鸿 网 互 联 www.68idc.cn

使用ADMT v3.0 域迁移推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:38
ADMT Ver3优于Ver2,用Ver3可避免一些操作错误。**建议安装Windows Resource Kit Tools,其中的acctinfo.dll对验证账户SID_histroy很有帮助。 ****具体用法: 安装Rktools后,在其目录下的acctinfo.all复制到”%windir%\system32\” 下 开始〉运行(Alt+R)
ADMT  Ver3优于Ver2,用Ver3可避免一些操作错误。 **建议安装Windows Resource Kit Tools,其中的acctinfo.dll对验证账户SID_histroy很有帮助。
****具体用法:   安装Rktools后,在其目录下的acctinfo.all复制到”%windir%\system32\”  下   开始〉运行(Alt+R)输入:regsvr32  %windir%\system32\acctinfo.dll”   卸载:”regsvr32 /u ……”
**视情况可选安装ADAM,具体工具使用方法可登陆微软Technet或工具自带帮助文件。
**我用的Virtual PC2007搭建的虚拟环境 **本步骤是以吕老师实验说明为基础,并结合ADMT v3.0帮助文档写成,所有步骤本人已经验证通过。

环境     三台Windows server 2003 SP2 Ent域服务器,两台Windows XP perfessional SP2客户端,在一个网络192.168.100.0/24中。
目的:把一个域中的用户和组迁移到另一台域中,保证登录密码不能变,访问权限不能变。

下面开始这个试验的细节步骤。请仔细阅读。

1.
  三个域,分别是xnycool.com、new.com和old.com。(我这里做xnycool.com的DC是为了做网关,其实网关指向自己也应可以,但其他实验也要用,就做了;为了方便记忆,把源域配置成old.com,目标域配置成new.com,,希望大家能看懂 J)。
域控制器分别是:dc.xnycool.com Gateway domain controller;olnewdc.old.com source domain controller.和newdc.new.com destination domain controller. 在很多情况下,都是从windows2000 server迁移到windows server 2003,不过这两种环境下的操作没有太多的不同。
  两台客户机,都安装xp sp2 cn.以后我们将配置成oldxp.old.com和newxp.new.com。
具体配置如列表1:              
这是第4步的设置   因为我用的重新封装,所以密码设成一样了,注意DC的密码复杂度的要求。PC没有设置密码。
  安装AD的时候,连同DNS一起安装(AD,WINS,DNS,DHCP)

2.
  在系统安装基本完成后添加一些OU,user, group。
列表2:
  把olduser1,olduser2和olduser3添加到oldgroup中 3.
  把两台PC分别加入域,并且用各自域的administrator登入。
在olddc.old.com中新建文件夹oldgroup并在其中新建oldgroup.txt,赋予oldgroup组Full Control,
  再新建文件夹onlyuser3,并在其中新建olduser3.txt,赋予olduser1,olduser2 Readonly和olduser3 Full Control。 用olduser*分别登录oldxp,在oldgroup.txt和olduser3.txt中写入: “olduser*在迁移前修改”.(只读的当然不能改了),保存. 这里olduser0是验证权限用,其余四个用户(olduser1,olduser2,olduser3和newuser1)用于验证SID History。
4.
  配置olddc和newdc的dns,设置条件转发,如表1。这一步在接下来的信任域中是很有用的。

5.
  在两台DC中插入windows server2003系统盘,安装SUPPORT\TOOLS\ SUPTOOLS.MSI,这其中有接下来需要的程序命令netdom。这个命令用于配置域信任属性。在newdc.new.com中安装Active Directory Migration Tool v3.0,并且默认安装MSSQL server Desktop Engine。(一般DC上不会安装SQL,如果安装了就使用已有SQL吧),建议在olddc上也安装,因为要用到密码迁移服务,安装完后重启电脑。

  好了,所有的准备工作都已经做完了,接下来就开始作迁移了。以上的准备工作都是相当重要。一定要仔细看步骤,认真对照。

6.
  提升两台DC的域功能,在AD域和信任关系中右击域控制器,选择提升域功能级别...可以提升到windows2003,但提升到这个级别是不可逆的。


7.
  在new.com中添加old.com的信任关系。在AD域和信任关系中,展开ADST(AD域和信任关系) 右击new.com, 选择属性。在信任列表中点击新建信任 下一步
输入old.com, 下一步 双向, 下一步 只是这个域 全域性认证 下一步
输入与管理员密码:P@ssw0rd , 下一步 下一步
从提示信息可以看到trust建立完成, 下一步
这里询问方向,这里我们要使用双向信任直到最后完成。
  最后会弹出一个消息对话框说当启用外部信任后SID过滤就启用了。在后面的用户迁移中我们要关闭这个功能。
  其命令行是:netdom trust TrustingDomainName/d:TrustedDomainName /quarantine:No/uo:domainadministratorAcct /po:domainadminpwd(ADMT帮助文件中有)

  完成以上的步骤可以用一条命令,在newdc.new.com中, cmd输入:
netdom trust old.com /uo:administrator /po:P@ssw0rd /d:dist /ud:administrator /pd:P@ssw0rd /add /twoway /enablesidhistory

