Windows域(AD)迁移方案

AD与Exchange 迁移方法环境拓扑图：环境介绍：域和域分属于不同的独立组织林，都运行Windows server 2003和Exchange 2003，如上图所示。

目的：将域中的用户和组、邮箱要全部迁移到域中去。

要点：1．需要有活动目录迁移工具ADMT 3.02．需要提升林功能级别为Windows 2003模式3．在两个域的DNS上建立对方域的辅助区域4．迁移时是在目标域上操作的步骤:1．提升林功能级别为Windows Server 2003模式首先这里要提一样，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式。

在DC1上，打开AD用户和计算机，鼠标右键提升成Windows 2003 模式。

DC2上也做同样的操作提升成Windows 2003 模式。

2．在两个域的DNS上各建立对方域的辅助区域在DC1上打开DNS，找到点鼠标右键点属性，再点区域复制，把允许区域复制勾上，选择允许所用服务器复制。

然后再在正向查找区域点鼠标右键，新建区域—辅助区域—区域名称写上，再输入ibm电脑的IP地址点添加。

再点下一步最后完成。

在DC2上也做与DC1上同样的步骤。

两个域的DNS辅助关系建立好了。

3．在目的域（）上安装ADMT 3.04．在源域上（）上新建两个用户分别为user1和user2也都建立邮箱。

将客户端YE加入域中去。

分别用user1和user2登录一次，都分别在桌面上建立一个文档，也把OUTLOOK设置好，分别相互发几封邮件。

再在YE客户端上加入 域上的管理员账户进去。

在控制面板—用户帐户，添加一个用户为：administrator 域：dell再点下一步，这里要选择成员属性为administrators组。

不加入迁移计算机会失败。

活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1．需要有活动目录迁移工具ADMT2．安装support工具3．安装ADMINPAK4．需要提升林功能级别为Windows 2003模式5．在两个域的DNS上建立对方域的辅助区域6．创建林双向信任关系5．迁移时是在目标域上操作的步骤：1．安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。

要安装在目标域中，在本实验中就是安装在B域的DC上。

2．提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。

首先，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。

只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。

上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。

注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。

而且，提升林的功能级别的目的是为了建立林范围的信任关系。

Windows 2008活动目录迁移步骤活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目录服务。

（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。

）Active Directory 存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

在Windows系统中，活动目录（AD）的迁移，是一件经常会遇到的问题，本文介绍了AD迁移所需要一些步骤。

1、在目标域上建立双向信任关系。

2、在目标域上关闭SID筛选源域: 目标域:Netdom trust /domain: /quarantine:NO/usero:old\administrator /password:*3、在目标域上安排ADMT工具。

4、在目标域上运行命令行ADMT KEY生成.pes文件(口令不是源域管理员的口令，而是保护pes文件的口令)admt key c:\*5、将目标域上的.pes文件复制到源域上。

6、在目标域上修改域控制器的安全策略，将审核帐户管理改成“成功”和“失败”。

在源域上也是同样如此。

完成后运行策略刷新工具。

7、在目标域的“AD用户和计算机”里面修改一个组，在Bulitin容器下的“Pre-Windows 2000 compatible access"，并将anonymous login;everyone两种用户加入到其组中。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：：ADC01作为主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。

ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008R2，Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003.备注：所有的Server均处在同一个网段172.16.1.x/24二、的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组， Terminal User为终端机用户组别，均没有Mail账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把 的解析交给的DNS。

如下图：2、在“Active Directory 网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

Windows 2003 AD迁移问题PDC—主域控RDC－备份域控RD－应用服务器（windows 2003 r2 sp2）计算机环境：问题就是一个域服务器的迁移，环境三台服务器，1台做为主域服务器（Windows standard 2003 SP2）计算机名DC，1台额外的域服务器（用作备份windows standard 2003 sp2）计算机名BDC，1台新的服务器（Windows standard 2003 R2 SP2）计算机名RD迁移的目的：内网采用工作组模式未采用域模式，域服务器主要提供给RD这台服务器使用，由于RD这台服务器上集成了比较重要的应用，软件的应用需要与AD的RID有关，为了降低服务器的风险性最终将AD服务器和RD服务器合并，将AD转移到RD上兼作域服务器。

