经过本人试验,觉得初期准备工作是很重要的。项目开始前请大家一定要做好基础架构调研、需求确认、制定初步计划并预留一定的buffer时间。要知道外接因素和环境因素是瞬息万变的:)
后面有3个pdf,一个是这个帖子的,一个是另外收集修改的详细图文步骤,还有一个是微软官方出的最佳实践操作手册,方便查阅。
源域:Windows Server 2003 DC (域名DomainA.com,NetBIOS域名DomainA)
目标域(新建域):Windows Server 2003 DC (域名DomainB.com,NetBIOS域名DomainB)
要求:平滑迁移,用户在迁移过程中始终能访问源域的资源 <注意:以下步骤都是以这个环境为中心展开的,如果环境不一样,需根据具体情况调整相应步骤。>
一. ADMT迁移之前的准备工作
1. 为了更好的降低风险,备份源域DC、要迁移的服务器、VIP客户机(比如领导的)和目标域DC的系统状态和系统盘数据(系统盘数据中包括本地用户配置文件),步骤如下:
a. 单击开始,指向程序,指向附件,指向系统工具,然后单击备份。
b. 取消选择“总是以向导模式运行”,单击“取消”关闭备份工具,重新打开备份工具。
c. 单击备份选项卡。
d. 单击以选中C:(假设系统盘为C:)、系统状态。如果是Exchange Server,还需选中Microsoft Exchange Server\ServerName\Microsoft Information Store。
e. 指定备份媒体或文件名,开始备份。
2. 在开始迁移之前,请执行如下的测试迁移步骤:创建测试用户,将该测试用户添加到合适的全局组,然后在迁移之前和之后验证资源的访问权限。
3. 对利用加密文件系统 (EFS) 方式加密的文件进行解密。解密加密文件失败将导致迁移后无法访问加密文件。请确保告知最终用户必须解密所有加密的文件,否则他们将无法访问那些文件。
4. 请确保要从中迁移对象的每个域中的系统时间都是同步的。时间偏差将导致 Kerberos 身份验证失败。
二. 为迁移配置环境
1. 配置源域和目标域以满足迁移需求
1)请验证是否建立了相应的信赖关系。
推荐在源帐户域和目标域之间建立双向信任关系,使源域和目标域相互信任。但最少源域要信任目标域。
2)为执行迁移任务分配相应的凭据:
要执行迁移,您必须是安装有 ADMT 的计算机上的Builtin\Administrators 组成员。
要迁移用户,您必须是源域和目标域中的Builtin\Administrators 组成员。
要迁移计算机,您必须是源域和目标域中的Administrators 组成员以及每台要迁移的计算机上的 Administrators 组成员。
要与 SID 历史一起迁移,您必须是源域中的 Administrators 组成员以及目标域中的 Domain Admins 组成员。
一个满足上述所有权限的简单做法:
a.在目标域的DC上,把源域的Domain Admins组加入目标域的Administrators组
b.在源域的DC上,把目标域的Domain Admins组加入源域的Administrators组
c.把ADMT安装在目标域DC上,要执行迁移时,在ADMT计算机上用属于源域的内置Administrator帐号登录源域,然后执行迁移操作。
3)为管理迁移对象配置目标域组织单位 (OU) 结构。
4)建议提升源域域功能级别为Windows 2000 本机模式或 Windows Server 2003,目标域域功能级别必须是 Windows 2000 本机模式或 Windows Server 2003。
注意:提升域功能级别一定要慎重,此过程不可逆,要先确保没有其他低版本域控制器存在并且以后不需提升低版本的域控制器。
2. 配置源域和目标域以迁移 SID 历史
要配置源域和目标域以从 Active Directory 域迁移 SID 历史,请完成以下过程:
1)在源域中创建支持审核的本地组
在源域中,创建本地组 DomainA$$$。不要向此组中添加成员;否则,SID 历史迁移将失败。
2) 启用对源域 PDC 模拟器的 TCP/IP 客户端支持(从Windows Server 2003 域迁移到其他Windows Server 2003 域,可以忽略此步骤)
a. 在源域中持有 PDC 模拟器操作管理器角色的域控制器上,单击“开始”,然后单击“运行”。在“打开”中,键入 regedit,然后单击“确定”。
b. 在“注册表编辑器”中,定位到以下注册表子项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
