活動目錄遷移(轉貼)

說到活動目錄遷移就要用到遷移工具，但Windows自己卻並無自帶個工具，我建議你們到微軟的官方網站上去下載，由於能夠下到最新版，安裝盤裏那個版本過低了。這個工具的全稱叫Active Directory Migration Tool，咱們如下簡稱ADMT。
實驗的環境:
目標域:

域名:demo.com

域控制器:server

操做系統:Windows Server 2003

IP:192.168.5.1

子網掩碼:255.255.255.0

DNS:192.168.5.1

源域:

域名:ms.com

域控制器:win200ser(原本是打算用win2000ser的，一時大意，少打了一個「0」，將錯就錯了，反正也沒有什麼關係)

操做系統:Windows 2000 Advanced Server

IP:192.168.5.10

子網掩碼:255.255.255.0

DNS:192.168.5.10

實驗目的:要把ms.com上的一個叫「Tom」的用戶和一臺名叫「Test2000」的計算機賬號遷移到Demo.com。

在執行正式的操做之前呢，咱們先要來作三個準備工做:

一、 把目標域，在這裏也就是demo.com的功能級別提高爲純模式。

點擊「開始-設置-控制面板-管理工具-Active Directory用戶和計算機」:
500)this.width=500 }" border=0>
在「demo.com」上擊右鍵:
500)this.width=500 }" border=0>
選擇上面選中的「提高域功能級別」:
500)this.width=500 }" border=0>
請注意，當前的域功能級別是Windows 2000 混合模式，而後開始提高操做:
500)this.width=500 }" border=0>
點擊上圖中的「提高按鈕」，注意這種操做是不可逆的，提高完成後，就會出現以下畫面:
500)this.width=500 }" border=0>
這就表示提高成功了，若是有多臺域控制的話，請注意複製時間，以肯定這一修改被複制到整個域的全部域控制器上。
二、 對兩個域作一個雙向信任關係。
應該說這是一個關於域的基本操做，可是很遺憾的是不少朋友都在這一步上栽了一個大跟斗，他們都來信告訴我沒法創建信任關係，當他們給我看了下面的截圖:
500)this.width=500 }" border=0>
以及聽取了他們的整個操做過程之後，我基本上判定是由於他們沒有正確配置DNS的緣由，我想他們確定是用本域的DNS服務器去解析信任域的域名，因爲本地的DNS服務器裏是沒有對方域的紀錄，因此纔會形成沒法解析，從而致使信任關係沒法建議。在這裏我向你們推薦一種方法，就是建議DNS的輔助區域來解決這個問題:
500)this.width=500 }" border=0>
先到demo.com域，點擊「開始-設置-控制面板-管理工具-DNS」:
500)this.width=500 }" border=0>
展開「SERVER」，定位到「正向查找區域」，並在上面擊「右鍵」:
500)this.width=500 }" border=0>
選擇「新建區域」:
500)this.width=500 }" border=0>
點擊「下一步」:
500)this.width=500 }" border=0>
在這裏，咱們要選擇「輔助區域」，而後再點「下一步」:
500)this.width=500 }" border=0>
這裏輸入和信任域相同的名稱，我這裏輸入的是「ms.com」，而後再點擊「下一步」:
500)this.width=500 }" border=0>
這裏要輸入信任域DNS服務器的IP地址，試驗環境中是「192.168.5.10」，繼續「下一步」:
500)this.width=500 }" border=0>
最後點擊「完成」。
500)this.width=500 }" border=0>
出現上圖就表示輔助區域已經創建成功了，而後到源域上再操做一次。

