說到活動目錄遷移就要用到遷移工具，但Windows 本身卻并沒有自帶個工具，我建議大家到微軟的官方網(wǎng)站上去下載，因為可以下到最新版，安裝盤里那個版本太低了。這個工具的全稱叫Active Directo

說到活動目錄遷移就要用到遷移工具，但Windows 本身卻并沒有自帶個工具，我建議大家到微軟的官方網(wǎng)站上去下載，因為可以下到最新版，安裝盤里那個版本太低了。這個工具的全稱叫Active Directory Migration Tool ，我們以下簡稱ADMT ，最新版本是3.0，這個新版本較上次的版本我想表揚一下微軟，總算有中文版了，雖然這個工具的使用還是比較簡單的，所以上面的英文也不是很難，但有中文版了也算是微軟的用心之處嘛，不過表揚完了，順便再批判一下，你說你一個遷移工具，怎么會和SQL 勾搭上了呢? 真不知道微軟又想干什么? 是技術需要嗎? 我沒什么感覺。是商業(yè)需要嗎? 問比爾。反正我不管了，只要好用就行了。

我先來介紹一下實驗的環(huán)境:

目標域:

域名:demo.com

域控制器:server

操作系統(tǒng):Windows Server 2003

IP:192.168.5.1

子網(wǎng)掩碼:255.255.255.0

DNS:192.168.5.1

源域:

域名:ms.com

域控制器:win200ser(本來是打算用win2000ser 的，一時大意，少打了一個“0”，將錯就錯了，反正也沒有什么關系)

唯實數(shù)據(jù)恢復中心

操作系統(tǒng):Windows 2000 Advanced Server

IP:192.168.5.10

子網(wǎng)掩碼:255.255.255.0

DNS:192.168.5.10

實驗目的:要把ms.com 上的一個叫“Tom”的用戶和一臺名叫“Test2000”的計算機帳號遷移到Demo.com 。

在執(zhí)行正式的操作以前呢，我們先要來做三個準備工作:

1、 把目標域，在這里也就是demo.com 的功能級別提升為純模式。

點擊“開始-設置-控制面板-管理工具-Active Directory用戶和計算機”:

在“demo.com”上擊右鍵:

選擇上面選中的“提升域功能級別”:

請注意，當前的域功能級別是Windows 2000 混合模式，然后開始提升操作: 唯實數(shù)據(jù)恢復中心

點擊上圖中的“提升按鈕”，注意這種操作是不可逆的，提升完成后，就會出現(xiàn)如下畫面:

這就表示提升成功了，如果有多臺域控制的話，請注意復制時間，以確定這一修改被復制到整個域的所有域控制器上。

2、 對兩個域做一個雙向信任關系。

應該說這是一個關于域的基本操作，但是很遺憾的是很多朋友都在這一步上栽了一個大跟斗，他們都來信告訴我無法建立信任關系，當他們給我看了下面的截圖:

以及聽取了他們的整個操作過程以后，我基本上斷定是因為他們沒有正確配置DNS 的原因，我想他們肯定是用本域的DNS 服務器去解析信任域的域名，由于本地的DNS 服務器里是沒有對方域的紀錄，所以才會造成無法解析，從而導致信任關系無法建議。在這里我向大家推薦一種方法，就是建議DNS 的輔助區(qū)域來解決這個問題:

唯實IT 網(wǎng)

先到demo.com 域，點擊“開始-設置-控制面板-管理工具-DNS”:

展開“SERVER”，定位到“正向查找區(qū)域”，并在上面擊“右鍵”:

選擇“新建區(qū)域”:

點擊“下一步”:

在這里，我們要選擇“輔助區(qū)域”，然后再點“下一步”:

這里輸入和信任域相同的名稱，我這里輸入的是“ms.com”，然后再點擊“下一步”:

