两台域控制器实现AD迁移的方法

使用ADMT v3.0 域迁移1、把目标域的功能级别提升为windows2000或以上纯模式。

2、两台域控做辅助dns或转发3、对两个域做一个双向信任关系。

4、目标域安装ADMT v3.05、在迁移密码的时候需要生成一个数据库，.pes文件，用于存放密码。

在目标域的cmd中输入命令：admt key /option:create /sourcedomain: /keyfile:c:\keyfile/keypassword:password(这个密码可有可无)。

完成后，在C盘中就会生成keyfile.pes这个文件，然后把这个文件复制到原域的C:\下，可以用共享的方法。

在这里我对数据库文件创建了个密码。

这个密码可有可无。

6、现在就要开始在原域中安装PES（Password Export Server）服务了，这个服务用于域间资源迁移，在整个迁移过程中其核心作用。

现在来安装PES(pwdmig.msi)。

这个安装文件在目标域中，路径是：C:\WINDOWS\ADMT\PES\。

安装ADMT后才有。

再说明一点这个程序在系统光盘中也有，路径在\I386\ADMT\PWDMIG。

这个是2.0版本的，测试下来和3.0不兼容。

开始安装PES，直至安装完成提示重新启动。

如果你没有在5中设置密码，密码提示框是不会出现的。

建议选择: 目标域\administrator登陆，这样在目标域迁移过程中能直接读取原域中数据库里的信息。

重启后，PES默认是不自动启动的，这需要手动让它运行。

打开services.msc，右击Password Export Server Service, 然后点Start。

现在PES才开始运行。

注意，迁移完所有的资源后，关闭他，其实重启下原域就可以了。

7、修改源域中本地安全机构的注册表HKLM\System\CurrentControllSet\Control\LSA下面有一个名字为AllowPasswordExport的记录项，把这个值由0改成1。

活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1．需要有活动目录迁移工具ADMT2．安装support工具3．安装ADMINPAK4．需要提升林功能级别为Windows 2003模式5．在两个域的DNS上建立对方域的辅助区域6．创建林双向信任关系5．迁移时是在目标域上操作的步骤：1．安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。

要安装在目标域中，在本实验中就是安装在B域的DC上。

2．提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。

首先，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。

只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。

上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。

注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。

而且，提升林的功能级别的目的是为了建立林范围的信任关系。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤1．为新服务器安装好Windows Server 2003的操作系统，然后加入到Windows 2000 Server的域中。

2．在Windows 2000 Server 上更新林架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /forestprep. 注意：E盘是光盘）(如果更新到Windows Server 2003 R2, 需要把R2的第2张光盘插入光驱，然后运行命令Drive:\CMPNE NTS\R2\ADPREP\adprep.exe /forestprep)3．在Windows 2000 Server 上更新域架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /Domainprep. 注意：E盘是光盘）4．把Windows Server 2003提升为Windows 2000 Server的附加域控制器。

（在Windows Server 2003上运行dcpromo）5．让Windows Server 2003成为PDC1)把5中操作主机（架构主机，域命名主机，PDC仿真器，RID主机，基础结构主机）传递到Windows Server 2003上（安装超级工具包——>ntdsutil→Roles→Connections→Connectto Server →quit→T ransfer 五种操作主机的名称）2)让Windows Server 2003成为GC(全局编录服务器)在“Active Driectory站点和服务”工具中操作。

3)在Windows Server 2003上为DNS服务做备份6．把Windows 2000 Server从DC变成Member Server(命令dcpromo) 7．把Windows 2000 Server 退出域并关机，然后把Windows Server 2003的IP地址改成原先windows Server 2000的IP地址。

两台域控制器如何迁移AD两台域控制器如何迁移AD两台域控制器如何迁移AD，下面店铺准备了关于两台域控制器实现AD迁移的方法，提供给大家参考!AD用户账号、密码迁移步骤利用MicrosoftActiveDirectoryMigrationT ool可以在两个独立的AD域之间迁移用户、组、计算机等账号，其中2.0版可以实现迁移用户账号密码，本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。

