AD域的迁移

AD与Exchange 迁移方法环境拓扑图：环境介绍：域和域分属于不同的独立组织林，都运行Windows server 2003和Exchange 2003，如上图所示。

目的：将域中的用户和组、邮箱要全部迁移到域中去。

要点：1．需要有活动目录迁移工具ADMT 3.02．需要提升林功能级别为Windows 2003模式3．在两个域的DNS上建立对方域的辅助区域4．迁移时是在目标域上操作的步骤:1．提升林功能级别为Windows Server 2003模式首先这里要提一样，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式。

在DC1上，打开AD用户和计算机，鼠标右键提升成Windows 2003 模式。

DC2上也做同样的操作提升成Windows 2003 模式。

2．在两个域的DNS上各建立对方域的辅助区域在DC1上打开DNS，找到点鼠标右键点属性，再点区域复制，把允许区域复制勾上，选择允许所用服务器复制。

然后再在正向查找区域点鼠标右键，新建区域—辅助区域—区域名称写上，再输入ibm电脑的IP地址点添加。

再点下一步最后完成。

在DC2上也做与DC1上同样的步骤。

两个域的DNS辅助关系建立好了。

3．在目的域（）上安装ADMT 3.04．在源域上（）上新建两个用户分别为user1和user2也都建立邮箱。

将客户端YE加入域中去。

分别用user1和user2登录一次，都分别在桌面上建立一个文档，也把OUTLOOK设置好，分别相互发几封邮件。

再在YE客户端上加入 域上的管理员账户进去。

在控制面板—用户帐户，添加一个用户为：administrator 域：dell再点下一步，这里要选择成员属性为administrators组。

不加入迁移计算机会失败。

活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1．需要有活动目录迁移工具ADMT2．安装support工具3．安装ADMINPAK4．需要提升林功能级别为Windows 2003模式5．在两个域的DNS上建立对方域的辅助区域6．创建林双向信任关系5．迁移时是在目标域上操作的步骤：1．安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。

要安装在目标域中，在本实验中就是安装在B域的DC上。

2．提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。

首先，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。

只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。

上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。

注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。

而且，提升林的功能级别的目的是为了建立林范围的信任关系。

Windows 2008活动目录迁移步骤活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server 以及Windows Datacenter Server的目录服务。

（Active Directory不能运行在Windows Web Server上，但是可以通过它对运行Windows Web Server的计算机进行管理。

）Active Directory 存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。

Active Directory使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。

Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

在Windows系统中，活动目录（AD）的迁移，是一件经常会遇到的问题，本文介绍了AD迁移所需要一些步骤。

1、在目标域上建立双向信任关系。

2、在目标域上关闭SID筛选源域: 目标域:Netdom trust /domain: /quarantine:NO/usero:old\administrator /password:*3、在目标域上安排ADMT工具。

4、在目标域上运行命令行ADMT KEY生成.pes文件(口令不是源域管理员的口令，而是保护pes文件的口令)admt key c:\*5、将目标域上的.pes文件复制到源域上。

6、在目标域上修改域控制器的安全策略，将审核帐户管理改成“成功”和“失败”。

在源域上也是同样如此。

完成后运行策略刷新工具。

7、在目标域的“AD用户和计算机”里面修改一个组，在Bulitin容器下的“Pre-Windows 2000 compatible access"，并将anonymous login;everyone两种用户加入到其组中。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：Demo。

com：ADC01作为Demo。

com主域控制器,操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172。

16。

1。

200/24.ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003SP2,Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008 R2,Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad—cntse为Cntse。

com的域控制器,操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003SP2,Exchange 版本为2003.备注:所有的Server均处在同一个网段172。

16.1。

x/24二、Demo。

com的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号,admins为管理员群组，Terminal User为终端机用户组别，均没有Mail 账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把demo。

com的解析交给demo。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

Windows 2003 AD迁移问题PDC—主域控RDC－备份域控RD－应用服务器（windows 2003 r2 sp2）计算机环境：问题就是一个域服务器的迁移，环境三台服务器，1台做为主域服务器（Windows standard 2003 SP2）计算机名DC，1台额外的域服务器（用作备份windows standard 2003 sp2）计算机名BDC，1台新的服务器（Windows standard 2003 R2 SP2）计算机名RD迁移的目的：内网采用工作组模式未采用域模式，域服务器主要提供给RD这台服务器使用，由于RD这台服务器上集成了比较重要的应用，软件的应用需要与AD的RID有关，为了降低服务器的风险性最终将AD服务器和RD服务器合并，将AD转移到RD上兼作域服务器。