這里要輸入信任域DNS 服務器的IP 地址，試驗環(huán)境中是“192.168.5.10”，繼續(xù)“下一步”: copyright 0592it

最后點擊“完成”。

出現(xiàn)上圖就表示輔助區(qū)域已經(jīng)建立成功了，然后到源域上再操作一次。

說到這兒呢，我順便還想再和大家提一下轉發(fā)器的問題，有些朋友喜歡使用轉發(fā)器來解決上面的問題，從理論上來講，好像也沒有什么講不通的地方，但是用轉發(fā)器的時候，很多人都會在上面出現(xiàn)一個嚴重的錯誤操作，以我的實驗環(huán)境為例，這個錯誤操作就是在demo.com 的DNS 上設置轉發(fā)器，轉發(fā)到ms.com 上面的DNS 服務器; 然后再到ms.com 的DNS 服務器上設置轉發(fā)器，轉發(fā)到demo.com 上的DNS 服務器。當然我知道大家這么設置的理由是什么，就是當demo.com 上的機器需要訪問ms.com 上的資源的時候，而本地的DNS 服務器無法解析，這時可以根據(jù)DNS 服務器上設置的轉發(fā)器，轉到ms.com 上的DNS 服務器來進行解析，從而獲得正確的IP 地址; 同理，當ms.com 上的機器要訪問demo.com 上的資源時，也可以利用本地的DNS 服務器上的轉發(fā)器轉到demo.com 上的DNS 服務器上來。以此來解決兩個域之間的DNS 解析問題。從表面上看，好像還是挺有道理的。但實際上你會為這樣的操作付出代價的，什么原因? 來分析一下，當一個客戶端發(fā)出一個請求，是兩臺DNS 服務器上有的紀錄，那么是不會有什么問題的，因為當服務器本身能解析請求時，轉發(fā)器是不起作用的。但是，當下面的客戶機發(fā)出一個錯誤的請求，比如輸錯了一個字母，也就是說發(fā)出的請求在兩臺DNS 服務器上都沒有紀錄的時候，那么這時就會根據(jù)轉上器上的地址來進行轉發(fā)，而你又是在兩臺DNS 服務器上設置相互轉發(fā)，那么這條請求就會從這臺服務器到那臺服務器，再從那中服務器到這臺服務器?????……，并且周而復始，這樣就會進入一個死循環(huán)，會大大的加重你的服務器的負擔，甚至引起死機的可能性也不是沒有。所以DNS 服務器之間是不能設置相互轉發(fā)的，這一點請大家切記切記! 內容來自0592it

OK ，那我們繼續(xù)，建立完DNS 輔助區(qū)域以后，再始建立域的信任關系。

先到目標域上，也就是demo.com 上，點擊“開始-設置-控制面板-管理工具-Active Directory域和信任

關系”:

選“屬性”:

點擊“信任”:

點擊上面的“新建信任”:

點“下一步”:

輸入對方域的DNS 名稱，這里是“ms.com”，再點“下一步”:

內容來自0592it

可以選擇信任方向，這里我們選“雙向”:

點“下一步”:

再點“下一步”:

這里要輸入的是信任密碼，不要以為是讓你輸入管理員密碼喲，這可是兩回事，設置好以后點“下一點”:

確認一下，要是沒有問題就點“下一步”:

點“下一步”:

內容來自0592it

選“否”，點擊“下一步”:

唯實數(shù)據(jù)恢復中心

唯實數(shù)據(jù)恢復中心

還是選“否”，以上兩步請確認另一方被創(chuàng)建后選“是”，由于這里對方域還沒有被創(chuàng)建所以這里選“否”，點擊“下一步”:

唯實IT 網(wǎng)

本文來自唯實

最后點擊完成。

接下來就到源域上面也去進行同樣的設置。不過Windows 2000域創(chuàng)建信任關系要比Windows 2003域來得簡單，這里我就不寫了。

信任關系被創(chuàng)建后，接下來就是相互把對方域的管理員帳號添加到本域的Bulitin 容器下的Administrators 組。這個操作就不說了。

前期的準備工作就到此為止了，開始進行正式的遷移操作了:

