Windows server 2003 ADMT

时间:2024-03-18 22:38:40
ADMT(Active Directory Migration Tool)是一套向导接口,集成多项多功能的迁移工具--提供将某域的AD数据库的用户帐户,组,计算机,服务帐户,信任关系等数据,迁移到另一个新域,如此一来,这些AD数据库就不必重建于新域.
1.ADMT使用前的注意事项
1)备份AD数据库,为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据.
2)迁移AD的顺序,先迁移不太重要或数据比较少的AD,万一发生问题时,损失较小
3)提升来源与目标域的域功能等级至少为WINDOWS 2000纯粹模式,为让ADMT迁移工具能够运行正常,将来源与目标域域功能等级提升为WIDOWS 2000纯粹械,如此才能够在迁移过程发生问题时,还能够通过复原上次迁移向导.
4)利用ADMT工具所提供的测试选项,先测试迁移步骤,ADMT工具提供此机制,方便管理者避免迁移时发生问题无法恢复,建议真正进行迁移工作时,先进行测试.
5)要留意迁移项目的相依性.例如若要迁移的某此帐户,属于某个具有特定权限的全局组的成员,因此在迁移这些帐户数据之前,应先迁移所属的全局组,才能够使帐户迁移后,保持旧有的权限.
2.ADMT使用前的环境设置
下面以来源域"meizhou.com"的AD数据,迁移到目标域"shanghai.com"除了安装ADMT之外,仍需进行如下的环境设置.
1)建立来源与目标域间的信任关系
2)设置审核策略
3)在目标域的Pre--Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUS LOGON"等两个系统组
4)安装ADMT于目标域的DC上
5)安装密码导出服务器于来源域的DC之上.
 
建立来源与目标域间的信任关系
设置审核策略
在来源和目标域的每一台DC上,设置审核策略,先在目标域的DC上进行,执行"开始/系统管理工具/AD用户和计算机"命令
Windows server 2003 ADMT
点属性
Windows server 2003 ADMT
点编辑
Windows server 2003 ADMT
点属性
Windows server 2003 ADMT
都勾上.
则无论迁移成功或失败,让系统的事件查看器产生相对应的信息.
完成之后,在来源域的DC上重复上面的操作流程.在默认状态下等待5分钟,让该DC将此审核策略的新设置,能够自动更新到域的其它的DC.
 
将来源/目标域的Domain Admins 组分别加入对方的Administrators组中
进行AD迁移之前,来源域的系统管理员(Domain Administrator)一定要具有备目标域的DC的本机系统管理员的权限.同时目标域的域系统管理员一定要具有备来源域的DC本机系统管理员的权限才行.下面先在目标域的DC上进行
Windows server 2003 ADMT
点属性
Windows server 2003 ADMT
点添加
Windows server 2003 ADMT
点位置
Windows server 2003 ADMT
选中来源域
Windows server 2003 ADMT
然后点高级
Windows server 2003 ADMT
点立即查找,选中如图
Windows server 2003 ADMT
点确定
Windows server 2003 ADMT
可以看到已在列表之中了.
接着在来源域的DC上同样操作.
Windows server 2003 ADMT
可以看到目标域的DOMAIN ADMINS也在来源域中了.
 
在目标域的Pre-Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUSLOGON"两个系统组.
Windows server 2003 ADMT
点属性
Windows server 2003 ADMT
看到两个都加入了.
 
安装ADMT于目标域的DC上
执行WIND2003安装光盘"\I386\ADMT"文件夹中的"Admigration.msi"
Windows server 2003 ADMT
点安装
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
点接受
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
现在开始安装了.
Windows server 2003 ADMT
点完成
 
