AD域迁移

活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1．需要有活动目录迁移工具ADMT2．安装support工具3．安装ADMINPAK4．需要提升林功能级别为Windows 2003模式5．在两个域的DNS上建立对方域的辅助区域6．创建林双向信任关系5．迁移时是在目标域上操作的步骤：1．安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。

要安装在目标域中，在本实验中就是安装在B域的DC上。

2．提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。

首先，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。

只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。

上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。

注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。

而且，提升林的功能级别的目的是为了建立林范围的信任关系。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

Windows 2003 AD迁移问题PDC—主域控RDC－备份域控RD－应用服务器（windows 2003 r2 sp2）计算机环境：问题就是一个域服务器的迁移，环境三台服务器，1台做为主域服务器（Windows standard 2003 SP2）计算机名DC，1台额外的域服务器（用作备份windows standard 2003 sp2）计算机名BDC，1台新的服务器（Windows standard 2003 R2 SP2）计算机名RD迁移的目的：内网采用工作组模式未采用域模式，域服务器主要提供给RD这台服务器使用，由于RD这台服务器上集成了比较重要的应用，软件的应用需要与AD的RID有关，为了降低服务器的风险性最终将AD服务器和RD服务器合并，将AD转移到RD上兼作域服务器。

操作步骤：备份>>删除BDC>>提升RD为额外域服务器>>提升RD为GC>>获得FSMO角色>>查询FSMO角色权限>>删除原有主域服务器1、备份（这是雷打不动的必须的步骤，不然迟早得玩完），主域服务器DC、应用服务器RD，我做的是Ghost备份，慢得很吃晚饭都没备完，呆得无聊青蛙跳2、删除之前得额外的域服务器BDC3、提升RD为额外的域服务器，并安装DNS组件，并将TCP/IP中的DNS设置为本机，这个很重要否则在AD服务器down掉后无法解析准备工作做完了下面开始提升RD的权限了4、将RD提升为GC，可以同时拥有多个GC启动“Active Directory 站点和服务”管理单元。

单击“开始”，指向“管理工具”，然后单击“Active Directory 站点和服务”。

在控制台树中，双击“站点”，然后双击站点名称。

双击“服务器”，单击您的域控制器，右键单击“NTDS 设置”，然后单击“属性”。

在“常规”选项卡上，单击“全局编录”复选框，将其选中，以将全局编录角色分配给该服务器。

把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤1．为新服务器安装好Windows Server 2003的操作系统，然后加入到Windows 2000 Server的域中。

2．在Windows 2000 Server 上更新林架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /forestprep. 注意：E盘是光盘）(如果更新到Windows Server 2003 R2, 需要把R2的第2张光盘插入光驱，然后运行命令Drive:\CMPNE NTS\R2\ADPREP\adprep.exe /forestprep)3．在Windows 2000 Server 上更新域架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /Domainprep. 注意：E盘是光盘）4．把Windows Server 2003提升为Windows 2000 Server的附加域控制器。

（在Windows Server 2003上运行dcpromo）5．让Windows Server 2003成为PDC1)把5中操作主机（架构主机，域命名主机，PDC仿真器，RID主机，基础结构主机）传递到Windows Server 2003上（安装超级工具包——>ntdsutil→Roles→Connections→Connectto Server →quit→T ransfer 五种操作主机的名称）2)让Windows Server 2003成为GC(全局编录服务器)在“Active Driectory站点和服务”工具中操作。

3)在Windows Server 2003上为DNS服务做备份6．把Windows 2000 Server从DC变成Member Server(命令dcpromo) 7．把Windows 2000 Server 退出域并关机，然后把Windows Server 2003的IP地址改成原先windows Server 2000的IP地址。

两台域控制器如何迁移AD两台域控制器如何迁移AD两台域控制器如何迁移AD，下面店铺准备了关于两台域控制器实现AD迁移的方法，提供给大家参考!AD用户账号、密码迁移步骤利用MicrosoftActiveDirectoryMigrationT ool可以在两个独立的AD域之间迁移用户、组、计算机等账号，其中2.0版可以实现迁移用户账号密码，本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。

