活动目录用户迁移-ADMT
最近接到了一个客户的需求,就是把他们父子域进行合并,遂查看了相关的文档及博客,然后总结下迁移中遇到的问题和经验吧。
……………………………………………………蛋蛋的分割线……………………………………………………
先说说整个测试环境使用到的机器吧:
| 服务器名 | IP地址 | 域名 |
| DC01 | 172.168.1.200 | DEMO.COM |
| DC02 | 172.168.1.201 | CD.DEMO.COM |
| DC03 | 172.168.1.202 | IGDEMO.COM |
为什么使用三台机器呢,因为我测试中发现父子域的迁移和跨域的迁移整个迁移选择界面都是不一样的!
域的部署安装过程我这里就不写了。做完然后加了几个测试账号。接下来就开始部署了。
部署中会使用到的软件:admtsetup32(只有32位的,而且微软官网的中文版的程序有问题),SQLEXPR_CHS(安装ADMT的必备组件), pwdmig(密码迁移工具,跨域的时候其实才会调用这个组件)。
首先我们找一台域内的机器部署ADMT,我这里为了方便就部署在主域控上了。
在DC01上,我们首先安装SQLEXPR_CHS
然后安装
安装完成
继续下一步
下一步
继续默认下一步下一步直到最后
安装完了,继续安装ADMT,点开后我们可以在这个链接里面下载SQL
这里指定SQL实例
由于是新部署,所以这里不导入数据
安装完成
安装完成后,我们就可以打开工具进行使用了
其实在父子域的迁移过程中,我们是用不到密码迁移工具的组件的,所以大家如果是父子域的密码迁移,是用不安装密码迁移工具“pwdmig”
这里再说说pwdmig的安装吧,其实也很简单
安装密码迁移前,首先我们要做两个域之间的信任关系
分别在DC01和DC03的DNS中勾选允许区域传送
然后新建辅助区域在两边DNS中都新建对方的辅助区域
再到两台域控中的AD域和信任关系中添加信任
最后就是把Domain Admins添加到对方的域控的Administrators组里面
至此域控的信任就简单说了下,然后就是导出加密文件了,在安装了ADMT的机器,也就是DC01上运行命令
Admt key /option:create /sourcedomain:igdemo.com /keyfile:c:\pas.pes /keypassword:123
拷贝到处的文件到DC03中,然后进行密码迁移工具的安装
输入密码
安装完成
安装完成后要求重启,重启前我们先修改服务中的密码导出服务器服务启动为自动
到这里,我们需要安装的就安装完成了。接下来介绍下迁移。
其实用ADMT迁移过程中,最关心的无非就是用户的密码和SID,父子域的情况下密码自然不会变,跨域的情况下由于密码迁移工具的存在,密码也不会变。
SID,每个用户唯一且标识符,在迁移的时候会提示迁移SID,经测试发现,在迁移后其实SID已经变了,但是会多出一项SIDhistory,这个SID是原来账户的SID,通过这样的方式继承了原有的SID,从而保留原来用户的所有权限及信息。
我们先来看看父子域的用户迁移吧:
首先迁移前我们记录被迁移用户的SID
打开ADMT进行迁移
单击完成进行迁移
可以看到迁移完成
迁移后,我们查看下user01的SID,其实已经发生变化了
然后在下面一点儿,我们可以看见有一个SIDhistory,这个SID就是原有账号的SID
接下来看看跨域的迁移吧,相比父子域的迁移,跨域的情况下,界面中选择的内容会更多,这也是很多博客都写过的情况,刚开始的时候我一直纳闷我父子域迁移没那么选项,结果测试了后才知道父子域和两个不同域之间迁移是不一样的
这时候,密码迁移工具就被调用体现出来了
这里按需求选吧
选择需要的继续下一步
不排除,进行迁移
迁移完成
迁移完成后,用户同样有SIDhistory值
最后,想使用原有的密码登录的话,记得取消下次登录必须更改密码选项
最后,ADMT3.2工具系统只支持到windows server2008R2,2012可装不上的诶……
https://technet.microsoft.com/zh-cn/library/active-directory-migration-tool-versions-and-supported-environments
链接是ADMT和pwdimg,我无耻的收了一个下载豆哟
http://down.51cto.com/data/2205961