域遷移教程

1、域遷移域遷移首先這是一個很大的工程需要做好做大量的工作的準備.關(guān)于升級和改名您有2個選擇:例如:1.把windows2000的域改名然后把windows2008加入windows2000域然后復制數(shù)據(jù)轉(zhuǎn)移FSMOGCDNS.移除舊的windows2000DC提升林和域的功能級別.使它變成一個純2008的域.2.安裝一個全新的windows2008域使用您需要的域名.然后進行ad遷移.完成以后移除舊的域和域控制器.對比兩種方法:第一種雖然

2、比較麻煩但是可以完整的保留所有的AD數(shù)據(jù)配置.遷移完成以后對現(xiàn)有程序和用戶來說完全沒有影響.第二種方法比較簡潔.主要的就是做一個AD遷移但是有些數(shù)據(jù)是無法遷移的.如用戶的密碼文件的訪問權(quán)限等等.而且遷移的過程也是很復雜的.需要對用戶計算機資源分別遷移以下Eahua提供的域遷移第一種，先安裝WIN2003，并加入域，再提升為域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，把2000dcpromo掉，完成之后，擴展域，并提升為2003模式，安裝2008，

3、加入2003，安裝域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，dcpromo掉2003，提升林和域的功能級別，然后在再修改域名，這樣漸進出錯機率比較?。坏诙N，遷移，先安裝WIN2003，并加入域，再提升為域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，把2000dcpromo掉，完成之后，擴展域，并提升為2003模式，升級完成后，安裝一個全新的2008域，建立域信任，禁用SIDFilteringSIDFiltering功能若啟用將阻止受信任域（目標域）用戶訪

4、問信任域（源域）資源。為了禁用SIDFiltering，在ADMT計算機上用源域Administrat登錄，運行：domtrustdomainA.localdomain:domainB.localquarantine:no確認得到提示：Thecommcompletedsuccessfully.啟用SIDHistySIDHisty功能若禁用將阻止受信任域（目標域）用戶使用SIDHisty訪問信任域（源域）資源。為了啟用SIDHisty，在

5、ADMT計算機上用源域Administrat登錄，運行：domtrustdomainA.localdomain:domainB.localenablesidhisty:yes確認得到提示：Thecommcompletedsuccessfully.遷移域用戶及其SID，遷移計算機，最后遷移文件服務器，以下為例遷移：ADMTv3跨森林遷移StepbyStep指南源域：WindowsServer2003DC（域名DomainA.local，B

6、IOS域名DomainA）目標域（新建域）：WindowsServer2003DC（域名DomainB.local，BIOS域名DomainB)要求：平滑遷移，用戶在遷移過程中始終能訪問源域的資源一ADMT遷移之前的準備工作1.為了更好的降低風險，備份源域DC、要遷移的服務器、VIP客戶機（比如領(lǐng)導的）和目標域DC的系統(tǒng)狀態(tài)和系統(tǒng)盤數(shù)據(jù)（系統(tǒng)盤數(shù)據(jù)中包括本地用戶配置文件），步驟如下：a.單擊開始，指向程序，指向附件，指向系統(tǒng)工具，然后單

7、擊備份。b.取消選擇“總是以向?qū)Ｊ竭\行”，單擊“取消”關(guān)閉備份工具，重新打開備份工具。c.單擊備份選項卡。d.單擊以選中C:（假設(shè)系統(tǒng)盤為C：）、系統(tǒng)狀態(tài)。如果是ExchangeServer，還需選中MicrosoftExchangeServerServerNameMicrosoftInfmationSte。e.指定備份媒體或文件名，開始備份。2.在開始遷移之前，請執(zhí)行如下的測試遷移步驟：創(chuàng)建測試用戶，將該測試用戶添加到合適的全局組，

8、然后在遷移之前和之后驗證資源的訪問權(quán)限。3.對利用加密文件系統(tǒng)(EFS)方式加密的文件進行解密。解密加密文件失敗將導致遷移后無法訪問加密文件。請確保告知最終用戶必須解密所有加密的文件，否則他們將無法訪問那些文件。4.請確保要從中遷移對象的每個域中的系統(tǒng)時間都是同步的。時間偏差將導致Kerberos身份驗證失敗。二為遷移配置環(huán)境1配置源域和目標域以滿足遷移需求1）請驗證是否建立了相應的信賴關(guān)系。推薦在源帳戶域和目標域之間建立雙向信任關(guān)系，

9、使源域和目標域相互信任。但最少源域要信任目標域。2）為執(zhí)行遷移任務分配相應的憑據(jù)：要執(zhí)行遷移，您必須是安裝有ADMT的計算機上的BuiltinAdministrats組成員。要遷止受信任域（目標域）用戶訪問信任域（源域）資源。為了禁用SIDFiltering，在ADMT計算機上用源域Administrat登錄，運行：domtrustdomainA.localdomain:domainB.localquarantine:no確認得到提示：