安装密码导出服务器
凡是关系到用户帐户的迁移工作,一定会牵涉到帐户的迁移问题,为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必须先在已安装ADMT迁移工具的目标域的DC上,制作一把保护用户密码的**.
在目标域的DC的ADMT安装文件中,执行"admt key来源域名称保存**的路径"命令.图中"admt key meizhou.com .",其中指令最后的"."代表目前的工作路径,也就是ADMT安装文件夹.
Windows server 2003 ADMT
其中"X642SVXB.pes"即为**文件.完成制作后,将**从目标域的DC中取出,并存放到来源域的DC上,以供即将安装的密码导出服务器使用,安装密码导出服务器,先执行WIN2003安装光盘的"\I386\ADMT\PWDMIG"文件夹中的"PWDMIG.EXE".
Windows server 2003 ADMT
安装
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
指定**文件的存放的路径
Windows server 2003 ADMT
点下一步
Windows server 2003 ADMT
现在开始安装
Windows server 2003 ADMT
选否,暂时不要重新开机.
Windows server 2003 ADMT
打开注册表
Windows server 2003 ADMT
依次打开我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,选取AllowPasswordExport,右击并执行"修改"命令
Windows server 2003 ADMT
数值数据为1.
完成上面步骤后,暂时不重新开机,进行第一次迁移工作时,还需要设置来源域的DC,届时再重新开机以免麻烦.
 
3使用ADMT以迁移组
假设在新域的AD组中,要求与旧的AD中完全相同的组与帐户,若重新逐一建立组与帐户,就太辛苦了,则用ADMT来迁移组和组内的所有用户帐户就很方便.目前要进行的以属于不同林的组的迁移工作,现在从来源域"meizhou.com"的域控制器迁移到目标域"shanghai.com"中.
Windows server 2003 ADMT
要迁移的AD数据是"yangmign"组与成员对象.这些对象都放在组织单位"研发组"中.
Windows server 2003 ADMT
可看到yangming组中的成员.
接下来在目标域的DC上执行"开始/系统管理工具/AD迁移工具"命令
Windows server 2003 ADMT
先测试再正式迁移
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
先测试
 
Windows server 2003 ADMT
选择来源域和目标域
Windows server 2003 ADMT
点添加
Windows server 2003 ADMT
点高级
Windows server 2003 ADMT
可以在来源域上选择要迁移的组
Windows server 2003 ADMT
点确定
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
点浏览
Windows server 2003 ADMT
选择要存放迁移的组的目录
Windows server 2003 ADMT
下一步
Windows server 2003 ADMT
这里组选项.如图勾选
Windows server 2003 ADMT
若来源域第一次进行了AD数据的迁移,除了需在来源域的DC上设置一个注册表项"TcpipClientSupport"之外,还需要额外建立一个本地组,其名称为域的NETBIOS名称加上"$$$"符号,在此为"XGRAD$$$".此本地组与登录口令是作为迁移SID的用途.这里来建立,点是.
Windows server 2003 ADMT
点是.
Windows server 2003 ADMT
点是.
Windows server 2003 ADMT
 
重新启动来源域中准备迁移AD数据的DC.耐心等待这台来源域的DC重新启动.
Windows server 2003 ADMT
这里在来源域上关机不是在这正在配置的机上.重启好后进行下面的操作
Windows server 2003 ADMT
迁移之前,可以在目标域的DC上设置AD数据的迁移的细节,.
Windows server 2003 ADMT
输入来源域的系管理员帐户和密码.
Windows server 2003 ADMT若来源域中的组同时存在于目标域,则迁移后会被改名为"OLD_YANGMING"
 
Windows server 2003 ADMT
选第三个选项以通知来源域的密码导出服务器,将用户帐户的原始密码,随同迁移到目标域,并且在下面选择迁移用户帐户的密码的来源DC.
Windows server 2003 ADMT
选第一个选项以便启用被迁移后的用户帐户.
Windows server 2003 ADMT
点完成
Windows server 2003 ADMT
现在开始进行迁移
Windows server 2003 ADMT
进行中
Windows server 2003 ADMT
完成
眯查看日志
Windows server 2003 ADMT
没问题后开始真正迁移.
Windows server 2003 ADMT
只有这一步不同,开始迁移.
迁移完后.
Windows server 2003 ADMT
可以看到成功迁移,因为已有一个用户组了,所以用OLD标识
Windows server 2003 ADMT
可以看到成员不变.
 
恢复迁移的错误
Windows server 2003 ADMT
进行迁移AD数据库发生错误时,可执行"操作/撤销上次迁移向导"
完成
 


     本文转自yangming1052 51CTO博客,原文链接:http://blog.51cto.com/ming228/104861,如需转载请自行联系原作者