使用ADMT v3.0 域迁移
ADMT Ver3
优于
Ver2
,用
Ver3
可避免一些操作错误。
**
建议安装
Windows Resource Kit Tools
,其中的
acctinfo.dll
对验证账户
SID_histroy
很有帮助。
**** 具体用法:
**** 具体用法:
安装
Rktools
后,在其目录下的
acctinfo.all
复制到
”%windir%\system32\”
下
开始〉运行(
Alt+R
)输入:
regsvr32 %windir%\system32\acctinfo.dll”
卸载:
”regsvr32 /u ……”
** 视情况可选安装 ADAM ,具体工具使用方法可登陆微软 Technet 或工具自带帮助文件。
** 我用的 Virtual PC2007 搭建的虚拟环境
** 视情况可选安装 ADAM ,具体工具使用方法可登陆微软 Technet 或工具自带帮助文件。
** 我用的 Virtual PC2007 搭建的虚拟环境
**
本步骤是以吕老师实验说明为基础,并结合
ADMT v3.0
帮助文档写成,所有步骤本人已经验证通过。
环境
环境
三台
Windows server 2003 SP2 Ent
域服务器,两台
Windows XP perfessional SP2
客户端,在一个网络
192.168.100.0/24
中。
目的:把一个域中的用户和组迁移到另一台域中,保证登录密码不能变,访问权限不能变。
下面开始这个试验的细节步骤。请仔细阅读。
1.
三个域,分别是 xnycool.com 、 new.com 和 old.com 。(我这里做 xnycool.com 的 DC 是为了做网关,其实网关指向自己也应可以,但其他实验也要用,就做了;为了方便记忆,把源域配置成 old.com ,目标域配置成 new.com ,,希望大家能看懂 J )。
域控制器分别是: dc.xnycool.com>Gateway domain controller;olnewdc.old.com>source domain controller. 和 newdc.new.com>destination domain controller.
目的:把一个域中的用户和组迁移到另一台域中,保证登录密码不能变,访问权限不能变。
下面开始这个试验的细节步骤。请仔细阅读。
1.
三个域,分别是 xnycool.com 、 new.com 和 old.com 。(我这里做 xnycool.com 的 DC 是为了做网关,其实网关指向自己也应可以,但其他实验也要用,就做了;为了方便记忆,把源域配置成 old.com ,目标域配置成 new.com ,,希望大家能看懂 J )。
域控制器分别是: dc.xnycool.com>Gateway domain controller;olnewdc.old.com>source domain controller. 和 newdc.new.com>destination domain controller.
在很多情况下,都是从
windows2000 server
迁移到
windows server 2003
,不过这两种环境下的操作没有太多的不同。
两台客户机,都安装 xp sp2 cn. 以后我们将配置成 oldxp.old.com 和 newxp.new.com 。
具体配置如列表 1 :
两台客户机,都安装 xp sp2 cn. 以后我们将配置成 oldxp.old.com 和 newxp.new.com 。
具体配置如列表 1 :
|
VPC |
dc.xnycool.com
(win svr 2003)
|
olddc.old.com (win svr 2003) |
newdc.new.com (win svr 2003) |
oldxp.old.com ( xp) |
newxp.new.com (xp ) |
|
IP |
192.168.100.1/24
|
192.168.100.10/24 |
192.168.100.100/24 |
192.168.100.11/24 |
192.168.10.110/24 |
|
Admin password
|
P@ssw0rd
|
P@ssw0rd
|
P@ssw0rd
|
Null
|
Null
|
|
DNS
|
127.0.0.1
|
127.0.0.1 |
127.0.0.1 |
192.168.100.10 |
192.168.100.100 |
|
备用
DNS
|
Null
|
192.168.100.100
|
192.168.100.10
|
这是第
4
步的设置
|
|
因为我用的重新封装,所以密码设成一样了,注意
DC
的密码复杂度的要求。
PC
没有设置密码。
安装 AD 的时候,连同 DNS 一起安装 (AD,WINS,DNS,DHCP)
2.