修改数据类型 REG_DWORD 的注册表项 TcpipClientSupport,将该值设置为 1。
c. 关闭“注册表编辑器”,然后重新启动计算机。
3)在 Windows Server 2003 域中启用审核
a. 以管理员的身份登录到目标域中的任何域控制器上。
b. 单击“开始”,依次指向“所有程序”和“管理工具”,然后单击“Active Directory 用户和计算机”。
c. 在控制台树中,扩展该域,右键单击“域控制器”OU,然后单击“属性”。
d. 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。
e. 依次双击“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”和“审核策略”。
f. 双击“审核帐户管理”,然后选中“成功”和“失败”复选框。
g. 单击“应用”,然后单击“确定”。
h. 在源域中重复第 a 步到第 g 步。
3. 配置密码迁移
执行林间迁移时,可以使用密码导出服务器 (PES) 服务迁移密码。PES 服务可以安装在支持 128 位加密(Win2000 SP3后就支持)的源域中的任何域控制器中。源域中的 PES 服务安装需要加密密钥,但您必须在目标域中运行 Active Directory 迁移工具 v3 (ADMT v3) 的计算机上创建加密密钥。
1)在安装ADMT的目标域DC上创建加密密钥
进入命令行中,输入下列内容:
cd /d c:
md admt
admt key /option:create /sourcedomain:domainA /keyfile:c:\admt\admt.pes /keypassword:ms123
2)在源域中配置 PES 服务
a. 把ADMT计算机上生成的c:\admt\admt.pes文件以及PES目录(默认%windir%\ADMT\PES)复制到源域中将要运行 PES 服务的域控制器。
b. 运行 Pwdmig.msi。在“需要密钥密码”对话框中提供创建密钥时给出的密码“ms123”,然后单击“下一步”。
c. 在选择运行 PES 服务所使用的帐户时不要使用Local System帐号,请指定内置Administrator帐号。
d. 安装完成后,重新启动域控制器。
e. 域控制器重新启动后,若要启动 PES 服务,请指向“开始”,指向“所有程序”,指向“管理工具”,然后单击“服务”。在详细信息窗格中,右键单击“Password Export Server Service”,然后单击“启动”。
注意:请只在迁移密码时运行 PES 服务。完成密码迁移后请停止 PES 服务。
4. 禁用SID Filtering
SID Filtering功能若启用将阻止受信任域(目标域)用户访问信任域(源域)资源。
为了禁用SID Filtering,在ADMT计算机上用源域Administrator登录,运行:
netdom trust domainA.com /domain:domainB.com /quarantine:no
确认得到提示:The command completed successfully.
5. 启用SID History
SID History功能若禁用将阻止受信任域(目标域)用户使用SID History访问信任域(源域)资源。
为了启用SID History,在ADMT计算机上用源域Administrator登录,运行:
netdom trust domainA.com /domain:domainB.com /enablesidhistory:yes
三. 正式开始迁移
1. 迁移用户账户和组
使用用户帐户迁移向导迁移用户帐户
1)在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“用户帐户迁移向导”。
2)使用下表中的信息完成用户帐户迁移向导。
向导页 操作
域选择 在“域”下拉列表中的“源”下,键入或选择源域的 NetBIOS 或域名系统 (DNS) 名称。在“域控制器”下拉列表中,键入或选择域控制器的名称,或选择“任何域控制器”。
在“域”下拉列表中的“目标”下,键入或选择目标域的 NetBIOS 或 DNS 名称。在“域控制器”下拉列表中,键入或选择域控制器的名称,或选择“任何域控制器”,然后单击“下一步”。
用户选择选项 单击“从域中选择用户”,然后单击“下一步”。在“用户选择”页中,单击需要迁移的一批用户帐号,单击“添加”,然后单击“下一步”。
