建站
咨詢
售后
建站咨詢
新聞中心
ADMT(Active Directory Migration Tool)是一套向?qū)Ы涌冢啥喾N功能的遷移工具。它提供將某域的AD數(shù)據(jù)庫的用戶帳戶、組、計(jì)算機(jī)、服務(wù)帳戶、信任關(guān)系等數(shù)據(jù),遷移到另一個(gè)新域。但這個(gè)工具比較復(fù)雜,若要成功使用這套工具,會(huì)牽涉到許多細(xì)節(jié),現(xiàn)在我們?cè)敿?xì)地講一下這個(gè)工具的使用要求與方法。
一、ADMT使用前的注意事項(xiàng)
AD遷移是將舊域的某部分AD數(shù)據(jù),遷移到目標(biāo)域(新域)的AD數(shù)據(jù)庫中。些操作有相當(dāng)高的危險(xiǎn)性,使用ADMT工具之閃,請(qǐng)務(wù)必了解以上注意事項(xiàng):
1、備份AD數(shù)據(jù)庫:為防ADMT遷移工具發(fā)生意外狀況,無法恢復(fù)被遷移的AD數(shù)據(jù),請(qǐng)使用ADMT之前,對(duì)現(xiàn)有AD做好備份;
2、遷移AD的順序:先遷移不太重要的數(shù)據(jù),萬一發(fā)生問題時(shí),損失較少。
3、提升域模式為Window 2000/3純模式:為了讓ADMT遷移工具能夠運(yùn)行正常,最好將原域與目標(biāo)域的域模式都轉(zhuǎn)到Windows 2000/3的純模式。
4、利用ADMT工具所提供的測試選項(xiàng),預(yù)先測試遷移步驟;
5、要留意遷移項(xiàng)目的想依性:先遷移組,再遷移用戶
二、ADMT使用前的環(huán)境設(shè)置
如果要將來源域Deng.com的AD數(shù)據(jù),遷移到目標(biāo)域Tech.com,除了要安裝ADMT工具之外,還需進(jìn)行如下的環(huán)境設(shè)置:
1、建立來源域與目標(biāo)域之間的信任關(guān)系
2、設(shè)置審核策略
分別在來源域與目標(biāo)域中,使用“組策略管理工具GPMT”打開“Default Domain Controllers Policy”.找到“Windows設(shè)置\安裝設(shè)置\本地策略\審核策略\審核帳戶管理”,對(duì)這個(gè)策略啟用“成功與失敗”的審核。這樣無論遷移成功與失敗,在事件查看器中,會(huì)產(chǎn)生相應(yīng)的記錄。
3、在源域與目標(biāo)域中設(shè)置權(quán)限
在進(jìn)行AD遷移之前,來源域的域系統(tǒng)管理員(Domain Admins)一定要具有目標(biāo)域的DC的本機(jī)系統(tǒng)管理員(Local administrators)權(quán)限;同樣,目標(biāo)域的域系統(tǒng)管理員(Domain Admins)一定要具有來源域的DC的本機(jī)系統(tǒng)管理員(Local administrators)權(quán)限。
在目標(biāo)域的Pre-Windows 2000 Compatible Access 組中,加入“Everyone”與“Anonymous Logon“等兩組系統(tǒng)。
4、在目標(biāo)域上安裝ADMT工具;
將Windows 2003光盤中\(zhòng)I386\Admt、admigration.msi工具安裝到目標(biāo)域的DC上。
5、安裝密碼導(dǎo)出服務(wù)器(PES-Password Export Server)于來源域的DC之上.
凡是關(guān)系到用戶帳戶的遷移工作,一定會(huì)牽涉到帳戶密碼的遷移問題。為了讓用戶帳戶在遷移之后,仍然保留用戶所使用的密碼,則必需先在已安裝ADMT遷移工具的目標(biāo)或的DC上,制作一把保護(hù)用戶密碼的密鑰。
在目標(biāo)域的DC的ADMT安裝文件夾中,執(zhí)行:admt key命令,格式為: admt key tech.com . ;
生成一個(gè).pes的密鑰文件;
將此.pes文件復(fù)制到來源域Deng.com的DC上;
使用Windows 2003光盤上“I386\admt\pwdmig\PWDMIG.EXE ”在來源域的DC上安裝密碼導(dǎo)出服務(wù)器。
安裝完成后,請(qǐng)暫時(shí)不要重新啟動(dòng)DC。打開此DC的注冊(cè)表。找到“\HLM\System\CurrentControlSet\Control\Lsa\” ,選擇“AllowPasswordExport”,將其值設(shè)為1。
重新啟動(dòng)此DC。
三、使用ADMT工具進(jìn)行遷移測試
在使用ADMT工具遷移AD數(shù)據(jù)時(shí),一定要先測試再遷移。
四、遷移AD數(shù)據(jù)前的設(shè)置
在來源域第一次遷移AD數(shù)據(jù)時(shí),還需要做以下工作:
在來源域的DC上注冊(cè)一個(gè)“TcpipClientSupport”
在來源域的DC上建立一個(gè)本地組,其名稱為域的NetBIOS名稱加上$$$,即是Deng$$$,此本地組與登陸口令是作為遷移SID使用。
五、遷移AD數(shù)據(jù)
在遷移之前,可以目標(biāo)域的DC上設(shè)置AD數(shù)據(jù)的遷移細(xì)節(jié)。包括:設(shè)置不要遷移的數(shù)據(jù)屬性、設(shè)置遷移SID歷程記錄、設(shè)置組內(nèi)用戶密碼的遷移方式、決定禁用或啟用組內(nèi)用戶帳戶。
六、恢復(fù)遷移的錯(cuò)誤
在進(jìn)行遷移AD數(shù)據(jù)時(shí),若發(fā)生錯(cuò)誤,可執(zhí)行“操作/撤銷上次遷移向?qū)А泵睿氚凑障驅(qū)Ы涌诘闹甘荆瑏碓从蚺c目標(biāo)域即可民恢復(fù)遷移之前的AD數(shù)據(jù)庫環(huán)境。
標(biāo)題名稱:ADMT林間域控遷移-創(chuàng)新互聯(lián)
本文URL:http://www.ef60e0e.cn/article/spgci.html
