域遷移
首先,這是一個很大的工程,需要做好做大量的工作的準備.
關於升級和改名,您有2個選擇:
例如:
1.把windows2000的域改名,然後把windows2008加入windows2000域,然後複製數據,轉移FSMO,GC,DNS.移除舊的windows2000DC,提升林和域的功能級別.使它變成一個純2008的域.
2. 安裝一個全新的windows2008域,使用您需要的域名.然後進行ad遷移.完成以後移除舊的域和域控制器.
對比兩種方法:
第一種雖然比較麻煩,但是可以完整的保留所有的AD數據,配置.遷移完成以後,對現有程式和用戶來說,完全沒有影響.
第二種方法比較簡潔.主要的就是做一個AD遷移,但是有些數據是無法遷移的.如用戶的密碼,檔案的訪問許可權等等.而
且遷移的過程也是很複雜的.需要對用戶,計算機,資源分別遷移
以下Eahua提供的域遷移
第一種,先安裝WIN2003,並加入域,再提升為域控,FSMO,GC,DNS轉移,把2000dcpromo掉,完成之後,擴展域,並提升為2003模式,安裝2008,加入2003,安裝域控,FSMO,GC,DNS轉移,dcpromo掉2003,提升林和域的功能級別,然後在再修改域名,這樣漸進出錯機率比較小;
第二種,遷移,先安裝WIN2003,並加入域,再提升為域控,FSMO,GC,DNS轉移,把2000dcpromo掉,完成之後,擴展域,並提升為2003模式,升級完成後,安裝一個全新的2008域,建立域信任,禁用SID Filtering
netdom trust domainA.local /domain:domainB.local /quarantine:no
確認得到提示:The command completed successfully.
啟用SID History
netdom trust domainA.local /domain:domainB.local /enablesidhistory:yes
確認得到提示:The command completed successfully.
遷移域用戶及其SID,遷移計算機,最後遷移檔案伺服器,
以下為例遷移:
ADMT v3 跨森林遷移 Step-by-Step 指南
源域:Windows Server 2003 DC (域名DomainA.local,NetBIOS域名DomainA)
目標域(新建域):Windows Server 2003 DC (域名DomainB.local,NetBIOS域名DomainB)
要求
平滑遷移,用戶在遷移過程中始終能訪問源域的資源 <注意 以下步驟都是以這個環境為中心展開的="以下步驟都是以這個環境為中心展開的" 如果環境不一樣="如果環境不一樣" 需根據具體情況調整相應步驟="需根據具體情況調整相應步驟">注意
一. ADMT遷移之前的準備工作
1. 為了更好的降低風險,備份源域DC、要遷移的伺服器、VIP客戶機(比如領導的)和目標域DC的系統狀態和系統盤數據(系統盤數據中包括本地用戶配置檔案),步驟如下:
a. 單擊開始,指向程式,指向附屬檔案,指向系統工具,然後單擊備份。
b. 取消選擇“總是以嚮導模式運行”,單擊“取消”關閉備份工具,重新打開備份工具。
c. 單擊備份選項卡。
d. 單擊以選中C:(假設系統盤為C:)、系統狀態。如果是Exchange Server,還需選中Microsoft Exchange Server\ServerName\Microsoft Information Store。
e. 指定備份媒體或檔案名稱,開始備份。
2. 在開始遷移之前,請執行如下的測試遷移步驟:創建測試用戶,將該測試用戶添加到合適的全局組,然後在遷移之前和之後驗證資源的訪問許可權。
3. 對利用加密檔案系統(EFS) 方式加密的檔案進行解密。解密加密檔案失敗將導致遷移後無法訪問加密檔案。請確保告知最終用戶必須解密所有加密的檔案,否則他們將無法訪問那些檔案。
4. 請確保要從中遷移對象的每個域中的系統時間都是同步的。時間偏差將導致 Kerberos身份驗證失敗。
二. 為遷移配置環境
1. 配置源域和目標域以滿足遷移需求
1)請驗證是否建立了相應的信賴關係。
推薦在源帳戶域和目標域之間建立雙向信任關係,使源域和目標域相互信任。但最少源域要信任目標域。
2)為執行遷移任務分配相應的憑據:
要執行遷移,您必須是安裝有 ADMT 的計算機上的Builtin\Administrators 組成員。
要遷移用戶,您必須是源域和目標域中的Builtin\Administrators 組成員。
要遷移計算機,您必須是源域和目標域中的Administrators 組成員以及每台要遷移的計算機上的 Administrators 組成員。
要與 SID 歷史一起遷移,您必須是源域中的 Administrators 組成員以及目標域中的 Domain Admins 組成員。
一個滿足上述所有許可權的簡單做法:
