以下内容适合新手,如有大侠路过,看到文章有纰漏或者不详细的地方请私信我,我做修改后给大家提供参考,另外转载的话请注明出处,方便有疑问或者提供在迁移中遇到问题的网友来咨询,另外也欢迎大家把迁移中遇到的问题以及解决方法发给我,我会加入到文档中方便大家参考,谢谢
我介绍一下我的个人环境,我搭建了两个单林单域的服务器A和B 服务器名取名为 testA 和testB 都为Windows server 2003 A服务器域名为:contoso.com B服务器域名为:contosob.com
B服务器下有台客户端,计算机名为client
我们的目标就是把contosob.com中的用户tom 迁移到contoso.com
为达到目的,我们分为以下几个环节来做、
一.建立两个域之间的DNS辅助区域
二.建立两个域之间的双向信任关系
三.安装admt工具(为了方便大家我把我从微软官网下载到的ADMT3个版本以及pwdmig工具做成ISO镜像方便用户ESXI使用,windows 2003 用的ADMT是3.0版本的 链接:http://pan.baidu.com/s/1c05W3Fa)
四.两个域的准备工作
五.迁移
DNS辅助区域建立
我们要做的是平滑迁移,尽量要让客户无感知,我们建立 DNS辅助区域的目的就是为了让两个域之间可以进行互相解析,个人理解为就好比路由一样,如果缺少这个,后续操作都会进行域账号认证,导致认证失败,以下是我的操作概述
1.首先我们要做的是让两个域服务器的DNS允许复制,如果不允许的话,你建立好辅助区域里面的数据是不会同步过来,右键A服务器的contoso.com 属性 选择允许区域复制就可以了 ,这个在B 服务器的contosob.com 也要这么做
2.打开DNS,在你的服务器上右键有个新建区域-选择辅助区域
3.因为我们要做的是对域名解析因此要建立的是正向查找区域
4.做好以后会自动重新加载,也可以右键刚才新建立好的 选择从服务器复制 或重新加载
至此 我们的DNS 辅助区域建立完成 ,再次重申,两个域都需要做区域复制 接下来要做 的是域信任
建立两个域之间的双向信任关系
1.在建立两个信任关系之前,我们要先对域架构进行升级 windows 2003 默认的事2000架构,据网上资料显示 从windows 2003 开始才支持 ADMT迁移 ,两个域都要提升
2.建立两个域信任关系两个域都得重复一样的操作 打开域信任 右键属性 点击信任选项卡
3.点击下一步进行 输入 对方域的域名 点击下一步,信任方向我们选择 双向,然后下一步
3.因为我们的环境简单,所作的信任 就是此域跟另外一个域 如果迁移的域规模庞大的话 建议用下面的把父域 建立信任
4。信任密码我的说一下 就是 两边建立信任关系时 ,信任密码都是一样的
至此 域信任已经建立完毕,很多人会问 怎么确立域信任 是否正常工作,其实我也没有很好的检测方法,不过在后面添加权限的时候 可以看到另外域的帐户 就是信任成功,到时候我会给大家说注意
.安装admt工具
接下来我们要安装ADMT域迁移工具了,在安装工具之前,如果是在现实环境中呢 ,一定要跟管理员协商 因为两边的域控要重启,以及后续迁移用户的时候 也会有重启,为了避免不必要的麻烦 ,做得时候一定要注意
我们重新温习一下 目的 我们是要将contosob.com 迁移到contoso.com 因此我们要在contoso.com域控制器 也就是服务器A 上安装 ADMT工具 称之为目的域 ,在contosob.com上安装pwdmig工具称之为 源域,我简单介绍一下 这两个工具,ADMT就是迁移工具,可以迁移用户 、组、计算机等信息 ,另外我们要迁移用户的时候 ,用户密码是迁移不过来的,所以我们要在源域安装pwdmig这个工具,它会提供一个密码导出服务器的一个服务选项,我们要在迁移的时候把 吐出来的密码随着用户的迁移一并迁移过来,这样就能保证客户端虽然换了域环境,但是用户信息都是不变的