說到這兒呢，我順便還想再和你們提一下轉發器的問題，有些朋友喜歡使用轉發器來解決上面的問題，從理論上來說，好像也沒有什麼講不通的地方，可是用轉發器的時候，不少人都會在上面出現一個嚴重的錯誤操做，以個人實驗環境爲例，這個錯誤操做就是在demo.com的DNS上設置轉發器，轉發到ms.com上面的DNS服務器;而後再到ms.com的DNS服務器上設置轉發器，轉發到demo.com上的DNS服務器。固然我知道你們這麼設置的理由是什麼，就是當demo.com上的機器須要訪問ms.com上的資源的時候，而本地的DNS服務器沒法解析，這時能夠根據DNS服務器上設置的轉發器，轉到ms.com上的DNS服務器來進行解析，從而得到正確的IP地址;同理，當ms.com上的機器要訪問demo.com上的資源時，也能夠利用本地的DNS服務器上的轉發器轉到demo.com上的DNS服務器上來。以此來解決兩個域之間的DNS解析問題。從表面上看，好像仍是挺有道理的。但實際上你會爲這樣的操做付出代價的，什麼緣由?來分析一下，當一個客戶端發出一個請求，是兩臺DNS服務器上有的紀錄，那麼是不會有什麼問題的，由於當服務器自己能解析請求時，轉發器是不起做用的。可是，當下面的客戶機發出一個錯誤的請求，好比輸錯了一個字母，也就是說發出的請求在兩臺DNS服務器上都沒有紀錄的時候，那麼這時就會根據轉上器上的地址來進行轉發，而你又是在兩臺DNS服務器上設置相互轉發，那麼這條請求就會從這臺服務器到那臺服務器，再從那中服務器到這臺服務器?????……，而且周而復始，這樣就會進入一個死循環，會大大的加劇你的服務器的負擔，甚至引發死機的可能性也不是沒有。因此DNS服務器之間是不能設置相互轉發的，這一點請你們切記切記!

OK，那咱們繼續，創建完DNS輔助區域之後，再始創建域的信任關係。

先到目標域上，也就是demo.com上，點擊「開始-設置-控制面板-管理工具-Active Directory域和信任關係」:
500)this.width=500 }" border=0>
500)this.width=500 }" border=0>
選「屬性」:
500)this.width=500 }" border=0>
點擊「信任」:
500)this.width=500 }" border=0>
點擊上面的「新建信任」:
500)this.width=500 }" border=0>
點「下一步」:
500)this.width=500 }" border=0>
輸入對方域的DNS名稱，這裏是「ms.com」，再點「下一步」:
500)this.width=500 }" border=0>
能夠選擇信任方向，這裏咱們選「雙向」:
500)this.width=500 }" border=0>
點「下一步」:
500)this.width=500 }" border=0>
再點「下一步」:
500)this.width=500 }" border=0>
這裏要輸入的是信任密碼，不要覺得是讓你輸入管理員密碼喲，這但是兩回事，設置好之後點「下一點」:
500)this.width=500 }" border=0>
確認一下，要是沒有問題就點「下一步」:
500)this.width=500 }" border=0>
點「下一步」:
500)this.width=500 }" border=0>
選「否」，點擊「下一步」:
500)this.width=500 }" border=0>
仍是選「否」，以上兩步請確認另外一方被建立後選「是」，因爲這裏對方域尚未被建立因此這裏選「否」，點擊「下一步」:
500)this.width=500 }" border=0>
最後點擊完成。
接下來就到源域上面也去進行一樣的設置。不過Windows 2000域建立信任關係要比Windows 2003域來得簡單，這裏我就不寫了。

信任關係被建立後，接下來就是相互把對方域的管理員賬號添加到本域的Bulitin容器下的Administrators組。這個操做就不說了。

前期的準備工做就到此爲止了，開始進行正式的遷移操做了:

