進行「網域遷移」,需要兩項「工具」-「ADMT 3.2 Tools」、「Pwdmig」
1.「ADMT 3.2」- Active Directory 遷移工具,執行物件遷移和安全性轉譯,讓使用者在遷移程序期間可以繼續存取網路資源。
2.「Pwdmig」- 如果只用「ADMT」遷移帳號,而不遷移帳號對應的「密碼」和「SID」,通常是沒什麼意義的,遷移了密碼,客戶端就不會感覺改密碼的問題,遷移了SID,原有的「文件、系統、權限」就會保留,以前的共享文件也仍然可以登入。
簡單看一下「架構圖示」
「BLab.com」
( 詳細過程忽略,請自行學習 )
「ALab.com」
「BLab.com」
1.「ADMT 3.2」- Active Directory 遷移工具,執行物件遷移和安全性轉譯,讓使用者在遷移程序期間可以繼續存取網路資源。
2.「Pwdmig」- 如果只用「ADMT」遷移帳號,而不遷移帳號對應的「密碼」和「SID」,通常是沒什麼意義的,遷移了密碼,客戶端就不會感覺改密碼的問題,遷移了SID,原有的「文件、系統、權限」就會保留,以前的共享文件也仍然可以登入。
簡單看一下「架構圖示」
1. 設定「條件轉寄站」
PS.
( 詳細過程忽略,請自行學習 )
「ALab.com」DC 「DNS」=> 建立「條件轉寄站」=> 指向「BLab.com」DC
「BLab.com」DC「DNS」=> 建立「條件轉寄站」=> 指向「ALab.com」DC
測試「雙方」網域名稱解析
「ALab.com」
「BLab.com」
2. 建立「信任關係」Two-Way Trust
PS.( 詳細過程忽略,請自行學習 )
「ALab.com」
「BLab.com」
3. 目標「AD」(BLab.com),安裝「ADMT 3.2」,需要搭配「SQL Server」(自行安裝)。
安裝 「SQL Server 2008 R2 Express」或「SQL Server 2008 R2」
PS.
( SQL Server 詳細過程忽略,請自行學習 )
安裝「ADMT 3.2」
選擇「SQL Server」資料庫,安裝位置
安裝完成後,主角登場「Active Directory Migration Tool」,暫時還用不著...,繼續往下看。
安裝 「SQL Server 2008 R2 Express」或「SQL Server 2008 R2」
PS.
( SQL Server 詳細過程忽略,請自行學習 )
安裝「ADMT 3.2」
選擇「SQL Server」資料庫,安裝位置
安裝完成後,主角登場「Active Directory Migration Tool」,暫時還用不著...,繼續往下看。
4. 目標「AD」(BLab.com),輸入「指令」,匯出 來源「AD」(ALab.com)「.pes」密碼文件。
「命令提示字元」=>「admt key /option:create /sourcedomain:ALab.com /keyfile:ALab.com /keypassword:ALab.com」
PS
「紅色」部分是「設定」密碼,提供「匯入」使用。
會產生一份「ALab.com.pes」放置在「C:\Users\帳號」目錄內
5. 來源「AD」(ALab.com),安裝「Pwdmig」工具,並匯入「.pes」密碼文件
選擇 匯出 (BLab.com)「.pes」檔案,進行「匯入」
關鍵來了,輸入剛剛設定「密碼」,本範例為「ALab.com」
使用「Pwdmig」需要註冊一個「執行身分」,使用「ALab.com」Domain Admin 即可
接下來「重新開機」,「Pwdmig」終於裝好了..冏
開啟「Services.msc」啟動「密碼匯出伺服器」服務
6.將雙方的「Domain Admins」使用者,加入到雙方網域「Administrators」群組
「ALab.com」加入「BLab.com」Domain Admins 使用者
「BLab.com」加入「ALab.com」Domain Admins 使用者
7. 目標「AD」(BLab.com),轉移 來源「AD」(ALab.com)「使用者」和「電腦名稱」
開啟「Active Directory Migration Tool」
7.1 轉移「User Account」
選擇「來源」 Domain 與「目標」Domain
從「網域」選擇「使用者」
選擇「網域」內「使用者」
選擇「使用者」轉移,存放「組織單位」(OU)