操作步骤1、在目标域与源域之间建立双向的信任关系。

2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。

3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。

(这一部分不知道是否必需，但是我在实际操作中安装了该加密包。

而且根据微软的资料，在Win2K标准产品中已经包含了128位加密)4、在目标域的域控制器上安装ADMTVersion2.0.5、在目标域上查看系统内建组“Pre-Windows2000CompatibleAccess”的属性，检查“成员”中是否包括Everyone.如果没有，必须将Everyone加入，并且重启服务器。

(缺省情况下该组已经包含Everyone)。

6、检查目标域与源域之间的安全策略是否会影响到密码的迁移，如口令长度限制等。

如果有，需要进行相应的调整。

7、在目标域的域控制器的`命令提示符下输入如下命令进行保存密码文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

注意：尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘)，但是为了安全起见建议保存在软盘中。

如果你用星号“*”代替密码，会提示你输入密码。

SourceDomainName必需是源域的NetBIOS名称。

8、建议在源域中选择一台BDC作为密码导出服务器。

9、在源域的密码导出服务器中运行Pwdmig.exe，然后在相应提示中选择步骤7所生成的密码文件(如插入软盘)，如果步骤7中输入了密码，那么也必须输入密码。

活动目录用户迁移环境：源域域名：exchange003.localsxit-1fbdc93c92.exchange003.localIP: 10.10.1.62操作系统：windows2000 server x86目标域域名：exchange001.localsxit-rh44tr62uu.exchange001.localIP:10.10.1.143操作系统：windows2003 server x64目的：将exchange003.local中的用户test1,test2迁移到exchange001中步骤：1.在目标域上安装活动目录迁移工具ADMT2.02．分别在目标机器和源机器上提升林级别和域级别（注：只有2003系统才能提升林级别）在目标机器上打开Active Directory 用户和计算机，右击域选择提升域功能级别提升为windows server 2003模式打开Active Directory 域和信任关系，选择提升林功能级别选择提升为windows server2003模式到源主机打开Active Directory用户和计算机，选择属性在常规选项卡里选择提升为windows2000本机模式（纯模式）3．在两个DNS上分别建立对方的辅助区域在目的机器上打开DNS，右击选择新建区域选择辅助区域源机器也做同样的操作打开源机器的DNS，右击本机域名，选择属性在区域复制选项卡里选择允许区域复制，只允许到下列服务器，填入目的机器IP，确定在目的机器也做同样的操作4．建立双向信任关系在目的机器上打开Active Directory域和信任关系，右击选择属性在信任选项卡选择新建信任在这里选择外部信任，若是两个2003系统间的迁移就选林信任若为2003之间的迁移选全林身份验证打开源机器的域和信任关系，在属性里选择信任，确定信任已经建立5．安装密码迁移工具pwdmig✓目标域⏹如果目标域是windows2003家族，则必须修改默认域控制器策略1．打开组策略（运行->gpedit.msc）2．打开计算机配置->windows设置->安全设置->本地策略->安全选项3．启用：”网络访问：让每个人权限应用于匿名用户”打开计算机配置->windows设置->安全设置->本地策略->审核策略->审核帐户管理如果未设置就把审核这些操作成功和失败都选上，若已经设置就不用选将Everyone 组添加到内置组Pre-Windows 2000 Compatibility Access在命令行运行：net localgroup "Pre-Windows 2000 Compatible Access" Everyone /Add重启域控制器保存密码文件安装ADMT2.0,安装文件在光盘i386/admt/切换到ADMT的安装目录运行命令admt key SourceDomainName DriveLetter [Password] 生成密钥文件，密码可选在这里为：admt key exchange003.local C:\把密钥F327KBHH.pes保存在了C盘的根目录下，在这里我并没有设定密码通过共享方式或者软盘拷贝把密钥拷贝到源机器上将对方域中的Administrator和Domain Admins加入到本地Administrator组中。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

迁移帐户
更新时间: 2008年8月
应用到: Windows Server 2008
从源域向另一Active Directory 林中的目标域迁移帐户对象的过程涉及首先迁移服务帐户，然后迁移全局组。