操作步骤1、在目标域与源域之间建立双向的信任关系。

2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。

3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。

(这一部分不知道是否必需，但是我在实际操作中安装了该加密包。

而且根据微软的资料，在Win2K标准产品中已经包含了128位加密)4、在目标域的域控制器上安装ADMTVersion2.0.5、在目标域上查看系统内建组“Pre-Windows2000CompatibleAccess”的属性，检查“成员”中是否包括Everyone.如果没有，必须将Everyone加入，并且重启服务器。

(缺省情况下该组已经包含Everyone)。

6、检查目标域与源域之间的安全策略是否会影响到密码的迁移，如口令长度限制等。

如果有，需要进行相应的调整。

7、在目标域的域控制器的`命令提示符下输入如下命令进行保存密码文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

注意：尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘)，但是为了安全起见建议保存在软盘中。

如果你用星号“*”代替密码，会提示你输入密码。

SourceDomainName必需是源域的NetBIOS名称。

8、建议在源域中选择一台BDC作为密码导出服务器。

9、在源域的密码导出服务器中运行Pwdmig.exe，然后在相应提示中选择步骤7所生成的密码文件(如插入软盘)，如果步骤7中输入了密码，那么也必须输入密码。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：其中：：ADC01作为主域控制器，操作系统为WindowsServer2008R2，并安装有DHCP服务，作用域范围为——。

ADC02作为的辅助域控制器，操作系统为WindowsServer2008R2Exs01为的Mail服务器，操作系统为WindowsServer2003SP2，Exchange版本为2003TMG01为防火墙，加入到网域，操作系统为WindowsServer2008R2，ForefrontTMG为2010Client为加入到此网域的客户端PC，由DHCPServer分配IP：Ad-cntse为的域控制器，操作系统为WindowsServer2008R2，为了网域的迁移安装有ADMT以及SQLServerExpress2005SP2Exs-centse作为的MailServer，操作系统为WindowsServer2003SP2，Exchange版本为2003.备注：所有的Server均处在同一个网段二、的User结构：如图，其中红色圈中部分为自建组别，OAUser为普通办公人员组别，拥有Mail账号，admins为管理员群组，TerminalUser为终端机用户组别，均没有Mail 账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把的解析交给的DNS。

如下图：2、在“ActiveDirectory网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

AD域迁移
AD域控制器迁移方法
1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域，也可以不加)。

2:提升新DC为辅助域控制器后重启。

3:重启完成后，安装DNS服务.然后等老DC的DNS信息自动同步到新DC的DNS 上。

4:将新DC设置为G，然后等新/旧DC同步，具体时间视网络环境。

5:同步完成之后，就可以传送FSMO角色这是最重要的一步(用ntdsutil来把旧DC 上的FSMO五种角色转移到新DC上,转移用到命令transfer )。

6:老DC降级重启然后退域，关机。

7:新DC改IP，把自己的IP地址改为DNS地址(做这一步就是为了让客户端感觉不到更换了服务器,也省了到下面去改DNS地址)。

AD迁移之主机角色迁移（图形界面）2013-10-25 00:17:27 发表评论随着科技的日新月异，日子的一天一天过去了，老服务器终于到了退休的日子了这意味着需要把旧服务器的数据迁移到新服务器，其中一个重要项目就迁移主机角色迁移之前需要先把新服务器提升为额外域控制器/405708/1120831提升完，就要进行主机角色的迁移了！关于五个角色的知识可以参考这里/405708/920885环境：DC1：win08dc1DC2： win08dc2IP：192.168.1.2 IP:192.168.1.3子网掩码：255.255.255.0 子网掩码：255.255.255.0网关：192.168.1.1 网关：192.168.1.1DNS：192.168.1.2 DNS：192.168.1.3192.168.1.3192.168.1.2首先打开使用netdom query fsmo命令查询一下主机的五个角色的所在我们直接打开DC2中的AD用户和计算机,在域名上右击选择操作主机这里可以看到有RID、PDC、基础架构主机三个角色，直接点击更改变就可以简单的将角色从DC1迁移到DC2上面。