至于安装方法呢,我也不在贴图了,直接下一步就可以了
在安装pwdmig 的时候 我的给大家说说
安装好 ADMT后 我们要在目的域 域控制器上 运行命令,目的就是将密码加载进pwdmig的工具里面去 如图:
我给大家解释一下这命令修改的参数,sourcedomaim:contosob.com 这里说的是源域的域名
keyfile: 这后面跟的是保存密码的路径 .pes是保存文件类型 keypassword 这个说的是打开这个文件的密码,执行过后就会生成一个文件 然后把这个文件 拷贝到 源域中(注意 以上步骤是在目标域左的,将生成的文件拷贝到源域中) 接下来我给大家看看怎么安装PWDMIG工具
1.在源域执行pwdmig文件
注意 这里的加密文件就是刚才 导出的内个文件,如果服务器拷贝了这个文件 软件会自动识别
这里输入的密码就是刚才导文件的时候命令的 keypassword的密码 然后一直下一步 进行安装完成 ,完成后 重启域控制器 至此 ADMT工具的安装已经完成 ,接下来我们要做一切迁移前的 权限阿 策略阿之类的设置
两个域的准备工作
为了使大家理解的不是很乱准备工作我分两波 一波为 两个域都要做得设置 另外一拨为源域做得一些设置
1。两边域都要做得设置,以一边为例
在本地管理员组的成员中添加其他域的域管理员组
我是以 contosob.com 为例做得添加 这里也是检验信任关系的地方 ,比如我添加用户的时候 有个位置 选项 就可以看到两个域的 信息 然后选择要添加的域 ,就可以选择域中的用户 此权限个人感觉是在迁移的时候需要进后台作操作,而这些操作只有本地管理员有这个权限可以修改,比如后来要做的 迁移用户 有个迁移密码,如果你的帐户没有权限对密码导出服务器的话 将提示没有权限,此服务默认是本地管理员帐户
另外在添加审核帐户策略
如果不添加此策略,在迁移用户过程中SID是迁移不过去,导致用户迁移后不能正常登陆
2。在源域进行设置
首先我们要开启 密码导出服务器的服务
注意 ,我在网上看到很多人说这个服务是中文的 但是我的2003 是英文的 中文就是在最下面有个密码导出服务器 英文就是这个 , 这个服务就是在迁移中有个选项 一个是迁移密码 一个是随机生成新密码,但是如果客户端多的话 将是非常恐怖的因此这个服务必须 开启
另外有两个设置都是为以后迁移的时候用到的
至此源域已经配置完毕
另外 server 2003 还有个特殊的地方 需要在 目标域 添加两个用户名来提高权限 ,08 就不用了
至此前期准备工作就完成了。接下来就要进行迁移
迁移
特别注意:在目标域的域控制器上迁移的时候要用 源域的域控制管理员帐号进行登陆来进行迁移 ,否则迁移计算机的时候会报错 如图:
然后执行迁移
迁移用户的时候 需要注意的是 在迁移用户 中SID和密码是必须迁移 否则将带来不小的麻烦
SID要是没有迁移过来 ,你迁移过去的用户将是用户名一样 但其实不是同一个用户
如图
其他的根据情况自己选择,用户就迁移完成了
迁移计算机的时候,迁移完成会自动重启客户端,因此迁移前需要跟客户进行沟通,个人建议迁移为0 分钟,如图
在执行完向导以后 都会有一个提示界面 因为我已经迁过一次了所以 这里面 已复制为0
在迁移计算机的时候点击此关闭 还会自动弹出一个框
建议先选择 运行预检查 看看是不是可以成功 如果失败根据报错信息找问题 ,如果成功然后再选择 第二个 在执行完 代理操作的时候 客户端就会重启 进行后检查 完成后就可以关闭了 然后客户端就可以用原有用户名 密码登陆 contoso.com域 在我的电脑中查看 就会发现 客户端已经属于 contoso.com域 至此 已经完成跨域迁移
同时希望大家能给点宝贵意见,第一次发文档 点个赞吧
[完]
server 2003 跨域迁移用户计算机详解