操作步骤：备份>>删除BDC>>提升RD为额外域服务器>>提升RD为GC>>获得FSMO角色>>查询FSMO角色权限>>删除原有主域服务器1、备份（这是雷打不动的必须的步骤，不然迟早得玩完），主域服务器DC、应用服务器RD，我做的是Ghost备份，慢得很吃晚饭都没备完，呆得无聊青蛙跳2、删除之前得额外的域服务器BDC3、提升RD为额外的域服务器，并安装DNS组件，并将TCP/IP中的DNS设置为本机，这个很重要否则在AD服务器down掉后无法解析准备工作做完了下面开始提升RD的权限了4、将RD提升为GC，可以同时拥有多个GC启动“Active Directory 站点和服务”管理单元。

单击“开始”，指向“管理工具”，然后单击“Active Directory 站点和服务”。

在控制台树中，双击“站点”，然后双击站点名称。

双击“服务器”，单击您的域控制器，右键单击“NTDS 设置”，然后单击“属性”。

在“常规”选项卡上，单击“全局编录”复选框，将其选中，以将全局编录角色分配给该服务器。

把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤1．为新服务器安装好Windows Server 2003的操作系统，然后加入到Windows 2000 Server的域中。

2．在Windows 2000 Server 上更新林架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /forestprep. 注意：E盘是光盘）(如果更新到Windows Server 2003 R2, 需要把R2的第2张光盘插入光驱，然后运行命令Drive:\CMPNE NTS\R2\ADPREP\adprep.exe /forestprep)3．在Windows 2000 Server 上更新域架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /Domainprep. 注意：E盘是光盘）4．把Windows Server 2003提升为Windows 2000 Server的附加域控制器。

（在Windows Server 2003上运行dcpromo）5．让Windows Server 2003成为PDC1)把5中操作主机（架构主机，域命名主机，PDC仿真器，RID主机，基础结构主机）传递到Windows Server 2003上（安装超级工具包——>ntdsutil→Roles→Connections→Connectto Server →quit→T ransfer 五种操作主机的名称）2)让Windows Server 2003成为GC(全局编录服务器)在“Active Driectory站点和服务”工具中操作。

3)在Windows Server 2003上为DNS服务做备份6．把Windows 2000 Server从DC变成Member Server(命令dcpromo) 7．把Windows 2000 Server 退出域并关机，然后把Windows Server 2003的IP地址改成原先windows Server 2000的IP地址。

两台域控制器如何迁移AD两台域控制器如何迁移AD两台域控制器如何迁移AD，下面店铺准备了关于两台域控制器实现AD迁移的方法，提供给大家参考!AD用户账号、密码迁移步骤利用MicrosoftActiveDirectoryMigrationT ool可以在两个独立的AD域之间迁移用户、组、计算机等账号，其中2.0版可以实现迁移用户账号密码，本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。

操作步骤1、在目标域与源域之间建立双向的信任关系。

2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。

3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。

(这一部分不知道是否必需，但是我在实际操作中安装了该加密包。

而且根据微软的资料，在Win2K标准产品中已经包含了128位加密)4、在目标域的域控制器上安装ADMTVersion2.0.5、在目标域上查看系统内建组“Pre-Windows2000CompatibleAccess”的属性，检查“成员”中是否包括Everyone.如果没有，必须将Everyone加入，并且重启服务器。

(缺省情况下该组已经包含Everyone)。

6、检查目标域与源域之间的安全策略是否会影响到密码的迁移，如口令长度限制等。

如果有，需要进行相应的调整。

7、在目标域的域控制器的`命令提示符下输入如下命令进行保存密码文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

