ADMT Ver3優於Ver2,用Ver3可避免一些操作錯誤。
**建議安裝Windows Resource Kit Tools,其中的acctinfo.dll對驗證賬戶SID_histroy很有幫助。
****具體用法:
****具體用法:
安裝Rktools後,在其目錄下的acctinfo.all複製到”%windir%system32” 下
開始〉執行(Alt+R)輸入:regsvr32 %windir%system32acctinfo.dll”
解除安裝:”regsvr32 /u ……”
**視情況可選安裝ADAM,具體工具使用方法可登陸微軟Technet或工具自帶幫助檔案。
**我用的Virtual PC2007搭建的虛擬環境
**視情況可選安裝ADAM,具體工具使用方法可登陸微軟Technet或工具自帶幫助檔案。
**我用的Virtual PC2007搭建的虛擬環境
**本步驟是以呂老師實驗說明為基礎,並結合ADMT v3.0幫助文件寫成,所有步驟本人已經驗證通過。
環境
三臺Windows server 2003 SP2 Ent域伺服器,兩臺Windows XP perfessional SP2客戶端,在一個網路192.168.100.0/24中。
目的:把一個域中的使用者和組遷移到另一臺域中,保證登入密碼不能變,訪問許可權不能變。 下面開始這個試驗的細節步驟。請仔細閱讀。 1.
三個域,分別是xnycool.com、new.com和old.com。(我這裡做xnycool.com的DC是為了做閘道器,其實閘道器指向自己也應可以,但其他實驗也要用,就做了;為了方便記憶,把源域配置成old.com,目標域配置成new.com,,希望大家能看懂 J)。
域控制器分別是:dc.xnycool.com>Gateway domain controller;olnewdc.old.com>source domain controller.和newdc.new.com>destination domain controller.
目的:把一個域中的使用者和組遷移到另一臺域中,保證登入密碼不能變,訪問許可權不能變。 下面開始這個試驗的細節步驟。請仔細閱讀。 1.
三個域,分別是xnycool.com、new.com和old.com。(我這裡做xnycool.com的DC是為了做閘道器,其實閘道器指向自己也應可以,但其他實驗也要用,就做了;為了方便記憶,把源域配置成old.com,目標域配置成new.com,,希望大家能看懂 J)。
域控制器分別是:dc.xnycool.com>Gateway domain controller;olnewdc.old.com>source domain controller.和newdc.new.com>destination domain controller.
在很多情況下,都是從windows2000 server遷移到windows server 2003,不過這兩種環境下的操作沒有太多的不同。
兩臺客戶機,都安裝xp sp2 cn.以後我們將配置成oldxp.old.com和newxp.new.com。
具體配置如列表1:
兩臺客戶機,都安裝xp sp2 cn.以後我們將配置成oldxp.old.com和newxp.new.com。
具體配置如列表1:
|
VPC |
dc.xnycool.com
(win svr 2003)
|
olddc.old.com
(win svr 2003) |
newdc.new.com
(win svr 2003) |
oldxp.old.com
( xp) |
newxp.new.com
(xp ) |
|
IP
|
192.168.100.1/24
|
192.168.100.10/24
|
192.168.100.100/24
|
192.168.100.11/24
|
192.168.10.110/24
|
|
Admin password
|
P@ssw0rd
|
P@ssw0rd
|
P@ssw0rd
|
Null
|
Null
|
|
DNS
|
127.0.0.1
|
127.0.0.1
|
127.0.0.1
|
192.168.100.10
|
192.168.100.100
|
|
備用DNS
|
Null
|
192.168.100.100
|
192.168.100.10
|
這是第4步的設定
|
|
因為我用的重新封裝,所以密碼設成一樣了,注意DC的密碼複雜度的要求。PC沒有設定密碼。
安裝AD的時候,連同DNS一起安裝(AD,WINS,DNS,DHCP) 2.
在系統安裝基本完成後新增一些OU,user, group。
列表2:
安裝AD的時候,連同DNS一起安裝(AD,WINS,DNS,DHCP) 2.
在系統安裝基本完成後新增一些OU,user, group。
列表2:
|
|
olddc.old.com
|
newdc.new.com
|
|
OU
|
oldou
|
newou
|
|
User
password |
olduser0, olduser1,olduser2,olduser3
Olduser!! |
newuser1
Newuser!! |
|
Security group
|
oldgroupp
|
|
把olduser1,olduser2和olduser3新增到oldgroup中
3.