当组位于目标域中之后，可以根据选择的过程迁移用户，或者使用安全标识符(SID) 历史进行资源访问，或者不使用 SID 历史进行资源访问。

当帐户对象迁移过程完成时，可以指示源域中的用户登录到目标域。

下图显示了在不同林中的域之间迁移帐户的过程。

清单：执行林间迁移
更新时间: 2009年5月
应用到: Windows Server 2008
在林之间迁移Active Directory 域（林间迁移）包括将一个林中源域的对象重新定位到另一个林中的目标域。

可能因为以下原因必须在林间重构Active Directory 域：
∙将试验域迁移到生产环境
∙将您的Active Directory 林与另一个组织的林合并，整合两种信息技术(IT) 基础结构
备注。

2003-2008AD迁移测试环境：1、Windows server 2003 R2 32bit 英文版2、Windows server 2008 R2 32bit 英文版测试内容：2003AD迁移到2008AD测试时间：2012/11/9—2012/11/20一、在Windows server 2003上搭建域名为danda的域控服务器1、在虚拟机上安装Windows server 2003服务器系统，安装成功后进入系统。

2、由于Windows server 2003在默认的安装过程中DNS是不被安装，所以需手动去安装，添加方法如下：“开始-设置-控制面板-添加删除程序”，然后再点击“添加/删除Windows组件”，在组件里选中网络服务这项。

如下图所示：3、点“详细”按钮，默认情况下以下服务都会选中的，该实验只需要DNS服务，把其余的服务都取消掉。

再点击确定。

如下图所示：4、一直点击下一步就可以完成DNS的配置。

（此过程中需要把Windows server 2003系统盘的ISO文件放入该服务器的光驱中，因为安装DNS服务时需要系统盘里的文件，否则无法完成DNS的配置）5、安装完DNS服务以后，就可以提升操作了，打开开始，点击运行，输入“DCPROMO”，选择“确定”后就可以见到“Active Directory安装向导”，点击下一步。

6、点击下一步。

（此界面是指操作系统兼容性要求，指出了不满足要求的范围，如windows 95和windows NT 4.0 SP3或者以前的版本等都不能满足访问域控制器的要求）7、由于这是第一台域控制器，所以选择第一项：新域的域控制器，再点击下一步。

8、同样地，由于是第一台域控制器，所以选择第一项：在新林中的域，再点击下一步。

9、此界面是指新建一个域名，在这里我建了个的域名。

点击下一步。

10、此界面是指建一个NetBIOS名，这里我选择默认的DANDA。

点击下一步。

AD域迁移
AD域控制器迁移方法
1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域，也可以不加)。

2:提升新DC为辅助域控制器后重启。

3:重启完成后，安装DNS服务.然后等老DC的DNS信息自动同步到新DC的DNS 上。

4:将新DC设置为G，然后等新/旧DC同步，具体时间视网络环境。

5:同步完成之后，就可以传送FSMO角色这是最重要的一步(用ntdsutil来把旧DC 上的FSMO五种角色转移到新DC上,转移用到命令transfer )。

6:老DC降级重启然后退域，关机。

7:新DC改IP，把自己的IP地址改为DNS地址(做这一步就是为了让客户端感觉不到更换了服务器,也省了到下面去改DNS地址)。

迁移源域TestSource中的安全组TestGroup到目标域TestDestination 使用ADMT中的迁移组功能，将源域TestSource中的组TestGroup迁移到目标域TestDestination中，并且要保证该组在迁移后用户新域中的SID，且要保留源域中的历史SID，使得改组继承它在源域中所拥有的所有权限。

ADMT工具具有“迁移用户”，“迁移组”，“迁移安全性”，“迁移安全性”，“迁移计算机”，“迁移Exchange目录”，因为本论文仅涉及到组和账户的应用，未涉及邮箱账户的应用，所以在迁移的优先级方面没有考虑邮箱的迁移。

而在迁移时，优先考虑迁移组，是因为组中的用户成员，是只能来自其各自域的，因此在用户帐户，从一个域迁移至另一个域的时候，通过ADMT在目标域中创建的新的账户不能是源域中全局组的用户成员，当迁移组时，组的从属关系将被恢复。

