域遷移教程

1、域遷移域遷移首先這是一個(gè)很大的工程需要做好做大量的工作的準(zhǔn)備.關(guān)于升級(jí)和改名您有2個(gè)選擇:例如:1.把windows2000的域改名然后把windows2008加入windows2000域然后復(fù)制數(shù)據(jù)轉(zhuǎn)移FSMOGCDNS.移除舊的windows2000DC提升林和域的功能級(jí)別.使它變成一個(gè)純2008的域.2.安裝一個(gè)全新的windows2008域使用您需要的域名.然后進(jìn)行ad遷移.完成以后移除舊的域和域控制器.對(duì)比兩種方法:第一種雖然

2、比較麻煩但是可以完整的保留所有的AD數(shù)據(jù)配置.遷移完成以后對(duì)現(xiàn)有程序和用戶來說完全沒有影響.第二種方法比較簡潔.主要的就是做一個(gè)AD遷移但是有些數(shù)據(jù)是無法遷移的.如用戶的密碼文件的訪問權(quán)限等等.而且遷移的過程也是很復(fù)雜的.需要對(duì)用戶計(jì)算機(jī)資源分別遷移以下Eahua提供的域遷移第一種，先安裝WIN2003，并加入域，再提升為域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，把2000dcpromo掉，完成之后，擴(kuò)展域，并提升為2003模式，安裝2008，

3、加入2003，安裝域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，dcpromo掉2003，提升林和域的功能級(jí)別，然后在再修改域名，這樣漸進(jìn)出錯(cuò)機(jī)率比較??；第二種，遷移，先安裝WIN2003，并加入域，再提升為域控，F(xiàn)SMO，GC，DNS轉(zhuǎn)移，把2000dcpromo掉，完成之后，擴(kuò)展域，并提升為2003模式，升級(jí)完成后，安裝一個(gè)全新的2008域，建立域信任，禁用SIDFilteringSIDFiltering功能若啟用將阻止受信任域（目標(biāo)域）用戶訪

4、問信任域（源域）資源。為了禁用SIDFiltering，在ADMT計(jì)算機(jī)上用源域Administrat登錄，運(yùn)行：domtrustdomainA.localdomain:domainB.localquarantine:no確認(rèn)得到提示：Thecommcompletedsuccessfully.啟用SIDHistySIDHisty功能若禁用將阻止受信任域（目標(biāo)域）用戶使用SIDHisty訪問信任域（源域）資源。為了啟用SIDHisty，在

5、ADMT計(jì)算機(jī)上用源域Administrat登錄，運(yùn)行：domtrustdomainA.localdomain:domainB.localenablesidhisty:yes確認(rèn)得到提示：Thecommcompletedsuccessfully.遷移域用戶及其SID，遷移計(jì)算機(jī)，最后遷移文件服務(wù)器，以下為例遷移：ADMTv3跨森林遷移StepbyStep指南源域：WindowsServer2003DC（域名DomainA.local，B

6、IOS域名DomainA）目標(biāo)域（新建域）：WindowsServer2003DC（域名DomainB.local，BIOS域名DomainB)要求：平滑遷移，用戶在遷移過程中始終能訪問源域的資源一ADMT遷移之前的準(zhǔn)備工作1.為了更好的降低風(fēng)險(xiǎn)，備份源域DC、要遷移的服務(wù)器、VIP客戶機(jī)（比如領(lǐng)導(dǎo)的）和目標(biāo)域DC的系統(tǒng)狀態(tài)和系統(tǒng)盤數(shù)據(jù)（系統(tǒng)盤數(shù)據(jù)中包括本地用戶配置文件），步驟如下：a.單擊開始，指向程序，指向附件，指向系統(tǒng)工具，然后單

7、擊備份。b.取消選擇“總是以向?qū)Ｊ竭\(yùn)行”，單擊“取消”關(guān)閉備份工具，重新打開備份工具。c.單擊備份選項(xiàng)卡。d.單擊以選中C:（假設(shè)系統(tǒng)盤為C：）、系統(tǒng)狀態(tài)。如果是ExchangeServer，還需選中MicrosoftExchangeServerServerNameMicrosoftInfmationSte。e.指定備份媒體或文件名，開始備份。2.在開始遷移之前，請(qǐng)執(zhí)行如下的測試遷移步驟：創(chuàng)建測試用戶，將該測試用戶添加到合適的全局組，

8、然后在遷移之前和之后驗(yàn)證資源的訪問權(quán)限。3.對(duì)利用加密文件系統(tǒng)(EFS)方式加密的文件進(jìn)行解密。解密加密文件失敗將導(dǎo)致遷移后無法訪問加密文件。請(qǐng)確保告知最終用戶必須解密所有加密的文件，否則他們將無法訪問那些文件。4.請(qǐng)確保要從中遷移對(duì)象的每個(gè)域中的系統(tǒng)時(shí)間都是同步的。時(shí)間偏差將導(dǎo)致Kerberos身份驗(yàn)證失敗。二為遷移配置環(huán)境1配置源域和目標(biāo)域以滿足遷移需求1）請(qǐng)驗(yàn)證是否建立了相應(yīng)的信賴關(guān)系。推薦在源帳戶域和目標(biāo)域之間建立雙向信任關(guān)系，

9、使源域和目標(biāo)域相互信任。但最少源域要信任目標(biāo)域。2）為執(zhí)行遷移任務(wù)分配相應(yīng)的憑據(jù)：要執(zhí)行遷移，您必須是安裝有ADMT的計(jì)算機(jī)上的BuiltinAdministrats組成員。要遷止受信任域（目標(biāo)域）用戶訪問信任域（源域）資源。為了禁用SIDFiltering，在ADMT計(jì)算機(jī)上用源域Administrat登錄，運(yùn)行：domtrustdomainA.localdomain:domainB.localquarantine:no確認(rèn)得到提示：