把兩臺PC分別加入域,並且用各自域的administrator登入。
在olddc.old.com中新建資料夾oldgroup並在其中新建oldgroup.txt,賦予oldgroup組Full Control,
再新建資料夾onlyuser3,並在其中新建olduser3.txt,賦予olduser1,olduser2 Readonly和olduser3 Full Control。
把兩臺PC分別加入域,並且用各自域的administrator登入。
在olddc.old.com中新建資料夾oldgroup並在其中新建oldgroup.txt,賦予oldgroup組Full Control,
再新建資料夾onlyuser3,並在其中新建olduser3.txt,賦予olduser1,olduser2 Readonly和olduser3 Full Control。
用olduser*分別登入oldxp,在oldgroup.txt和olduser3.txt中寫入: “olduser*在遷移前修改”.(只讀的當然不能改了),儲存.
這裡olduser0是驗證許可權用,其餘四個使用者(olduser1,olduser2,olduser3和newuser1)用於驗證SID History。
4.
配置olddc和newdc的dns,設定條件轉發,如表1。這一步在接下來的信任域中是很有用的。 5.
在兩臺DC中插入windows server2003系統盤,安裝SUPPORTTOOLS SUPTOOLS.MSI,這其中有接下來需要的程式命令netdom。這個命令用於配置域信任屬性。在newdc.new.com中安裝Active Directory Migration Tool v3.0,並且預設安裝MSSQL server Desktop Engine。(一般DC上不會安裝SQL,如果安裝了就使用已有SQL吧),建議在olddc上也安裝,因為要用到密碼遷移服務,安裝完後重啟電腦。
提升兩臺DC的域功能,在AD域和信任關係中右擊域控制器,選擇提升域功能級別…可以提升到windows2003,但提升到這個級別是不可逆的。 7.
在new.com中新增old.com的信任關係。在AD域和信任關係中,展開ADST(AD域和信任關係) 右擊new.com, 選擇屬性。在信任列表中點選新建信任 > 下一步>
輸入old.com, 下一步>雙向, 下一步> 只是這個域>全域性認證>下一步
輸入與管理員密碼:P@ssw0rd , 下一步 > 下一步>
從提示資訊可以看到trust建立完成, 下一步>
這裡詢問方向,這裡我們要使用雙向信任直到最後完成。
最後會彈出一個訊息對話方塊說當啟用外部信任後SID過濾就啟用了。在後面的使用者遷移中我們要關閉這個功能。
其命令列是:netdom trust TrustingDomainName/d:TrustedDomainName /quarantine:No/uo:domainadministratorAcct /po:domainadminpwd(ADMT幫助檔案中有)
netdom trust old.com /uo:administrator /po:P@ssw0rd /d:dist /ud:administrator /pd:P@ssw0rd /add /twoway /enablesidhistory 8.
在做使用者遷移中需要對方的administrator許可權,所以要把這兩個域的administrator使用者或者domain admins組加入到對方的administrators組中,建議選擇加入domain admins組,administrator也是這個組中的成員。 9.
在遷移密碼的時候需要生成一個資料庫,.pes檔案,用於存放密碼。在newdc.new.com的cmd中輸入命令:
admt key /option:create /sourcedomain:old.com /keyfile:c:keyfile /keypassword:password(這個密碼可有可無)
完成後,在C盤中就會生成keyfile.pes這個檔案,然後把這個檔案複製到olddc.old.com的C:下,可以用共享的方法。在這裡我對資料庫檔案建立了個密碼。這個密碼可有可無。 10.
現在就要開始在olddc.old.com中安裝PES(Password Export Server)服務了,這個服務用於域間資源遷移,在整個遷移過程中其核心作用。現在來安裝PES(pwdmig.msi)。這個安裝檔案在newdc.new.com中,路徑是:C:WINDOWSADMTPES。安裝ADMT後才有。
如果你沒有在9中設定密碼,密碼提示框是不會出現的。建議選擇: newadministrator登陸,這樣在newdc遷移過程中能直接讀取olddc中資料庫裡的資訊。
重啟後,PES預設是不自動啟動的,這需要手動讓它執行。
開啟services.msc,右擊Password Export Server Service, 然後點 Start。現在PES才開始執行。注意,遷移完所有的資源後,關閉他,其實重啟下olddc就可以了。 11.