接着打开DC2的AD域和信任关系在AD域和信任关系上右键选择操作主机，而不是在域名上面点击更改同样将域命名操作主机角色迁移到DC2上面最后剩下架构主机了，由于架构主机重要特殊，并没有预先设置的工具必须通过注册动态链接库来打开，在DC2运行regsvr32 schmmgmt.dll来注册动态链接库，并使用MMC工具来添加管理架构主机点击运行输入MMC打开控制台，添加选择AD架构，点确定右击AD架构选择操作主机，这里显示当前架构和可以转移的架构都是DC1 并不像之前的操作主机角色一样可以直接迁移所以我们必须在DC更改所连接目录服务器，点击更改AD域控制器选择DC2点击确定，更改连接的目录服务器接着再点击操作主机会发现，架构主机已经是可以迁移的了！到这里我们的五个操作主机角色就迁移完成了，我们可以在DC1上面在此输入netdom query fsmo进行验证角色所在域控制器命令显示角色已经成功转移到了DC2上面，到这里迁移就结束了！本文出自“紫柒”博客，请务必保留此出处/405708/1122349。

需求：两台Server 2008
一、server-A ：
1、网卡属性取消IP v6 在IPv4 配置静态IP 如：192.168.0.1 255.255.255.0 DNS 不用写或者写成127.0.0.1
2、安装角色AD 然后dcpromo 安装DNS ，新林新域
二、server-B
1、配置网卡属性取消IPv6 为IPv4 配置静态IP 如192.168.0.2 255.255.255.0 DNS 写成Server-A的IP(即让server-B指向Server-A)，
2、添加角色AD 或者直接运行dcpromo安装AD 现有林找到Server-A的域进行安装，可能会慢一些。

接下来就可以同步了，记住Server-B是安装的AD，而不是添加到域！！添加到域的话会出现已经安装了AD角色，但是无法正常运行，会提示错误。

如果不小心加了域可以恢复到工作组，但是AD仍然存在，而且无法删除。

此时可以直接运行dcpromo安装AD，问题即可解决。

3、全部安装以后要更改两服务器的DNS，Server-A ：192.168.0.2 192.168.0.1 Server-B：192.168.0.1 192.168.0.2
其实，不是设置AD同步。

而是因为两个AD在同一个域而自动同步，而且同步是即时的！！我这次实验时候一开始不同步，怎么刷新都不同步，但是等了一会就自动同步了。

Active Directory域控和额外域控之间的转移和抢占实验流程本文档将模拟ZESING域主控域与额外域控角色之间的和转移和主域控主机因系统或者物理损坏无法开机，额外域控紧急抢占操作主机的实验流程首先先模拟有两台域控，主域控为ZESINGAD01,额外域控为ZESINGAD02。

系统都为Windows server 2008 R2 X64。

如图：打开命令行，输入如下命令来查看：Dsquery server –hasfsmo rid 查看RID主机Dsquery server –hasfsmopdc 查看PDC仿真主机角色Dsquery server –hasfsmoinfr 查看基础结构主机Dsquery server –hasfsmoname 查看域命名主机Dsquery server –hasfsmoschema 查看构架主机通过图中可看到ZESINGAD01为主域控，所有角色都在ZESINGAD01上。

