域迁移整合

ADMT，ACTIVEDIRECTORYMIGRATIONTOOL,用于把用户或资源从一个域迁移到另外一个域中，而不改变资源的属性，如用户密码，组结构等。下载地址HTTP/WWWMICROSOFTCOM/DOWNLOAFF85AD3D212DISPLAYLANGEN我们先大致了解下这次试验的环境和目的环境两台域服务器，两台客户端，在一个网络中。目的把一个域中的用户和组迁移到另一台域中，保证登录密码不能变，访问权限不能变。下面开始这个试验的细节步骤。请仔细阅读。1两个域，分别是SOURCOM和DISTCOM。（为了方便记忆，把原域SOURCEDOMAIN配置成SOURCOM，目标域TARGETDOMAIN配置成DISTCOM，在这里很抱歉，我把单词DESTINATION拼错成DISTINATION了，将错就错吧，希望大家能看懂J）。域控制器分别是SDCSOURCOM,SOURCEDOMAINCONTROLLER和DDCDISTCOM,DESTINATIONDOMAINCONTROLLER都安装WINDOWSSERVER2003ENTERPRISEENGLISHVERSION。在很多情况下，都是从WINDOWS2000SERVER迁移到WINDOWSSERVER2003，不过这两种环境下的操作没有太多的不同。两台CLIENT，都安装XPSP2ENGLISH以后我们将配置成SPCSOURCOM和DPCDISTCOM。看列表吧SDCSOURCOMDDCDISTCOMSPCSOURCOMDPCDISTCOMIP192168104/24192168105/241921681021/241921681022/24ADMINPASSWORDGOODLUCKPYGOODLUCKPYNULLNULLDNS172001172001192168104192168105注意DC的密码最后有个点，这样才能达到密码复杂度的要求。PC没有设置密码。安装AD的时候，连同DNS一起安装2在系统安装基本完成后添加一些OU,USER,GROUP。列表SDCSOURCOMDDCDISTCOMOUSOUDOUUSERSUSER1,SUSER2,SUSER3DUSER1SECURITYGROUPSGPUSER密码统统设置成TEST1234最后有点并把这三个SUSER统统加入SGP这个组中，设置相应的属性如图在这里，我要说明这两个MMC,SOURCOM的MMC集成了五个SNAPINS分别是ADDT,ADUC,ADSI,DNS,SERVICES。DISTCOM的MMC集成了ADDT,ADUC,ADSI,DNS。添加这些是为了方便后来的操作。3把两台PC分别加入域，并且用各自域的管理员登入。在SPCSOURCOM中新建文件夹SGP并在其中新建SGPTXT，赋予SGP组FULLCONTROL,再新建文件夹SUSERX，并在其中新建SUSERXTXT，赋予SUSER1,SUSER2,SUSER3FULLCONTROL。如图用SUSER1登录SPC，在SGPTXT中写入IAMSUSER1,AMEMBEROFSGP,IMODIFIEDITFIRSTTIME在SUSERXTXT中写入IAMSUSER1,IMODIFIEDITFIRSTTIME。保存同样SUSER2,在SGPTXT中写入IAMSUSER2,AMEMBEROFSGP,IMODIFIEDITFIRSTTIME在SUSERXTXT中写入IAMSUSER2,IMODIFIEDITFIRSTTIME。保存4配置SDC和DDC的DNS，设置条件转发。如图这一步在接下来的信任域中是很有用的。5在两台DC中插入WINDOWSSERVER2003系统盘，安装SUPPORTTOOLSSUPTOOLSMSI，这其中有接下来需要的程序命令NETDOM。这个命令用于配置域信任属性。在DDCDISTCOM中安装ACTIVEDIRECTORYMIGRATIONTOOLV30，并且默认安装MSSQLSERVERDESKTOPENGINE。（一般DC上不会安装SQL，如果安装了就使用已有SQL吧），安装完后重启电脑。好了，所有的准备工作都已经做完了，接下来就开始作迁移了。以上的准备工作都是相当重要。一定要仔细看图，认真对照。6提升两台DC的域功能，在先前建立的MMC中右击域控制器，选择RAISEDOMAINFUNCTIONALLEVEL可以提升到WINDOWS2003,但不建议提升到这个级别。其原因请在我的空间找7在DISTCOM中添加SOURCOM的信任关系。在MMC中，展开ADSTACTIVEDIRECTORYDOMAINSANDTRUSTS右击DISTCOM,选择PROPERTIES。在TRUSTSTABLE中点击NEWTRUSTNEXT输入SOUR,NEXTTWOWAY,NEXTTHISDOMAINONLY,NEXTDOMAINWIDEAUTHENTICATION,NEXT输入与管理员密码GOODLUCKPY最后有点的,NEXTNEXT从提示信息可以看到TRUST建立完成,NEXT这里询问方向，这里我们要使用双向信任知道最后完成。最后会弹出一个TIP说当启用外部信任后SID过滤就启用了。在后面的用户迁移中我们要关闭这个功能。