接下來回到newdc開始做遷移了。我先遷移哦oldgroup,先遷移組或成員,對結構關係才不會改變。開啟AD遷移工具。右擊Active Directory遷移工具,點組賬戶遷移向導。
下一步>源和目的不能選錯>下一步>從域中選擇組>新增 >輸入 oldgroup>確定>
選擇newou>
這裡要勾選遷移 SIDs 到 目標域,這是我們的目的。
隨後的 衝突管理中詢問當出現衝突的時候採取的策略,一般來說當遷移到一個新安裝的dc中,是不會出現衝突的。這裡按照預設的選擇,下一步
到此就完成了嚮導, finish. 結束後,系統提示遷移完成,可以檢視相應的log,並可以在newou中檢視結果
在此之前我們在olddc.old.com中用建立了兩個共享資料夾,其許可權參考3。在oldgroup組中的使用者對oldgroup共享資料夾有完全許可權。現在我們把newuser1加入到oldgroup中,看看newuser1是否能修改oldgroup.txt。通過網路鄰居訪問oldgroup,發現沒有足夠的許可權。其原因是,當建立域間外部信任的時候,SID篩選會自動啟用,只有關閉SID篩選功能才能訪問。
4.
配置olddc和newdc的dns,設定條件轉發,如表1。這一步在接下來的信任域中是很有用的。 5.
在兩臺DC中插入windows server2003系統盤,安裝SUPPORTTOOLS SUPTOOLS.MSI,這其中有接下來需要的程式命令netdom。這個命令用於配置域信任屬性。在newdc.new.com中安裝Active Directory Migration Tool v3.0,並且預設安裝MSSQL server Desktop Engine。(一般DC上不會安裝SQL,如果安裝了就使用已有SQL吧),建議在olddc上也安裝,因為要用到密碼遷移服務,安裝完後重啟電腦。
好了,所有的準備工作都已經做完了,接下來就開始作遷移了。以上的準備工作都是相當重要。一定要仔細看步驟,認真對照。 6.
提升兩臺DC的域功能,在AD域和信任關係中右擊域控制器,選擇提升域功能級別…可以提升到windows2003,但提升到這個級別是不可逆的。 7.
在new.com中新增old.com的信任關係。在AD域和信任關係中,展開ADST(AD域和信任關係) 右擊new.com, 選擇屬性。在信任列表中點選新建信任 > 下一步>
輸入old.com, 下一步>雙向, 下一步> 只是這個域>全域性認證>下一步
輸入與管理員密碼:P@ssw0rd , 下一步 > 下一步>
從提示資訊可以看到trust建立完成, 下一步>
這裡詢問方向,這裡我們要使用雙向信任直到最後完成。
最後會彈出一個訊息對話方塊說當啟用外部信任後SID過濾就啟用了。在後面的使用者遷移中我們要關閉這個功能。
其命令列是:netdom trust TrustingDomainName/d:TrustedDomainName /quarantine:No/uo:domainadministratorAcct /po:domainadminpwd(ADMT幫助檔案中有)
完成以上的步驟可以用一條命令,在newdc.new.com中, cmd輸入:
netdom trust old.com /uo:administrator /po:P@ssw0rd /d:dist /ud:administrator /pd:P@ssw0rd /add /twoway /enablesidhistory 8.
在做使用者遷移中需要對方的administrator許可權,所以要把這兩個域的administrator使用者或者domain admins組加入到對方的administrators組中,建議選擇加入domain admins組,administrator也是這個組中的成員。 9.
在遷移密碼的時候需要生成一個資料庫,.pes檔案,用於存放密碼。在newdc.new.com的cmd中輸入命令:
admt key /option:create /sourcedomain:old.com /keyfile:c:keyfile /keypassword:password(這個密碼可有可無)
完成後,在C盤中就會生成keyfile.pes這個檔案,然後把這個檔案複製到olddc.old.com的C:下,可以用共享的方法。在這裡我對資料庫檔案建立了個密碼。這個密碼可有可無。 10.
現在就要開始在olddc.old.com中安裝PES(Password Export Server)服務了,這個服務用於域間資源遷移,在整個遷移過程中其核心作用。現在來安裝PES(pwdmig.msi)。這個安裝檔案在newdc.new.com中,路徑是:C:WINDOWSADMTPES。安裝ADMT後才有。
在說明一點這個程式在系統光碟中也有,路徑在I386ADMTPWDMIG。這個是2.0版本的,測試下來和3.0不相容。
開始安裝PES,
直至安裝完成提示重新啟動。
如果你沒有在9中設定密碼,密碼提示框是不會出現的。建議選擇: newadministrator登陸,這樣在newdc遷移過程中能直接讀取olddc中資料庫裡的資訊。
重啟後,PES預設是不自動啟動的,這需要手動讓它執行。
開啟services.msc,右擊Password Export Server Service, 然後點 Start。現在PES才開始執行。注意,遷移完所有的資源後,關閉他,其實重啟下olddc就可以了。 11.
