ADMT(Active Directory Migration Tool)是一套向导接口,集成多项多功能的迁移工具--提供将某域的AD数据库的用户帐户,组,计算机,服务帐户,信任关系等数据,迁移到另一个新域,如此一来,这些AD数据库就不必重建于新域.
1.ADMT使用前的注意事项
1)备份AD数据库,为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据.
2)迁移AD的顺序,先迁移不太重要或数据比较少的AD,万一发生问题时,损失较小
3)提升来源与目标域的域功能等级至少为WINDOWS 2000纯粹模式,为让ADMT迁移工具能够运行正常,将来源与目标域域功能等级提升为WIDOWS 2000纯粹械,如此才能够在迁移过程发生问题时,还能够通过复原上次迁移向导.
4)利用ADMT工具所提供的测试选项,先测试迁移步骤,ADMT工具提供此机制,方便管理者避免迁移时发生问题无法恢复,建议真正进行迁移工作时,先进行测试.
5)要留意迁移项目的相依性.例如若要迁移的某此帐户,属于某个具有特定权限的全局组的成员,因此在迁移这些帐户数据之前,应先迁移所属的全局组,才能够使帐户迁移后,保持旧有的权限.
2.ADMT使用前的环境设置
下面以来源域"meizhou.com"的AD数据,迁移到目标域"shanghai.com"除了安装ADMT之外,仍需进行如下的环境设置.
1)建立来源与目标域间的信任关系
2)设置审核策略
3)在目标域的Pre--Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUS LOGON"等两个系统组
4)安装ADMT于目标域的DC上
5)安装密码导出服务器于来源域的DC之上.
 
建立来源与目标域间的信任关系
设置审核策略
在来源和目标域的每一台DC上,设置审核策略,先在目标域的DC上进行,执行"开始/系统管理工具/AD用户和计算机"命令
Windows server 2003 ADMT_第1张图片
点属性
Windows server 2003 ADMT_第2张图片
点编辑
Windows server 2003 ADMT_第3张图片
点属性
Windows server 2003 ADMT_第4张图片
都勾上.
则无论迁移成功或失败,让系统的事件查看器产生相对应的信息.
完成之后,在来源域的DC上重复上面的操作流程.在默认状态下等待5分钟,让该DC将此审核策略的新设置,能够自动更新到域的其它的DC.
 
将来源/目标域的Domain Admins 组分别加入对方的Administrators组中
进行AD迁移之前,来源域的系统管理员(Domain Administrator)一定要具有备目标域的DC的本机系统管理员的权限.同时目标域的域系统管理员一定要具有备来源域的DC本机系统管理员的权限才行.下面先在目标域的DC上进行
Windows server 2003 ADMT_第5张图片
点属性
Windows server 2003 ADMT_第6张图片
点添加
Windows server 2003 ADMT_第7张图片
点位置
Windows server 2003 ADMT_第8张图片
选中来源域
Windows server 2003 ADMT_第9张图片
然后点高级
Windows server 2003 ADMT_第10张图片
点立即查找,选中如图
Windows server 2003 ADMT_第11张图片
点确定
Windows server 2003 ADMT_第12张图片
可以看到已在列表之中了.
接着在来源域的DC上同样操作.
Windows server 2003 ADMT_第13张图片
可以看到目标域的DOMAIN ADMINS也在来源域中了.
 
在目标域的Pre-Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUSLOGON"两个系统组.
Windows server 2003 ADMT_第14张图片
点属性
Windows server 2003 ADMT_第15张图片
看到两个都加入了.
 
安装ADMT于目标域的DC上
执行WIND2003安装光盘"\I386\ADMT"文件夹中的"Admigration.msi"
Windows server 2003 ADMT_第16张图片
点安装
Windows server 2003 ADMT_第17张图片
下一步
Windows server 2003 ADMT_第18张图片
点接受
Windows server 2003 ADMT_第19张图片
下一步
Windows server 2003 ADMT_第20张图片
下一步
Windows server 2003 ADMT_第21张图片
现在开始安装了.
Windows server 2003 ADMT_第22张图片
点完成
 