组织单位选择 在“目标 OU”中,确保默认情况下列出正确的目标组织单位 (OU)。如果它不正确,则键入正确 OU 的可分辨名称,或者单击“浏览”。在“浏览容器”对话框中,找到目标域和 OU,然后单击“下一步”。
密码选项 选择“迁移密码”密码选项,然后单击“下一步”。
帐户转换选项 对于目标域,单击“禁用目标帐户”
最后,请选中“将用户 SID 迁移至目标域”复选框,然后单击“下一步”。
用户帐户 在“用户名”、“密码”和“域”中,键入包括源域中的Administrator帐户的信息,然后单击“下一步”。
用户选项 要自定义用户迁移,请选中以下用户选项的复选框,然后单击“下一步”:
转换漫游配置文件(如果有漫游配置文件)
更新用户权利
迁移关联的用户组
修复用户的组成员身份(必须选,否则用户将和组脱离)
冲突管理 要指定如何处理迁移冲突,请单击迁移并合并冲突对象
单击“迁移并合并冲突对象”,并选择在合并前删除现有目标帐户的用户权利
完成选择选项后,请单击“下一步”。
完成用户帐户迁移向导 复查您的选择,然后单击“完成”。
注意:建议分批迁移用户帐号,比如50个为一批。
迁移漫游配置文件(非本地配置文件)也在这一步做。
选择“迁移关联的用户组”选项以同时迁移组。
选择修复用户的组成员身份以保证用户和组关联。
先禁用目标用户帐号,等到用户配置文件迁完再启用,否则用户若提前使用目标用户帐号登录目标域,用户配置文件迁移将失败。
默认情况下,迁移后的目标域用户帐号必须在下次使用时修改密码,如不需要等迁移后在用户帐号属性中手动取消这个选项。
2. 迁移用户计算机帐号和安全(包括本地用户配置文件)
确保要迁移的用户计算机开机并接入网络,使用计算机迁移向导迁移计算机帐户
1) 在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“计算机迁移向导”。
2) 使用下表中的信息完成计算机迁移向导。
域选择 在“域”中的“源”下,键入源域的 NetBIOS 或域名系统 (DNS) 名称,或者单击下拉列表中的名称。在“域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器”。
在“域”中的“目标”下,键入目标域的 NetBIOS 或 DNS 名称,或者单击下拉列表中的名称。在“域控制器”中,单击域控制器的名称,或单击下拉列表中的“任何域控制器”,然后单击“下一步”。
计算机选择选项 单击“从域中选择计算机”,然后单击“下一步”。在“计算机选择”页上,单击源域中要迁移的所有计算机,单击“添加”,然后单击“下一步”。
组织单位选择 在“目标 OU”中,将列出默认的目标组织单位 (OU)。确保它是正确的目标 OU。如果它不正确,则键入正确 OU 的可分辨名称,或者单击“浏览”。在“浏览容器”对话框中,找到目标域和 OU,然后单击“下一步”。
转换对象 选中下列要执行安全性转换的对象的复选框,然后单击“下一步”:
文件和文件夹
本地组
打印机
注册表
共享
用户配置文件
用户权利
安全性转换选项 选择安全性转换选项“添加”,然后单击“下一步”。
计算机选项 在“向导完成后重新启动计算机之前的时间(分钟):”中,键入1,然后单击“下一步”。
对象属性排除 要从迁移中排除某些对象属性,请选中“将特定对象属性从迁移中排除”复选框,选择要排除的对象属性并将它们移到“排除的属性”框中,然后单击“下一步”。
冲突管理 请单击“迁移并合并冲突对象”,并选择在合并前删除现有目标帐户的用户权利,然后单击“下一步”。
完成计算机迁移向导 复查您的选择,然后单击“完成”。
注意:建议分批迁移计算机帐号,比如50个为一批。
计算机会在迁移后重启,所以请安排合理的时间。
3) 如果 Active Directory 迁移工具 (ADMT) 将为一台或多台远程计算机派遣代理,以便完成计算机迁移、安全性转换、服务帐户枚举和帐户引用报告,计算机迁移向导的“代理对话框”页将打开。
在“代理操作”选项中选择“运行预检查”,单击开始,当“代理摘要”列表中“预检查”列显示“通过”,再在“代理操作”选项中选择“运行预检查和代理操作”,单击“开始”。如下图:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173712554.jpg"></a>
当代理程序在客户计算机上执行完相关操作后,计算机将进行1分钟倒计时重新启动,启动后ADMT将进行后检查,“后检查”列如果显示“通过”表示迁移计算机帐号完成。如下图:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173744987.jpg"></a>
注意:请在确认计算机帐号后检查通过后,再把相应的目标域用户帐号启用,然后在计算机上登录以确认用户配置文件迁移成功。