操作步骤：备份>>删除BDC>>提升RD为额外域服务器>>提升RD为GC>>获得FSMO角色>>查询FSMO角色权限>>删除原有主域服务器1、备份（这是雷打不动的必须的步骤，不然迟早得玩完），主域服务器DC、应用服务器RD，我做的是Ghost备份，慢得很吃晚饭都没备完，呆得无聊青蛙跳2、删除之前得额外的域服务器BDC3、提升RD为额外的域服务器，并安装DNS组件，并将TCP/IP中的DNS设置为本机，这个很重要否则在AD服务器down掉后无法解析准备工作做完了下面开始提升RD的权限了4、将RD提升为GC，可以同时拥有多个GC启动“Active Directory 站点和服务”管理单元。

单击“开始”，指向“管理工具”，然后单击“Active Directory 站点和服务”。

在控制台树中，双击“站点”，然后双击站点名称。

双击“服务器”，单击您的域控制器，右键单击“NTDS 设置”，然后单击“属性”。

在“常规”选项卡上，单击“全局编录”复选框，将其选中，以将全局编录角色分配给该服务器。

把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤1．为新服务器安装好Windows Server 2003的操作系统，然后加入到Windows 2000 Server的域中。

2．在Windows 2000 Server 上更新林架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /forestprep. 注意：E盘是光盘）(如果更新到Windows Server 2003 R2, 需要把R2的第2张光盘插入光驱，然后运行命令Drive:\CMPNE NTS\R2\ADPREP\adprep.exe /forestprep)3．在Windows 2000 Server 上更新域架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /Domainprep. 注意：E盘是光盘）4．把Windows Server 2003提升为Windows 2000 Server的附加域控制器。

（在Windows Server 2003上运行dcpromo）5．让Windows Server 2003成为PDC1)把5中操作主机（架构主机，域命名主机，PDC仿真器，RID主机，基础结构主机）传递到Windows Server 2003上（安装超级工具包——>ntdsutil→Roles→Connections→Connectto Server →quit→T ransfer 五种操作主机的名称）2)让Windows Server 2003成为GC(全局编录服务器)在“Active Driectory站点和服务”工具中操作。

3)在Windows Server 2003上为DNS服务做备份6．把Windows 2000 Server从DC变成Member Server(命令dcpromo) 7．把Windows 2000 Server 退出域并关机，然后把Windows Server 2003的IP地址改成原先windows Server 2000的IP地址。

两台域控制器如何迁移AD两台域控制器如何迁移AD两台域控制器如何迁移AD，下面店铺准备了关于两台域控制器实现AD迁移的方法，提供给大家参考!AD用户账号、密码迁移步骤利用MicrosoftActiveDirectoryMigrationT ool可以在两个独立的AD域之间迁移用户、组、计算机等账号，其中2.0版可以实现迁移用户账号密码，本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。

操作步骤1、在目标域与源域之间建立双向的信任关系。

2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。

3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。

(这一部分不知道是否必需，但是我在实际操作中安装了该加密包。

而且根据微软的资料，在Win2K标准产品中已经包含了128位加密)4、在目标域的域控制器上安装ADMTVersion2.0.5、在目标域上查看系统内建组“Pre-Windows2000CompatibleAccess”的属性，检查“成员”中是否包括Everyone.如果没有，必须将Everyone加入，并且重启服务器。

(缺省情况下该组已经包含Everyone)。

6、检查目标域与源域之间的安全策略是否会影响到密码的迁移，如口令长度限制等。

如果有，需要进行相应的调整。

7、在目标域的域控制器的`命令提示符下输入如下命令进行保存密码文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