注意：尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘)，但是为了安全起见建议保存在软盘中。

如果你用星号“*”代替密码，会提示你输入密码。

SourceDomainName必需是源域的NetBIOS名称。

8、建议在源域中选择一台BDC作为密码导出服务器。

9、在源域的密码导出服务器中运行Pwdmig.exe，然后在相应提示中选择步骤7所生成的密码文件(如插入软盘)，如果步骤7中输入了密码，那么也必须输入密码。

活动目录用户迁移环境：源域域名：exchange003.localsxit-1fbdc93c92.exchange003.localIP: 10.10.1.62操作系统：windows2000 server x86目标域域名：exchange001.localsxit-rh44tr62uu.exchange001.localIP:10.10.1.143操作系统：windows2003 server x64目的：将exchange003.local中的用户test1,test2迁移到exchange001中步骤：1.在目标域上安装活动目录迁移工具ADMT2.02．分别在目标机器和源机器上提升林级别和域级别（注：只有2003系统才能提升林级别）在目标机器上打开Active Directory 用户和计算机，右击域选择提升域功能级别提升为windows server 2003模式打开Active Directory 域和信任关系，选择提升林功能级别选择提升为windows server2003模式到源主机打开Active Directory用户和计算机，选择属性在常规选项卡里选择提升为windows2000本机模式（纯模式）3．在两个DNS上分别建立对方的辅助区域在目的机器上打开DNS，右击选择新建区域选择辅助区域源机器也做同样的操作打开源机器的DNS，右击本机域名，选择属性在区域复制选项卡里选择允许区域复制，只允许到下列服务器，填入目的机器IP，确定在目的机器也做同样的操作4．建立双向信任关系在目的机器上打开Active Directory域和信任关系，右击选择属性在信任选项卡选择新建信任在这里选择外部信任，若是两个2003系统间的迁移就选林信任若为2003之间的迁移选全林身份验证打开源机器的域和信任关系，在属性里选择信任，确定信任已经建立5．安装密码迁移工具pwdmig✓目标域⏹如果目标域是windows2003家族，则必须修改默认域控制器策略1．打开组策略（运行->gpedit.msc）2．打开计算机配置->windows设置->安全设置->本地策略->安全选项3．启用：”网络访问：让每个人权限应用于匿名用户”打开计算机配置->windows设置->安全设置->本地策略->审核策略->审核帐户管理如果未设置就把审核这些操作成功和失败都选上，若已经设置就不用选将Everyone 组添加到内置组Pre-Windows 2000 Compatibility Access在命令行运行：net localgroup "Pre-Windows 2000 Compatible Access" Everyone /Add重启域控制器保存密码文件安装ADMT2.0,安装文件在光盘i386/admt/切换到ADMT的安装目录运行命令admt key SourceDomainName DriveLetter [Password] 生成密钥文件，密码可选在这里为：admt key exchange003.local C:\把密钥F327KBHH.pes保存在了C盘的根目录下，在这里我并没有设定密码通过共享方式或者软盘拷贝把密钥拷贝到源机器上将对方域中的Administrator和Domain Admins加入到本地Administrator组中。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

迁移帐户
更新时间: 2008年8月
应用到: Windows Server 2008
从源域向另一Active Directory 林中的目标域迁移帐户对象的过程涉及首先迁移服务帐户，然后迁移全局组。

当组位于目标域中之后，可以根据选择的过程迁移用户，或者使用安全标识符(SID) 历史进行资源访问，或者不使用 SID 历史进行资源访问。

当帐户对象迁移过程完成时，可以指示源域中的用户登录到目标域。

下图显示了在不同林中的域之间迁移帐户的过程。

清单：执行林间迁移
更新时间: 2009年5月
应用到: Windows Server 2008
在林之间迁移Active Directory 域（林间迁移）包括将一个林中源域的对象重新定位到另一个林中的目标域。

可能因为以下原因必须在林间重构Active Directory 域：
∙将试验域迁移到生产环境
∙将您的Active Directory 林与另一个组织的林合并，整合两种信息技术(IT) 基础结构
备注。