在系统安装基本完成后添加一些 OU,user, group 。
列表 2 :
安装 AD 的时候,连同 DNS 一起安装 (AD,WINS,DNS,DHCP)
2.
在系统安装基本完成后添加一些 OU,user, group 。
列表 2 :
|
|
olddc.old.com |
newdc.new.com |
|
OU |
oldou |
newou |
|
User password |
olduser0, olduser1,olduser2,olduser3 Olduser!! |
newuser1 Newuser!! |
|
Security group |
oldgroupp |
|
把
olduser1,olduser2
和
olduser3
添加到
oldgroup
中
3.
把两台 PC 分别加入域,并且用各自域的 administrator 登入。
在 olddc.old.com 中新建文件夹 oldgroup 并在其中新建 oldgroup.txt ,赋予 oldgroup 组 Full Control,
再新建文件夹 onlyuser3 ,并在其中新建 olduser3.txt ,赋予 olduser1,olduser2 Readonly 和 olduser3 Full Control 。
把两台 PC 分别加入域,并且用各自域的 administrator 登入。
在 olddc.old.com 中新建文件夹 oldgroup 并在其中新建 oldgroup.txt ,赋予 oldgroup 组 Full Control,
再新建文件夹 onlyuser3 ,并在其中新建 olduser3.txt ,赋予 olduser1,olduser2 Readonly 和 olduser3 Full Control 。
用
olduser*
分别登录
oldxp
,在
oldgroup.txt
和
olduser3.txt
中写入
:
“
olduser*
在迁移前修改”
.(
只读的当然不能改了
)
,保存
.
这里
olduser0
是验证权限用,其余四个用户(
olduser1,olduser2,olduser3
和
newuser1
)用于验证
SID History
。
4.
配置 olddc 和 newdc 的 dns ,设置条件转发,如表 1 。这一步在接下来的信任域中是很有用的。
5.
在两台 DC 中插入 windows server2003 系统盘,安装 SUPPORT\TOOLS\ SUPTOOLS.MSI ,这其中有接下来需要的程序命令 netdom 。这个命令用于配置域信任属性。在 newdc.new.com 中安装 Active Directory Migration Tool v3.0 ,并且默认安装 MSSQL server Desktop Engine 。(一般 DC 上不会安装 SQL ,如果安装了就使用已有 SQL 吧),建议在 olddc 上也安装,因为要用到密码迁移服务,安装完后重启电脑。
好了,所有的准备工作都已经做完了,接下来就开始作迁移了。以上的准备工作都是相当重要。一定要仔细看步骤,认真对照。
6.
提升两台 DC 的域功能,在 AD 域和信任关系 中右击域控制器,选择提升域功能级别 ... 可以提升到 windows2003, 但提升到这个级别是不可逆的。
7.
在 new.com 中添加 old.com 的信任关系。在 AD 域和信任关系 中,展开 ADST(AD 域和信任关系 ) 右击 new.com, 选择属性。在信任列表中点击新建信任 > 下一步 >
输入 old.com, 下一步 > 双向 , 下一步 > 只是这个域 > 全域性认证 > 下一步
输入与管理员密码: P@ssw0rd , 下一步 > 下一步 >
从提示信息可以看到 trust 建立完成 , 下一步 >
这里询问方向,这里我们要使用双向信任直到最后完成。
最后会弹出一个消息对话框说当启用外部信任后 SID 过滤就启用了。在后面的用户迁移中我们要关闭这个功能。
其命令行是: netdom trust TrustingDomainName/d:TrustedDomainName /quarantine:No/uo:domainadministratorAcct /po:domainadminpwd ( ADMT 帮助文件中有)
完成以上的步骤可以用一条命令 , 在 newdc.new.com 中, cmd 输入:
netdom trust old.com /uo:administrator /po:P@ssw0rd /d:dist /ud:administrator /pd:P@ssw0rd /add /twoway /enablesidhistory
8.
在做用户迁移中需要对方的 administrator 权限,所以要把这两个域的 administrator 用户或者 domain admins 组加入到对方的 administrators 组中,建议选择加入 domain admins 组, administrator 也是这个组中的成员。
9.