首先固然是安裝遷移工具，這裏我安裝的是ADMT3.0，安裝過程很簡單，只要狂點下一步就能夠完成了。但要注意的是，ADMT工具必定要裝在目標域上。安裝完成後，咱們能夠點擊「開始-設置-控制面板-管理工具-Active Directory遷移工具」:
500)this.width=500 }" border=0>
乍一看，就會嚇一跳，什麼都沒有，怎麼遷移?別急，在「Active Directory遷移工具」上擊「右鍵」:
500)this.width=500 }" border=0>
都看到了吧，功能衆多吧?這裏本人僅僅向你們演示一上用戶遷移和計算機遷移，因此我先點擊「用戶賬號遷移向導」:
500)this.width=500 }" border=0>
點「下一步」:
500)this.width=500 }" border=0>
這裏要正確的填寫「源域」和「目標域」，千萬別倒過來喲。而後再點「下一步」:
500)this.width=500 }" border=0>
在這裏選擇「從域中選擇用戶」:
500)this.width=500 }" border=0>
點擊「添加」:
500)this.width=500 }" border=0>
找到咱們要遷移的用戶，這裏是「tom」,而後點「肯定」:
500)this.width=500 }" border=0>
點擊「下一步」:
500)this.width=500 }" border=0>
這裏要選擇的是目標OU，也是把用戶遷移到哪，若是你不知道上圖中所示的這種書寫形式的話，能夠點擊「瀏覽」進行選擇OU，選擇完成後，系統會自動轉換。再點「下一步」:
500)this.width=500 }" border=0>
這裏須要提醒一下你們，要選擇「生成複雜密碼」，暫時還不能選擇「遷移密碼」，並且你們還要注意密碼文件的存儲位置，以遷移完成後去尋找那個密碼。若是選擇了「遷移密碼」，那麼會出現下面的出錯提示:
500)this.width=500 }" border=0>
要遷移密碼呢，在ADMT的幫助信息裏有詳細的介紹，這裏我就不重複了。咱們仍是暫時不遷移密碼，點「下一步」:
500)this.width=500 }" border=0>
這裏能夠設置被遷移賬號遷移成功後，是禁用仍是啓用，幾天後過時等信息，我這裏選擇和源相同，注意的是建議你們把「將用戶SID遷移至目標域」前的勾打上。這樣就能夠把源賬號的SID複製到與新賬號相關聯的歷史標記中，同時還會觸發SID審覈，可能會引發源域的域控制器的重啓，這時請等待重啓完成:
500)this.width=500 }" border=0>
輸入源域的管理員賬號和密碼，點「下一步」: 
500)this.width=500 }" border=0>
若是用到了「漫遊用戶配置文件」的話，能夠選上第一項，其它的能夠保持默認，而後點擊「下一步」:
500)this.width=500 }" border=0>
這裏能夠把一些用戶屬性進行排除，被排除的將不會進行遷移，建議你們仍是保存默認的好。除非有些屬性到了目標域後會引發問題。點「下一步」:
500)this.width=500 }" border=0>
你們能夠根據本身的須要進行對上圖的選擇，就是當目標域中存在同名賬號之類的衝突現象時，所採起的動做，是遷移仍是不遷移，或者怎麼遷移的狀況。選定後，請點擊「下一步」:
500)this.width=500 }" border=0>
請你們確認上面的信息，若是沒有問題，點擊「完成」:
500)this.width=500 }" border=0>
上面是一個進度表和一個簡單的日誌記錄，上圖表示遷移成功!而後再到目標域的「Active Directory用戶和計算機」裏去看一下有沒有「tom」這個用戶:
500)this.width=500 }" border=0>
看到了吧，已經成功遷移過來了。

再來看一個如何遷移計算機賬號的，上面咱們選擇的是「用戶賬號遷移向導」，如今咱們要選擇的是「計算機遷移向導」:
500)this.width=500 }" border=0>
點「下一步」，下面的圖和上例中差很少，我就只截出和上面不同的圖:

第六步:
500)this.width=500 }" border=0>
這裏我所有選上了:
500)this.width=500 }" border=0>
這裏我選擇的是「添加」:
500)this.width=500 }" border=0>
遷移成功後，計算機多少時間後重啓在上圖中指定，剩下的和上面的遷移用戶基本一至，完成後能夠到目標域的「Active Directory用戶和計算機」裏去看一下有沒有「test2000」這臺計算機:
500)this.width=500 }" border=0>
也遷移過來了吧?

如今你能夠到客戶端上去把test2000這臺計算機從新加入到demo.com，而後再用「tom」這個用戶登錄，你會發現設置和之前同樣保持不變的 .