其命令行是NETDOMTRUSTTRUSTINGDOMAINNAME/DTRUSTEDDOMAINNAME/QUARANTINENO/UODOMAINADMINISTRATORACCT/PODOMAINADMINPWD完成以上的步骤可以用一条命令,在DDCDISTCOM中，STARTRUNCMD输入NETDOMTRUSTSOUR/UOADMINISTRATOR/POGOODLUCKPY/DDIST/UDADMINISTRATOR/PDGOODLUCKPY/ADD/TWOWAY/ENABLESIDHISTORY8在做用户迁移中需要对方的ADMINISTRATOR权限，所以要把这两个域的ADMINISTRATOR用户或者DOMAINADMINS组加入到对方的ADMINISTRATORS组中，建议选择加入DOMAINADMINS组，ADMINISTRATOR也是这个组中的成员。如图9在迁移密码的时候需要生成一个数据库，PES文件，用于存放密码。在DDCDISTCOM的CMD中输入命令ADMTKEY/OPTIONCREATE/SOURCEDOMAINSOUR/KEYFILECKEYFILE/KEYPASSWORDGOODLUCKPY完成后，在C盘中就会生成KEYFILEPES这个文件，然后把这个文件复制到SDCSOURCOM的C下，可以用共享的方法。在这里我对数据库文件创建了个密码。这个密码可有可无。10现在就要开始在SDCSOURCOM中安装PES（PASSWORDEXPORTSERVER）服务了，这个服务用于域间资源迁移，在整个迁移过程中其核心作用。现在来安装PESPWDMIGMSI。这个安装文件在DDCDISTCOM中，路径是CWINDOWSADMTPES。安装ADMT后才有。在说明一点这个程序在系统光盘中也有，路径在I386ADMTPWDMIG。这个是20版本的，测试下来和30不兼容。开始安装PES，如图直至安装完成提示重新启动。如果你没有在9中设置密码，密码提示框是不会出现的。在最后这幅图中，建议选择LOGONASDISTADMINISTRATOR登陆，这样在DDC迁移过程中能直接读取SDC中数据库里的信息。重启后，PES默认是不自动启动的，这需要手动让它运行。回到MMC中展开SERVICES，右击PASSWORDEXPORTSERVERSERVICE,然后点START。现在PES才开始运行。注意，迁移完所有的资源后，关闭他，其实重启下SDC就可以了。11接下来回到DDC开始做迁移了。我先迁移SGP，先迁移组或成员，对结构关系才不会改变。在MMC中添加一个ACTIVEDIRECTORYMIGRATIONTOOL的SNAPIN。右击ADMT，点GROUPACCOUNTMIGRATIONWIZARD。NEXT源和目的不能选错。NEXTSELECTGROUPSFROMDOMAIN,NEXTADDENTERTHESGPGROUP,OK选择DOU,NEXT这里要勾选MIGRATEGROUPSIDSTOTARGETDOMAIN，这是我们的目的。NEXT下去后会弹出三个TIP，一一确定，分别是询问开启SOURCEDOMAIN的AUDITING，TARGETDOMAIN的AUDITING，和在SOURCEDOMAINDC中创建SOUR组。接下来就是输入SOURCOM的管理员用户名和密码，NEXT在OBJECTPROPERTYEXCLUDE中询问是否需要排除某些属性，默认不排除任何属性,NEXT随后的CONFLICTMANAGEMENT中询问当出现冲突的时候采取的策略，一般来说当迁移到一个新安装的DC中，是不会出现冲突的。这里按照默认的选择，NETXT到此就完成了向导,FINISH结束后，系统提示迁移完成，可以查看相应的LOG，并可以在DOU中查看结果SGP已经迁移过来了。迁移过来了是否就能同以前一样使用呢我们要测试才知道。12在此之前我们在SPCSOURCOM中用建立了两个共享文件夹，其权限参考3。在SGP组中的用户对SGP共享文件夹有完全权限。现在我们把DUSER1加入到SGP中，看看DUSER1是否能修改SGP。通过网络邻居访问SGP，发现没有足够的权限。其原因是，当建立域间外部信任的时候，SIDFILTERING会自动启用，只有关闭SIDFILTERING功能才能访问。在DDCDISTCOM中输入NETDOMTRUSTSOUR/DOMAINDIST/QUARANTINENO/USEROADMINISTRATOR/PASSWORDOGOODLUCKPY好了现在再看看，能不能访问了13现在来迁移用户同样右击，点USERACCOUNTMIGRATIONWIZARD前面设置和组迁移操作无异，当操作到这里，注意选择，选择MIGRATEPASSWORDS，迁移密码。如果选择GENERATECOMPLEXPASSWORDS,会把新的密码写入一个文件中。以后登录就是用生成的新密码，而不是原来的密码。就违背了我们当初的要求。NEXT。如果出现与PES连接不上，说明PASSWORDEXPORTSERVERSERVICE没有手动开启或正常安装。参考10确认选中MIGRATEUSERSIDSTOTARGETDOMAIN。而TARGETACCOUNTSATE和SOURCEACCOUNTDISABLINGOPTIONS需要按情况选择，建议如图。ENABLETARGETACCOUNTS如果选用此项，在SOUR中的SUSER3迁移后将会在DIST中启用。DISABLETARGETACCOUNTS从SOUR中迁移过来的用户都将禁用。TARGETSAMEASSOURCE用户的属性将不会发生变化。除了ACCOUNTOPTIONS。DISABLESOURCEACCOUNTS迁移后SOUR中的用户将禁用。DAYSUNTILSOURCEACCOUNTSEXPIRES到设定的时间后，用户将被禁用。总之根据自己的情况选择吧。迁移后就得到迁移后，用SUSER1登录到DPC，访问共享文件。能完全控制了。查看共享文件夹的属性发现，用户也更改了。