在迁移密码的时候需要生成一个数据库, .pes 文件,用于存放密码。在 newdc.new.com 的 cmd 中输入命令:
admt key /option:create /sourcedomain:old.com /keyfile:c:\keyfile /keypassword:password( 这个密码可有可无 )
完成后,在 C 盘中就会生成 keyfile.pes 这个文件,然后把这个文件复制到 olddc.old.com 的 C:\ 下,可以用共享的方法。在这里我对数据库文件创建了个密码。这个密码可有可无。
10.
现在就要开始在 olddc.old.com 中安装 PES ( Password Export Server )服务了,这个服务用于域间资源迁移,在整个迁移过程中其核心作用。现在来安装 PES(pwdmig.msi) 。这个安装文件在 newdc.new.com 中,路径是: C:\WINDOWS\ADMT\PES\ 。安装 ADMT 后才有。
在说明一点这个程序在系统光盘中也有,路径在 \I386\ADMT\PWDMIG 。这个是 2.0 版本的,测试下来和 3.0 不兼容。
开始安装 PES ,
直至安装完成提示重新启动。
如果你没有在 9 中设置密码,密码提示框是不会出现的。建议选择 : new\administrator 登陆,这样在 newdc 迁移过程中能直接读取 olddc 中数据库里的信息。
重启后, PES 默认是不自动启动的,这需要手动让它运行。
打开 services.msc ,右击 Password Export Server Service, 然后点 Start 。现在 PES 才开始运行。注意,迁移完所有的资源后,关闭他,其实重启下 olddc 就可以了。
11.
接下来回到 newdc 开始做迁移了。我先迁移哦 oldgroup ,先迁移组或成员,对结构关系才不会改变。打开 AD 迁移工具。右击 Active Directory 迁移工具 ,点组账户迁移向导。
下一步 > 源和目的不能选错 > 下一步 > 从域中选择组 > 添加 > 输入 oldgroup> 确定 >
选择 newou>
这里要勾选迁移 SIDs 到 目标域 ,这是我们的目的。
next 下去后会弹出三个 tip ,一一确定,分别是询问开启源域的审核,目标域的审核,和在源域 DC 中创建 SOUR$$$ 组。接下来就是输入 old.com 的管理员用户名和密码,下一步在 Object Property Exclude 中询问是否需要排除某些属性,默认不排除任何属性 , 下一步
随后的 冲突管理中询问当出现冲突的时候采取的策略,一般来说当迁移到一个新安装的 dc 中,是不会出现冲突的。这里按照默认的选择,下一步
到此就完成了向导 , finish. 结束后,系统提示迁移完成,可以查看相应的 log ,并可以在 newou 中查看结果
oldgroup 已经迁移过来了。迁移过来了是否就能同以前一样使用呢?我们要测试才知道。
12 .
在此之前我们在 olddc.old.com 中用建立了两个共享文件夹,其权限参考 3 。在 oldgroup 组中的用户对 oldgroup 共享文件夹有完全权限。现在我们把 newuser1 加入到 oldgroup 中,看看 newuser1 是否能修改 oldgroup.txt 。通过网络邻居访问 oldgroup ,发现没有足够的权限。其原因是,当建立域间外部信任的时候, SID 筛选会自动启用,只有关闭 SID 筛选功能才能访问。
4.
配置 olddc 和 newdc 的 dns ,设置条件转发,如表 1 。这一步在接下来的信任域中是很有用的。
5.
在两台 DC 中插入 windows server2003 系统盘,安装 SUPPORT\TOOLS\ SUPTOOLS.MSI ,这其中有接下来需要的程序命令 netdom 。这个命令用于配置域信任属性。在 newdc.new.com 中安装 Active Directory Migration Tool v3.0 ,并且默认安装 MSSQL server Desktop Engine 。(一般 DC 上不会安装 SQL ,如果安装了就使用已有 SQL 吧),建议在 olddc 上也安装,因为要用到密码迁移服务,安装完后重启电脑。
好了,所有的准备工作都已经做完了,接下来就开始作迁移了。以上的准备工作都是相当重要。一定要仔细看步骤,认真对照。
6.