安装密码导出服务器
凡是关系到用户帐户的迁移工作,一定会牵涉到帐户的迁移问题,为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必须先在已安装ADMT迁移工具的目标域的DC上,制作一把保护用户密码的密钥.
在目标域的DC的ADMT安装文件中,执行"admt key来源域名称保存密钥的路径"命令.图中"admt key meizhou.com .",其中指令最后的"."代表目前的工作路径,也就是ADMT安装文件夹.
Windows server 2003 ADMT_第23张图片
其中"X642SVXB.pes"即为密钥文件.完成制作后,将密钥从目标域的DC中取出,并存放到来源域的DC上,以供即将安装的密码导出服务器使用,安装密码导出服务器,先执行WIN2003安装光盘的"\I386\ADMT\PWDMIG"文件夹中的"PWDMIG.EXE".
Windows server 2003 ADMT_第24张图片
安装
Windows server 2003 ADMT_第25张图片
下一步
Windows server 2003 ADMT_第26张图片
指定密钥文件的存放的路径
Windows server 2003 ADMT_第27张图片
点下一步
Windows server 2003 ADMT_第28张图片
现在开始安装
Windows server 2003 ADMT_第29张图片
选否,暂时不要重新开机.
Windows server 2003 ADMT_第30张图片
打开注册表
Windows server 2003 ADMT_第31张图片
依次打开我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,选取AllowPasswordExport,右击并执行"修改"命令
Windows server 2003 ADMT_第32张图片
数值数据为1.
完成上面步骤后,暂时不重新开机,进行第一次迁移工作时,还需要设置来源域的DC,届时再重新开机以免麻烦.
 
3使用ADMT以迁移组
假设在新域的AD组中,要求与旧的AD中完全相同的组与帐户,若重新逐一建立组与帐户,就太辛苦了,则用ADMT来迁移组和组内的所有用户帐户就很方便.目前要进行的以属于不同林的组的迁移工作,现在从来源域"meizhou.com"的域控制器迁移到目标域"shanghai.com"中.
Windows server 2003 ADMT_第33张图片
要迁移的AD数据是"yangmign"组与成员对象.这些对象都放在组织单位"研发组"中.
Windows server 2003 ADMT_第34张图片
可看到yangming组中的成员.
接下来在目标域的DC上执行"开始/系统管理工具/AD迁移工具"命令
Windows server 2003 ADMT_第35张图片
先测试再正式迁移
Windows server 2003 ADMT_第36张图片
下一步
Windows server 2003 ADMT_第37张图片
先测试
 
Windows server 2003 ADMT_第38张图片
选择来源域和目标域
Windows server 2003 ADMT_第39张图片
点添加
Windows server 2003 ADMT_第40张图片
点高级
Windows server 2003 ADMT_第41张图片
可以在来源域上选择要迁移的组
Windows server 2003 ADMT_第42张图片
点确定
Windows server 2003 ADMT_第43张图片
下一步
Windows server 2003 ADMT_第44张图片
点浏览
Windows server 2003 ADMT_第45张图片
选择要存放迁移的组的目录
Windows server 2003 ADMT_第46张图片
下一步
Windows server 2003 ADMT_第47张图片
这里组选项.如图勾选
Windows server 2003 ADMT_第48张图片
若来源域第一次进行了AD数据的迁移,除了需在来源域的DC上设置一个注册表项"TcpipClientSupport"之外,还需要额外建立一个本地组,其名称为域的NETBIOS名称加上"$$$"符号,在此为"XGRAD$$$".此本地组与登录口令是作为迁移SID的用途.这里来建立,点是.
Windows server 2003 ADMT_第49张图片
点是.
Windows server 2003 ADMT_第50张图片
点是.
Windows server 2003 ADMT_第51张图片
 
重新启动来源域中准备迁移AD数据的DC.耐心等待这台来源域的DC重新启动.
Windows server 2003 ADMT_第52张图片
这里在来源域上关机不是在这正在配置的机上.重启好后进行下面的操作
Windows server 2003 ADMT_第53张图片
迁移之前,可以在目标域的DC上设置AD数据的迁移的细节,.
Windows server 2003 ADMT_第54张图片
输入来源域的系管理员帐户和密码.
Windows server 2003 ADMT_第55张图片若来源域中的组同时存在于目标域,则迁移后会被改名为"OLD_YANGMING"
 
Windows server 2003 ADMT_第56张图片
选第三个选项以通知来源域的密码导出服务器,将用户帐户的原始密码,随同迁移到目标域,并且在下面选择迁移用户帐户的密码的来源DC.
Windows server 2003 ADMT_第57张图片
选第一个选项以便启用被迁移后的用户帐户.
Windows server 2003 ADMT_第58张图片
点完成
Windows server 2003 ADMT_第59张图片
现在开始进行迁移
Windows server 2003 ADMT_第60张图片
进行中
Windows server 2003 ADMT_第61张图片
完成
眯查看日志
Windows server 2003 ADMT_第62张图片
没问题后开始真正迁移.
Windows server 2003 ADMT_第63张图片
只有这一步不同,开始迁移.
迁移完后.
Windows server 2003 ADMT_第64张图片
可以看到成功迁移,因为已有一个用户组了,所以用OLD标识
Windows server 2003 ADMT_第65张图片
可以看到成员不变.
 
恢复迁移的错误
Windows server 2003 ADMT_第66张图片
进行迁移AD数据库发生错误时,可执行"操作/撤销上次迁移向导"
完成