ADMT林間域控遷移

ADMT(Active Directory Migration Tool)是一套向?qū)Ы涌?，集成多種功能的遷移工具。它提供將某域的AD數(shù)據(jù)庫的用戶帳戶、組、計算機(jī)、服務(wù)帳戶、信任關(guān)系等數(shù)據(jù)，遷移到另一個新域。但這個工具比較復(fù)雜，若要成功使用這套工具，會牽涉到許多細(xì)節(jié)，現(xiàn)在我們詳細(xì)地講一下這個工具的使用要求與方法。
一、ADMT使用前的注意事項
AD遷移是將舊域的某部分AD數(shù)據(jù)，遷移到目標(biāo)域（新域）的AD數(shù)據(jù)庫中。些操作有相當(dāng)高的危險性，使用ADMT工具之閃，請務(wù)必了解以上注意事項：
1、備份AD數(shù)據(jù)庫：為防ADMT遷移工具發(fā)生意外狀況，無法恢復(fù)被遷移的AD數(shù)據(jù)，請使用ADMT之前，對現(xiàn)有AD做好備份；
2、遷移AD的順序：先遷移不太重要的數(shù)據(jù)，萬一發(fā)生問題時，損失較少。
3、提升域模式為Window 2000/3純模式：為了讓ADMT遷移工具能夠運(yùn)行正常，最好將原域與目標(biāo)域的域模式都轉(zhuǎn)到Windows 2000/3的純模式。
4、利用ADMT工具所提供的測試選項，預(yù)先測試遷移步驟；
5、要留意遷移項目的想依性：先遷移組，再遷移用戶
二、ADMT使用前的環(huán)境設(shè)置
如果要將來源域Deng.com的AD數(shù)據(jù)，遷移到目標(biāo)域Tech.com，除了要安裝ADMT工具之外，還需進(jìn)行如下的環(huán)境設(shè)置：
1、建立來源域與目標(biāo)域之間的信任關(guān)系
2、設(shè)置審核策略
分別在來源域與目標(biāo)域中，使用“組策略管理工具GPMT”打開“Default Domain Controllers Policy”.找到“Windows設(shè)置\安裝設(shè)置\本地策略\審核策略\審核帳戶管理”,對這個策略啟用“成功與失敗”的審核。這樣無論遷移成功與失敗，在事件查看器中，會產(chǎn)生相應(yīng)的記錄。
3、在源域與目標(biāo)域中設(shè)置權(quán)限
在進(jìn)行AD遷移之前，來源域的域系統(tǒng)管理員（Domain Admins)一定要具有目標(biāo)域的DC的本機(jī)系統(tǒng)管理員（Local administrators)權(quán)限；同樣，目標(biāo)域的域系統(tǒng)管理員（Domain Admins)一定要具有來源域的DC的本機(jī)系統(tǒng)管理員（Local administrators)權(quán)限。
在目標(biāo)域的Pre-Windows 2000 Compatible Access 組中，加入“Everyone”與“Anonymous Logon“等兩組系統(tǒng)。
4、在目標(biāo)域上安裝ADMT工具；
將Windows 2003光盤中\(zhòng)I386\Admt、admigration.msi工具安裝到目標(biāo)域的DC上。
5、安裝密碼導(dǎo)出服務(wù)器（PES-Password Export Server)于來源域的DC之上.
凡是關(guān)系到用戶帳戶的遷移工作，一定會牽涉到帳戶密碼的遷移問題。為了讓用戶帳戶在遷移之后，仍然保留用戶所使用的密碼，則必需先在已安裝ADMT遷移工具的目標(biāo)或的DC上，制作一把保護(hù)用戶密碼的密鑰。
在目標(biāo)域的DC的ADMT安裝文件夾中，執(zhí)行：admt key命令，格式為： admt key tech.com . ;
生成一個.pes的密鑰文件；
將此.pes文件復(fù)制到來源域Deng.com的DC上；
使用Windows 2003光盤上“I386\admt\pwdmig\PWDMIG.EXE ”在來源域的DC上安裝密碼導(dǎo)出服務(wù)器。
安裝完成后，請暫時不要重新啟動DC。打開此DC的注冊表。找到“\HLM\System\CurrentControlSet\Control\Lsa\” ，選擇“AllowPasswordExport”，將其值設(shè)為1。
重新啟動此DC。
三、使用ADMT工具進(jìn)行遷移測試
在使用ADMT工具遷移AD數(shù)據(jù)時，一定要先測試再遷移。
四、遷移AD數(shù)據(jù)前的設(shè)置
在來源域第一次遷移AD數(shù)據(jù)時，還需要做以下工作：
在來源域的DC上注冊一個“TcpipClientSupport”
在來源域的DC上建立一個本地組，其名稱為域的NetBIOS名稱加上$$$，即是Deng$$$，此本地組與登陸口令是作為遷移SID使用。
五、遷移AD數(shù)據(jù)
在遷移之前，可以目標(biāo)域的DC上設(shè)置AD數(shù)據(jù)的遷移細(xì)節(jié)。包括：設(shè)置不要遷移的數(shù)據(jù)屬性、設(shè)置遷移SID歷程記錄、設(shè)置組內(nèi)用戶密碼的遷移方式、決定禁用或啟用組內(nèi)用戶帳戶。
六、恢復(fù)遷移的錯誤
在進(jìn)行遷移AD數(shù)據(jù)時，若發(fā)生錯誤，可執(zhí)行“操作/撤銷上次遷移向?qū)А泵?，半按照向?qū)Ы涌诘闹甘荆瑏碓从蚺c目標(biāo)域即可民恢復(fù)遷移之前的AD數(shù)據(jù)庫環(huán)境。