PART I现在演示把主域控ZESINGAD01转移操作主机角色到ZESINEAD02上首先转移RID主机角色打开“Active Directory 用户和计算机”，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或AD LDS实例”并选择一台即将担任RID主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“RID”选项卡中，单击“更改”按钮转移PDC仿真主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任PDC仿真主机的域控制器，然后点击“OK”；、在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“PDC”选项卡中，单击“更改”按钮转移基础结构主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任基础结构主机的域控制器，然后点击“OK”在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“基础结构”选项卡中，单击“更改”按钮转移域命名主机角色打开Active Directory 域和信任关系，在目录树窗格中右键点击“Active Directory 域和信任关系”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任域命名主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 域和信任关系”，点击“操作主机”；单击“更改”按钮转移架构主机角色运行打开MMC控制台添加Active Directory构架在MMC控制台中打开Active Directory Schema，在目录树窗格中右键点击“Active Directory Schema”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任架构主机的域控制器，然后点击“OK”；在目录树窗格中右键点击“Active Directory 架构”，点击“操作主机”单击“更改”按钮经过以上步骤已经完成转移操作主机角色，来验证一下，进入命令行输入，见到所有角色都迁移到ZESINGAD02上PART II抢夺操作主机角色实验假设ZESINGAD02主机已经挂掉，我们需要提升ZESINGAD01为主域控，我们需要如下操作：1、抢夺RID主机角色A．打开命令行，输入：ntdsutilB．在ntdsutil提示符下，输入：rolesC．在fsmo maintenance命令提示符下，输入：connectionD．在server connections命令提示符下，输入：connect to server <DomainController> ，这里的<DomainController>是即将担任RID主机的域控制器名称E．在server connection命令提示符下，输入：quitF．在fsmo maintenance命令提示符下，输入：seize rid master，确认窗口中点击“Yes”；2、抢夺PDC仿真主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize pdc，如图（由于另一台域控物理故障，林根域只有一台域控制器，所以无法抢夺，下面的错误请忽略，不影响结果）3、抢夺基础结构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize naming master，如图4、操作同抢夺RID主机角色，只是更换抢夺命令为seize infrastructure master，如图5 、抢夺架构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize schema master，如图打开命令行输入以下命令发现ZESINGAD01已提升为主域控，抢占成功。

域控制器迁移的方法对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

本文就是详细介绍了域控制器迁移的具体实例。

AD：2013大数据全球技术峰会课程PPT下载域控制器包含了由域的账户、密码、属于这个域的计算机等信息构成的数据库，负责对整个Windows域以及域中的所有计算机进行管理。

配置域控制器有利于对域中用户的集中配置管理，为网络共享资源提供安全保障。

对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

在网络中的域服务器都会自动进行复制。

如果一台机器坏掉的话，额外域控制器可以随时接管工作。

此时的额外域控制器可以进行用户认证，登录等工作，但是为了正常的使用域资源，还需要将域控制器的5种角色转移到额外域控制器中。

现在我们就以将WIN2003 SERVER域控制器的迁移为例，一起探讨一下具体步骤。

说明：单位中有一台WIN2003域服务器，由于该服务器硬件设备不是很好，需要将域控制器迁移至一台新机器中。

同时，单位中使用的是动态IP地址，DHCP服务器也位于该机器上。

环境：机器1，主域控制器为，DNS服务器，DHCP服务器网络属性为：IP ：192.168.2.1/24DNS：192.168.2.1机器2，额外域控制器IP：192.168.2.2/24采用方案：采用额外域的方法通过网络将活动目录数据转移到额外域控制器上，然后在额外域控制器上夺取活动目录的5种角色，最后再迁移DHCP服务器至额外域控制器上。

一、安装额外域控制器1、在机器1上安装WIN2003 SERVER操作系统，安装好杀毒软件。

2、配置机器2的网络连接设置，使其DNS指向DNS服务器192.168.2.1。

迁移源域TestSource中的安全组TestGroup到目标域TestDestination 使用ADMT中的迁移组功能，将源域TestSource中的组TestGroup迁移到目标域TestDestination中，并且要保证该组在迁移后用户新域中的SID，且要保留源域中的历史SID，使得改组继承它在源域中所拥有的所有权限。

