2003不同域间密码迁移

win2003+exchange2003同域迁移到win2008r2+exchange2010目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。

按照安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。

旧服务器已经运行了3年，因为近期陆续出现严重错误，最后决定进行迁移。

决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行，然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域，迁移域控后删除旧服务器的域控，在新服务器中部署IIS、证书服务器、exchange2010，然后将所有用户和邮箱迁移到新服务器中，删除旧服务器的exchange2003，最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件，裸机还原到一个新硬盘上，将硬盘安装到真实服务器，投入使用。

部署环境：旧服务器：omoserver，win2003sp2，本身为域控AD（），已经部署有exchange2003，ip 地址为192.168.1.91管理员administrator 密码omoxxxx0）新服务器：omoserver2，win2008r2，将成为新域控AD（），最后准备部署exchange2010,ip 地址为192.168.1.61管理员administrator 密码xitongguanliyuanxxxx0）部署环境为vmware7虚拟机。

安装过程中的存档都是指虚拟机快照。

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

win2003域控制器升级迁移到win2008的详细步骤原 Domain Control情况如下：计算机名： whdgap01.WHDG.localIP地址： 192.168.2.31/24 （DNS:192.168.2.31;202.96.134.133 GW:192.168.2.1/24）操作系统： Windows Server 2003 Enterprise Edition SP1提供服务： Domain Control、DNS完成升级后，增加 Server2008为域控制器计算机名： whdgap01.WHDG.localIP地址： 192.168.2.31/24 （DNS:192.168.2.31;202.96.134.133 GW:192.168.2.1/24）操作系统： Windows Server 2008 R2 enterprise提供服务： Domain Control、DNSWin2003域添加Win2008域控制器1、安装Windows Server 2008服务器。

2、将win2008加入域whdg中3、对Forest（林）、 Domian（域）和RODC（域控制器）进行扩展。

在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具，该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下，复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。

注意：扩展操作在DC2003（域控制器）上进行操作。

开始－运行－CMD，进入D分区的ADPREP目录输入 adprep /forestprep 根据提示，选择”C “，并按下 Enter键继续。

（林拓展）完成 Forest扩展。

接下来的是 RODC 请输入：adprep /rodcprep。

完成 RODC的扩展之后，接下来进行的是 Domain的扩展。

进行Win2000到Win2003域的迁移，该域现有500多个用户，负责医院各系统服务的认证工作。

表2 新域服务器信息原有域服务器的操作系统均为Windows 2000 Server,而本次新的域服务器操作系统改用Windows 2003 Enterprise Server。

要实现2000域到2003域的迁移，我们主要通过以下步骤实现：1.在拥有架构主机角色（schema master）的域控制器上更新林信息。

2.在拥有结构主机角色（infrastructure master）的域控制器上更新域信息。

3.将两台新服务器（Windows 2003系统）作为额外域控制器加入2000域中。

4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。

5.开启新域控制器的全局编录（等待更新同步）。

6.去除原有域控制器的全局编录。

一、更新林信息1.到架构主机A1服务器上做更新林的操作。

更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安装光盘的I386目录下,将操作系统光盘插入光驱，并把I386目录拷贝到服务器本机D盘根目录下。

运行窗口中键入cmd，进入命令行模式后点击“开始→运行→cmd”，将当前目录切换到Adprep.exe目录下。

具体操作如下：C:Documents and SettingsAdministrator>D:D:>cd win2003D:win2003>cd i386D: win2003i386>2.运行adprep /forestprep更新林信息，在操作之前应确保Windows 2000系统已经打上SP2以上补丁,如满足要求则依照提示输入“C”,并按回车键，其生成信息如下：adprep /forestprepADPREP 警告:运行Adprep之前，此林中的所有Windows 2000域控制器必须升级到带QFE 265089的Windows 2000 Service Pack 1（SP1），或者升级到Windows 2000 SP2（或更新）。

windows 2003 域密码策略设置在域控制器上的开始菜单中打开“运行”，输入DSA.MSC后回车，即打开活动目录的用户和计算机管理控制台。

在域节点右键，进入属性，打开组策略选项卡，在里边找到Default Domain policy这个GPO选中他，点击下面的编辑，现在就会打开组策略编辑器，在这个组策略编辑器中找到一下路径：计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。