10、Thecommcompletedsuccessfully.5啟用SIDHistySIDHisty功能若禁用將阻止受信任域（目標(biāo)域）用戶使用SIDHisty訪問信任域（源域）資源。為了啟用SIDHisty，在ADMT計(jì)算機(jī)上用源域Administrat登錄，運(yùn)行：domtrustdomainA.localdomain:domainB.localenablesidhisty:yes確認(rèn)得到提示：Thecommcompletedsuccess

11、fully.三正式開始遷移1遷移用戶賬戶和組使用用戶帳戶遷移向?qū)нw移用戶帳戶1）在ActiveDirecty遷移工具控制臺(tái)中，單擊“操作”，然后單擊“用戶帳戶遷移向?qū)А薄?）使用下表中的信息完成用戶帳戶遷移向?qū)?。向?qū)ы摬僮饔蜻x擇在“域”下拉列表中的“源”下，鍵入或選擇源域的BIOS或域名系統(tǒng)(DNS)名稱。在“域控制器”下拉列表中，鍵入或選擇域控制器的名稱，或選擇“任何域控制器”。在“域”下拉列表中的“目標(biāo)”下，鍵入或選擇目標(biāo)域的BIO

12、S或DNS名稱。在“域控制器”下拉列表中，鍵入或選擇域控制器的名稱，或選擇“任何域控制器”，然后單擊“下一步”。用戶選擇選項(xiàng)單擊“從域中選擇用戶”，然后單擊“下一步”。在“用戶選擇”頁中，單擊需要遷移的一批用戶帳號(hào)，單擊“添加”，然后單擊“下一步”。組織單位選擇在“目標(biāo)OU”中，確保默認(rèn)情況下列出正確的目標(biāo)組織單位(OU)。如果它不正確，則鍵入正確OU的可分辨名稱，或者單擊“瀏覽”。在“瀏覽容器”對(duì)話框中，找到目標(biāo)域和OU，然后單擊“下

13、一步”。密碼選項(xiàng)選擇“遷移密碼”密碼選項(xiàng)，然后單擊“下一步”。帳戶轉(zhuǎn)換選項(xiàng)對(duì)于目標(biāo)域，單擊“禁用目標(biāo)帳戶”最后，請(qǐng)選中“將用戶SID遷移至目標(biāo)域”復(fù)選框，然后單擊“下一步”。用戶帳戶在“用戶名”、“密碼”和“域”中，鍵入包括源域中的Administrat帳戶的信息，然后單擊“下一步”。用戶選項(xiàng)要自定義用戶遷移，請(qǐng)選中以下用戶選項(xiàng)的復(fù)選框，然后單擊“下一步”：轉(zhuǎn)換漫游配置文件（如果有漫游配置文件）更新用戶權(quán)利遷移關(guān)聯(lián)的用戶組修復(fù)用戶的組成

14、員身份（必須選，否則用戶將和組脫離）沖突管理要指定如何處理遷移沖突，請(qǐng)單擊遷移并合并沖突對(duì)象單擊“遷移并合并沖突對(duì)象”，并選擇在合并前刪除現(xiàn)有目標(biāo)帳戶的用戶權(quán)利完成選擇選項(xiàng)后，請(qǐng)單擊“下一步”。完成用戶帳戶遷移向?qū)?fù)查您的選擇，然后單擊“完成”。注意：建議分批遷移用戶帳號(hào)，比如50個(gè)為一批。遷移漫游配置文件（非本地配置文件）也在這一步做。選擇“遷移關(guān)聯(lián)的用戶組”選項(xiàng)以同時(shí)遷移組。選擇修復(fù)用戶的組成員身份以保證用戶和組關(guān)聯(lián)。先禁用目標(biāo)用戶

15、帳號(hào)，等到用戶配置文件遷完再啟用，否則用戶若提前使用目標(biāo)用戶帳號(hào)登錄目標(biāo)域，用戶配置文件遷移將失敗。默認(rèn)情況下，遷移后的目標(biāo)域用戶帳號(hào)必須在下次使用時(shí)修改密碼，如不需要等遷移后在用戶帳號(hào)屬性中手動(dòng)取消這個(gè)選項(xiàng)。2.遷移用戶計(jì)算機(jī)帳號(hào)和安全（包括本地用戶配置文件）確保要遷移的用戶計(jì)算機(jī)開機(jī)并接入網(wǎng)絡(luò)，使用計(jì)算機(jī)遷移向?qū)нw移計(jì)算機(jī)帳戶1）在ActiveDirecty遷移工具控制臺(tái)中，單擊“操作”，然后單擊“計(jì)算機(jī)遷移向?qū)А薄?）使用下表中的

16、信息完成計(jì)算機(jī)遷移向?qū)?。向?qū)ы摬僮饔蜻x擇在“域”中的“源”下，鍵入源域的BIOS或域名系統(tǒng)(DNS)名稱，或者單擊下拉列表中的名稱。在“域控制器”中，單擊域控制器的名稱，或單擊下拉列表中的“任何域控制器”。在“域”中的“目標(biāo)”下，鍵入目標(biāo)域的BIOS或DNS名稱，或者單擊下拉列表中的名稱。在“域控制器”中，單擊域控制器的名稱，或單擊下拉列表中的“任何域控制器”，然后單擊“下一步”。計(jì)算機(jī)選擇選項(xiàng)單擊“從域中選擇計(jì)算機(jī)”，然后單擊“下一步