活动目录用户迁移-ADMT

       最近接到了一个客户的需求,就是把他们父子域进行合并,遂查看了相关的文档及博客,然后总结下迁移中遇到的问题和经验吧。

 

……………………………………………………蛋蛋的分割线……………………………………………………

 

先说说整个测试环境使用到的机器吧:

服务器名 IP地址 域名
DC01 172.168.1.200 DEMO.COM
DC02 172.168.1.201 CD.DEMO.COM
DC03 172.168.1.202 IGDEMO.COM

    为什么使用三台机器呢,因为我测试中发现父子域的迁移和跨域的迁移整个迁移选择界面都是不一样的!

    域的部署安装过程我这里就不写了。做完然后加了几个测试账号。接下来就开始部署了。

部署中会使用到的软件:admtsetup32(只有32位的,而且微软官网的中文版的程序有问题),SQLEXPR_CHS(安装ADMT的必备组件), pwdmig(密码迁移工具,跨域的时候其实才会调用这个组件)。

    首先我们找一台域内的机器部署ADMT,我这里为了方便就部署在主域控上了。

在DC01上,我们首先安装SQLEXPR_CHS

活动目录用户迁移-ADMT_第1张图片

        然后安装

活动目录用户迁移-ADMT_第2张图片

        安装完成

活动目录用户迁移-ADMT_第3张图片

        继续下一步

活动目录用户迁移-ADMT_第4张图片

        下一步

活动目录用户迁移-ADMT_第5张图片

        继续默认下一步下一步直到最后

活动目录用户迁移-ADMT_第6张图片

        安装完了,继续安装ADMT,点开后我们可以在这个链接里面下载SQL

活动目录用户迁移-ADMT_第7张图片

        这里指定SQL实例

活动目录用户迁移-ADMT_第8张图片

        由于是新部署,所以这里不导入数据

活动目录用户迁移-ADMT_第9张图片

        安装完成

活动目录用户迁移-ADMT_第10张图片

        安装完成后,我们就可以打开工具进行使用了

活动目录用户迁移-ADMT_第11张图片

        其实在父子域的迁移过程中,我们是用不到密码迁移工具的组件的,所以大家如果是父子域的密码迁移,是用不安装密码迁移工具“pwdmig”

        这里再说说pwdmig的安装吧,其实也很简单

        安装密码迁移前,首先我们要做两个域之间的信任关系

        分别在DC01和DC03的DNS中勾选允许区域传送

活动目录用户迁移-ADMT_第12张图片

活动目录用户迁移-ADMT_第13张图片

        然后新建辅助区域在两边DNS中都新建对方的辅助区域

活动目录用户迁移-ADMT_第14张图片

        再到两台域控中的AD域和信任关系中添加信任

活动目录用户迁移-ADMT_第15张图片

        最后就是把Domain Admins添加到对方的域控的Administrators组里面

活动目录用户迁移-ADMT_第16张图片

        至此域控的信任就简单说了下,然后就是导出加密文件了,在安装了ADMT的机器,也就是DC01上运行命令

        Admt key /option:create /sourcedomain:igdemo.com /keyfile:c:\pas.pes /keypassword:123

活动目录用户迁移-ADMT_第17张图片

        拷贝到处的文件到DC03中,然后进行密码迁移工具的安装

活动目录用户迁移-ADMT_第18张图片

        输入密码

活动目录用户迁移-ADMT_第19张图片

        安装完成

活动目录用户迁移-ADMT_第20张图片

        安装完成后要求重启,重启前我们先修改服务中的密码导出服务器服务启动为自动

活动目录用户迁移-ADMT_第21张图片

活动目录用户迁移-ADMT_第22张图片

        到这里,我们需要安装的就安装完成了。接下来介绍下迁移。

        其实用ADMT迁移过程中,最关心的无非就是用户的密码和SID,父子域的情况下密码自然不会变,跨域的情况下由于密码迁移工具的存在,密码也不会变。

        SID,每个用户唯一且标识符,在迁移的时候会提示迁移SID,经测试发现,在迁移后其实SID已经变了,但是会多出一项SIDhistory,这个SID是原来账户的SID,通过这样的方式继承了原有的SID,从而保留原来用户的所有权限及信息。

        我们先来看看父子域的用户迁移吧:

        首先迁移前我们记录被迁移用户的SID

活动目录用户迁移-ADMT_第23张图片

        打开ADMT进行迁移

活动目录用户迁移-ADMT_第24张图片

活动目录用户迁移-ADMT_第25张图片

活动目录用户迁移-ADMT_第26张图片

活动目录用户迁移-ADMT_第27张图片

        单击完成进行迁移

活动目录用户迁移-ADMT_第28张图片

        可以看到迁移完成

活动目录用户迁移-ADMT_第29张图片

        迁移后,我们查看下user01的SID,其实已经发生变化了

活动目录用户迁移-ADMT_第30张图片

        然后在下面一点儿,我们可以看见有一个SIDhistory,这个SID就是原有账号的SID

活动目录用户迁移-ADMT_第31张图片

        接下来看看跨域的迁移吧,相比父子域的迁移,跨域的情况下,界面中选择的内容会更多,这也是很多博客都写过的情况,刚开始的时候我一直纳闷我父子域迁移没那么选项,结果测试了后才知道父子域和两个不同域之间迁移是不一样的

活动目录用户迁移-ADMT_第32张图片

        这时候,密码迁移工具就被调用体现出来了

活动目录用户迁移-ADMT_第33张图片

        这里按需求选吧

活动目录用户迁移-ADMT_第34张图片

        选择需要的继续下一步

活动目录用户迁移-ADMT_第35张图片

        不排除,进行迁移

活动目录用户迁移-ADMT_第36张图片

        迁移完成

活动目录用户迁移-ADMT_第37张图片

        迁移完成后,用户同样有SIDhistory值

        最后,想使用原有的密码登录的话,记得取消下次登录必须更改密码选项

活动目录用户迁移-ADMT_第38张图片


最后,ADMT3.2工具系统只支持到windows server2008R2,2012可装不上的诶……

https://technet.microsoft.com/zh-cn/library/active-directory-migration-tool-versions-and-supported-environments


链接是ADMT和pwdimg,我无耻的收了一个下载豆哟

http://down.51cto.com/data/2205961




你可能感兴趣的:(ADMT,域用户迁移)