提升两台 DC 的域功能,在 AD 域和信任关系 中右击域控制器,选择提升域功能级别 ... 可以提升到 windows2003, 但提升到这个级别是不可逆的。
7.
在 new.com 中添加 old.com 的信任关系。在 AD 域和信任关系 中,展开 ADST(AD 域和信任关系 ) 右击 new.com, 选择属性。在信任列表中点击新建信任 > 下一步 >
输入 old.com, 下一步 > 双向 , 下一步 > 只是这个域 > 全域性认证 > 下一步
输入与管理员密码: P@ssw0rd , 下一步 > 下一步 >
从提示信息可以看到 trust 建立完成 , 下一步 >
这里询问方向,这里我们要使用双向信任直到最后完成。
最后会弹出一个消息对话框说当启用外部信任后 SID 过滤就启用了。在后面的用户迁移中我们要关闭这个功能。
其命令行是: netdom trust TrustingDomainName/d:TrustedDomainName /quarantine:No/uo:domainadministratorAcct /po:domainadminpwd ( ADMT 帮助文件中有)
完成以上的步骤可以用一条命令 , 在 newdc.new.com 中, cmd 输入:
netdom trust old.com /uo:administrator /po:P@ssw0rd /d:dist /ud:administrator /pd:P@ssw0rd /add /twoway /enablesidhistory
8.
在做用户迁移中需要对方的 administrator 权限,所以要把这两个域的 administrator 用户或者 domain admins 组加入到对方的 administrators 组中,建议选择加入 domain admins 组, administrator 也是这个组中的成员。
9.
在迁移密码的时候需要生成一个数据库, .pes 文件,用于存放密码。在 newdc.new.com 的 cmd 中输入命令:
admt key /option:create /sourcedomain:old.com /keyfile:c:\keyfile /keypassword:password( 这个密码可有可无 )
完成后,在 C 盘中就会生成 keyfile.pes 这个文件,然后把这个文件复制到 olddc.old.com 的 C:\ 下,可以用共享的方法。在这里我对数据库文件创建了个密码。这个密码可有可无。
10.
现在就要开始在 olddc.old.com 中安装 PES ( Password Export Server )服务了,这个服务用于域间资源迁移,在整个迁移过程中其核心作用。现在来安装 PES(pwdmig.msi) 。这个安装文件在 newdc.new.com 中,路径是: C:\WINDOWS\ADMT\PES\ 。安装 ADMT 后才有。
在说明一点这个程序在系统光盘中也有,路径在 \I386\ADMT\PWDMIG 。这个是 2.0 版本的,测试下来和 3.0 不兼容。
开始安装 PES ,
直至安装完成提示重新启动。
如果你没有在 9 中设置密码,密码提示框是不会出现的。建议选择 : new\administrator 登陆,这样在 newdc 迁移过程中能直接读取 olddc 中数据库里的信息。
重启后, PES 默认是不自动启动的,这需要手动让它运行。
打开 services.msc ,右击 Password Export Server Service, 然后点 Start 。现在 PES 才开始运行。注意,迁移完所有的资源后,关闭他,其实重启下 olddc 就可以了。
11.
接下来回到 newdc 开始做迁移了。我先迁移哦 oldgroup ,先迁移组或成员,对结构关系才不会改变。打开 AD 迁移工具。右击 Active Directory 迁移工具 ,点组账户迁移向导。
下一步 > 源和目的不能选错 > 下一步 > 从域中选择组 > 添加 > 输入 oldgroup> 确定 >
选择 newou>
这里要勾选迁移 SIDs 到 目标域 ,这是我们的目的。
next 下去后会弹出三个 tip ,一一确定,分别是询问开启源域的审核,目标域的审核,和在源域 DC 中创建 SOUR$$$ 组。接下来就是输入 old.com 的管理员用户名和密码,下一步在 Object Property Exclude 中询问是否需要排除某些属性,默认不排除任何属性 , 下一步
随后的 冲突管理中询问当出现冲突的时候采取的策略,一般来说当迁移到一个新安装的 dc 中,是不会出现冲突的。这里按照默认的选择,下一步
到此就完成了向导 , finish. 结束后,系统提示迁移完成,可以查看相应的 log ,并可以在 newou 中查看结果
oldgroup 已经迁移过来了。迁移过来了是否就能同以前一样使用呢?我们要测试才知道。
12 .
