在两个不同域中的WINDOWS 2003活动目录做迁移笔记

[align=left]1. 环境介绍：两台windows 2003 r2 企业版sp1,分别属于两个不同的域[/align]
[align=left]hp.hpdc.com IP:192.168.2.11/24 gw:192.168.2.1 dns:192.168.2.11 (模拟源域)[/align]
[align=left]Ibm.ibmdc.com ip:192.168.2.22 gw:192.168.2.1 dns:192.168.2.22 (模拟目标域)[/align]
[align=left]目标：将hp这台机器上的用户hp1与hp2两个用户迁移到新安装的ibmdc.com这个域中![/align]
[align=left] 测试PC：testpc :192.168.2.151 gw:192.168.2.1 (模拟域中的PC机器)[/align]
[align=left]2. 首先两台机器系统安装完毕,提升为域控制器，网络相关设置，等等，这里不做介绍，主要介绍一下迁移。在源域hpdc.com上面创建两个用户hp1与hp2，用作测试,如下：[/align]
[align=left]3. 具体步骤如下：[/align]
[align=left]a. 将目标域提升为纯模式，本例即将ibmdc.com提升为纯模式（注：如果有多台域控器，注意这一操作，复制同步到其它域控制器上），如下图：如果已经是纯模式了，这一步可以不做，并且要清楚这一步是不可逆的！所以要明确实际环境中有几台DC，包括系统分别是什么！[/align]
[align=left]b. 对两个域做一个信任关系(注：做双向信任关系)很多会在此步骤出问题，创建信任关系无法继续下去，见下面我的操作截屏，设置允许复制，并展开目标域ibmdc的DNS，服务器，创建辅助区域[/align]
[align=left]创建完后，得重新启动一下服务，不重启的话，会无法加载相关记录！再到源域hpdc.com上做相同的操作，完毕后，也得重启一下服务,在源域上创建辅助区域截图如下：[/align]
[align=left]两台机器都新建完毕后，如下：[/align]
[align=left]顺便还想再和大家提一下转发器的问题，有些人喜欢使用转发器来解决上面的问题，从理论上来讲，好像也没有什么讲不通的地方，但是用转发器的时候，很多人都会在上面出现一个严重的错误操作，以我的实验环境为例，这个错误操作就是在ibmdc.com的DNS上设置转发器，转发到hpdc.com上面的DNS服务器;然后再到hpdc.com的DNS服务器上设置转发器，转发到ibmdc.com上的DNS服务器。当然我知道大家这么设置的理由是什么，就是当ibmdc.com上的机器需要访问hpdc.com上的资源的时候，而本地的DNS服务器无法解析，这时可以根据DNS服务器上设置的转发器，转到hpdc.com上的DNS服务器来进行解析，从而获得正确的IP地址;同理，当hpdc.com上的机器要访问ibmdc.com上的资源时，也可以利用本地的DNS服务器上的转发器转到ibmdc.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看，好像还是挺有道理的。但实际上你会为这样的操作付出代价的，什么原因?来分析一下，当一个客户端发出一个请求，是两台DNS服务器上有的纪录，那么是不会有什么问题的，因为当服务器本身能解析请求时，转发器是不起作用的。但是，当下面的客户机发出一个错误的请求，比如输错了一个字母，也就是说发出的请求在两台DNS服务器上都没有纪录的时候，那么这时就会根据转上器上的地址来进行转发，而你又是在两台DNS服务器上设置相互转发，那么这条请求就会从这台服务器到那台服务器，再从那中服务器到这台服务器•••••……，并且周而复始，这样就会进入一个死循环，会大大的加重你的服务器的负担，甚至引起死机的可能性也不是没有。所以DNS服务器之间是不能设置相互转发的，这一点请大家切记切记![/align]
[align=left] [/align]
[align=left]c. 下面开始做双向域信任, 到目标域上，也就是ibmdc.com上，点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系[/align]
[align=left]下面提示要输入的是信任密码，不要以为是让你输入管理员密码哟，这可是两回事，设置好以后点“下一步”:[/align]
[align=left]然后就下一步，下一步，到下面这里(这两个地方选否)[/align]
[align=left]d. 接下来到源域上去，同样如上做信任关系，有几个方不同，简单截几个地方屏如下：[/align]
[align=left]e. 至此完成创建信任关系后，接下来就是相互把对方域的管理员帐号添加到本域的Bulitin容器下的Administrators组。这个简单截一个屏如下 ,下面只是在hpdc.com上操作，如下图方法，在ibmdc.com也一样操作。[/align]
[align=left]f. 下面开始正式迁移,要使用到ADMT3.0,( Active Directory Migration Tool) 支持的操作系统： Windows Server 2003; Windows Server 2003 Service Pack 1; Windows Server 2003, Enterprise x64 Edition; Windows Server 2003, Standard x64 Edition; Windows Small Business Server 2003[/align]
[align=left]最新是3.1支持的系统是windows server 2008[/align]
[align=left]V3.0下载链接：[/align]
[align=left]http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=6f86937b-533a-466d-a8e8-aff85ad3d212[/align]
[align=left]V3.1下载链接：[/align]
[align=left]http://www.microsoft.com/downloads/details.aspx?FamilyID=ae279d01-7dca-413c-a9d2-b42dfb746059&displaylang=en[/align]
[align=left]下载完毕后，开始安装，安装就是NEXT，NEXT，直到完成，（注意：ADMT要安装目标域上面，即为我本次的ibmdc.com上面！完成后，打开如下：[/align]
[align=left]下面主要截几迁移用户账户向导图，如下：[/align]
[align=left] [/align]
[align=left]并且在迁移到新域时，可以在新目标域上面规划好OU，方便，比如我在目标域上新建了OU如下，也可以迁移完成后，再建也行！只是再麻烦一次罢了！[/align]
[align=left] [/align]
这里需要提醒一下大家，要选择“生成复杂密码”，暂时还不能选择“迁移密码”，而且大家还要注意密码文件的存储位置，记得迁移完成后去寻找那个密码。如果选择了“迁移密码”，那么会出现下面的出错提示如图要迁移密码呢，在ADMT的帮助信息里有详细的介绍，这里我就不作记录测试！
如果用到了“漫游用户配置文件”的话，可以选上第一项，其它的可以保持默认，然后点击“下一步”:
　　这里可以把一些用户属性进行排除，被排除的将不会进行迁移，建议大家还是保存默认的好。除非有些属性到了目标域后会引起问题。点“下一步”:
　　大家可以根据自己的需要进行对上图的选择，就是当目标域中存在同名帐号之类的冲突现象时，所采取的动作，是迁移还是不迁移，或者怎么迁移的情况。选定后，请点击“下一步”:
[align=left]　　请大家确认上面的信息，如果没有问题，点击“完成”:[/align]
[align=left] [/align]
[align=left]下面开始测试迁移源域中，计算机，首先查看hpdc.com里面计算机如下：[/align]
[align=left]最到目标域(ibmdc.com)上使用ADMT计算机迁移向导,截几个屏如下：[/align]
[align=left]做完上面的选择后，下面会所要迁移的重启计算机，[/align]
[align=left]然后，就下一步，下一步，完成迁移如下：[/align]
[align=left]上面OK后，到TESTPC这台机器上，重新加到域ibmdc.com中！然后， 找到对应用户的口令如下：[/align]
[align=left]开始用hp1用户名登录：[/align]
[align=left]至此，登录成功！OK测试结束！[/align]

附件：http://down.51cto.com/data/2359532