三星s7听筒声音小:Windows server 2003 ADMT - yangming.com - 51CTO技术博客

ADMT(Active Directory Migration Tool)是一套向导接口,集成多项多功能的迁移工具--提供将某域的AD数据库的用户帐户,组,计算机,服务帐户,信任关系等数据,迁移到另一个新域,如此一来,这些AD数据库就不必重建于新域.1.ADMT使用前的注意事项1)备份AD数据库,为防ADMT迁移工具发生意外状况,无法恢复被迁移的AD数据.2)迁移AD的顺序,先迁移不太重要或数据比较少的AD,万一发生问题时,损失较小3)提升来源与目标域的域功能等级至少为WINDOWS 2000纯粹模式,为让ADMT迁移工具能够运行正常,将来源与目标域域功能等级提升为WIDOWS 2000纯粹械,如此才能够在迁移过程发生问题时,还能够通过复原上次迁移向导.4)利用ADMT工具所提供的测试选项,先测试迁移步骤,ADMT工具提供此机制,方便管理者避免迁移时发生问题无法恢复,建议真正进行迁移工作时,先进行测试.5)要留意迁移项目的相依性.例如若要迁移的某此帐户,属于某个具有特定权限的全局组的成员,因此在迁移这些帐户数据之前,应先迁移所属的全局组,才能够使帐户迁移后,保持旧有的权限.2.ADMT使用前的环境设置下面以来源域"meizhou.com"的AD数据,迁移到目标域"shanghai.com"除了安装ADMT之外,仍需进行如下的环境设置.1)建立来源与目标域间的信任关系2)设置审核策略3)在目标域的Pre--Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUS LOGON"等两个系统组4)安装ADMT于目标域的DC上5)安装密码导出服务器于来源域的DC之上. 建立来源与目标域间的信任关系设置审核策略在来源和目标域的每一台DC上,设置审核策略,先在目标域的DC上进行,执行"开始/系统管理工具/AD用户和计算机"命令点属性点编辑点属性都勾上.则无论迁移成功或失败,让系统的事件查看器产生相对应的信息.完成之后,在来源域的DC上重复上面的操作流程.在默认状态下等待5分钟,让该DC将此审核策略的新设置,能够自动更新到域的其它的DC. 将来源/目标域的Domain Admins 组分别加入对方的Administrators组中进行AD迁移之前,来源域的系统管理员(Domain Administrator)一定要具有备目标域的DC的本机系统管理员的权限.同时目标域的域系统管理员一定要具有备来源域的DC本机系统管理员的权限才行.下面先在目标域的DC上进行点属性点添加点位置选中来源域然后点高级点立即查找,选中如图点确定可以看到已在列表之中了.接着在来源域的DC上同样操作.可以看到目标域的DOMAIN ADMINS也在来源域中了. 在目标域的Pre-Windows 2000 Compatible Access组中,加入"Everyone"与"ANONYMOUSLOGON"两个系统组.点属性看到两个都加入了. 安装ADMT于目标域的DC上执行WIND2003安装光盘"\I386\ADMT"文件夹中的"Admigration.msi"点安装下一步点接受下一步下一步现在开始安装了.点完成 安装密码导出服务器凡是关系到用户帐户的迁移工作,一定会牵涉到帐户的迁移问题,为了让用户帐户在迁移之后,仍然保留用户所使用的密码,则必须先在已安装ADMT迁移工具的目标域的DC上,制作一把保护用户密码的密钥.在目标域的DC的ADMT安装文件中,执行"admt key来源域名称保存密钥的路径"命令.图中"admt key meizhou.com .",其中指令最后的"."代表目前的工作路径,也就是ADMT安装文件夹.其中"X642SVXB.pes"即为密钥文件.完成制作后,将密钥从目标域的DC中取出,并存放到来源域的DC上,以供即将安装的密码导出服务器使用,安装密码导出服务器,先执行WIN2003安装光盘的"\I386\ADMT\PWDMIG"文件夹中的"PWDMIG.EXE".安装下一步指定密钥文件的存放的路径点下一步现在开始安装选否,暂时不要重新开机.打开注册表依次打开我的电脑\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa,选取AllowPasswordExport,右击并执行"修改"命令数值数据为1.完成上面步骤后,暂时不重新开机,进行第一次迁移工作时,还需要设置来源域的DC,届时再重新开机以免麻烦. 3使用ADMT以迁移组假设在新域的AD组中,要求与旧的AD中完全相同的组与帐户,若重新逐一建立组与帐户,就太辛苦了,则用ADMT来迁移组和组内的所有用户帐户就很方便.目前要进行的以属于不同林的组的迁移工作,现在从来源域"meizhou.com"的域控制器迁移到目标域"shanghai.com"中.要迁移的AD数据是"yangmign"组与成员对象.这些对象都放在组织单位"研发组"中.可看到yangming组中的成员.接下来在目标域的DC上执行"开始/系统管理工具/AD迁移工具"命令先测试再正式迁移下一步先测试 选择来源域和目标域点添加点高级可以在来源域上选择要迁移的组点确定下一步点浏览选择要存放迁移的组的目录下一步这里组选项.如图勾选若来源域第一次进行了AD数据的迁移,除了需在来源域的DC上设置一个注册表项"TcpipClientSupport"之外,还需要额外建立一个本地组,其名称为域的NETBIOS名称加上"$$$"符号,在此为"XGRAD$$$".此本地组与登录口令是作为迁移SID的用途.这里来建立,点是.点是.点是. 重新启动来源域中准备迁移AD数据的DC.耐心等待这台来源域的DC重新启动.这里在来源域上关机不是在这正在配置的机上.重启好后进行下面的操作迁移之前,可以在目标域的DC上设置AD数据的迁移的细节,.输入来源域的系管理员帐户和密码.若来源域中的组同时存在于目标域,则迁移后会被改名为"OLD_YANGMING" 选第三个选项以通知来源域的密码导出服务器,将用户帐户的原始密码,随同迁移到目标域,并且在下面选择迁移用户帐户的密码的来源DC.选第一个选项以便启用被迁移后的用户帐户.点完成现在开始进行迁移进行中完成眯查看日志没问题后开始真正迁移.只有这一步不同,开始迁移.迁移完后.可以看到成功迁移,因为已有一个用户组了,所以用OLD标识可以看到成员不变. 恢复迁移的错误进行迁移AD数据库发生错误时,可执行"操作/撤销上次迁移向导"完成