在实施AD域部署的过程中,你可能因为以下的两个原因想要重新构建你的AD环境:
优化AD域的逻辑结构。在一些组织中,从AD域部署时期到现如今,整个商业模式可能发生了很明显的变化,导致目前的AD域或者林结构以及不在符合商业需求了。
配合商业的并购或拆分。
当你重新构建你的AD环境的时候,你必须将相同或者不同林中的资源迁移到新的AD域环境中。林中的域是无法将它单独分离出来,然后再链接到另一个林中的。在某些场景中你可以重命名和重新调整林中的域,但是在林中或者林之间合并域是没有办法简化处理的。通过合并域来重新构建AD域的唯一方法是将一个域中的账号和资源转移到另一个域中。
我们可以使用微软的ADMT(活动目录迁移工具)去将一个域中的用户,群组,计算机账号迁移到另一个域中。此工具还可以用于迁移服务器的资源。如果迁移的过程处理的小心仔细,那么完全不会中断用户在工作中访问他们所需的资源。ADMT提供了GUI和脚本接口,在域的迁移中它支持以下的一些任务:
用户账号迁移
群组账号迁移
计算机账号迁移
服务账号迁移
信任迁移
Exchange服务器目录迁移
迁移的计算机账号的安全性转换
查看迁移结果的报告功能
不执行和重试最近的迁移
注意:ADMT3.2是不能安装在Windows 2012或者Windows 2012 R2服务器上的。用ADMT去迁移一个Windows 2012域,首先要将ADMT安装在一台Windows2008R2服务器上,将资源域的资源迁移到这台服务器上,然后同步复制到其他的Windows2012的DC上。
迁移的准备工作:
在执行迁移之前,你必须完成几个任务用于准备资源域和目标域。这些任务是:
如果有系统为Vista SP1或者Windows2008R2之前版本的域成员计算机,需要在目标域的DC上配置注册表,允许密码算法与微软的Windows NT4.0操作系统兼容。
在资源域和目标域的DC上启用防火墙规则,允许文件和打印机共享。
准备资源域和目标域,确定用户,群组和用户配置文件将如何处理
建立一个回滚计划
在需要迁移的域之间建立信任关系
在资源域和目标域中启用历史SID迁移
指定用于迁移的服务账号
做一个迁移测试,修复它所报告的错误信息
使用ADMT实现跨林的重建
跨林重建中需要将不同林中资源域的资源移动到目标域,要使用ADMT实现一个跨林的重建需要执行以下流程:
建立一个重建计划。一个完善的计划对于实施重建是非常重要的,你可以从以下几个方面来完善你的重建计划:
a.确定账号迁移的流程
b.指定对象的位置和位置映射
c.准备一个测试方案
d.建立一个回滚计划
e.建立一个通信计划
准备资源域和目标域。在重建过程前必须对资源域和目标域进行准备动作,需要执行的动作如下:
a.确保在所有DC上使用128位的加密。Windows2000SP3及以上版本的系统本身已支持128位的加密,对于更早版本的操作系统,我们就需要下载并安装单独的加密补丁。
b.建立所需的信任。你必须在资源域和目标域中建立信任关系,至少需要单向信任关系。
c.建立一个迁移账号。ADMT使用迁移账号在资源域和目标域之间迁移对象,你需要保证这些账号在资源域和目标域中有移动和修改对象的权限。
d.确定ADMT是否会自动处理历史SID,如果不会自动处理,那么你必须手动在资源域和目标域中配置。
e.在目标域中的OU结构中做出合适的配置。确保你在目标域中配置了合适的管理权限和委派管理权限。
f.在目标域中安装ADMT
g.启用密码迁移
h.在一个小规模的测试账号组中执行一个迁移测试
迁移账号。迁移账号需要执行以下步骤:
a.迁移服务账号
b.迁移全局组
c.迁移账号。批量迁移用户和计算机账号,并监视迁移的进度。如果正在执行本地配置文件的迁移,迁移首先会影响计算机,然后才会关联到用户账号。
迁移资源。通过以下步骤执行域中剩余资源的迁移:
a.迁移工作站和成员服务器
b.迁移域本地群组
c.迁移域控制器
完成迁移。完成迁移并清理需执行以下步骤:
a.将管理流程转移到目标域
b.确保目标域中至少有两台可用的DC,备份这些DC
c.停用资源域
历史SID属性
在迁移过程中,你会把用户和群组账号移动到新的域中,但是用户需要访问的资源可能还在旧域中。当你迁移了一个用户账号,AD域服务会给它指派一个新的SID,由于资源域中的资源是基于资源域颁发的SID来授权的,所以在资源被转移到新域之前,用户是无法通过新的SID去访问资源域中的资源的。
为了解决这个问题,你可以使用ADMT从资源域中把SID迁移到新域,然后将这些SID保存在历史SID的属性中,当历史SID属性被写入时,用户就可以使用之前的SID去访问资源域中的资源了。
历史SID会增加用户访问票据的大小。将用户迁移到新域后,你需要检查你环境中当前的访问控制列表以及迁移的访问控制列表。一旦迁移完成,初始的域也被移除后,你需要使用powershell命令去清除掉用户的历史SID属性。你在规划和执行这些动作的时候务必要小心,因为在环境未准备好之前移除历史SID会导致企业运转的中断。
ADMT的使用指引
http://technet.microsoft.com/en-us/library/cc974332(v=WS.10).aspx
本文链接:https://www.kinber.cn/post/2694.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝: