Windows Server活动目录的迁移

天高云淡

说到活动目录迁移就要用到迁移工具，但Windows本身却并没有自带个工具，我建议大家到微软的官方网站上去下载，因为可以下到最新版，安装盘里那个版本太低了。这个工具的全称叫Active Directory Migration Tool，我们以下简称ADMT，最新版本是3.0，这个新版本较上次的版本我想表扬一下微软，总算有中文版了，虽然这个工具的使用还是比较简单的，所以上面的英文也不是很难，但有中文版了也算是微软的用心之处嘛，不过表扬完了，顺便再批判一下，你说你一个迁移工具，怎么会和SQL勾搭上了呢?真不知道微软又想干什么?是技术需要吗?我没什么感觉。是商业需要吗?问比尔。反正我不管了，只要好用就行了。　　我先来介绍一下实验的环境:
　　目标域:
　　域名:demo.com
　　域控制器:server
　　操作系统:Windows Server 2003
　　IP:192.168.5.1
　　子网掩码:255.255.255.0
　　DNS:192.168.5.1
　　源域:
　　域名:ms.com
　　域控制器:win200ser(本来是打算用win2000ser的，一时大意，少打了一个“0”，将错就错了，反正也没有什么关系)
　　操作系统:Windows 2000 Advanced Server
　　IP:192.168.5.10
　　子网掩码:255.255.255.0
　　DNS:192.168.5.10
　　实验目的:要把ms.com上的一个叫“Tom”的用户和一台名叫“Test2000”的计算机帐号迁移到Demo.com。
　　在执行正式的操作以前呢，我们先要来做三个准备工作:
　　1、 把目标域，在这里也就是demo.com的功能级别提升为纯模式。
　　点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.10.6.2.1.jpg　　在“demo.com”上击右键:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.10.17.2.2.jpg　　选择上面选中的“提升域功能级别”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.10.27.2.3.jpg　　请注意，当前的域功能级别是Windows 2000 混合模式，然后开始提升操作:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.10.36.2.4.jpg　　点击上图中的“提升按钮”，注意这种操作是不可逆的，提升完成后，就会出现如下画面:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.10.53.2.5.jpg　　这就表示提升成功了，如果有多台域控制的话，请注意复制时间，以确定这一修改被复制到整个域的所有域控制器上。
　　2、 对两个域做一个双向信任关系。
　　应该说这是一个关于域的基本操作，但是很遗憾的是很多朋友都在这一步上栽了一个大跟斗，他们都来信告诉我无法建立信任关系，当他们给我看了下面的截图:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.11.3.2.6.jpg　　以及听取了他们的整个操作过程以后，我基本上断定是因为他们没有正确配置DNS的原因，我想他们肯定是用本域的DNS服务器去解析信任域的域名，由于本地的DNS服务器里是没有对方域的纪录，所以才会造成无法解析，从而导致信任关系无法建议。在这里我向大家推荐一种方法，就是建议DNS的辅助区域来解决这个问题:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.11.14.2.7.jpg　　先到demo.com域，点击“开始-设置-控制面板-管理工具-DNS”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.11.23.2.8.jpg　　展开“SERVER”，定位到“正向查找区域”，并在上面击“右键”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.11.45.2.9.jpg　　选择“新建区域”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.11.54.2.10.jpg　　点击“下一步”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.12.4.2.11.jpg　　在这里，我们要选择“辅助区域”，然后再点“下一步”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.12.20.2.12.jpg　　这里输入和信任域相同的名称，我这里输入的是“ms.com”，然后再点击“下一步”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.12.35.2.13.jpg　　这里要输入信任域DNS服务器的IP地址，试验环境中是“192.168.5.10”，继续“下一步”:
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.12.46.2.14.jpg　　最后点击“完成”。
　http://windows.chinaitlab.com/imgfiles/2005.12.1.10.12.56.2.15.jpg　　出现上图就表示辅助区域已经建立成功了，然后到源域上再操作一次。
　　说到这儿呢，我顺便还想再和大家提一下转发器的问题，有些朋友喜欢使用转发器来解决上面的问题，从理论上来讲，好像也没有什么讲不通的地方，但是用转发器的时候，很多人都会在上面出现一个严重的错误操作，以我的实验环境为例，这个错误操作就是在demo.com的DNS上设置转发器，转发到ms.com上面的DNS服务器;然后再到ms.com的DNS服务器上设置转发器，转发到demo.com上的DNS服务器。当然我知道大家这么设置的理由是什么，就是当demo.com上的机器需要访问ms.com上的资源的时候，而本地的DNS服务器无法解析，这时可以根据DNS服务器上设置的转发器，转到ms.com上的DNS服务器来进行解析，从而获得正确的IP地址;同理，当ms.com上的机器要访问demo.com上的资源时，也可以利用本地的DNS服务器上的转发器转到demo.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看，好像还是挺有道理的。但实际上你会为这样的操作付出代价的，什么原因?来分析一下，当一个客户端发出一个请求，是两台DNS服务器上有的纪录，那么是不会有什么问题的，因为当服务器本身能解析请求时，转发器是不起作用的。但是，当下面的客户机发出一个错误的请求，比如输错了一个字母，也就是说发出的请求在两台DNS服务器上都没有纪录的时候，那么这时就会根据转上器上的地址来进行转发，而你又是在两台DNS服务器上设置相互转发，那么这条请求就会从这台服务器到那台服务器，再从那中服务器到这台服务器?????……，并且周而复始，这样就会进入一个死循环，会大大的加重你的服务器的负担，甚至引起死机的可能性也不是没有。所以DNS服务器之间是不能设置相互转发的，这一点请大家切记切记!
　　OK，那我们继续，建立完DNS辅助区域以后，再始建立域的信任关系。
　　先到目标域上，也就是demo.com上，点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:
http://windows.chinaitlab.com/imgfiles/2005.12.1.10.13.5.2.16.jpg