注意：尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘)，但是为了安全起见建议保存在软盘中。

如果你用星号“*”代替密码，会提示你输入密码。

SourceDomainName必需是源域的NetBIOS名称。

8、建议在源域中选择一台BDC作为密码导出服务器。

9、在源域的密码导出服务器中运行Pwdmig.exe，然后在相应提示中选择步骤7所生成的密码文件(如插入软盘)，如果步骤7中输入了密码，那么也必须输入密码。

活动目录用户迁移环境：源域域名：exchange003.localsxit-1fbdc93c92.exchange003.localIP: 10.10.1.62操作系统：windows2000 server x86目标域域名：exchange001.localsxit-rh44tr62uu.exchange001.localIP:10.10.1.143操作系统：windows2003 server x64目的：将exchange003.local中的用户test1,test2迁移到exchange001中步骤：1.在目标域上安装活动目录迁移工具ADMT2.02．分别在目标机器和源机器上提升林级别和域级别（注：只有2003系统才能提升林级别）在目标机器上打开Active Directory 用户和计算机，右击域选择提升域功能级别提升为windows server 2003模式打开Active Directory 域和信任关系，选择提升林功能级别选择提升为windows server2003模式到源主机打开Active Directory用户和计算机，选择属性在常规选项卡里选择提升为windows2000本机模式（纯模式）3．在两个DNS上分别建立对方的辅助区域在目的机器上打开DNS，右击选择新建区域选择辅助区域源机器也做同样的操作打开源机器的DNS，右击本机域名，选择属性在区域复制选项卡里选择允许区域复制，只允许到下列服务器，填入目的机器IP，确定在目的机器也做同样的操作4．建立双向信任关系在目的机器上打开Active Directory域和信任关系，右击选择属性在信任选项卡选择新建信任在这里选择外部信任，若是两个2003系统间的迁移就选林信任若为2003之间的迁移选全林身份验证打开源机器的域和信任关系，在属性里选择信任，确定信任已经建立5．安装密码迁移工具pwdmig✓目标域⏹如果目标域是windows2003家族，则必须修改默认域控制器策略1．打开组策略（运行->gpedit.msc）2．打开计算机配置->windows设置->安全设置->本地策略->安全选项3．启用：”网络访问：让每个人权限应用于匿名用户”打开计算机配置->windows设置->安全设置->本地策略->审核策略->审核帐户管理如果未设置就把审核这些操作成功和失败都选上，若已经设置就不用选将Everyone 组添加到内置组Pre-Windows 2000 Compatibility Access在命令行运行：net localgroup "Pre-Windows 2000 Compatible Access" Everyone /Add重启域控制器保存密码文件安装ADMT2.0,安装文件在光盘i386/admt/切换到ADMT的安装目录运行命令admt key SourceDomainName DriveLetter [Password] 生成密钥文件，密码可选在这里为：admt key exchange003.local C:\把密钥F327KBHH.pes保存在了C盘的根目录下，在这里我并没有设定密码通过共享方式或者软盘拷贝把密钥拷贝到源机器上将对方域中的Administrator和Domain Admins加入到本地Administrator组中。

迁移帐户
更新时间: 2008年8月
应用到: Windows Server 2008
从源域向另一Active Directory 林中的目标域迁移帐户对象的过程涉及首先迁移服务帐户，然后迁移全局组。

当组位于目标域中之后，可以根据选择的过程迁移用户，或者使用安全标识符(SID) 历史进行资源访问，或者不使用 SID 历史进行资源访问。

当帐户对象迁移过程完成时，可以指示源域中的用户登录到目标域。

下图显示了在不同林中的域之间迁移帐户的过程。

清单：执行林间迁移
更新时间: 2009年5月
应用到: Windows Server 2008
在林之间迁移Active Directory 域（林间迁移）包括将一个林中源域的对象重新定位到另一个林中的目标域。

可能因为以下原因必须在林间重构Active Directory 域：
∙将试验域迁移到生产环境
∙将您的Active Directory 林与另一个组织的林合并，整合两种信息技术(IT) 基础结构
备注。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