ADMT工具具有“迁移用户”，“迁移组”，“迁移安全性”，“迁移安全性”，“迁移计算机”，“迁移Exchange目录”，因为本论文仅涉及到组和账户的应用，未涉及邮箱账户的应用，所以在迁移的优先级方面没有考虑邮箱的迁移。

而在迁移时，优先考虑迁移组，是因为组中的用户成员，是只能来自其各自域的，因此在用户帐户，从一个域迁移至另一个域的时候，通过ADMT在目标域中创建的新的账户不能是源域中全局组的用户成员，当迁移组时，组的从属关系将被恢复。

但是如果先迁移用户再迁移全局组的话，那么该用户有可能通过迁移账户登录到目标域，而该用户帐户却不具备任何的组从属关系。

我们打开管理工具中的Active Directory迁移工具。

选择“组账户迁移向导”如果要测试迁移的可行性，可以选择上面的选项。

本论文直接进行迁移，并点击“下一步”以继续选择好“源域”和“目标域”，点击下一步以继续点击“添加”输入安全组名称，即TestGroup，点击“确定”选择该组将要迁移入的组织单位OU在“组选项”里选中“修复组成员身份”和“将组SID迁移至目标域”。

注意，这两个选项非常重要。

如果不选中，ADMT就不会把该组在源域中的SID 加入新域中的历史SID记录中，就会造成该组在新域中无法继承其在源域中的权限。

如果在迁移过程中，有在新域中不需要的属性需要排除，可以在这里设置。

一般情况下我们保持默认设置，点击“下一步”以继续要添加SID历史，必须输入源域中有域管理权限的账户的用户名，密码和域点击下一步后，工具自动进行对TestGroup的迁移。

需求：两台Server 2008
一、server-A ：
1、网卡属性取消IP v6 在IPv4 配置静态IP 如：192.168.0.1 255.255.255.0 DNS 不用写或者写成127.0.0.1
2、安装角色AD 然后dcpromo 安装DNS ，新林新域
二、server-B
1、配置网卡属性取消IPv6 为IPv4 配置静态IP 如192.168.0.2 255.255.255.0 DNS 写成Server-A的IP(即让server-B指向Server-A)，
2、添加角色AD 或者直接运行dcpromo安装AD 现有林找到Server-A的域进行安装，可能会慢一些。

接下来就可以同步了，记住Server-B是安装的AD，而不是添加到域！！添加到域的话会出现已经安装了AD角色，但是无法正常运行，会提示错误。

如果不小心加了域可以恢复到工作组，但是AD仍然存在，而且无法删除。

此时可以直接运行dcpromo安装AD，问题即可解决。

其实，不是设置AD同步。

而是因为两个AD在同一个域而自动同步，而且同步是即时的！！我这次实验时候一开始不同步，怎么刷新都不同步，但是等了一会就自动同步了。

9.命令提示符中输入：netdom query fsmo查询操作主机所在域控制器，再次确认转移是否成功。

至此，已经完成在图形界面转移5个操作主机的方法。

使用Ntdsutil命令转移前面介绍了使用图形界面对操作主机进行转移，下面介绍使用ntdsutil命令进行转移，将操作主机从DC02转移回DC01。

使用命令方式进行转移相对方便一些。

1.打开命令提示符，输入：ntdsutil，进入ntdsutil提示符后，输入：roles。

如果需要查到命令作用及用法可以输入：？，获取帮助信息。

2.这时需要连接到转移操作主机的目标域控制器，这里我们需要连接到DC01。

输入：connections ，然后输入：connect to server dc01。

连接成功后输入：quit 退回到fsmo maintenance:3.这时就可以进行操作主机的转移了。

分别使用下面5个命令转移相应的操作主机：Transfer domain naming master 转移域命名主机Transfer infrastructure master 转移基础结构主机Transfer PDC 转移PDC主机Transfer RID master 转移RID主机Transfer schema master 转移架构主机还有5个命令是强制将操作主机转移到指定域控制器。