正好要写个AD域合并的方案，手头缺少些环境截图，索性做个ADMT 的迁移测试，后面还会写个Quest migration manager做迁移的，做个比较一. 虚拟环境Target DomainDomain Name： Msft.Local (windows 2003)IP Address：192.168.0.1Source DomainDomain Name： (windows 2003)IP Address：192.168.0.100Client PCName: ClientIP Address：192.168.0.200建立帐号和群组，共享资源二. 迁移流程ADMT 3.0可以实现三种环境的迁移1.Windows NT 4.0 Domain Restructure to an Active Directory Forest2.Interforest Active Directory Domain Restructure3.Intraforest Active Directory Domain Resturcture其中在Interforest和Intraforest中还是有一些区别的主要一点是Interforest里面对象是克隆，而在Intraforest里面对象是移动Migration Consideration Interforest Restructure Intraforest RestructureObject preservation Objects are cloned rather thanmigrated. The original objectremains in the source locationto maintain user access toresources. Objects are migrated and no longer exist in the source location.SID history maintenance Maintaining SID history isoptional.SID history is required. Password retention Password retention is optional. Passwords are always retained.Local profile migration You must use tools such as ADMTto migrate local profiles. For workstations that run the Microsoft Windows®°2000 Server operating system and later, local profiles are migrated automatically because the user’s GUID is preserved. However, you must use tools such as ADMT to migrate local profiles for workstations that run Windows NT 4.0 and earlier.Closed sets You do not need to migrateaccounts in closed sets. You must migrate accounts in closed sets.整个迁移的流程图三. 迁移前期工作target域需要Windows 2000或者Windows 2003域功能级别建立source和target之间的域信任关系关闭SID Filter, 默认在Windows 2000 SP4以上及Windows2003启用了SID Filter, 在迁移过程中，为了让用户可以正常原有资源，我们需要迁移SID Histrory.在命令行中通过netdom命令关闭SID Filter将目标域的Domain Admins群组加入到Source administrators群组以下三个步骤可以在ADMT第一次运行时由ADMT自动创建1.在source域中创建source_name$$$本地群组2.在source PDC角色上开启TCP/IP Client Support功能HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\LSATcpipClientSupport DWORD 13.在target和source域上开启审核Group Policy-Default Domain Controllers Policy-Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit PolicyAudit accout management Success,Failure四.安装ADMT在target domain controller上安装ADMT 3.0 (ADMT 3.1支持Windows 2008)ADMT3.0需要数据库支持，无论是采用SQL还是WMSDE，默认都会在本地安装WMSDE。

使用域管理员用户登录2003服务器（例如：Test\administrator）在”AD用户和计算机”，选中域右键选择提升域功能级别，模式为2003模式在”AD域和信任关系”，提升林功能级别使用administrator登录2012服务器首先将计算机设置静态IP，且dns设置为2003服务器IP将2012服务器加入2003域中，成为成员计算机随后重启计算机，此时可在2003服务器中用户和计算机中的computer中看到已加入域的2012服务器2012服务器重启，使用域管理员进行登录（例如：Test\administrator）在2012服务器中添加角色及功能下一步，下一步，下一步，添加角色为域服务下一步，下一步，下一步，进入检测环节，进行安装，安装完成将2012域角色升级为域控制器选择加入现有域配置还原密码，最好单独记录下来下一步，下一步，指定从2003的服务器进行复制下一步，下一步，下一步，检查先决条件无问题，直接进行安装，自动重启，此时可在2003服务器”AD用户和计算机”中的domain controllers中看到2012服务器。

2012服务器重启后，使用域管理员进行登录（例如：Test\administrator）将2012安装盘挂载到服务器进入安装盘中的XXX:\support\adprep目录Shift+右键打开cmd运行adprep.exe /forestprep，按提示输入C+回车继续运行adprep.exe /domainprep 更新域信息运行adprep.exe/domainprep /gpprep 更新策略组运行adprep.exe /rodcprep 更新对RODC只读域控器的支持2012服务器管理器中选择：”AD用户和计算机”管理打开”AD用户和计算机”，选择要操作的域右键进行操作主机修改RID更改：由2003变更为2012PDC更改：由2003变更为2012基础结构更改：由2003变更为2012打开”“AD域和信任关系””，选择要操作的域右键进行操作主机修改更改域名操作主机：由2003变更为2012调出命令行工具，输入：regsvr32 schmmgmt.dll 调出命令行工具，输入：mmc 使用控制台调整添加管理单元：AD架构调整目录服务器为2012服务器修改操作主机更改架构主机：由2003变更为2012清退2003服务器所担任的角色打开AD站点和服务编辑2003服务器编录角色刷新确认2003的角色由GC变为DC在命令行窗口，输入netdom query fsmo 看到域的角色都已经更改为了2012服务器再”AD用户和计算机”中尝试提示下域功能级别到windows server 2012，提示域内有windows server 2003版本的域控存在最后进行2003退域操作在2003上把dns解析设置为2012主机的IP在server2003上使用Dcpromo命令退域下一步，下一步，等待数据传输，服务卸载，完成控制器降级，成为域成员计算机，重启。