但是如果先迁移用户再迁移全局组的话，那么该用户有可能通过迁移账户登录到目标域，而该用户帐户却不具备任何的组从属关系。

我们打开管理工具中的Active Directory迁移工具。

选择“组账户迁移向导”如果要测试迁移的可行性，可以选择上面的选项。

本论文直接进行迁移，并点击“下一步”以继续选择好“源域”和“目标域”，点击下一步以继续点击“添加”输入安全组名称，即TestGroup，点击“确定”选择该组将要迁移入的组织单位OU在“组选项”里选中“修复组成员身份”和“将组SID迁移至目标域”。

注意，这两个选项非常重要。

如果不选中，ADMT就不会把该组在源域中的SID 加入新域中的历史SID记录中，就会造成该组在新域中无法继承其在源域中的权限。

如果在迁移过程中，有在新域中不需要的属性需要排除，可以在这里设置。

一般情况下我们保持默认设置，点击“下一步”以继续要添加SID历史，必须输入源域中有域管理权限的账户的用户名，密码和域点击下一步后，工具自动进行对TestGroup的迁移。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：Demo。

com：ADC01作为Demo。

com主域控制器,操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172。

16。

1。

200/24.ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003SP2,Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008 R2,Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad—cntse为Cntse。

com的域控制器,操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003SP2,Exchange 版本为2003.备注:所有的Server均处在同一个网段172。

16.1。

x/24二、Demo。

com的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号,admins为管理员群组，Terminal User为终端机用户组别，均没有Mail 账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把demo。

com的解析交给demo。

如何实现AD域账户导入导出AD域账户的导入和导出是AD域管理中非常重要的功能之一、通过导入和导出AD域账户，管理员可以方便地进行批量更新和备份账户信息，提高工作效率。

下面将详细介绍实现AD域账户导入导出的方法和步骤。

PowerShell是一种强大的脚本语言，可以通过编写脚本来实现AD域账户的导入和导出。

1. 导出AD域账户：管理员可以使用以下PowerShell脚本将AD域中的账户导出到CSV文件中：```Get-ADUser -Filter * -Properties * ， Export-Csv -PathC:\Users.csv -NoTypeInformation```这个脚本将获取AD域中的所有账户信息，并将其导出到名为Users.csv的CSV文件中。

在导出过程中，脚本会保留账户的所有属性信息。

2. 导入AD域账户：管理员可以使用以下PowerShell脚本将CSV文件中的账户导入到AD域中：```$users = Import-Csv -Path C:\Users.csvforeach ($user in $users)New-ADUser -SamAccountName $user.SamAccountName -Name $ -GivenName $user.GivenName -Surname $user.Surname -UserPrincipalName $erPrincipalName -Enabled $user.Enabled ```这个脚本将从名为Users.csv的CSV文件中读取账户信息，并使用New-ADUser命令将账户导入到AD域中。