a.在目標域的DC上,把源域的Domain Admins組加入目標域的Administrators組
b.在源域的DC上,把目標域的Domain Admins組加入源域的Administrators組
c.把ADMT安裝在目標域DC上,要執行遷移時,在ADMT計算機上用屬於源域的內置Administrator帳號登錄源域,然後執行遷移操作。
3)為管理遷移對象配置目標域組織單位 (OU) 結構。
4)建議提升源域域功能級別為Windows 2000 本機模式或 Windows Server 2003,目標域域功能級別必須是 Windows 2000 本機模式或 Windows Server 2003。
注意:提升域功能級別一定要慎重,此過程不可逆,要先確保沒有其他低版本域控制器存在並且以後不需提升低版本的域控制器。
2. 配置源域和目標域以遷移 SID 歷史
要配置源域和目標域以從 Active Directory 域遷移 SID 歷史,請完成以下過程:
1)在源域中創建支持審核的本地組
在源域中,創建本地組DomainA$$$。不要向此組中添加成員;否則,SID 歷史遷移將失敗。
2) 啟用對源域 PDC 模擬器的 TCP/IP客戶端支持(從Windows Server 2003 域遷移到其他Windows Server 2003 域,可以忽略此步驟)
a. 在源域中持有 PDC 模擬器操作管理器角色的域控制器上,單擊“開始”,然後單擊“運行”。在“打開”中,鍵入 regedit,然後單擊“確定”。
b. 在“註冊表編輯器”中,定位到以下註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
修改數據類型 REG_DWORD 的註冊表項TcpipClientSupport,將該值設定為 1。
c. 關閉“註冊表編輯器”,然後重新啟動計算機。
3)在 Windows Server 2003 域中啟用審核
a. 以管理員的身份登錄到目標域中的任何域控制器上。
b. 單擊“開始”,依次指向“所有程式”和“管理工具”,然後單擊“Active Directory 用戶和計算機”。
c. 在控制台樹中,擴展該域,右鍵單擊“域控制器”OU,然後單擊“屬性”。
d. 在“組策略”選項卡上,單擊“默認域控制器策略”,然後單擊“編輯”。
e. 依次雙擊“計算機配置”、“Windows 設定”、“安全設定”、“本地策略”和“審核策略”。
f. 雙擊“審核帳戶管理”,然後選中“成功”和“失敗”複選框。
g. 單擊“套用”,然後單擊“確定”。
h. 在源域中重複第 a 步到第 g 步。
3. 配置密碼遷移
執行林間遷移時,可以使用密碼導出伺服器 (PES) 服務遷移密碼。PES 服務可以安裝在支持 128 位加密(Win2000 SP3後就支持)的源域中的任何域控制器中。源域中的 PES 服務安裝需要加密密鑰,但您必須在目標域中運行 Active Directory 遷移工具 v3 (ADMT v3) 的計算機上創建加密密鑰。
1)在安裝ADMT的目標域DC上創建加密密鑰
進入命令行中,輸入下列內容:
cd /d c:
md admt
admt key /option:create /sourcedomain:domainA /keyfile:c:\admt\admt.pes /keypassword:ms123
2)在源域中配置 PES 服務
a. 把ADMT計算機上生成的c:\admt\admt.pes檔案以及PES目錄(默認%windir%\ADMT\PES)複製到源域中將要運行 PES 服務的域控制器。
b. 運行 Pwdmig.msi。在“需要密鑰密碼”對話框中提供創建密鑰時給出的密碼“ms123”,然後單擊“下一步”。
c. 在選擇運行 PES 服務所使用的帳戶時不要使用Local System帳號,請指定內置Administrator帳號。
d. 安裝完成後,重新啟動域控制器。
e.域控制器重新啟動後,若要啟動 PES 服務,請指向“開始”,指向“所有程式”,指向“管理工具”,然後單擊“服務”。在詳細信息窗格中,右鍵單擊“Password Export Server Service”,然後單擊“啟動”。
注意:請只在遷移密碼時運行 PES 服務。完成密碼遷移後請停止 PES 服務。
4. 禁用SID Filtering
netdom trust domainA.local /domain:domainB.local /quarantine:no
確認得到提示:The command completed successfully.
5. 啟用SID History
netdom trust domainA.local /domain:domainB.local /enablesidhistory:yes
確認得到提示:The command completed successfully.