3. 迁移服务器服务帐号
在这个步骤中我们将迁移还未迁移的服务器上的服务账号,服务账号需要在相应的计算机帐号迁移之前迁移。服务帐户是分配有“作为服务登录”用户权利的标准用户帐户。
1) 使用服务帐户迁移向导标识服务帐户
可以使用服务帐户迁移向导或命令行标识通过使用某一服务帐户运行服务的成员服务器和域控制器。
在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“服务帐户迁移向导”。
使用下表中的信息完成服务帐户迁移向导。
更新信息 单击“是,更新信息”,然后单击“下一步”。
计算机选择选项 单击“从域中选择计算机”,然后单击“下一步”。在“服务帐户选择”对话框中,单击源域中具有服务帐户的所有计算机的名称,再单击“添加”,然后单击“下一步”。
此时“代理对话框”将出现
在“代理操作”选项中选择“运行预检查”,单击开始。当“代理摘要”列表中“预检查”列显示“通过”时,在“代理操作”选项中选择“运行预检查和代理操作”,单击开始。当“代理操作”列也显示“成功”后,如下图,可以单击“关闭”关闭对话框。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173808689.jpg"></a>
此时出现服务帐户信息对话框:
服务帐户信息 选择不需要在 Active Directory 迁移工具数据库中标记为服务帐户的任何用户帐户,单击“跳过/包括”以将它们标记为“跳过”,然后单击“下一步”。
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173833772.jpg"></a>
完成服务帐户迁移向导 复查您的选择,然后单击“完成”。
2) 使用用户帐户迁移向导转换服务帐户
在 Active Directory 迁移工具控制台中,单击“操作”,然后单击“用户帐户迁移向导”。
使用下表中的信息完成用户帐户迁移向导。
用户选择选项 单击“从域中选择用户”,然后单击“下一步”。在“选择用户”页中,选择已由服务帐户迁移向导标识的所有服务帐户,单击“添加”,然后单击“下一步”。
密码选项 选择生成复杂密码,然后单击“下一步”。
注意:
在使用用户帐户迁移向导转换服务帐户时,自动生成复杂密码,而与在该向导页中选择的选项无关。即使选择了“不更新现有用户的密码”,也生成复杂密码。
帐户转换选项 对于目标域,单击启用目标帐户
最后,如果您要将用户安全标识符 (SID) 迁移到目标域,请选中“将用户 SID 迁移至目标域”复选框,然后单击“下一步”。
用户帐户 在“用户名”、“密码”和“域”中,用源域中的管理权限键入用户帐户的信息,然后单击“下一步”。
用户选项 请选中以下用户选项的复选框,然后单击“下一步”:
转换漫游配置文件(一般对服务帐号不需要)
修复用户的组成员身份
冲突管理 请单击迁移并合并冲突对象,并选择在合并前删除现有目标帐户的用户权利
服务帐户信息 选择不需要在 Active Directory 迁移工具数据库中标记为服务帐户的任何用户帐户,单击“跳过/包括”以将它们标记为“跳过”,选择“迁移所有服务账号并为标记为包括的项目更新SCM”,然后单击“下一步”。见下图:
<a target="_blank" href="http://blog.51cto.com/attachment/201105/173915410.jpg"></a>
注意:如果要迁移的服务器不是很多,建议一次迁移一台服务器,批量标识和迁移上面的服务帐号。
迁移服务帐号期间可能会对相应服务有影响,请安排合理时间。
4. 迁移服务器帐号和安全(包括本地用户配置文件)
确保要迁移的服务器开机并接入网络,步骤和迁移的用户计算机基本相同。
注意:迁移服务器选择转换对象时,不要遗漏本地组,因为被迁移的服务帐号原来可能属于本地组,如果迁移后没有加入相应的本地组,可能会引起权限问题,从而导致服务无法启动。
服务器需在迁移后也需重启,所以请安排合理的时间。
<a href="http://down.51cto.com/data/2358162" target="_blank">附件:http://down.51cto.com/data/2358162</a>
本文转自 yuxye 51CTO博客,原文链接:http://blog.51cto.com/fishvsfrog/571023
![Windows系统下通过CMD命令行或运行窗口打开常用附件和功能[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)