接下來回到newdc開始做遷移了。我先遷移哦oldgroup,先遷移組或成員,對結構關係才不會改變。開啟AD遷移工具。右擊Active Directory遷移工具,點組賬戶遷移向導。
下一步>源和目的不能選錯>下一步>從域中選擇組>新增 >輸入 oldgroup>確定>
選擇newou>
這裡要勾選遷移 SIDs 到 目標域,這是我們的目的。
next
下去後會彈出三個tip,一一確定,分別是詢問開啟源域的稽核,目標域的稽核,和在源域 DC中建立SOUR$$$組。接下來就是輸入old.com的管理員使用者名稱和密碼,下一步在Object Property Exclude中詢問是否需要排除某些屬性,預設不排除任何屬性, 下一步隨後的 衝突管理中詢問當出現衝突的時候採取的策略,一般來說當遷移到一個新安裝的dc中,是不會出現衝突的。這裡按照預設的選擇,下一步
到此就完成了嚮導, finish. 結束後,系統提示遷移完成,可以檢視相應的log,並可以在newou中檢視結果
oldgroup
已經遷移過來了。遷移過來了是否就能同以前一樣使用呢?我們要測試才知道。 12.在此之前我們在olddc.old.com中用建立了兩個共享資料夾,其許可權參考3。在oldgroup組中的使用者對oldgroup共享資料夾有完全許可權。現在我們把newuser1加入到oldgroup中,看看newuser1是否能修改oldgroup.txt。通過網路鄰居訪問oldgroup,發現沒有足夠的許可權。其原因是,當建立域間外部信任的時候,SID篩選會自動啟用,只有關閉SID篩選功能才能訪問。
在newdc.new.com中輸入:
Netdomtrust old.com /domain:new.com /quarantine:no /usero:administrator /passwordo:P@ssw0rd
好了現在再看看,能不能訪問了
組oldgroup的SIDHistory驗證結束。
13.
現在來遷移使用者同樣右擊,點使用者賬戶遷移向導.前面設定和組遷移操作無異, 當操作到這裡,注意選擇,選擇遷移密碼。如果選擇生成複雜密碼,會把新的密碼寫入一個檔案中。以後登入就是用生成的新密碼,而不是原來的密碼。就違背了我們當初的要求。下一步 如果出現與PES連線不上,說明Password Export ServerService沒有手動開啟或正常安裝。參考10 確認選中遷移使用者 SIDs 到目標域。
接下來根據自己的情況選擇吧。 遷移後,用olduser1登入到newxp,訪問共享檔案。 能完全控制了。檢視共享資料夾的屬性發現,使用者也更改了。 說明使用者徹底遷移過去了。
在olduser登入new域時,注意到使用者登入後需要更改密碼了。這是遷移策略所致,遷移日誌中記錄已禁用“密碼永不過期”。檢視下賬戶選項. 如果不希望下次登入需要修改密碼,修改其屬性。 14.
遷移計算機。這個功能不好用也不常用。當需要遷移計算機的時候,只需要重新在加入目標域就可以了。如果是olddc,遷移後重新安裝系統並加入域即可。然後把修改client的DNS指向到newdc就可以,即192.168.10.5。 15.
所有的這些都完成了,就把信任域關係給刪除。
現在來遷移使用者同樣右擊,點使用者賬戶遷移向導.前面設定和組遷移操作無異, 當操作到這裡,注意選擇,選擇遷移密碼。如果選擇生成複雜密碼,會把新的密碼寫入一個檔案中。以後登入就是用生成的新密碼,而不是原來的密碼。就違背了我們當初的要求。下一步 如果出現與PES連線不上,說明Password Export ServerService沒有手動開啟或正常安裝。參考10 確認選中遷移使用者 SIDs 到目標域。
接下來根據自己的情況選擇吧。 遷移後,用olduser1登入到newxp,訪問共享檔案。 能完全控制了。檢視共享資料夾的屬性發現,使用者也更改了。 說明使用者徹底遷移過去了。
在olduser登入new域時,注意到使用者登入後需要更改密碼了。這是遷移策略所致,遷移日誌中記錄已禁用“密碼永不過期”。檢視下賬戶選項. 如果不希望下次登入需要修改密碼,修改其屬性。 14.
遷移計算機。這個功能不好用也不常用。當需要遷移計算機的時候,只需要重新在加入目標域就可以了。如果是olddc,遷移後重新安裝系統並加入域即可。然後把修改client的DNS指向到newdc就可以,即192.168.10.5。 15.
所有的這些都完成了,就把信任域關係給刪除。
好了,現在徹底完成這項試驗了。
16.
關於組策略的所有設定,遷移後將不會變,使用者配置檔案在計算機遷移後仍可用。
比如:olduser1在遷移前在oldxp上自動生成olduser1文件,使用者和計算機都遷移後,登陸會慢些,自動生成olduser1.NEW文件,olduser1使用者只能開啟這兩個文件,我想這就是解決SID歷史過渡問題。