server 2003 跨域遷移用戶計(jì)算機(jī)教程

建了兩個(gè)單林單域的服務(wù)器A和B  服務(wù)器名取名為 testA 和testB 都為Windows server 2003  A服務(wù)器域名為:contoso.com    B服務(wù)器域名為:contosob.com

B服務(wù)器下有臺客戶端,計(jì)算機(jī)名為client  

我們的目標(biāo)就是把contosob.com中的用戶tom  遷移到contoso.com

為達(dá)到目的，我們分為以下幾個(gè)環(huán)節(jié)來做、

一.建立兩個(gè)域之間的DNS輔助區(qū)域

二.建立兩個(gè)域之間的雙向信任關(guān)系

三.安裝admt工具(為了方便大家我把我從微軟官網(wǎng)下載到的ADMT3個(gè)版本以及pwdmig工具做成ISO鏡像方便用戶ESXI使用，windows 2003 用的ADMT是3.0版本的 鏈接：http://pan.baidu.com/s/1c05W3Fa)

四.兩個(gè)域的準(zhǔn)備工作

五.遷移

DNS輔助區(qū)域建立

我們要做的是平滑遷移，盡量要讓客戶無感知，我們建立 DNS輔助區(qū)域的目的就是為了讓兩個(gè)域之間可以進(jìn)行互相解析，個(gè)人理解為就好比路由一樣，如果缺少這個(gè)，后續(xù)操作都會進(jìn)行域賬號認(rèn)證，導(dǎo)致認(rèn)證失敗，以下是我的操作概述

1.首先我們要做的是讓兩個(gè)域服務(wù)器的DNS允許復(fù)制，如果不允許的話，你建立好輔助區(qū)域里面的數(shù)據(jù)是不會同步過來，右鍵A服務(wù)器的contoso.com 屬性 選擇允許區(qū)域復(fù)制就可以了 ，這個(gè)在B 服務(wù)器的contosob.com  也要這么做

2.打開DNS，在你的服務(wù)器上右鍵有個(gè)新建區(qū)域-選擇輔助區(qū)域

3.因?yàn)槲覀円�做的是對域名解析因此要建立的是正向查找區(qū)域

4.做好以后會自動重新加載，也可以右鍵剛才新建立好的 選擇從服務(wù)器復(fù)制 或重新加載

至此 我們的DNS 輔助區(qū)域建立完成 ，再次重申，兩個(gè)域都需要做區(qū)域復(fù)制  接下來要做 的是域信任

建立兩個(gè)域之間的雙向信任關(guān)系

1.在建立兩個(gè)信任關(guān)系之前，我們要先對域架構(gòu)進(jìn)行升級 windows 2003 默認(rèn)的事2000架構(gòu)，據(jù)網(wǎng)上資料顯示 從windows 2003 開始才支持 ADMT遷移 ，兩個(gè)域都要提升

2.建立兩個(gè)域信任關(guān)系兩個(gè)域都得重復(fù)一樣的操作 打開域信任 右鍵屬性 點(diǎn)擊信任選項(xiàng)卡

3.點(diǎn)擊下一步進(jìn)行 輸入 對方域的域名 點(diǎn)擊下一步，信任方向我們選擇 雙向，然后下一步

3.因?yàn)槲覀兊沫h(huán)境簡單，所作的信任 就是此域跟另外一個(gè)域  如果遷移的域規(guī)模龐大的話 建議用下面的把父域 建立信任

4。信任密碼我的說一下 就是 兩邊建立信任關(guān)系時(shí) ，信任密碼都是一樣的

至此 域信任已經(jīng)建立完畢，很多人會問 怎么確立域信任 是否正常工作，其實(shí)我也沒有很好的檢測方法，不過在后面添加權(quán)限的時(shí)候  可以看到另外域的帳戶 就是信任成功，到時(shí)候我會給大家說注意

.安裝admt工具

接下來我們要安裝ADMT域遷移工具了，在安裝工具之前，如果是在現(xiàn)實(shí)環(huán)境中呢 ，一定要跟管理員協(xié)商 因?yàn)閮蛇叺挠蚩匾�重啟，以及后續(xù)遷移用戶的時(shí)候  也會有重啟，為了避免不必要的麻煩 ，做得時(shí)候一定要注意

我們重新溫習(xí)一下 目的 我們是要將contosob.com 遷移到contoso.com   因此我們要在contoso.com域控制器 也就是服務(wù)器A 上安裝  ADMT工具 稱之為目的域  ，在contosob.com上安裝pwdmig工具稱之為 源域，我簡單介紹一下 這兩個(gè)工具，ADMT就是遷移工具，可以遷移用戶 、組、計(jì)算機(jī)等信息 ，另外我們要遷移用戶的時(shí)候 ，用戶密碼是遷移不過來的，所以我們要在源域安裝pwdmig這個(gè)工具，它會提供一個(gè)密碼導(dǎo)出服務(wù)器的一個(gè)服務(wù)選項(xiàng)，我們要在遷移的時(shí)候把 吐出來的密碼隨著用戶的遷移一并遷移過來，這樣就能保證客戶端雖然換了域環(huán)境，但是用戶信息都是不變的

