Windows活动目录系列---活动目录版本迁移概述

90jk

在实施AD域部署的过程中，你可能因为以下的两个原因想要重新构建你的AD环境：

• 优化AD域的逻辑结构。在一些组织中，从AD域部署时期到现如今，整个商业模式可能发生了很明显的变化，导致目前的AD域或者林结构以及不在符合商业需求了。
  
• 配合商业的并购或拆分。
  
  

当你重新构建你的AD环境的时候，你必须将相同或者不同林中的资源迁移到新的AD域环境中。林中的域是无法将它单独分离出来，然后再链接到另一个林中的。在某些场景中你可以重命名和重新调整林中的域，但是在林中或者林之间合并域是没有办法简化处理的。通过合并域来重新构建AD域的唯一方法是将一个域中的账号和资源转移到另一个域中。
我们可以使用微软的ADMT（活动目录迁移工具）去将一个域中的用户，群组，计算机账号迁移到另一个域中。此工具还可以用于迁移服务器的资源。如果迁移的过程处理的小心仔细，那么完全不会中断用户在工作中访问他们所需的资源。ADMT提供了GUI和脚本接口，在域的迁移中它支持以下的一些任务：

• 用户账号迁移
  
• 群组账号迁移
  
• 计算机账号迁移
  
• 服务账号迁移
  
• 信任迁移
  
• Exchange服务器目录迁移
  
• 迁移的计算机账号的安全性转换
  
• 查看迁移结果的报告功能
  
• 不执行和重试最近的迁移
  
  

注意：ADMT3.2是不能安装在Windows 2012或者Windows 2012 R2服务器上的。用ADMT去迁移一个Windows 2012域，首先要将ADMT安装在一台Windows2008R2服务器上，将资源域的资源迁移到这台服务器上，然后同步复制到其他的Windows2012的DC上。

迁移的准备工作：
在执行迁移之前，你必须完成几个任务用于准备资源域和目标域。这些任务是：

• 如果有系统为Vista SP1或者Windows2008R2之前版本的域成员计算机，需要在目标域的DC上配置注册表，允许密码算法与微软的Windows NT4.0操作系统兼容。
  
• 在资源域和目标域的DC上启用防火墙规则，允许文件和打印机共享。
  
• 准备资源域和目标域，确定用户，群组和用户配置文件将如何处理
  
• 建立一个回滚计划
  
• 在需要迁移的域之间建立信任关系
  
• 在资源域和目标域中启用历史SID迁移
  
• 指定用于迁移的服务账号
  
• 做一个迁移测试，修复它所报告的错误信息
  
  

使用ADMT实现跨林的重建
    跨林重建中需要将不同林中资源域的资源移动到目标域，要使用ADMT实现一个跨林的重建需要执行以下流程：

• 建立一个重建计划。一个完善的计划对于实施重建是非常重要的，你可以从以下几个方面来完善你的重建计划：
  a.确定账号迁移的流程
  b.指定对象的位置和位置映射
  c.准备一个测试方案
  d.建立一个回滚计划
  e.建立一个通信计划
  
• 准备资源域和目标域。在重建过程前必须对资源域和目标域进行准备动作，需要执行的动作如下：
  a.确保在所有DC上使用128位的加密。Windows2000SP3及以上版本的系统本身已支持128位的加密，对于更早版本的操作系统，我们就需要下载并安装单独的加密补丁。
  b.建立所需的信任。你必须在资源域和目标域中建立信任关系，至少需要单向信任关系。
  c.建立一个迁移账号。ADMT使用迁移账号在资源域和目标域之间迁移对象，你需要保证这些账号在资源域和目标域中有移动和修改对象的权限。
  d.确定ADMT是否会自动处理历史SID，如果不会自动处理，那么你必须手动在资源域和目标域中配置。
  e.在目标域中的OU结构中做出合适的配置。确保你在目标域中配置了合适的管理权限和委派管理权限。
  f.在目标域中安装ADMT
  g.启用密码迁移
  h.在一个小规模的测试账号组中执行一个迁移测试
  
• 迁移账号。迁移账号需要执行以下步骤：
  a.迁移服务账号
  b.迁移全局组
  c.迁移账号。批量迁移用户和计算机账号，并监视迁移的进度。如果正在执行本地配置文件的迁移，迁移首先会影响计算机，然后才会关联到用户账号。
  
• 迁移资源。通过以下步骤执行域中剩余资源的迁移：
  a.迁移工作站和成员服务器
  b.迁移域本地群组
  c.迁移域控制器
  
• 完成迁移。完成迁移并清理需执行以下步骤：
  a.将管理流程转移到目标域
  b.确保目标域中至少有两台可用的DC，备份这些DC
  c.停用资源域
  
  

历史SID属性

    在迁移过程中，你会把用户和群组账号移动到新的域中，但是用户需要访问的资源可能还在旧域中。当你迁移了一个用户账号，AD域服务会给它指派一个新的SID，由于资源域中的资源是基于资源域颁发的SID来授权的，所以在资源被转
移到新域之前，用户是无法通过新的SID去访问资源域中的资源的。
    为了解决这个问题，你可以使用ADMT从资源域中把SID迁移到新域，然后将这些SID保存在历史SID的属性中，当历史SID属性被写入时，用户就可以使用之前的SID去访问资源域中的资源了。
    历史SID会增加用户访问票据的大小。将用户迁移到新域后，你需要检查你环境中当前的访问控制列表以及迁移的访问控制列表。一旦迁移完成，初始的域也被移除后，你需要使用powershell命令去清除掉用户的历史SID属性。你在规划和执行这些动作的时候务必要小心，因为在环境未准备好之前移除历史SID会导致企业运转的中断。

ADMT的使用指引

http://technet.microsoft.com/en-us/library/cc974332(v=WS.10).aspx