在此之前我们在 olddc.old.com 中用建立了两个共享文件夹,其权限参考 3 。在 oldgroup 组中的用户对 oldgroup 共享文件夹有完全权限。现在我们把 newuser1 加入到 oldgroup 中,看看 newuser1 是否能修改 oldgroup.txt 。通过网络邻居访问 oldgroup ,发现没有足够的权限。其原因是,当建立域间外部信任的时候, SID 筛选会自动启用,只有关闭 SID 筛选功能才能访问。
在
newdc.new.com
中输入:
Netdomtrust old.com /domain:new.com /quarantine:no /usero:administrator /passwordo:P@ssw0rd
好了现在再看看,能不能访问了
组
oldgroup
的
SIDHistory
验证结束。
13 .
现在来迁移用户同样右击,点用户账户迁移向导 . 前面设置和组迁移操作无异,
当操作到这里,注意选择,选择迁移密码。如果选择生成复杂密码 , 会把新的密码写入一个文件中。以后登录就是用生成的新密码,而不是原来的密码。就违背了我们当初的要求。下一步
如果出现与 PES 连接不上,说明 Password Export ServerService 没有手动开启或正常安装。参考 10
确认选中迁移用户 SIDs 到目标域 。
接下来根据自己的情况选择吧。
迁移后,用 olduser1 登录到 newxp ,访问共享文件。
能完全控制了。查看共享文件夹的属性发现,用户也更改了。
说明用户彻底迁移过去了。
在 olduser 登录 new 域时,注意到用户登录后需要更改密码了。这是迁移策略所致 , 迁移日志中记录已禁用“密码永不过期”。查看下账户选项 .
如果不希望下次登录需要修改密码,修改其属性。
14 .
迁移计算机。这个功能不好用也不常用。当需要迁移计算机的时候,只需要重新在加入目标域就可以了。如果是 olddc, 迁移后重新安装系统并加入域即可。然后把修改 client 的 DNS 指向到 newdc 就可以,即 192.168.10.5 。
15 .
所有的这些都完成了,就把信任域关系给删除。
好了,现在彻底完成这项试验了。
13 .
现在来迁移用户同样右击,点用户账户迁移向导 . 前面设置和组迁移操作无异,
当操作到这里,注意选择,选择迁移密码。如果选择生成复杂密码 , 会把新的密码写入一个文件中。以后登录就是用生成的新密码,而不是原来的密码。就违背了我们当初的要求。下一步
如果出现与 PES 连接不上,说明 Password Export ServerService 没有手动开启或正常安装。参考 10
确认选中迁移用户 SIDs 到目标域 。
接下来根据自己的情况选择吧。
迁移后,用 olduser1 登录到 newxp ,访问共享文件。
能完全控制了。查看共享文件夹的属性发现,用户也更改了。
说明用户彻底迁移过去了。
在 olduser 登录 new 域时,注意到用户登录后需要更改密码了。这是迁移策略所致 , 迁移日志中记录已禁用“密码永不过期”。查看下账户选项 .
如果不希望下次登录需要修改密码,修改其属性。
14 .
迁移计算机。这个功能不好用也不常用。当需要迁移计算机的时候,只需要重新在加入目标域就可以了。如果是 olddc, 迁移后重新安装系统并加入域即可。然后把修改 client 的 DNS 指向到 newdc 就可以,即 192.168.10.5 。
15 .
所有的这些都完成了,就把信任域关系给删除。
好了,现在彻底完成这项试验了。
16.
关于组策略的所有设置,迁移后将不会变,用户配置文件在计算机迁移后仍可用。
比如:
olduser1
在迁移前在
oldxp
上自动生成
olduser1
文档,用户和计算机都迁移后,登陆会慢些,自动生成
olduser1.NEW
文档,
olduser1
用户只能打开这两个文档,我想这就是解决
SID
历史过渡问题。