Windows server 2003 ADMT

ADMT(Active Directory Migration Tool)是一套向导接口,集成多项多功能的迁移工具--提供将某域的AD数据库的用户帐户,组,计算机,服务帐户,信任关系等数据,迁移到另一个新域,如此一来,这些AD数据库就不必重建于新域.

1.ADMT使用前的注意事项

1)备份AD数据库,为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据.

2)迁移AD的顺序,先迁移不太重要或数据比较少的AD,万一发生问题时,损失较小

3)提升来源与目标域的域功能等级至少为WINDOWS 2000纯粹模式,为让ADMT迁移工具能够运行正常,将来源与目标域域功能等级提升为WIDOWS 2000纯粹械,如此才能够在迁移过程发生问题时,还能够通过复原上次迁移向导.

4)利用ADMT工具所提供的测试选项,先测试迁移步骤,ADMT工具提供此机制,方便管理者避免迁移时发生问题无法恢复,建议真正进行迁移工作时,先进行测试.

5)要留意迁移项目的相依性.例如若要迁移的某此帐户,属于某个具有特定权限的全局组的成员,因此在迁移这些帐户数据之前,应先迁移所属的全局组,才能够使帐户迁移后,保持旧有的权限.

2.ADMT使用前的环境设置

下面以来源域"meizhou.com"的AD数据,迁移到目标域"shanghai.com"除了安装ADMT之外,仍需进行如下的环境设置.

1)建立来源与目标域间的信任关系

2)设置审核策略

3)在目标域的Pre--Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUS LOGON"等两个系统组

4)安装ADMT于目标域的DC上

5)安装密码导出服务器于来源域的DC之上.

建立来源与目标域间的信任关系

设置审核策略

在来源和目标域的每一台DC上,设置审核策略,先在目标域的DC上进行,执行"开始/系统管理工具/AD用户和计算机"命令

点属性

点编辑

都勾上.

则无论迁移成功或失败,让系统的事件查看器产生相对应的信息.

完成之后,在来源域的DC上重复上面的操作流程.在默认状态下等待5分钟,让该DC将此审核策略的新设置,能够自动更新到域的其它的DC.

将来源/目标域的Domain Admins 组分别加入对方的Administrators组中

进行AD迁移之前,来源域的系统管理员(Domain Administrator)一定要具有备目标域的DC的本机系统管理员的权限.同时目标域的域系统管理员一定要具有备来源域的DC本机系统管理员的权限才行.下面先在目标域的DC上进行

点添加

点位置

选中来源域

然后点高级

点立即查找,选中如图

点确定

可以看到已在列表之中了.

接着在来源域的DC上同样操作.

可以看到目标域的DOMAIN ADMINS也在来源域中了.

在目标域的Pre-Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUSLOGON"两个系统组.

看到两个都加入了.

安装ADMT于目标域的DC上

执行WIND2003安装光盘"\I386\ADMT"文件夹中的"Admigration.msi"

点安装

下一步

点接受

现在开始安装了.

点完成

安装密码导出服务器

凡是关系到用户帐户的迁移工作,一定会牵涉到帐户的迁移问题,为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必须先在已安装ADMT迁移工具的目标域的DC上,制作一把保护用户密码的密钥.

在目标域的DC的ADMT安装文件中,执行"admt key来源域名称保存密钥的路径"命令.图中"admt key meizhou.com .",其中指令最后的"."代表目前的工作路径,也就是ADMT安装文件夹.

其中"X642SVXB.pes"即为密钥文件.完成制作后,将密钥从目标域的DC中取出,并存放到来源域的DC上,以供即将安装的密码导出服务器使用,安装密码导出服务器,先执行WIN2003安装光盘的"\I386\ADMT\PWDMIG"文件夹中的"PWDMIG.EXE".

安装

指定密钥文件的存放的路径

点下一步

现在开始安装

选否,暂时不要重新开机.

打开注册表

依次打开我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,选取AllowPasswordExport,右击并执行"修改"命令

数值数据为1.

完成上面步骤后,暂时不重新开机,进行第一次迁移工作时,还需要设置来源域的DC,届时再重新开机以免麻烦.

3使用ADMT以迁移组

假设在新域的AD组中,要求与旧的AD中完全相同的组与帐户,若重新逐一建立组与帐户,就太辛苦了,则用ADMT来迁移组和组内的所有用户帐户就很方便.目前要进行的以属于不同林的组的迁移工作,现在从来源域"meizhou.com"的域控制器迁移到目标域"shanghai.com"中.

要迁移的AD数据是"yangmign"组与成员对象.这些对象都放在组织单位"研发组"中.

可看到yangming组中的成员.

接下来在目标域的DC上执行"开始/系统管理工具/AD迁移工具"命令

先测试再正式迁移

先测试

选择来源域和目标域

点高级

可以在来源域上选择要迁移的组

点浏览

选择要存放迁移的组的目录

这里组选项.如图勾选

若来源域第一次进行了AD数据的迁移,除了需在来源域的DC上设置一个注册表项"TcpipClientSupport"之外,还需要额外建立一个本地组,其名称为域的NETBIOS名称加上"$$$"符号,在此为"XGRAD$$$".此本地组与登录口令是作为迁移SID的用途.这里来建立,点是.

点是.

重新启动来源域中准备迁移AD数据的DC.耐心等待这台来源域的DC重新启动.

这里在来源域上关机不是在这正在配置的机上.重启好后进行下面的操作

迁移之前,可以在目标域的DC上设置AD数据的迁移的细节,.

输入来源域的系管理员帐户和密码.

若来源域中的组同时存在于目标域,则迁移后会被改名为"OLD_YANGMING"

选第三个选项以通知来源域的密码导出服务器,将用户帐户的原始密码,随同迁移到目标域,并且在下面选择迁移用户帐户的密码的来源DC.

选第一个选项以便启用被迁移后的用户帐户.

现在开始进行迁移

进行中

完成

眯查看日志

没问题后开始真正迁移.

只有这一步不同,开始迁移.

迁移完后.

可以看到成功迁移,因为已有一个用户组了,所以用OLD标识

可以看到成员不变.

恢复迁移的错误

进行迁移AD数据库发生错误时,可执行"操作/撤销上次迁移向导"

     本文转自yangming1052 51CTO博客，原文链接：http://blog.51cto.com/ming228/104861，如需转载请自行联系原作者