Windows活动目录系列---活动目录版本迁移概述

在实施AD域部署的过程中,你可能因为以下的两个原因想要重新构建你的AD环境:

  1. 优化AD域的逻辑结构。在一些组织中,从AD域部署时期到现如今,整个商业模式可能发生了很明显的变化,导致目前的AD域或者林结构以及不在符合商业需求了。

  2. 配合商业的并购或拆分。

当你重新构建你的AD环境的时候,你必须将相同或者不同林中的资源迁移到新的AD域环境中。林中的域是无法将它单独分离出来,然后再链接到另一个林中的。在某些场景中你可以重命名和重新调整林中的域,但是在林中或者林之间合并域是没有办法简化处理的。通过合并域来重新构建AD域的唯一方法是将一个域中的账号和资源转移到另一个域中。

我们可以使用微软的ADMT(活动目录迁移工具)去将一个域中的用户,群组,计算机账号迁移到另一个域中。此工具还可以用于迁移服务器的资源。如果迁移的过程处理的小心仔细,那么完全不会中断用户在工作中访问他们所需的资源。ADMT提供了GUI和脚本接口,在域的迁移中它支持以下的一些任务:

  1. 用户账号迁移

  2. 群组账号迁移

  3. 计算机账号迁移

  4. 服务账号迁移

  5. 信任迁移

  6. Exchange服务器目录迁移

  7. 迁移的计算机账号的安全性转换

  8. 查看迁移结果的报告功能

  9. 不执行和重试最近的迁移

注意:ADMT3.2是不能安装在Windows 2012或者Windows 2012 R2服务器上的。用ADMT去迁移一个Windows 2012域,首先要将ADMT安装在一台Windows2008R2服务器上,将资源域的资源迁移到这台服务器上,然后同步复制到其他的Windows2012的DC上。


迁移的准备工作:

在执行迁移之前,你必须完成几个任务用于准备资源域和目标域。这些任务是:

  1. 如果有系统为Vista SP1或者Windows2008R2之前版本的域成员计算机,需要在目标域的DC上配置注册表,允许密码算法与微软的Windows NT4.0操作系统兼容。

  2. 在资源域和目标域的DC上启用防火墙规则,允许文件和打印机共享。

  3. 准备资源域和目标域,确定用户,群组和用户配置文件将如何处理

  4. 建立一个回滚计划

  5. 在需要迁移的域之间建立信任关系

  6. 在资源域和目标域中启用历史SID迁移

  7. 指定用于迁移的服务账号

  8. 做一个迁移测试,修复它所报告的错误信息


使用ADMT实现跨林的重建

    跨林重建中需要将不同林中资源域的资源移动到目标域,要使用ADMT实现一个跨林的重建需要执行以下流程:

  1. 建立一个重建计划。一个完善的计划对于实施重建是非常重要的,你可以从以下几个方面来完善你的重建计划:

    a.确定账号迁移的流程

    b.指定对象的位置和位置映射

    c.准备一个测试方案

    d.建立一个回滚计划

    e.建立一个通信计划

  2. 准备资源域和目标域。在重建过程前必须对资源域和目标域进行准备动作,需要执行的动作如下:

    a.确保在所有DC上使用128位的加密。Windows2000SP3及以上版本的系统本身已支持128位的加密,对于更早版本的操作系统,我们就需要下载并安装单独的加密补丁。

    b.建立所需的信任。你必须在资源域和目标域中建立信任关系,至少需要单向信任关系。

    c.建立一个迁移账号。ADMT使用迁移账号在资源域和目标域之间迁移对象,你需要保证这些账号在资源域和目标域中有移动和修改对象的权限。

    d.确定ADMT是否会自动处理历史SID,如果不会自动处理,那么你必须手动在资源域和目标域中配置。

    e.在目标域中的OU结构中做出合适的配置。确保你在目标域中配置了合适的管理权限和委派管理权限。

    f.在目标域中安装ADMT

    g.启用密码迁移

    h.在一个小规模的测试账号组中执行一个迁移测试

  3. 迁移账号。迁移账号需要执行以下步骤:

    a.迁移服务账号

    b.迁移全局组

    c.迁移账号。批量迁移用户和计算机账号,并监视迁移的进度。如果正在执行本地配置文件的迁移,迁移首先会影响计算机,然后才会关联到用户账号。

  4. 迁移资源。通过以下步骤执行域中剩余资源的迁移:

    a.迁移工作站和成员服务器

    b.迁移域本地群组

    c.迁移域控制器

  5. 完成迁移。完成迁移并清理需执行以下步骤:

    a.将管理流程转移到目标域

    b.确保目标域中至少有两台可用的DC,备份这些DC

    c.停用资源域


历史SID属性

    在迁移过程中,你会把用户和群组账号移动到新的域中,但是用户需要访问的资源可能还在旧域中。当你迁移了一个用户账号,AD域服务会给它指派一个新的SID,由于资源域中的资源是基于资源域颁发的SID来授权的,所以在资源被转移到新域之前,用户是无法通过新的SID去访问资源域中的资源的。

    为了解决这个问题,你可以使用ADMT从资源域中把SID迁移到新域,然后将这些SID保存在历史SID的属性中,当历史SID属性被写入时,用户就可以使用之前的SID去访问资源域中的资源了。

    历史SID会增加用户访问票据的大小。将用户迁移到新域后,你需要检查你环境中当前的访问控制列表以及迁移的访问控制列表。一旦迁移完成,初始的域也被移除后,你需要使用powershell命令去清除掉用户的历史SID属性。你在规划和执行这些动作的时候务必要小心,因为在环境未准备好之前移除历史SID会导致企业运转的中断。


ADMT的使用指引

http://technet.microsoft.com/en-us/library/cc974332(v=WS.10).aspx


你可能感兴趣的:(ad)