三. 正式開始遷移
1. 遷移用戶賬戶和組
使用用戶帳戶遷移嚮導遷移用戶帳戶
1)在
2)使用下表中的信息完成用戶帳戶遷移嚮導。
嚮導頁 操作
用戶選擇選項 單擊“從域中選擇用戶”,然後單擊“下一步”。在“用戶選擇”頁中,單擊需要遷移的一批用戶帳號,單擊“添加”,然後單擊“下一步”。
密碼選項 選擇“遷移密碼”密碼選項,然後單擊“下一步”。
帳戶轉換選項 對於目標域,單擊“禁用目標帳戶”
最後,
用戶帳戶在“用戶名”、“密碼”和“域”中,鍵入包括源域中的Administrator帳戶的信息,然後單擊“下一步”。
用戶選項 要自定義用戶遷移,請選中以下用戶選項的複選框,然後單擊“下一步”:
轉換漫遊配置檔案(如果有漫遊配置檔案)
更新用戶權利
遷移關聯的用戶組
修復用戶的組成員身份(必須選,否則用戶將和組脫離)
衝突管理 要指定如何處理遷移衝突,請單擊遷移併合並衝突對象
單擊“遷移併合並衝突對象”,並選擇在合併前刪除現有目標帳戶的用戶權利
完成選擇選項後,請單擊“下一步”。
完成用戶帳戶遷移嚮導 複查您的選擇,然後單擊“完成”。
注意:建議分批遷移用戶帳號,比如50個為一批。
遷移漫遊配置檔案(非本地配置檔案)也在這一步做。
選擇“遷移關聯的用戶組”選項以同時遷移組。
選擇修復用戶的組成員身份以保證用戶和組關聯。
先禁用目標用戶帳號,等到用戶配置檔案遷完再啟用,否則用戶若提前使用目標用戶帳號登錄目標域,用戶配置檔案遷移將失敗。
默認情況下,遷移後的目標域用戶帳號必須在下次使用時修改密碼,如不需要等遷移後在用戶帳號屬性中手動取消這個選項。
2. 遷移用戶計算機帳號和安全(包括本地用戶配置檔案)
確保要遷移的用戶計算機開機並接入網路,使用計算機遷移嚮導遷移計算機帳戶
1) 在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“計算機遷移嚮導”。
2) 使用下表中的信息完成計算機遷移嚮導。
嚮導頁 操作
域選擇 在“域”中的“源”下,鍵入源域的 NetBIOS 或域名系統(DNS)
在“域”中的“目標”下,鍵入目標域的 NetBIOS 或 DNS名稱,或者單擊下拉列表中的名稱。在“域控制器”中,單擊域控制器的名稱,或單擊下拉列表中的“任何域控制器”,然後單擊“下一步”。
計算機選擇選項 單擊“從域中選擇計算機”,然後單擊“下一步”。在“計算機選擇”頁上,單擊源域中要遷移的所有計算機,單擊“添加”,然後單擊“下一步”。
組織單位選擇 在“目標 OU”中,將列出默認的目標組織單位 (OU)。確保它是正確的目標 OU。如果它不正確,則鍵入正確
轉換對象 選中下列要執行安全性轉換的對象的複選框,然後單擊“下一步”:
檔案和資料夾
本地組
印表機
註冊表
共享
用戶配置檔案
用戶權利
安全性轉換選項 選擇安全性轉換選項“添加”,然後單擊“下一步”。
計算機選項 在“嚮導完成後重新啟動計算機之前的時間(分鐘):”中,鍵入1,然後單擊“下一步”。
對象屬性排除 要從遷移中排除某些對象屬性,請選中“將特定對象屬性從遷移中排除”複選框,選擇要排除的對象屬性並將它們移到“排除的屬性”框中,然後單擊“下一步”。
衝突管理 請單擊“遷移併合並衝突對象”,並選擇在合併前刪除現有目標帳戶的用戶權利,然後單擊“下一步”。
完成計算機遷移嚮導 複查您的選擇,然後單擊“完成”。
注意:建議分批遷移計算機帳號,比如50個為一批。
計算機會在遷移後重啟,所以請安排合理的時間。
3) 如果 Active Directory 遷移工具 (ADMT) 將為一台或多台遠程計算機派遣代理,以便完成計算機遷移、安全性轉換、服務帳戶枚舉和帳戶引用報告,計算機遷移嚮導的“代理對話框”頁將打開。
在“代理操作”選項中選擇“運行預檢查”,單擊開始,當“代理摘要”列表中“預檢查”列顯示“通過”,再在“代理操作”選項中選擇“運行預檢查和代理操作”,單擊“開始”。
當代理程式在客戶計算機上執行完相關操作後,計算機將進行1分鐘倒計時重新啟動,啟動後ADMT將進行後檢查,“後檢查”列如果顯示“通過”表示遷移計算機帳號完成。