在导入过程中，脚本会使用CSV文件中的属性值来设置相应的账户属性。

ADUC是Windows Server操作系统自带的AD域管理工具，可以通过ADUC进行AD域账户的导入和导出。

1.导出AD域账户：管理员可以通过以下步骤将AD域中的账户导出到文本文件中：-打开ADUC工具，找到需要导出的OU（组织单位）。

实验报告
实验要求：把A域里面的组，计算机，用户，迁移到B域里面
实验目的：把AD里面的数据迁移到另一个AD服务器
实验步骤：
有两个域A域 B域 把A域里面的数据迁移到B域里面
首先把AB两个域都提升到林功能级别(提升功能级别DNS转发安装AD迁移工具AB两个域都是做同样的操作)
再在DNS里面做转发
可以解析``
下面来建立信任关系
在这里选择传出信任则对方不需要建立信任
信任关系建立完成
下面再来安装AD迁移工具
安装文件在光盘的I386的ADMT里面
安装过程中
迁移工具安装完成
安装完成后迁移工具在C:\Program Files\Active Directory Migration Tool\Migrator.msc 开始迁移把A域的用户和组迁移到B域里面
打开迁移工具
先来迁移用户
最好先测试一次
指定源和目标源就是自己目标就是要把自己的用户迁移到哪个域里面去的域
选择要迁移的用户
在目标域创建一个OU在容纳迁移过来的用户
在源域上指定要迁移过去的目标域的OU
这是选择用户迁移过去后的密码
选择用户迁移过去后的状态
为了避免重名可以在后面加上一个后缀名
迁移正在进行
没有错误下面可以正式迁移了正式迁移的的设置还是和测试的时候一样所以不一一截图
用户的迁移完成
再来迁移组前面的设置用户的状态密码名字等都和迁移用户一样
组迁移完成。

AD迁移实验手册server2003直接迁移到server2016编辑整理：尊敬的读者朋友们：这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（AD迁移实验手册server2003直接迁移到server2016）的内容能够给您的工作和学习带来便利。

同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。

本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为AD迁移实验手册server2003直接迁移到server2016的全部内容。

从server2003直接迁移AD至server2016 AD目的：因公司AD服务器软件为server2003。

硬件为赛扬+512M的物理机古迹配置。

硬件升级势在必行。

一、环境介绍：首先说明环境，实验环境比较简单。

环境中已经有Windows server 2003 的域控。

新Server 2016 X64试验用客户 XP win7 win10各一台域名为二、实验步骤1、win2016加域2、win2016加域重启，使用server2003域用户登录server20163在server2003的将自己的域用户添加至Domian Admins和Enterprise Admins 组中。

3、在server2016上安装AD角色管理工具安装用时的几分钟完成。

4、在server2003上提升将林架构（域和信任)和域架构（用户和计算机）的提升至windows server 2003级别（已经是2003级别的忽略次步）5、安装完成之后,接要进行AD的扩展，这里注意的是win2003是32位系统，不能使用64位的命令执行域扩展命令，于是我将Windows Server 2016的光盘加载到Win2016服务器上,并用命令定位到adprep 目录下，将命令提示符转到D盘的support/adprep目录，升级2003 AD Schema 林架构；输入adprep。

域迁移域迁移首先,这是一个很大的工程,需要做好做大量的工作的准备. 关于升级和改名,您有2个选择: 例如: 1.把windows2000的域改名,然后把windows2008加入windows2000域,然后复制数据,转移FSMO,GC,DNS.移除旧的windows2000DC,提升林和域的功能级别.使它变成一个纯2008的域. 2. 安装一个全新的windows2008域,使用您需要的域名.然后进行ad迁移.完成以后移除旧的域和域控制器. 对比两种方法: 第一种虽然比较麻烦,但是可以完整的保留所有的AD数据,配置.迁移完成以后,对现有程序和用户来说,完全没有影响. 第二种方法比较简洁.主要的就是做一个AD迁移,但是有些数据是无法迁移的.如用户的密码,文件的访问权限等等.而且迁移的过程也是很复杂的.需要对用户,计算机,资源分别迁移以下Eahua提供的域迁移第一种，先安装WIN2003，并加入域，再提升为域控，FSMO，GC，DNS转移，把2000dcpromo 掉，完成之后，扩展域，并提升为2003模式，安装2008，加入2003，安装域控，FSMO，GC，DNS转移，dcpromo掉2003，提升林和域的功能级别，然后在再修改域名，这样渐进出错机率比较小；第二种，迁移，先安装WIN2003，并加入域，再提升为域控，FSMO，GC，DNS 转移，把2000dcpromo掉，完成之后，扩展域，并提升为2003模式，升级完成后，安装一个全新的2008域，建立域信任，禁用SID Filtering SID Filtering功能若启用将阻止受信任域（目标域）用户访问信任域（源域）资源。

为了禁用SID Filtering，在ADMT 计算机上用源域Administrator登录，运行：netdom trust domainA.local /domain:domainB.local /quarantine:no 确认得到提示：The command completed successfully. 启用SID History SID History功能若禁用将阻止受信任域（目标域）用户使用SID History访问信任域（源域）资源。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。