Windows server 2003 ADMT

ADMT(Active Directory Migration Tool)是一套嚮導接口,集成多項多功能的遷移工具--提供將某域的AD數據庫的用戶帳戶,組,計算機,服務帳戶,信任關係等數據,遷移到另一個新域,如此一來,這些AD數據庫就不必重建於新域.

1.ADMT使用前的注意事項

1)備份AD數據庫,爲防ADMT遷移工具發生意外狀況,無法恢復被遷移的AD數據.

2)遷移AD的順序,先遷移不太重要或數據比較少的AD,萬一發生問題時,損失較小

3)提升來源與目標域的域功能等級至少爲WINDOWS 2000純粹模式,爲讓ADMT遷移工具能夠運行正常,將來源與目標域域功能等級提升爲WIDOWS 2000純粹械,如此才能夠在遷移過程發生問題時,還能夠通過復原上次遷移向導.

4)利用ADMT工具所提供的測試選項,先測試遷移步驟,ADMT工具提供此機制,方便管理者避免遷移時發生問題無法恢復,建議真正進行遷移工作時,先進行測試.

5)要留意遷移項目的相依性.例如若要遷移的某此帳戶,屬於某個具有特定權限的全局組的成員,因此在遷移這些帳戶數據之前,應先遷移所屬的全局組,才能夠使帳戶遷移後,保持舊有的權限.

2.ADMT使用前的環境設置

下面以來源域"meizhou.com"的AD數據,遷移到目標域"shanghai.com"除了安裝ADMT之外,仍需進行如下的環境設置.

1)建立來源與目標域間的信任關係

2)設置審覈策略

3)在目標域的Pre--Windows 2000 Compatible Access組中,加入"Everyone"與"ANONYMOUS LOGON"等兩個系統組

4)安裝ADMT於目標域的DC上

5)安裝密碼導出服務器於來源域的DC之上.

 

建立來源與目標域間的信任關係

設置審覈策略

在來源和目標域的每一臺DC上,設置審覈策略,先在目標域的DC上進行,執行"開始/系統管理工具/AD用戶和計算機"命令

點屬性

點編輯

點屬性

都勾上.

則無論遷移成功或失敗,讓系統的事件查看器產生相對應的信息.

完成之後,在來源域的DC上重複上面的操作流程.在默認狀態下等待5分鐘,讓該DC將此審覈策略的新設置,能夠自動更新到域的其它的DC.

 

將來源/目標域的Domain Admins 組分別加入對方的Administrators組中

進行AD遷移之前,來源域的系統管理員(Domain Administrator)一定要具有備目標域的DC的本機系統管理員的權限.同時目標域的域系統管理員一定要具有備來源域的DC本機系統管理員的權限才行.下面先在目標域的DC上進行

點屬性

點添加

點位置

選中來源域

然後點高級

點立即查找,選中如圖

點確定

可以看到已在列表之中了.

接着在來源域的DC上同樣操作.

可以看到目標域的DOMAIN ADMINS也在來源域中了.

 

在目標域的Pre-Windows 2000 Compatible Access組中,加入"Everyone"與"ANONYMOUSLOGON"兩個系統組.

點屬性

看到兩個都加入了.

 

安裝ADMT於目標域的DC上

執行WIND2003安裝光盤"\I386\ADMT"文件夾中的"Admigration.msi"

點安裝

下一步

點接受

下一步

下一步

現在開始安裝了.

點完成

 

安裝密碼導出服務器

凡是關係到用戶帳戶的遷移工作,一定會牽涉到帳戶的遷移問題,爲了讓用戶帳戶在遷移之後,仍然保留用戶所使用的密碼,則必須先在已安裝ADMT遷移工具的目標域的DC上,製作一把保護用戶密碼的密鑰.

在目標域的DC的ADMT安裝文件中,執行"admt key來源域名稱保存密鑰的路徑"命令.圖中"admt key meizhou.com .",其中指令最後的"."代表目前的工作路徑,也就是ADMT安裝文件夾.

其中"X642SVXB.pes"即爲密鑰文件.完成製作後,將密鑰從目標域的DC中取出,並存放到來源域的DC上,以供即將安裝的密碼導出服務器使用,安裝密碼導出服務器,先執行WIN2003安裝光盤的"\I386\ADMT\PWDMIG"文件夾中的"PWDMIG.EXE".

安裝

下一步

指定密鑰文件的存放的路徑

點下一步

現在開始安裝

選否,暫時不要重新開機.

打開註冊表

依次打開我的電腦\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,選取AllowPasswordExport,右擊並執行"修改"命令

數值數據爲1.

完成上面步驟後,暫時不重新開機,進行第一次遷移工作時,還需要設置來源域的DC,屆時再重新開機以免麻煩.

 

3使用ADMT以遷移組

假設在新域的AD組中,要求與舊的AD中完全相同的組與帳戶,若重新逐一建立組與帳戶,就太辛苦了,則用ADMT來遷移組和組內的所有用戶帳戶就很方便.目前要進行的以屬於不同林的組的遷移工作,現在從來源域"meizhou.com"的域控制器遷移到目標域"shanghai.com"中.

要遷移的AD數據是"yangmign"組與成員對象.這些對象都放在組織單位"研發組"中.

可看到yangming組中的成員.

接下來在目標域的DC上執行"開始/系統管理工具/AD遷移工具"命令

先測試再正式遷移

下一步

先測試

 

選擇來源域和目標域

點添加

點高級

可以在來源域上選擇要遷移的組

點確定

下一步

點瀏覽

選擇要存放遷移的組的目錄

下一步

這裏組選項.如圖勾選

若來源域第一次進行了AD數據的遷移,除了需在來源域的DC上設置一個註冊表項"TcpipClientSupport"之外,還需要額外建立一個本地組,其名稱爲域的NETBIOS名稱加上"$$$"符號,在此爲"XGRAD$$$".此本地組與登錄口令是作爲遷移SID的用途.這裏來建立,點是.

點是.

點是.

 

重新啓動來源域中準備遷移AD數據的DC.耐心等待這臺來源域的DC重新啓動.

這裏在來源域上關機不是在這正在配置的機上.重啓好後進行下面的操作

遷移之前,可以在目標域的DC上設置AD數據的遷移的細節,.

輸入來源域的系管理員帳戶和密碼.

若來源域中的組同時存在於目標域,則遷移後會被改名爲"OLD_YANGMING"

 

選第三個選項以通知來源域的密碼導出服務器,將用戶帳戶的原始密碼,隨同遷移到目標域,並且在下面選擇遷移用戶帳戶的密碼的來源DC.

選第一個選項以便啓用被遷移後的用戶帳戶.

點完成

現在開始進行遷移

進行中

完成

眯查看日誌

沒問題後開始真正遷移.

只有這一步不同,開始遷移.

遷移完後.

可以看到成功遷移,因爲已有一個用戶組了,所以用OLD標識

可以看到成員不變.

 

恢復遷移的錯誤

進行遷移AD數據庫發生錯誤時,可執行"操作/撤銷上次遷移向導"

完成