转载▼
ADMT(Active Directory Migration Tool)是一套向导接口,集成多种功能的迁移工具。它提供将某域的AD数据库的用户帐户、组、计算机、服务帐户、信任关系等数据,迁移到另一个新域。但这个工具比较复杂,若要成功使用这套工具,会牵涉到许多细节,现在我们详细地讲一下这个工具的使用要求与方法。
一、ADMT使用前的注意事项
AD迁移是将旧域的某部分AD数据,迁移到目标域(新域)的AD数据库中。些操作有相当高的危险性,使用ADMT工具之闪,请务必了解以上注意事项:
1、备份AD数据库:为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据,请使用ADMT之前,对现有AD做好备份;
2、迁移AD的顺序:先迁移不太重要的数据,万一发生问题时,损失较少。
3、提升域模式为Window 2000/3纯模式:为了让ADMT迁移工具能够运行正常,最好将原域与目标域的域模式都转到Windows 2000/3的纯模式。
4、利用ADMT工具所提供的测试选项,预先测试迁移步骤;
5、要留意迁移项目的想依性:先迁移组,再迁移用户
二、ADMT使用前的环境设置
如果要将来源域Deng.com的AD数据,迁移到目标域Tech.com,除了要安装ADMT工具之外,还需进行如下的环境设置:
1、建立来源域与目标域之间的信任关系
2、设置审核策略
分别在来源域与目标域中,使用“组策略管理工具GPMT”打开“Default Domain Controllers Policy”.找到“Windows设置\安装设置\本地策略\审核策略\审核帐户管理”,对这个策略启用“成功与失败”的审核。这样无论迁移成功与失败,在事件查看器中,会产生相应的记录。
3、在源域与目标域中设置权限
在进行AD迁移之前,来源域的域系统管理员(Domain Admins)一定要具有目标域的DC的本机系统管理员(Local administrators)权限;同样,目标域的域系统管理员(Domain Admins)一定要具有来源域的DC的本机系统管理员(Local administrators)权限。
在目标域的Pre-Windows 2000 Compatible Access 组中,加入“Everyone”与“Anonymous Logon“等两组系统。
4、在目标域上安装ADMT工具;
将Windows 2003光盘中\I386\Admt、admigration.msi工具安装到目标域的DC上。
5、安装密码导出服务器(PES-Password Export Server)于来源域的DC之上.
凡是关系到用户帐户的迁移工作,一定会牵涉到帐户密码的迁移问题。为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必需先在已安装ADMT迁移工具的目标或的DC上,制作一把保护用户密码的密钥。
- 在目标域的DC的ADMT安装文件夹中,执行:admt key命令,格式为: admt key tech.com . ;
- 生成一个*.pes的密钥文件;
- 将此*.pes文件复制到来源域Deng.com的DC上;
- 使用Windows 2003光盘上“I386\admt\pwdmig\PWDMIG.EXE ”在来源域的DC上安装密码导出服务器。
- 安装完成后,请暂时不要重新启动DC。打开此DC的注册表。找到“\HLM\System\CurrentControlSet\Control\Lsa\” ,选择“AllowPasswordExport”,将其值设为1。
- 重新启动此DC。
三、使用ADMT工具进行迁移测试
在使用ADMT工具迁移AD数据时,一定要先测试再迁移。
四、迁移AD数据前的设置
在来源域第一次迁移AD数据时,还需要做以下工作:
- 在来源域的DC上注册一个“TcpipClientSupport”
- 在来源域的DC上建立一个本地组,其名称为域的NetBIOS名称加上$$$,即是Deng$$$,此本地组与登陆口令是作为迁移SID使用。
五、迁移AD数据
在迁移之前,可以目标域的DC上设置AD数据的迁移细节。包括:设置不要迁移的数据属性、设置迁移SID历程记录、设置组内用户密码的迁移方式、决定禁用或启用组内用户帐户。
六、恢复迁移的错误
在进行迁移AD数据时,若发生错误,可执行“操作/撤销上次迁移向导”命令,半按照向导接口的指示,来源域与目标域即可民恢复迁移之前的AD数据库环境。
本文转自 bilinyee博客,原文链接: http://blog.51cto.com/215363/799972
如需转载请自行联系原作者
