ADMT(Active Directory Migration Tool)是一套向导接口,集成多项多功能的迁移工具--提供将某域的AD数据库的用户帐户,组,计算机,服务帐户,信任关系等数据,迁移到另一个新域,如此一来,这些AD数据库就不必重建于新域.
1.ADMT使用前的注意事项
1)备份AD数据库,为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据.
2)迁移AD的顺序,先迁移不太重要或数据比较少的AD,万一发生问题时,损失较小
3)提升来源与目标域的域功能等级至少为WINDOWS 2000纯粹模式,为让ADMT迁移工具能够运行正常,将来源与目标域域功能等级提升为WIDOWS 2000纯粹械,如此才能够在迁移过程发生问题时,还能够通过复原上次迁移向导.
4)利用ADMT工具所提供的测试选项,先测试迁移步骤,ADMT工具提供此机制,方便管理者避免迁移时发生问题无法恢复,建议真正进行迁移工作时,先进行测试.
5)要留意迁移项目的相依性.例如若要迁移的某此帐户,属于某个具有特定权限的全局组的成员,因此在迁移这些帐户数据之前,应先迁移所属的全局组,才能够使帐户迁移后,保持旧有的权限.
2.ADMT使用前的环境设置
下面以来源域"meizhou.com"的AD数据,迁移到目标域"shanghai.com"除了安装ADMT之外,仍需进行如下的环境设置.
1)建立来源与目标域间的信任关系
2)设置审核策略
3)在目标域的Pre--Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUS LOGON"等两个系统组
4)安装ADMT于目标域的DC上
5)安装密码导出服务器于来源域的DC之上.
建立来源与目标域间的信任关系
设置审核策略
在来源和目标域的每一台DC上,设置审核策略,先在目标域的DC上进行,执行"开始/系统管理工具/AD用户和计算机"命令
点属性
点编辑
点属性
都勾上.
则无论迁移成功或失败,让系统的事件查看器产生相对应的信息.
完成之后,在来源域的DC上重复上面的操作流程.在默认状态下等待5分钟,让该DC将此审核策略的新设置,能够自动更新到域的其它的DC.
将来源/目标域的Domain Admins 组分别加入对方的Administrators组中
进行AD迁移之前,来源域的系统管理员(Domain Administrator)一定要具有备目标域的DC的本机系统管理员的权限.同时目标域的域系统管理员一定要具有备来源域的DC本机系统管理员的权限才行.下面先在目标域的DC上进行
点属性
点添加
点位置
选中来源域
然后点高级
点立即查找,选中如图
点确定
可以看到已在列表之中了.
接着在来源域的DC上同样操作.
可以看到目标域的DOMAIN ADMINS也在来源域中了.
在目标域的Pre-Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUSLOGON"两个系统组.
点属性
看到两个都加入了.
安装ADMT于目标域的DC上
执行WIND2003安装光盘"\I386\ADMT"文件夹中的"Admigration.msi"
点安装
下一步
点接受
下一步
下一步
现在开始安装了.
点完成
安装密码导出服务器
凡是关系到用户帐户的迁移工作,一定会牵涉到帐户的迁移问题,为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必须先在已安装ADMT迁移工具的目标域的DC上,制作一把保护用户密码的**.
在目标域的DC的ADMT安装文件中,执行"admt key来源域名称保存**的路径"命令.图中"admt key meizhou.com .",其中指令最后的"."代表目前的工作路径,也就是ADMT安装文件夹.
其中"X642SVXB.pes"即为**文件.完成制作后,将**从目标域的DC中取出,并存放到来源域的DC上,以供即将安装的密码导出服务器使用,安装密码导出服务器,先执行WIN2003安装光盘的"\I386\ADMT\PWDMIG"文件夹中的"PWDMIG.EXE".
安装
下一步
指定**文件的存放的路径
点下一步
现在开始安装
选否,暂时不要重新开机.
打开注册表
依次打开我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,选取AllowPasswordExport,右击并执行"修改"命令
数值数据为1.
完成上面步骤后,暂时不重新开机,进行第一次迁移工作时,还需要设置来源域的DC,届时再重新开机以免麻烦.
3使用ADMT以迁移组
假设在新域的AD组中,要求与旧的AD中完全相同的组与帐户,若重新逐一建立组与帐户,就太辛苦了,则用ADMT来迁移组和组内的所有用户帐户就很方便.目前要进行的以属于不同林的组的迁移工作,现在从来源域"meizhou.com"的域控制器迁移到目标域"shanghai.com"中.
要迁移的AD数据是"yangmign"组与成员对象.这些对象都放在组织单位"研发组"中.
可看到yangming组中的成员.
接下来在目标域的DC上执行"开始/系统管理工具/AD迁移工具"命令
先测试再正式迁移
下一步
先测试
选择来源域和目标域
点添加
点高级
可以在来源域上选择要迁移的组
点确定
下一步
点浏览
选择要存放迁移的组的目录
下一步
这里组选项.如图勾选
若来源域第一次进行了AD数据的迁移,除了需在来源域的DC上设置一个注册表项"TcpipClientSupport"之外,还需要额外建立一个本地组,其名称为域的NETBIOS名称加上"$$$"符号,在此为"XGRAD$$$".此本地组与登录口令是作为迁移SID的用途.这里来建立,点是.
点是.
点是.
重新启动来源域中准备迁移AD数据的DC.耐心等待这台来源域的DC重新启动.
这里在来源域上关机不是在这正在配置的机上.重启好后进行下面的操作
迁移之前,可以在目标域的DC上设置AD数据的迁移的细节,.
输入来源域的系管理员帐户和密码.
若来源域中的组同时存在于目标域,则迁移后会被改名为"OLD_YANGMING"
选第三个选项以通知来源域的密码导出服务器,将用户帐户的原始密码,随同迁移到目标域,并且在下面选择迁移用户帐户的密码的来源DC.
选第一个选项以便启用被迁移后的用户帐户.
点完成
现在开始进行迁移
进行中
完成
眯查看日志
没问题后开始真正迁移.
只有这一步不同,开始迁移.
迁移完后.
可以看到成功迁移,因为已有一个用户组了,所以用OLD标识
可以看到成员不变.
恢复迁移的错误
进行迁移AD数据库发生错误时,可执行"操作/撤销上次迁移向导"
完成
本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/104861,如需转载请自行联系原作者