在这个路径下找到“密码必须符合复杂性要求”设置为禁用，“密码长度最小值”设置为0。

这样你就可以创建空密码的用户帐户了（当然在这里你也可以为你的域设置你自己需要的密码策略），完成了以上设置后并没有完，还有最后一步，就是在开始菜单的运行中输入“GPUPDATE /FORCE”这个命令。

另：1、如何在WIN2003中添加用户？每次添加用户时总是提示我不符合密码策略，怎么办？问：如何在WIN2003中添加用户？我将公司的主域服务器改成win2003，但是win2003却不让我添加用户，每次添加用户是总是提示我不符合密码策略，怎么办？答：对于2003域，默认域的安全策略与2000域不同。

要求域用户的口令必须符合复杂性要求，且密码最小长度为7。

口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。

操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略：密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令。

（推荐使用这个）说明：2000中使用的刷新组策略命令secedit /refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。

对于2003 域控升级到2008 R2 域控的操作。

环境：AD 为单台2003 sp2 IP:172.16.10.10/24exchange2003 一台IP:172.16.10.20/242008 R2 一台IP:172.16.10.30/24客户机一台IP 随意网关：172.16.10.254 DNS为172.16.10.10升级前参考的文档为/viewthread.php?tid=53495&from=favorites/872211/197132不过区别在于，文档的案例是从2003 企业版升级到2008企业版，我只有2008 R2各版本，所以现在来做从2003 SP2 企业版升级到2008 R2 企业版。

作业前，将2003域控备份系统状态，在此不多说。

按照参考文档，先在2003域上升级域架构，在2003 域控IP：172.16.10.10 上放入2008 R2 光盘，此光盘为D盘，CMD下进入D:\support\adprep目录，（注：此处与参考的案例中的不一致，应该是2008和2008R2之间的区别）输入adprep.exe /forestprep进行2003 Schema 林架构升级。

看上面的图应该是不行的，为此我参考第二篇文档，/872211/197132用adprep32.exe来扩展这里按C 再按enter 确认继续，按其他键和enter 取消操作。

运行中，会修改一大堆文件。

中间就不截图了，经过漫长的等待（大约10分钟），终于完成了。

升级2003 AD Schema 域架构； adprep32.exe /domainprep出现‘Adprep detected that the domain is not in native mode。

’这时候需要那么你需要提高你的域的功能级别。

- 去到Active Directory域和信任关系.- 右键单击域对象，并选择“提升域功能级别…”- 选择“Windows Server 2003″并点击提高提升完后，再来继续这步提示后面要加参数完整命令为：adprep32.exe /domainprep /gpprep如上图，这次成功了。

Windows server 2003 升级至windows server 2008 R2运行环境：Windows Server 2003 是原有的域控制器，域名为 ，此域环境下运行Exchange 2010。

现要将原有2003域控升级至2008R2，保证Exchange2010正常运行。

步骤如下：1.新建一个windows 2008 R2系统，将其加入原有的2003的域中。

图12.在2008R2上使用命令“netdom query fsmo”查看当前域中的五种主机角色，如图2所示，当前5种角色均在旧的域控制器上（要注意的是本命令需要安装windows 的Support Tools）图23.更新Active Directory架构，该更新需要在架构主机上进行操作，同事进行的操作的用户需要是 Enterprise Admins、Schema Admin 和 Domain Admin组的成员。

1)更新林架构在原有的2003域控制器上插入2008R2系统光盘，打开\support\adprep目录下，运行adprep /forestprep, 在警告窗口中键入C，确认所有的版本正确后，然后回车开始进行更新林架构。