AD域迁移
AD域控制器迁移方法
1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域，也可以不加)。

2:提升新DC为辅助域控制器后重启。

3:重启完成后，安装DNS服务.然后等老DC的DNS信息自动同步到新DC的DNS 上。

4:将新DC设置为G，然后等新/旧DC同步，具体时间视网络环境。

5:同步完成之后，就可以传送FSMO角色这是最重要的一步(用ntdsutil来把旧DC 上的FSMO五种角色转移到新DC上,转移用到命令transfer )。

6:老DC降级重启然后退域，关机。

7:新DC改IP，把自己的IP地址改为DNS地址(做这一步就是为了让客户端感觉不到更换了服务器,也省了到下面去改DNS地址)。

ADMT域遷移工具使用說明一:遷移前域控制器配置：（以下为YZQ与JLP两个域做的测试）１：建立兩域的雙向信任A: 分別在兩域DNS服務器中添加對應的域為其輔助區域点击下步添加辅助域添加新建区的DNS服务器的IP地址添加完成B: 提升兩域控制器模式為WIN2000純模式或更高級別模式C: 建立兩域的雙向信任打开AD域和信任关系管理工具点击域工作站属性选择信任选项选择新建信任添加信任域选择信任方向（选双向信任）创建信任密码创建完成注意：两域互建双向信任信任密码必须相同。

D: 分別在兩域的管理員群組中添加對方域的管理員帳號(2): 安裝ADMT工具分別在源域和目標域中安裝ADMT工具（在源域中安裝ADMT工具是為了啟動PES服務）２.配置密碼遷移(1): 在目標域中的域控制器創建加密密鑰在命令行中輸入以下內容:Admtkey/option:create/sourcedomian:sourcedomian/keyfile :keyfilepath/keypassword: password Sourcedomain 指定安裝PES服務的源域名稱。

Keyfilepath 指定指向存儲加密密鑰位置的路徑。

Password 提供加密密鑰的密碼，可選。

為保護共享的密鑰，請在命令上鍵入密碼或星號。

如鍵入星號，那在提示輸入密碼時不會在屏幕上顯示。

(2)：在源域中配置PES服務A.將在創建好的密鑰拷貝到源域域控制器的C:\Documents and Settings目錄下。

B．在Pwdmig文件夾中，運行Pwdmig.msi。

如果在目標域域控制器上的密鑰生成過程中設置了密碼，將提示“需要密鑰密碼”對話框。

提供創建密鑰時給出的密碼，然后單擊“下一步”。

C.指定運行PES服務所使用的賬戶。

（最好選用目標域的管理員帳號）D.安裝完成，重新啟動域控制器。

E.域控制器重新啟動后，需手動啟動PES服務。

二.遷移帳號以及密碼1.在目標域控制器中運行遷移工具2.选择源域和目标域3.选择用于用户选择的方法4.添加用户5.添加完用户点击“下一步”选择帐号要迁移到目标域的OU5.选择帐号密码迁移选项6.选择帐户转换选项7.选择迁移帐号相关信息8.选择帐户需要排除的属性9.选择帐户合并冲突管理10.迁移完成。

迁移源域TestSource中的安全组TestGroup到目标域TestDestination 使用ADMT中的迁移组功能，将源域TestSource中的组TestGroup迁移到目标域TestDestination中，并且要保证该组在迁移后用户新域中的SID，且要保留源域中的历史SID，使得改组继承它在源域中所拥有的所有权限。

ADMT工具具有“迁移用户”，“迁移组”，“迁移安全性”，“迁移安全性”，“迁移计算机”，“迁移Exchange目录”，因为本论文仅涉及到组和账户的应用，未涉及邮箱账户的应用，所以在迁移的优先级方面没有考虑邮箱的迁移。

而在迁移时，优先考虑迁移组，是因为组中的用户成员，是只能来自其各自域的，因此在用户帐户，从一个域迁移至另一个域的时候，通过ADMT在目标域中创建的新的账户不能是源域中全局组的用户成员，当迁移组时，组的从属关系将被恢复。

但是如果先迁移用户再迁移全局组的话，那么该用户有可能通过迁移账户登录到目标域，而该用户帐户却不具备任何的组从属关系。

我们打开管理工具中的Active Directory迁移工具。

选择“组账户迁移向导”如果要测试迁移的可行性，可以选择上面的选项。

本论文直接进行迁移，并点击“下一步”以继续选择好“源域”和“目标域”，点击下一步以继续点击“添加”输入安全组名称，即TestGroup，点击“确定”选择该组将要迁移入的组织单位OU在“组选项”里选中“修复组成员身份”和“将组SID迁移至目标域”。

注意，这两个选项非常重要。

如果不选中，ADMT就不会把该组在源域中的SID 加入新域中的历史SID记录中，就会造成该组在新域中无法继承其在源域中的权限。

如果在迁移过程中，有在新域中不需要的属性需要排除，可以在这里设置。

一般情况下我们保持默认设置，点击“下一步”以继续要添加SID历史，必须输入源域中有域管理权限的账户的用户名，密码和域点击下一步后，工具自动进行对TestGroup的迁移。