注意:請在確認計算機帳號後檢查通過後,再把相應的目標域用戶帳號啟用,然後在計算機上登錄以確認用戶配置檔案遷移成功。
3. 遷移伺服器服務帳號
在這個步驟中我們將遷移還未遷移的伺服器上的服務賬號,服務賬號需要在相應的計算機帳號遷移之前遷移。服務帳戶是分配有“作為服務登錄”用戶權利的標準用戶帳戶。
1) 使用服務帳戶遷移嚮導標識服務帳戶
可以使用服務帳戶遷移嚮導或命令行標識通過使用某一服務帳戶運行服務的成員伺服器和域控制器。
在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“服務帳戶遷移嚮導”。
使用下表中的信息完成服務帳戶遷移嚮導。
嚮導頁 操作
更新信息 單擊“是,更新信息”,然後單擊“下一步”。
在“服務帳戶選擇”對話框中,單擊源域中具有服務帳戶的所有計算機的名稱,再單擊“添加”,然後單擊“下一步”。
此時“代理對話框”將出現
在“代理操作”選項中選擇“運行預檢查”,單擊開始。當“代理摘要”列表中“預檢查”列顯示“通過”時,在“代理操作”選項中選擇“運行預檢查和代理操作”,單擊開始。當“代理操作”列也顯示“成功”後,如下圖,可以單擊“關閉”關閉對話框。
此時出現服務帳戶信息對話框:
然後單擊“下一步”。
完成服務帳戶遷移嚮導 複查您的選擇,然後單擊“完成”。
2) 使用用戶帳戶遷移嚮導轉換服務帳戶
在 Active Directory 遷移工具控制台中,單擊“操作”,然後單擊“用戶帳戶遷移嚮導”。
使用下表中的信息完成用戶帳戶遷移嚮導。
嚮導頁 操作
域選擇 在“域”下拉列表中的“源”下,鍵入或選擇源域的 NetBIOS 或域名系統 (DNS) 名稱。
在“域”下拉列表中的“目標”下,鍵入或選擇目標域的 NetBIOS 或 DNS 名稱。在“域控制器”下拉列表中,鍵入或選擇域控制器的名稱,或選擇“任何域控制器”,然後單擊“下一步”。
用戶選擇選項 單擊“從域中選擇用戶”,然後單擊“下一步”。在“選擇用戶”頁中,選擇已由服務帳戶遷移嚮導標識的所有服務帳戶,單擊“添加”,然後單擊“下一步”。
組織單位選擇 在“目標 OU”中,確保默認情況下列出正確的目標組織單位 (OU)。如果它不正確,則鍵入正確 OU 的可分辨名稱,或者單擊“瀏覽”。在“瀏覽容器”對話框中,找到目標域和 OU,然後單擊“下一步”。
密碼選項 選擇生成複雜密碼,然後單擊“下一步”。
注意:
在使用用戶帳戶遷移嚮導轉換服務帳戶時,自動生成複雜密碼,而與在該嚮導頁中選擇的選項無關。即使選擇了“不更新現有用戶的密碼”,也生成複雜密碼。
帳戶轉換選項 對於目標域,單擊啟用目標帳戶
最後,如果您要將用戶安全標識符(SID) 遷移到目標域,請選中“將用戶 SID 遷移至目標域”複選框,然後單擊“下一步”。
用戶帳戶在“用戶名”、“密碼”和“域”中,用源域中的管理許可權鍵入用戶帳戶的信息,然後單擊“下一步”。
用戶選項 請選中以下用戶選項的複選框,然後單擊“下一步”:
轉換漫遊配置檔案(一般對服務帳號不需要)
更新用戶權利
遷移關聯的用戶組
修復用戶的組成員身份
衝突管理 請單擊遷移併合並衝突對象,並選擇在合併前刪除現有目標帳戶的用戶權利
完成選擇選項後,請單擊“下一步”。
選擇“遷移所有服務賬號並為標記為包括的項目更新SCM”,然後單擊“下一步”。
完成用戶帳戶遷移嚮導 複查您的選擇,然後單擊“完成”。
注意:如果要遷移的伺服器不是很多,建議一次遷移一台伺服器,批量標識和遷移上面的服務帳號。
遷移服務帳號期間可能會對相應服務有影響,請安排合理時間。
4. 遷移伺服器帳號和安全(包括本地用戶配置檔案)
確保要遷移的伺服器開機並接入網路,步驟和遷移的用戶計算機基本相同。
注意:遷移伺服器選擇轉換對象時,不要遺漏本地組,因為被遷移的服務帳號原來可能屬於本地組,如果遷移後沒有加入相應的本地組,可能會引起許可權問題,從而導致服務無法啟動。
伺服器需在遷移後也需重啟,所以請安排合理的時間。