首先當然是安裝遷移工具，這里我安裝的是ADMT3.0，安裝過程很簡單，只要狂點下一步就可以完成了。但要注意的是，ADMT 工具一定要裝在目標域上。安裝完成后，我們可以點擊“開始-設置-控制面板-管理工具-Active Directory遷移工具”:

copyright 0592it

本文來自唯實

乍一看，就會嚇一跳，什么都沒有，怎么遷移? 別急，在“Active Directory遷移工具”上擊“右鍵”:

唯實數(shù)據(jù)恢復中心

都看到了吧，功能眾多吧? 這里本人僅僅向大家演示一上用戶遷移和計算機遷移，所以我先點擊“用戶帳號遷移向導”:

點“下一步”:

這里要正確的填寫“源域”和“目標域”，千萬別倒過來喲。然后再點“下一步”:

在這里選擇“從域中選擇用戶”:

點擊“添加”:

找到我們要遷移的用戶，這里是“tom”,然后點“確定”:

唯實IT 網(wǎng)

點擊“下一步”:

這里要選擇的是目標OU ，也是把用戶遷移到哪，如果你不知道上圖中所示的這種書寫形式的話，可以點擊“瀏覽”進行選擇OU ，選擇完成后，系統(tǒng)會自動轉換。再點“下一步”:

這里需要提醒一下大家，要選擇“生成復雜密碼”，暫時還不能選擇“遷移密碼”，而且大家還要注意密碼文件的存儲位置，以遷移完成后去尋找那個密碼。如果選擇了“遷移密碼”，那么會出現(xiàn)下面的出錯提示:

要遷移密碼呢，在ADMT 的幫助信息里有詳細的介紹，這里我就不重復了。我們還是暫時不遷移密碼，點“下一步”:

這里可以設置被遷移帳號遷移成功后，是禁用還是啟用，幾天后過期等信息，我這里選擇和源相同，注意的是建議大家把“將用戶SID 遷移至目標域”前的勾打上。這樣就可以把源帳號的SID 復制到與新帳號相關聯(lián)的歷史標記中，同時還會觸發(fā)SID 審核，可能會引起源域的域控制器的重啟，這時請等待重啟完成: 本文來自唯實

輸入源域的管理員帳號和密碼，點“下一步”:

ADMT ，Active Directory Migration Tool, 用于把用戶或資源從一個域遷移到另外一個域中，而不改變資源的屬性，如用戶密碼，組結構等。

下載地址：http://www.microsoft.com/downloa ... ff85ad3d212&DisplayLang=en

我們先大致了解下這次試驗的環(huán)境和目的

環(huán)境：兩臺域服務器，兩臺客戶端，在一個網(wǎng)絡中。

目的：把一個域中的用戶和組遷移到另一臺域中，保證登錄密碼不能變，訪問權限不能變。

下面開始這個試驗的細節(jié)步驟。請仔細閱讀。

本文來自唯實

1.

兩個域，分別是sour.com 和dist.com 。（為了方便記憶，把原域source domain 配置成sour.com ，目標域target domain配置成dist.com ，在這里很抱歉，我把單詞destination 拼錯成distination 了，將錯就錯吧，希望大家能看懂 J ）。

域控制器分別是：sdc.sour.com,source domain controller.和ddc.dist.com, destination domain controller.都安裝windows server 2003 enterprise Englishversion。

在很多情況下，都是從windows2000 server遷移到windowsserver 2003，不過這兩種環(huán)境下的操作沒有太多的不同。 唯實IT 網(wǎng)

兩臺client ，都安裝xpsp2 English.以后我們將配置成spc.sour.com 和dpc.dist.com 。

看列表吧：

copyright 0592it

Sdc.sour.com Ddc.dist.com Spc.sour.com Dpc.dist.com

IP 192.168.10.4/24 192.168.10.5/24 192.168.10.21/24 192.168.10.22/24

Admin password Goodluckpy. Goodluckpy. Null Null

DNS 172.0.0.1 172.0.0.1 192.168.10.4 192.168.10.5

注意DC 的密碼最后有個點，這樣才能達到密碼復雜度的要求。PC 沒有設置密碼。

本文來自唯實

安裝AD 的時候，連同DNS 一起安裝

2.

