(2007-11-10 23:00:52)
标簽:
ADMT(Active Directory Migration Tool)是一套向導接口,內建多種功能的遷移工具。它提供将某域的AD資料庫的使用者帳戶、組、計算機、服務帳戶、信任關系等資料,遷移到另一個新域。但這個工具比較複雜,若要成功使用這套工具,會牽涉到許多細節,現在我們詳細地講一下這個工具的使用要求與方法。
一、ADMT使用前的注意事項
AD遷移是将舊域的某部分AD資料,遷移到目标域(新域)的AD資料庫中。些操作有相當高的危險性,使用ADMT工具之閃,請務必了解以上注意事項:
1、備份AD資料庫:為防ADMT遷移工具發生意外狀況,無法恢複被遷移的AD資料,請使用ADMT之前,對現有AD做好備份;
2、遷移AD的順序:先遷移不太重要的資料,萬一發生問題時,損失較少。
3、提升域模式為Window 2000/3純模式:為了讓ADMT遷移工具能夠運作正常,最好将原域與目标域的域模式都轉到Windows 2000/3的純模式。
4、利用ADMT工具所提供的測試選項,預先測試遷移步驟;
5、要留意遷移項目的想依性:先遷移組,再遷移使用者
二、ADMT使用前的環境設定
如果要将來源域Deng.com的AD資料,遷移到目标域Tech.com,除了要安裝ADMT工具之外,還需進行如下的環境設定:
1、建立來源域與目标域之間的信任關系
2、設定稽核政策
分别在來源域與目标域中,使用“組政策管理工具GPMT”打開“Default Domain Controllers Policy”.找到“Windows設定\安裝設定\本地政策\稽核政策\稽核帳戶管理”,對這個政策啟用“成功與失敗”的稽核。這樣無論遷移成功與失敗,在事件檢視器中,會産生相應的記錄。
3、在源域與目标域中設定權限
在進行AD遷移之前,來源域的域系統管理者(Domain Admins)一定要具有目标域的DC的本機系統管理者(Local administrators)權限;同樣,目标域的域系統管理者(Domain Admins)一定要具有來源域的DC的本機系統管理者(Local administrators)權限。
在目标域的Pre-Windows 2000 Compatible Access 組中,加入“Everyone”與“Anonymous Logon“等兩組系統。
4、在目标域上安裝ADMT工具;
将Windows 2003CD光牒中\I386\Admt、admigration.msi工具安裝到目标域的DC上。
5、安裝密碼導出伺服器(PES-Password Export Server)于來源域的DC之上.
凡是關系到使用者帳戶的遷移工作,一定會牽涉到帳戶密碼的遷移問題。為了讓使用者帳戶在遷移之後,仍然保留使用者所使用的密碼,則必需先在已安裝ADMT遷移工具的目标或的DC上,制作一把保護使用者密碼的密鑰。
在目标域的DC的ADMT安裝檔案夾中,執行:admt key指令,格式為: admt key tech.com . ;
生成一個*.pes的密鑰檔案;
将此*.pes檔案複制到來源域Deng.com的DC上;
使用Windows 2003CD光牒上“I386\admt\pwdmig\PWDMIG.EXE ”在來源域的DC上安裝密碼導出伺服器。
安裝完成後,請暫時不要重新啟動DC。打開此DC的系統資料庫。找到“\HLM\System\CurrentControlSet\Control\Lsa\” ,選擇“AllowPasswordExport”,将其值設為1。
重新啟動此DC。
三、使用ADMT工具進行遷移測試
在使用ADMT工具遷移AD資料時,一定要先測試再遷移。
四、遷移AD資料前的設定
在來源域第一次遷移AD資料時,還需要做以下工作:
在來源域的DC上注冊一個“TcpipClientSupport”
在來源域的DC上建立一個本地組,其名稱為域的NetBIOS名稱加上$$$,即是Deng$$$,此本地組與登陸密碼是作為遷移SID使用。
五、遷移AD資料
在遷移之前,可以目标域的DC上設定AD資料的遷移細節。包括:設定不要遷移的資料屬性、設定遷移SID曆程記錄、設定組内使用者密碼的遷移方式、決定禁用或啟用組内使用者帳戶。
六、恢複遷移的錯誤
在進行遷移AD資料時,若發生錯誤,可執行“操作/撤銷上次遷移向導”指令,半按照向導接口的訓示,來源域與目标域即可民恢複遷移之前的AD資料庫環境。
本文轉自9pc9com部落格,原文連結: http://blog.51cto.com/215363/799972 如需轉載請自行聯系原作者
![Windows下配置Apache的SSL服務[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)