AD域迁移
AD域控制器迁移方法
1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域，也可以不加)。

2:提升新DC为辅助域控制器后重启。

3:重启完成后，安装DNS服务.然后等老DC的DNS信息自动同步到新DC的DNS 上。

4:将新DC设置为G，然后等新/旧DC同步，具体时间视网络环境。

5:同步完成之后，就可以传送FSMO角色这是最重要的一步(用ntdsutil来把旧DC 上的FSMO五种角色转移到新DC上,转移用到命令transfer )。

6:老DC降级重启然后退域，关机。

7:新DC改IP，把自己的IP地址改为DNS地址(做这一步就是为了让客户端感觉不到更换了服务器,也省了到下面去改DNS地址)。

windows域导⼊，导出⽤户及双域控服务器冗余
1、
AD域导⼊导出⽤户
for命令导出⽤户信息，dsadd⽤法：
域中OU指的是组织单位(Organizational Unit)，组织单元是可以将⽤户、组、计算机和其它组织单位放⼊其中的AD(Active Directory，活动⽬录)容器，是可以指派组策略设置或委派管理权限的最⼩作⽤域或单元。

性质是最⼩作⽤域或单元。

DC =Domain Controller (域控制器)
可以先导出总表，然后根据参数进⾏分别导出，⽰例如下
2、导⼊⽤户
导⼊的⽂件内容：
导⼊命令：
⼆、AD域控服务器双冗余。

域控服务器同步需要两台机器的操作系统版本相同
添加域控制器
三、AD域简介。

使用ADMT3.2进行域用户的迁移，详细步骤如：1、部署环境的说明 (2)2、AD部署的部署 (2)3、AD信任关系的建立 (2)4、ADMT3.2的安装 (12)5、生成keyfile.pes文件 (15)6、PES(Password Export Server )3.1的安装 (16)7、Password Export Server Service服务的设置 (19)8、为迁移赋予相应的权限 (19)9、测试迁移过程是否成功 (29)1、部署环境的说明部署过程总共需2台机器，具体配置如下：将域下的hp OU下的一个域用户user01迁移到域migrate OU下，用户的密码需保持不变。

2、AD部署的部署具体和域的部署简略安装完成后需调节域功能级别、林功能级别为windows server 2008R23、AD信任关系的建立和之间建立林信任、双向信任关系，在建立信任之前两台域控必须解析到对方。

可以在另一方建立一方的辅助区域，通过区域传送将DNS主要区域的内容复制过来。

在TS-ADMTDC01新建的辅助区域在TS-ADMTDC02上设置的区域传送在TS-ADMTDC01上辅助区域已从主要区域成功复制数据建立的辅助区域和辅助区域相同开始进行信任关系的建立：与的林信任关系已建立成功4、ADMT3.2的安装ADMT3.2需安装在Ts-admtdc02(目的域控制器上)，在安装ADMT3.2之前需安装SQL Server 2005 Express Edition SP3SQL Server 2005 Express Edition SP3具体安装步骤简略，数据库实例名称默认SQL Server 2005 Express Edition SP3安装完成后，进行ADMT3.2的安装数据库为：ts-admtdc02\SQLEXPRESS安装完成后，可以在管理工具内出现”Active Directory迁移工具”5、生成keyfile.pes文件在ts-admtdc02内生成keyfile.pes文件，同时将生成的keyfile.pes拷贝到ts-admtdc01的C盘目录下6、PES(Password Export Server )3.1的安装Keyfile.pes为ts-admtnode02生成的文件PES3.1安装完成后，需重新启动计算机7、Password Export Server Service服务的设置8、为迁移赋予相应的权限将与的域管理员administrator添加到相互的本地管理员组administrators。

看到网络中有很多关于Windows server 2003 AD到Windows Server 2012 AD的迁移升级，大部份都是说需要通过Windows Server 2008 作为迁移升级的跳板，其实如果我们需要将新的Windows Server 2012 作为辅域控或者主域控来使用的话，并不需要Windows Server 2008 的参与。

要怎么操作呢，我们来一起将实验做一骗吧。

首先说明我的环境，实验环境比较简单。

环境中已经有Windows server 2003 的域控。

域名为接下来，我们一起来完成2003-2012AD的迁移升级吧。

一．首先我们需要将AD架构等信息进行扩展我将Windows Server 2012 安装光盘中的support\adprep目录复制到了Win03 服务器上，并通过命令提示符定位到该目录下运行adprep.exe 命令进行扩展没想到出现了错误，不是有效的Win32 应用程序。