在系統(tǒng)安裝基本完成后添加一些OU,user, group。

列表： copyright 0592it

Sdc.sour.com Ddc.dist.com

OU Sou Dou

User Suser1,suser2,suser3 Duser1

Security group Sgp

User 密碼統(tǒng)統(tǒng)設置成：Test1234. (最后有點) 并把這三個suser 統(tǒng)統(tǒng)加入sgp 這個組中，設置相應的屬性如圖：

在這里，我要說明這兩個mmc,sour.com 的mmc 集成了五個snap-ins 分別是：ADDT, ADUC, ADSI, DNS, Services 。Dist.com 的mmc 集成了ADDT, ADUC, ADSI, DNS。添加這些是為了方便后來的操作。 0592it.net

3.

把兩臺PC 分別加入域，并且用各自域的管理員登入。

在spc.sour.com 中新建文件夾SGP 并在其中新建sgp.txt ，賦予sgp 組Full Control,

再新建文件夾SuserX ，并在其中新建suserx.txt ，賦予suser1,suser2,suser3 Full Control。

如圖：

用suser1登錄spc ，在sgp.txt 中寫入: i am suser1, a member of sgp , i modified it first time.在suserx.txt 中寫入：i amsuser1, i modified it first time。保存 0592it.net

同樣suser2, 在sgp.txt 中寫入: i am suser2, amember of sgp , i modified it first time.在suserx.txt 中寫入：i amsuser2, i modified it first time。保存

4.

配置sdc 和ddc 的dns ，設置條件轉發(fā)。如圖

這一步在接下來的信任域中是很有用的。

5.

在兩臺DC 中插入windows server2003系統(tǒng)盤，安裝SUPPORTTOOLS SUPTOOLS.MSI，這其中有接下來需要的程序命令netdom 。這個命令用于配置域信任屬性。在ddc.dist.com 中安裝Active Directory Migration Tool v3.0，并且默認安裝MSSQL server Desktop Engine。（一般DC 上不會安裝SQL ，如果安裝了就使用已有SQL 吧），安裝完后重啟電腦。

0592it.net

好了，所有的準備工作都已經(jīng)做完了，接下來就開始作遷移了。以上的準備工作都是相當重要。一定要仔細看圖，認真對照。

6.

提升兩臺DC 的域功能，在先前建立的mmc 中右擊域控制器，選擇Raise Domain alLevel...可以提升到windows2003, 但不建議提升到這個級別。其原因請在我的空間找……

7.

在dist.com 中添加sour.com 的信任關系。在mmc 中，展開ADST( Active Directory Domainsand Trusts)

右擊dist.com, 選擇Properties 。在Trusts table中點擊New trust... à Next à

輸入sour, next à two-way, next à Thisdomain only, next àDomain-wide authentication, next à 本文來自唯實

輸入與管理員密碼：Goodluckpy.(最后有點的) , next à next à

從提示信息可以看到trust 建立完成, next à

這里詢問方向，這里我們要使用雙向信任知道最后完成。

最后會彈出一個tip 說當啟用外部信任后SID 過濾就啟用了。在后面的用戶遷移中我們要關閉這個功能。 其命令行是：netdom trust TrustingDomainName/d:TrustedDomainName

/quarantine:No/uo:domainadministratorAcct /po:domainadminpwd

完成以上的步驟可以用一條命令, 在ddc.dist.com 中，start à run à cmd輸入： 內容來自0592it netdomtrust sour /uo:administrator /po:Goodluckpy. /d:dist /ud:administrator/pd:Goodluckpy. /add /twoway /enablesidhistory

8.

在做用戶遷移中需要對方的administrator 權限，所以要把這兩個域的administrator 用戶或者domain admins 組加入到對方的administrators 組中，建議選擇加入domain admins組，administrator 也是這個組中的成員。如圖：

9.