10、Thecommcompletedsuccessfully.5啟用SIDHistySIDHisty功能若禁用將阻止受信任域（目標域）用戶使用SIDHisty訪問信任域（源域）資源。為了啟用SIDHisty，在ADMT計算機上用源域Administrat登錄，運行：domtrustdomainA.localdomain:domainB.localenablesidhisty:yes確認得到提示：Thecommcompletedsuccess

11、fully.三正式開始遷移1遷移用戶賬戶和組使用用戶帳戶遷移向?qū)нw移用戶帳戶1）在ActiveDirecty遷移工具控制臺中，單擊“操作”，然后單擊“用戶帳戶遷移向?qū)А薄?）使用下表中的信息完成用戶帳戶遷移向?qū)?。向?qū)ы摬僮饔蜻x擇在“域”下拉列表中的“源”下，鍵入或選擇源域的BIOS或域名系統(tǒng)(DNS)名稱。在“域控制器”下拉列表中，鍵入或選擇域控制器的名稱，或選擇“任何域控制器”。在“域”下拉列表中的“目標”下，鍵入或選擇目標域的BIO

12、S或DNS名稱。在“域控制器”下拉列表中，鍵入或選擇域控制器的名稱，或選擇“任何域控制器”，然后單擊“下一步”。用戶選擇選項單擊“從域中選擇用戶”，然后單擊“下一步”。在“用戶選擇”頁中，單擊需要遷移的一批用戶帳號，單擊“添加”，然后單擊“下一步”。組織單位選擇在“目標OU”中，確保默認情況下列出正確的目標組織單位(OU)。如果它不正確，則鍵入正確OU的可分辨名稱，或者單擊“瀏覽”。在“瀏覽容器”對話框中，找到目標域和OU，然后單擊“下

13、一步”。密碼選項選擇“遷移密碼”密碼選項，然后單擊“下一步”。帳戶轉(zhuǎn)換選項對于目標域，單擊“禁用目標帳戶”最后，請選中“將用戶SID遷移至目標域”復選框，然后單擊“下一步”。用戶帳戶在“用戶名”、“密碼”和“域”中，鍵入包括源域中的Administrat帳戶的信息，然后單擊“下一步”。用戶選項要自定義用戶遷移，請選中以下用戶選項的復選框，然后單擊“下一步”：轉(zhuǎn)換漫游配置文件（如果有漫游配置文件）更新用戶權(quán)利遷移關(guān)聯(lián)的用戶組修復用戶的組成

14、員身份（必須選，否則用戶將和組脫離）沖突管理要指定如何處理遷移沖突，請單擊遷移并合并沖突對象單擊“遷移并合并沖突對象”，并選擇在合并前刪除現(xiàn)有目標帳戶的用戶權(quán)利完成選擇選項后，請單擊“下一步”。完成用戶帳戶遷移向?qū)筒槟倪x擇，然后單擊“完成”。注意：建議分批遷移用戶帳號，比如50個為一批。遷移漫游配置文件（非本地配置文件）也在這一步做。選擇“遷移關(guān)聯(lián)的用戶組”選項以同時遷移組。選擇修復用戶的組成員身份以保證用戶和組關(guān)聯(lián)。先禁用目標用戶

15、帳號，等到用戶配置文件遷完再啟用，否則用戶若提前使用目標用戶帳號登錄目標域，用戶配置文件遷移將失敗。默認情況下，遷移后的目標域用戶帳號必須在下次使用時修改密碼，如不需要等遷移后在用戶帳號屬性中手動取消這個選項。2.遷移用戶計算機帳號和安全（包括本地用戶配置文件）確保要遷移的用戶計算機開機并接入網(wǎng)絡，使用計算機遷移向?qū)нw移計算機帳戶1）在ActiveDirecty遷移工具控制臺中，單擊“操作”，然后單擊“計算機遷移向?qū)А薄?）使用下表中的

16、信息完成計算機遷移向?qū)АＯ驅(qū)ы摬僮饔蜻x擇在“域”中的“源”下，鍵入源域的BIOS或域名系統(tǒng)(DNS)名稱，或者單擊下拉列表中的名稱。在“域控制器”中，單擊域控制器的名稱，或單擊下拉列表中的“任何域控制器”。在“域”中的“目標”下，鍵入目標域的BIOS或DNS名稱，或者單擊下拉列表中的名稱。在“域控制器”中，單擊域控制器的名稱，或單擊下拉列表中的“任何域控制器”，然后單擊“下一步”。計算機選擇選項單擊“從域中選擇計算機”，然后單擊“下一步