選擇「移轉」Passwords,讓「密碼」一致。
1. 選擇「目標」與「來源」相同
2. 選擇「SID」轉移到「目標」網域
選擇「是」
選擇「是」
輸入「目標」網域「驗證」,使用「Domain Adminis」帳戶驗證
如果轉移「帳戶」有問題,自動「修復」
將「預設」用戶「屬性」全部遷移
請不要移轉「來源」屬性,如果「目標」網域發生衝突,則檢測「目標網域」屬性。
點選「完成」
顯示「移轉」狀態
點選「View Log」
如果顯示「Operation Completed」表示「成功」
檢查「AD」目錄,已經轉移「OK」
7.2 轉移「Computer Name」
轉移「使用者」在哪個「OU」則,轉移電腦「預設」OU也會在哪裡,可以透過「Browse」修改。
「電腦名稱」轉移「完畢」
8. 先退「網域」,Client PC 修改「DNS」指向「新網域」(網域) IP、並重新加入「新網域」即可。
退「網域」,修改「DNS」指向「新網域」
加入新「網域」,搞定...收工
感謝「Y2K」提供這些失傳的「工具」 ^_^"
「命令提示字元」=>「admt key /option:create /sourcedomain:ALab.com /keyfile:ALab.com /keypassword:ALab.com」
PS
「紅色」部分是「設定」密碼,提供「匯入」使用。
會產生一份「ALab.com.pes」放置在「C:\Users\帳號」目錄內
5. 來源「AD」(ALab.com),安裝「Pwdmig」工具,並匯入「.pes」密碼文件
選擇 匯出 (BLab.com)「.pes」檔案,進行「匯入」
關鍵來了,輸入剛剛設定「密碼」,本範例為「ALab.com」
使用「Pwdmig」需要註冊一個「執行身分」,使用「ALab.com」Domain Admin 即可
接下來「重新開機」,「Pwdmig」終於裝好了..冏
開啟「Services.msc」啟動「密碼匯出伺服器」服務
6.將雙方的「Domain Admins」使用者,加入到雙方網域「Administrators」群組
「ALab.com」加入「BLab.com」Domain Admins 使用者
「BLab.com」加入「ALab.com」Domain Admins 使用者
7. 目標「AD」(BLab.com),轉移 來源「AD」(ALab.com)「使用者」和「電腦名稱」
開啟「Active Directory Migration Tool」
7.1 轉移「User Account」
選擇「來源」 Domain 與「目標」Domain
從「網域」選擇「使用者」
選擇「網域」內「使用者」
選擇「使用者」轉移,存放「組織單位」(OU)
選擇「移轉」Passwords,讓「密碼」一致。
1. 選擇「目標」與「來源」相同
2. 選擇「SID」轉移到「目標」網域
選擇「是」
選擇「是」
輸入「目標」網域「驗證」,使用「Domain Adminis」帳戶驗證
如果轉移「帳戶」有問題,自動「修復」
將「預設」用戶「屬性」全部遷移
請不要移轉「來源」屬性,如果「目標」網域發生衝突,則檢測「目標網域」屬性。
點選「完成」
顯示「移轉」狀態
點選「View Log」
如果顯示「Operation Completed」表示「成功」
檢查「AD」目錄,已經轉移「OK」
7.2 轉移「Computer Name」
轉移「使用者」在哪個「OU」則,轉移電腦「預設」OU也會在哪裡,可以透過「Browse」修改。
「電腦名稱」轉移「完畢」
8. 先退「網域」,Client PC 修改「DNS」指向「新網域」(網域) IP、並重新加入「新網域」即可。
退「網域」,修改「DNS」指向「新網域」
感謝「Y2K」提供這些失傳的「工具」 ^_^"
參考資料
「51 CTO 博客」-「活动目录实战之六 使用ADMT 3.2迁移用户和计算机」
「新浪博客」-「ADMT迁移帐号密码和SID时最关键的2步」
「Jason的電腦健身房」-「如何修改Windows Server 2008網域的名稱、NetBIOS名稱」
「Technet」-「Move Gpo Across Domains」
「新浪博客」-「ADMT迁移帐号密码和SID时最关键的2步」
「Jason的電腦健身房」-「如何修改Windows Server 2008網域的名稱、NetBIOS名稱」
「Technet」-「Move Gpo Across Domains」
感謝版大.有時忘了怎麼操作還可以來這邊看一下,
回覆刪除