怎么办呢? 不能扩展就意味着无法升级，只能通过Windows Server 2008 了吗？答案当然是否定的，那我们接下来怎么做呢？我尝试将Win12的服务器加入，可以成功加入.重启之后，将安装AD角色管理工具，这步完全可以成功，因为现在只是管理工具而没有配置哦。

安装完成之后，并可通过win12的管理工具打开AD.接下来我们将要进行AD的扩展了前面说到在Win03的服务器上2012 的adprep工具是不能使用的。

那我们就通过Win12服务器做AD的扩展吧。

我将Windows Server 2012 的光盘挂载到Win12服务器上，并用命令定位到adprep目录下，尝试通过adprep.exe /forestprep进行扩展，惊喜的发现，竟然出现了扩展的信息接着键入“C”进行扩展，扩展完成。

接下来再通过同样的方式将adprep.exe /rodcprep输入进行只读域控的更新，并且更新成功。

Windows 2003 Server AD域迁移规划2014/7/24一、实施规划和准备工作1、实施规划无锡xx公司目前Active Directory服务器使用的是Windows 2003 Server版本，AD服务器硬件出现问题，经常死机。

因此，计划对AD服务器进行迁移，迁移到新的Windows 2003 Server。

老的AD 服务器上包含SEP,BE和文件服务器，分两步进行迁移。

2、软、硬件准备新服务器Windows 2003 Server版操作系统和序列号二、实施步骤第一步1、Windows 2003 AD 系统备份备份Windows 2003 Server系统和AD，以防升级过程有问题，可以恢复系统。

2、AD服务器的迁移✓在准备独立服务器上安装Windows 2003 Server 操作系统；✓为 Windows Server 2003 准备林架构和域架构；✓提升新的Windows Server 2003服务器为额外的域控制器；✓将新的Windows Server 2003域控制器提升为主域控制器；3、迁移应用程序✓在新的Windows Server 2003上安装SEP防病毒管理端，将老服务器上的数据还原到新机器上；✓在新的Windows Server 2003上安装BE管理端，将老服务器上的数据还原到新机器上第二步4、迁移文件服务器以及删除老AD服务器✓在新的Windows Server 2003服务器上安装FSMT工具软件；✓将老的Windows Server 2003服务器上的共享文件夹迁移到新的服务器上；✓在新的Windows Server 2003服务器上更改迁移过来的文件夹以及共享名称，完成文件服务器的迁移；✓将老的Windows Server 2003额外域控制器降级，成为域成员机器，然后退出域，修改主机名称或者断网不再接入网络；✓修改新的AD服务器IP地址；✓更改新的AD服务器主机名称；三、实施时间规划以上所需时间和步骤为理论预计，实际实施的时间和步骤根据实施情况会有变动。

实验报告
实验要求：把A域里面的组，计算机，用户，迁移到B域里面
实验目的：把AD里面的数据迁移到另一个AD服务器
实验步骤：
有两个域A域 B域 把A域里面的数据迁移到B域里面
首先把AB两个域都提升到林功能级别(提升功能级别DNS转发安装AD迁移工具AB两个域都是做同样的操作)
再在DNS里面做转发
可以解析``
下面来建立信任关系
在这里选择传出信任则对方不需要建立信任
信任关系建立完成
下面再来安装AD迁移工具
安装文件在光盘的I386的ADMT里面
安装过程中
迁移工具安装完成
安装完成后迁移工具在C:\Program Files\Active Directory Migration Tool\Migrator.msc 开始迁移把A域的用户和组迁移到B域里面
打开迁移工具
先来迁移用户
最好先测试一次
指定源和目标源就是自己目标就是要把自己的用户迁移到哪个域里面去的域
选择要迁移的用户
在目标域创建一个OU在容纳迁移过来的用户
在源域上指定要迁移过去的目标域的OU
这是选择用户迁移过去后的密码
选择用户迁移过去后的状态
为了避免重名可以在后面加上一个后缀名
迁移正在进行
没有错误下面可以正式迁移了正式迁移的的设置还是和测试的时候一样所以不一一截图
用户的迁移完成
再来迁移组前面的设置用户的状态密码名字等都和迁移用户一样
组迁移完成。