在遷移密碼的時候需要生成一個數(shù)據(jù)庫，.pes 文件，用于存放密碼。在ddc.dist.com 的cmd 中輸入命令： admt key /option:create /sourcedomain:sour /keyc:keyfile

/keypassword:Goodluckpy. 0592it.net

完成后，在C 盤中就會生成keyfile.pes 這個文件，然后把這個文件復制到sdc.sour.com 的C:下，可以用共享的方法。在這里我對數(shù)據(jù)庫文件創(chuàng)建了個密碼。這個密碼可有可無。

10.

現(xiàn)在就要開始在sdc.sour.com 中安裝PES （Password Export Server）服務了，這個服務用于域間資源遷移，在整個遷移過程中其核心作用?，F(xiàn)在來安裝PES(pwdmig.msi)。這個安裝文件在ddc.dist.com 中，路徑是：C:WINDOWS?MTPES。安裝ADMT 后才有。

在說明一點這個程序在系統(tǒng)光盤中也有，路徑在I386?MTPWDMIG。這個是2.0版本的，測試下來和3.0不兼容。

開始安裝PES ，如圖： 唯實數(shù)據(jù)恢復中心

直至安裝完成提示重新啟動。

如果你沒有在9中設置密碼，密碼提示框是不會出現(xiàn)的。在最后這幅圖中，建議選擇log onas: dist?ministrator登陸，這樣在ddc 遷移過程中能直接讀取sdc 中數(shù)據(jù)庫里的信息。

重啟后，PES 默認是不自動啟動的，這需要手動讓它運行。

回到mmc 中展開services ，右擊Password Export Server Service, 然后點 Start 。現(xiàn)在PES 才開始運行。注意，遷移完所有的資源后，關閉他，其實重啟下sdc 就可以了。

11.

接下來回到ddc 開始做遷移了。我先遷移sgp ，先遷移組或成員，對結構關系才不會改變。在mmc 中添加

一個Active Directory Migration Tool的snap-in 。右擊ADMT ，點Group Account Migration Wizard。 唯實數(shù)據(jù)恢復中心

next

源和目的不能選錯。Next

à select groups from domain, next à add… à enterthe SGP group, OK à

選擇dou , next à

這里要勾選Migrategroup SIDs to target domain，這是我們的目的。

next 下去后會彈出三個tip ，一一確定，分別是詢問開啟sourcedomain 的auditing ，target domain的auditing ，和在source domain DC中創(chuàng)建SOUR$$$組。接下來就是輸入sour.com 的管理員用戶名和密碼，Next à在Object Property Exclude中詢問是否需要排除某些屬性，默認不排除任何屬性, next à copyright 0592it 隨后的 ConflictManagement 中詢問當出現(xiàn)沖突的時候采取的策略，一般來說當遷移到一個新安裝的dc 中，是不會出現(xiàn)沖突的。這里按照默認的選擇，netxt à

到此就完成了向導, finish. 結束后，系統(tǒng)提示遷移完成，可以查看相應的log ，并可以在dou 中查看結果 sgp 已經(jīng)遷移過來了。遷移過來了是否就能同以前一樣使用呢？我們要測試才知道。

12．

在此之前我們在spc.sour.com 中用建立了兩個共享文件夾，其權限參考3。在sgp 組中的用戶對sgp 共享文件夾有完全權限?，F(xiàn)在我們把duser1加入到sgp 中，看看duser1是否能修改sgp 。通過網(wǎng)絡鄰居訪問sgp ，發(fā)現(xiàn)沒有足夠的權限。其原因是，當建立域間外部信任的時候，SIDfiltering 會自動啟用，只有關閉SIDfiltering 功能才能訪問。 本文來自唯實

唯實數(shù)據(jù)恢復中心

在ddc.dist.com 中輸入：

copyright 0592it

copyright 0592it

Netdomtrust sour /domain:dist /quarantine:no /usero:administrator /passwordo:Goodluckpy.

唯實數(shù)據(jù)恢復中心

唯實IT 網(wǎng)

內容來自0592it

好了現(xiàn)在再看看，能不能訪問了