至于安裝方法呢，我也不在貼圖了，直接下一步就可以了

在安裝pwdmig 的時(shí)候 我的給大家說說

安裝好 ADMT后 我們要在目的域 域控制器上 運(yùn)行命令，目的就是將密碼加載進(jìn)pwdmig的工具里面去 如圖：

我給大家解釋一下這命令修改的參數(shù)，sourcedomaim:contosob.com 這里說的是源域的域名

keyfile： 這后面跟的是保存密碼的路徑 .pes是保存文件類型 keypassword 這個(gè)說的是打開這個(gè)文件的密碼，執(zhí)行過后就會生成一個(gè)文件 然后把這個(gè)文件 拷貝到 源域中（注意 以上步驟是在目標(biāo)域左的，將生成的文件拷貝到源域中） 接下來我給大家看看怎么安裝PWDMIG工具

1.在源域執(zhí)行pwdmig文件

注意 這里的加密文件就是剛才 導(dǎo)出的內(nèi)個(gè)文件，如果服務(wù)器拷貝了這個(gè)文件 軟件會自動識別

這里輸入的密碼就是剛才導(dǎo)文件的時(shí)候命令的 keypassword的密碼 然后一直下一步 進(jìn)行安裝完成 ，完成后 重啟域控制器 至此  ADMT工具的安裝已經(jīng)完成 ，接下來我們要做一切遷移前的 權(quán)限阿 策略阿之類的設(shè)置

兩個(gè)域的準(zhǔn)備工作

為了使大家理解的不是很亂準(zhǔn)備工作我分兩波 一波為 兩個(gè)域都要做得設(shè)置 另外一撥為源域做得一些設(shè)置

1。兩邊域都要做得設(shè)置，以一邊為例

在本地管理員組的成員中添加其他域的域管理員組

我是以 contosob.com 為例做得添加 這里也是檢驗(yàn)信任關(guān)系的地方 ，比如我添加用戶的時(shí)候 有個(gè)位置 選項(xiàng) 就可以看到兩個(gè)域的 信息 然后選擇要添加的域 ，就可以選擇域中的用戶 此權(quán)限個(gè)人感覺是在遷移的時(shí)候需要進(jìn)后臺作操作，而這些操作只有本地管理員有這個(gè)權(quán)限可以修改，比如后來要做的 遷移用戶 有個(gè)遷移密碼，如果你的帳戶沒有權(quán)限對密碼導(dǎo)出服務(wù)器的話  將提示沒有權(quán)限，此服務(wù)默認(rèn)是本地管理員帳戶

另外在添加審核帳戶策略

如果不添加此策略，在遷移用戶過程中SID是遷移不過去，導(dǎo)致用戶遷移后不能正常登陸

2。在源域進(jìn)行設(shè)置

首先我們要開啟 密碼導(dǎo)出服務(wù)器的服務(wù)

注意 ，我在網(wǎng)上看到很多人說這個(gè)服務(wù)是中文的 但是我的2003 是英文的 中文就是在最下面有個(gè)密碼導(dǎo)出服務(wù)器   英文就是這個(gè) ， 這個(gè)服務(wù)就是在遷移中有個(gè)選項(xiàng) 一個(gè)是遷移密碼 一個(gè)是隨機(jī)生成新密碼，但是如果客戶端多的話  將是非�？植赖囊虼诉@個(gè)服務(wù)必須 開啟

另外有兩個(gè)設(shè)置都是為以后遷移的時(shí)候用到的

至此源域已經(jīng)配置完畢

另外 server 2003 還有個(gè)特殊的地方 需要在 目標(biāo)域 添加兩個(gè)用戶名來提高權(quán)限 ，08 就不用了

至此前期準(zhǔn)備工作就完成了。接下來就要進(jìn)行遷移

遷移

特別注意：在目標(biāo)域的域控制器上遷移的時(shí)候要用 源域的域控制管理員帳號進(jìn)行登陸來進(jìn)行遷移 ，否則遷移計(jì)算機(jī)的時(shí)候會報(bào)錯 如圖：

然后執(zhí)行遷移

遷移用戶的時(shí)候 需要注意的是 在遷移用戶 中SID和密碼是必須遷移  否則將帶來不小的麻煩

SID要是沒有遷移過來 ，你遷移過去的用戶將是用戶名一樣 但其實(shí)不是同一個(gè)用戶

如圖

其他的根據(jù)情況自己選擇，用戶就遷移完成了

遷移計(jì)算機(jī)的時(shí)候，遷移完成會自動重啟客戶端，因此遷移前需要跟客戶進(jìn)行溝通,個(gè)人建議遷移為0 分鐘,如圖

在執(zhí)行完向?qū)б院?都會有一個(gè)提示界面 因?yàn)槲乙呀?jīng)遷過一次了所以 這里面 已復(fù)制為0

在遷移計(jì)算機(jī)的時(shí)候點(diǎn)擊此關(guān)閉 還會自動彈出一個(gè)框

建議先選擇 運(yùn)行預(yù)檢查 看看是不是可以成功 如果失敗根據(jù)報(bào)錯信息找問題 ,如果成功然后再選擇 第二個(gè) 在執(zhí)行完 代理操作的時(shí)候 客戶端就會重啟  進(jìn)行后檢查 完成后就可以關(guān)閉了 然后客戶端就可以用原有用戶名 密碼登陸 contoso.com域   在我的電腦中查看 就會發(fā)現(xiàn)  客戶端已經(jīng)屬于 contoso.com域 至此 已經(jīng)完成跨域遷移