8.
  在做用户迁移中需要对方的administrator权限,所以要把这两个域的administrator用户或者domain admins组加入到对方的administrators组中,建议选择加入domain admins组,administrator也是这个组中的成员。



9.
  在迁移密码的时候需要生成一个数据库,.pes文件,用于存放密码。在newdc.new.com的cmd中输入命令:
admt key /option:create /sourcedomain:old.com /keyfile:c:\keyfile /keypassword:password(这个密码可有可无)
完成后,在C盘中就会生成keyfile.pes这个文件,然后把这个文件复制到olddc.old.com的C:\下,可以用共享的方法。在这里我对数据库文件创建了个密码。这个密码可有可无。

10.
  现在就要开始在olddc.old.com中安装PES(Password Export Server)服务了,这个服务用于域间资源迁移,在整个迁移过程中其核心作用。现在来安装PES(pwdmig.msi)。这个安装文件在newdc.new.com中,路径是:C:\WINDOWS\ADMT\PES\。安装ADMT后才有。

  在说明一点这个程序在系统光盘中也有,路径在\I386\ADMT\PWDMIG。这个是2.0版本的,测试下来和3.0不兼容。

  开始安装PES,


  直至安装完成提示重新启动。
  如果你没有在9中设置密码,密码提示框是不会出现的。建议选择: new\administrator登陆,这样在newdc迁移过程中能直接读取olddc中数据库里的信息。
重启后,PES默认是不自动启动的,这需要手动让它运行。
  打开services.msc,右击Password Export Server Service, 然后点 Start。现在PES才开始运行。注意,迁移完所有的资源后,关闭他,其实重启下olddc就可以了。


11.
  接下来回到newdc开始做迁移了。我先迁移哦oldgroup,先迁移组或成员,对结构关系才不会改变。打开AD迁移工具。右击Active Directory迁移工具,点组账户迁移向导。
下一步 源和目的不能选错 下一步 从域中选择组 添加 输入 oldgroup 确定
选择newou
这里要勾选迁移 SIDs 到 目标域,这是我们的目的。

next下去后会弹出三个tip,一一确定,分别是询问开启源域的审核,目标域的审核,和在源域 DC中创建SOUR$$$组。接下来就是输入old.com的管理员用户名和密码,下一步在Object Property Exclude中询问是否需要排除某些属性,默认不排除任何属性, 下一步
随后的 冲突管理中询问当出现冲突的时候采取的策略,一般来说当迁移到一个新安装的dc中,是不会出现冲突的。这里按照默认的选择,下一步
到此就完成了向导, finish. 结束后,系统提示迁移完成,可以查看相应的log,并可以在newou中查看结果

oldgroup已经迁移过来了。迁移过来了是否就能同以前一样使用呢?我们要测试才知道。

12.
  在此之前我们在olddc.old.com中用建立了两个共享文件夹,其权限参考3。在oldgroup组中的用户对oldgroup共享文件夹有完全权限。现在我们把newuser1加入到oldgroup中,看看newuser1是否能修改oldgroup.txt。通过网络邻居访问oldgroup,发现没有足够的权限。其原因是,当建立域间外部信任的时候,SID筛选会自动启用,只有关闭SID筛选功能才能访问。 在newdc.new.com中输入:   Netdomtrust old.com /domain:new.com /quarantine:no /usero:administrator /passwordo:P@ssw0rd
好了现在再看看,能不能访问了

组oldgroup的SIDHistory验证结束。

13.
  现在来迁移用户同样右击,点用户账户迁移向导.前面设置和组迁移操作无异,

当操作到这里,注意选择,选择迁移密码。如果选择生成复杂密码,会把新的密码写入一个文件中。以后登录就是用生成的新密码,而不是原来的密码。就违背了我们当初的要求。下一步

如果出现与PES连接不上,说明Password Export ServerService没有手动开启或正常安装。参考10

确认选中迁移用户 SIDs 到目标域。
接下来根据自己的情况选择吧。

迁移后,用olduser1登录到newxp,访问共享文件。

能完全控制了。查看共享文件夹的属性发现,用户也更改了。

说明用户彻底迁移过去了。
在olduser登录new域时,注意到用户登录后需要更改密码了。这是迁移策略所致,迁移日志中记录已禁用“密码永不过期”。查看下账户选项.

如果不希望下次登录需要修改密码,修改其属性。

14.
  迁移计算机。这个功能不好用也不常用。当需要迁移计算机的时候,只需要重新在加入目标域就可以了。如果是olddc,迁移后重新安装系统并加入域即可。然后把修改client的DNS指向到newdc就可以,即192.168.10.5。

15.
  所有的这些都完成了,就把信任域关系给删除。

  好了,现在彻底完成这项试验了。   关于组策略的所有设置,迁移后将不会变,用户配置文件在计算机迁移后仍可用。   比如:olduser1在迁移前在oldxp上自动生成olduser1文档,用户和计算机都迁移后,登陆会慢些,自动生成olduser1.NEW文档,olduser1用户只能打开这两个文档,我想这就是解决SID历史过渡问题。
网友评论
<