分辨名稱,或者單擊“浏覽”。在“浏覽容器”對話框中,找到目标域和 OU,然後單擊“下一步”。
轉換對象 選中下列要執行安全性轉換的對象的複選框,然後單擊“下一步”:
檔案和檔案夾
本地組
列印機
系統資料庫
共享
使用者配置檔案
使用者權利
安全性轉換選項 選擇安全性轉換選項“添加”,然後單擊“下一步”。
計算機選項 在“向導完成後重新啟動計算機之前的時間(分鐘):”中,鍵入1,然後單擊“下一步”。
對象屬性排除 要從遷移中排除某些對象屬性,請選中“将特定對象屬性從遷移中排除”複選框,選擇要排除的對象屬性并将它們移到“排除的屬性”框中,然後單擊“下一步”。
沖突管理 請單擊“遷移并合并沖突對象”,并選擇在合并前删除現有目标帳戶的使用者權利,然後單擊“下一步”。
完成計算機遷移向導 複查您的選擇,然後單擊“完成”。
注意:建議分批遷移計算機帳号,比如50個為一批。
計算機會在遷移後重新開機,是以請安排合理的時間。
3) 如果 Active Directory 遷移工具 (ADMT) 将為一台或多台遠端計算機派遣代理,以便完成計算機遷移、安全性轉換、服務帳戶枚舉和帳戶引用報告,計算機遷移向導的“代理對話框”頁将打開。
在“代理操作”選項中選擇“運作預檢查”,單擊開始,當“代理摘要”清單中“預檢查”列顯示“通過”,再在“代理操作”選項中選擇“運作預檢查和代理操作”,單擊“開始”。如下圖:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173712554.jpg"></a>
當代理程式在客戶計算機上執行完相關操作後,計算機将進行1分鐘倒計時重新啟動,啟動後ADMT将進行後檢查,“後檢查”列如果顯示“通過”表示遷移計算機帳号完成。如下圖:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173744987.jpg"></a>
注意:請在确認計算機帳号後檢查通過後,再把相應的目标域使用者帳号啟用,然後在計算機上登入以确認使用者配置檔案遷移成功。
3. 遷移伺服器服務帳号
在這個步驟中我們将遷移還未遷移的伺服器上的服務賬号,服務賬号需要在相應的計算機帳号遷移之前遷移。服務帳戶是配置設定有“作為服務登入”使用者權利的标準使用者帳戶。
1) 使用服務帳戶遷移向導辨別服務帳戶
可以使用服務帳戶遷移向導或指令行辨別通過使用某一服務帳戶運作服務的成員伺服器和域控制器。
在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“服務帳戶遷移向導”。
使用下表中的資訊完成服務帳戶遷移向導。
更新資訊 單擊“是,更新資訊”,然後單擊“下一步”。
計算機選擇選項 單擊“從域中選擇計算機”,然後單擊“下一步”。在“服務帳戶選擇”對話框中,單擊源域中具有服務帳戶的所有計算機的名稱,再單擊“添加”,然後單擊“下一步”。
此時“代理對話框”将出現
在“代理操作”選項中選擇“運作預檢查”,單擊開始。當“代理摘要”清單中“預檢查”列顯示“通過”時,在“代理操作”選項中選擇“運作預檢查和代理操作”,單擊開始。當“代理操作”列也顯示“成功”後,如下圖,可以單擊“關閉”關閉對話框。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173808689.jpg"></a>
此時出現服務帳戶資訊對話框:
服務帳戶資訊 選擇不需要在 Active Directory 遷移工具資料庫中标記為服務帳戶的任何使用者帳戶,單擊“跳過/包括”以将它們标記為“跳過”,然後單擊“下一步”。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173833772.jpg"></a>
完成服務帳戶遷移向導 複查您的選擇,然後單擊“完成”。
2) 使用使用者帳戶遷移向導轉換服務帳戶
在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“使用者帳戶遷移向導”。
使用下表中的資訊完成使用者帳戶遷移向導。
使用者選擇選項 單擊“從域中選擇使用者”,然後單擊“下一步”。在“選擇使用者”頁中,選擇已由服務帳戶遷移向導辨別的所有服務帳戶,單擊“添加”,然後單擊“下一步”。
密碼選項 選擇生成複雜密碼,然後單擊“下一步”。
注意:
在使用使用者帳戶遷移向導轉換服務帳戶時,自動生成複雜密碼,而與在該向導頁中選擇的選項無關。即使選擇了“不更新現有使用者的密碼”,也生成複雜密碼。
帳戶轉換選項 對于目标域,單擊啟用目标帳戶
最後,如果您要将使用者安全辨別符 (SID) 遷移到目标域,請選中“将使用者 SID 遷移至目标域”複選框,然後單擊“下一步”。
使用者帳戶 在“使用者名”、“密碼”和“域”中,用源域中的管理權限鍵入使用者帳戶的資訊,然後單擊“下一步”。
使用者選項 請選中以下使用者選項的複選框,然後單擊“下一步”:
轉換漫遊配置檔案(一般對服務帳号不需要)
修複使用者的組成員身份
沖突管理 請單擊遷移并合并沖突對象,并選擇在合并前删除現有目标帳戶的使用者權利
服務帳戶資訊 選擇不需要在 Active Directory 遷移工具資料庫中标記為服務帳戶的任何使用者帳戶,單擊“跳過/包括”以将它們标記為“跳過”,選擇“遷移所有服務賬号并為标記為包括的項目更新SCM”,然後單擊“下一步”。見下圖:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173915410.jpg"></a>
注意:如果要遷移的伺服器不是很多,建議一次遷移一台伺服器,批量辨別和遷移上面的服務帳号。
遷移服務帳号期間可能會對相應服務有影響,請安排合理時間。
4. 遷移伺服器帳号和安全(包括本地使用者配置檔案)
確定要遷移的伺服器開機并接入網絡,步驟和遷移的使用者計算機基本相同。
注意:遷移伺服器選擇轉換對象時,不要遺漏本地組,因為被遷移的服務帳号原來可能屬于本地組,如果遷移後沒有加入相應的本地組,可能會引起權限問題,進而導緻服務無法啟動。
伺服器需在遷移後也需重新開機,是以請安排合理的時間。
<a href="http://down.51cto.com/data/2358162" target="_blank">附件:http://down.51cto.com/data/2358162</a>
本文轉自 yuxye 51CTO部落格,原文連結:http://blog.51cto.com/fishvsfrog/571023
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)