一般只有在操作主机离线或者故障无法启动时才使用，操作方法相同。

Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master4.最后再次确认是否成功转移。

总结：本文介绍了操作主机的作用及转移方法。

操作主机在AD DS中分别承担不同作用，了解操作主机的作用，在日常的故障排错能起到一定的作用。

以及当宿主操作主机的DC故障时，怎么将操作主机转移到新的域控制器。

域迁移方案
一、事前准备：
先分别建立两个位于不同林的域，内建Server若干，结构如下：
，
Client为加入到此网域的客户端PC，由DHCP Server分配IP
：
Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2
Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，
Exchange 版本为2003.
备注：所有的Server均处在同一个网段
二、的User结构：
如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail
账号，账
1
在
的2
域，步骤如下图：
选择域和域控制器
选择用户选择选项
选择User
选择OU
密码迁移选项
User转换选项
迁移User的相关设定
1、
开始
选择“从Microsoft Exchange迁移”
准备迁移
选择Exchange应该要迁移到的Server
输入被迁移的Exchange的相关信息
选择要迁移的信息
选择要迁移的User
选择要迁移到的OU
2、ADMT 六、。

实验报告
实验要求：把A域里面的组，计算机，用户，迁移到B域里面
实验目的：把AD里面的数据迁移到另一个AD服务器
实验步骤：
有两个域A域 B域 把A域里面的数据迁移到B域里面
首先把AB两个域都提升到林功能级别(提升功能级别DNS转发安装AD迁移工具AB两个域都是做同样的操作)
再在DNS里面做转发
可以解析``
下面来建立信任关系
在这里选择传出信任则对方不需要建立信任
信任关系建立完成
下面再来安装AD迁移工具
安装文件在光盘的I386的ADMT里面
安装过程中
迁移工具安装完成
安装完成后迁移工具在C:\Program Files\Active Directory Migration Tool\Migrator.msc 开始迁移把A域的用户和组迁移到B域里面
打开迁移工具
先来迁移用户
最好先测试一次
指定源和目标源就是自己目标就是要把自己的用户迁移到哪个域里面去的域
选择要迁移的用户
在目标域创建一个OU在容纳迁移过来的用户
在源域上指定要迁移过去的目标域的OU
这是选择用户迁移过去后的密码
选择用户迁移过去后的状态
为了避免重名可以在后面加上一个后缀名
迁移正在进行
没有错误下面可以正式迁移了正式迁移的的设置还是和测试的时候一样所以不一一截图
用户的迁移完成
再来迁移组前面的设置用户的状态密码名字等都和迁移用户一样
组迁移完成。

转移域控角色的两种方式.txt每个女孩都曾是无泪的天使，当遇到自己喜欢的男孩时，便会流泪一一，于是坠落凡间变为女孩，所以，男孩一定不要辜负女孩，因为女孩为你放弃整个天堂。

朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式当网域崩溃后或者我们买了新服务器，需要将新机器作为主域控制器那么我们需要转移角色，在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。

在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。

下面我分别介绍两种转移 AD 中 5 大角色的方式，5 大角色相信地球人都知道，HOHO.PS:转移角色需要注意的是：额外域设置为 GC，这样才能将额外域升级为主域，设置 GC 方法如下：打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称，找到额外域服务器，双击打开服务器，下面有个 NTDS Settings 右键单击属性，在弹出的属性页面勾选“全局编录”然后确定就 OKl 了，等待 5-10 分钟整个网域复写完成刚才的动作。

PS:部分步骤来源于网络,此文为综合以及描述注意点一.使用图形化界面 MMC 来转移域控角色一.转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll文件，然后才能使用此管理单元。

注册 Schmmgmt.dll单击开始，然后单击运行。

在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

收到操作成功的消息时，单击确定。

1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击“添加/删除管理单元”。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。