在cmd下进入\support\adprep目录（“cd..”返回上一级目录），然后运行命令adprep32.exe /forestprep。

（adprep.exe是64位2003 Server使用）如下图3所示。

图3按照提示：现有环境中所有的域控制器都满足版本的要求，按C然后按Enter键。

直至林架构扩展成功。

图4图52)如果需要部署RODC，需要事先扩展RODC，同一目录下使用命令adprep32.exe /rodcprep，如图6所示。

图63)更新域架构同样在\support\adprep目录下，运行adprep /Domainprep /gpprep 进行域架构的更新。

如图7所示。

图7经过以上几步扩展forest（林）、rodc（只读域控）、domain（域）、gp（组策略）后，就完成了将win2008r2提升为新域控的准备工作。

Win2003 SP2迁移看看现有环境:一台DC+EXCHANGE2003多台加到域的内网客户端.(装有OUTLOOK)拓朴如下:更新过程中的环境如下:因购买了新的硬件.替换掉原有的邮件服务器.方案的最终图:就是拿掉旧DC+Exchange服务器. 如下所示:先分析下当前环境,(为了验证结果):一台加入域的客户端.开始动手了.先转移DC.那么就要建立BDC.具体过程在这里就不写了,我把主要的图贴上来,(在AD版块上有详细描述)这是准做为BDC的机器.把这机器提升为BDC详细搭建额外DC描述首先我们要明确为什么需要搭建额外DC：假如说在企业网络环境中只有一个域控制器，所有的信息都存储在这个域的数据库中，而域的数据库只是个逻辑的概念，最终是要存储在一台服务器上。

那么，这台服务器的可靠性、可用性也决定了域的可靠性。

假如在某个时间DC因为某种原因离线，此时用户就无法正常登录或访问网络资源。

一个DC是满足不了网络的可靠性，那么为了DC在发生故障时提供容错和解决DC的负载压力，我们需要创建额外的域控制器。

试验环境如下图：下面我们在perth上安装额外域DC—BDC和安装第一台DC一样，首先要考虑一下在安装时所具有的环境1、当前登录者必须是本地超级管理员2、和DC能正常通讯3、DNS指向DC在确认无误后我们开始安装额外DC和安装DC一样，在开始运行中输入dcpromo，单击确定单击下一步操作系统兼容性：单击下一步域控制器类型：我们在此创建的是额外域控制器，因此选择“现有域的额外域控制器”，单击下一步网络凭据：注意，此处输入的用户名和密码是域管理员的，而不是本地管理员。

确认填写信息无误后单击下一步填写，单击下一步数据库文件夹存放路径：我们在此选择默认就放到C盘，但是在实际环境中出于安全性考虑，不能放在系统盘。

单击下一步SYSVOL文件夹存放路径：解释同上目录还原模式密码：是为了在活动目录出现故障还原时所提供的密码，创建完毕后单击下一步确认以上信息无误后单击下一步下图是正在安装活动目录，我们耐心等待片刻活动目录已安装完成，如下图，单击完成安装完成后选择“立即重新启动”OK，额外DC到此部署完成.BDC建立成功后.安装DNS.BDC的DNS指向自己.接着在运行输放dnsmgmt.msc新建正向区域.(可通过-辅助区域-复制DC上的DNS)允许动态更新.安装完成.重新加载DNS,目的是让区域生成SRV(资源指针记录). 用到命令如图,,或重新启动.再打开dnsmgmt.msc.如图所示:提升BDC作为GC.安装EXCHANGE.并打上SP2补丁(原本的版本也是SP2). 安装Exchange前准备.先装上相应服务支持.开始安装.欢迎向导,同意协议,....打上SP2补丁.Exchange的安装工作完成后,开始把角色(我这环境第一台DC默认是5种角色的拥有者)转移到BDC身上了.我的做法是在DC上降域,角色自动转移到BDC上.在原有DC上操作,(注意图中文字)检查下角色的在谁身上,之前那旧DC的计算机名为LAB2.nwtrader.msft 新的DC(BDC)名为LAB3.nwtrader.msft检查如下：AD用户和计算机、AD域和信任域、MMC控制台活动目录环境准备好后,开始对EXCHANGE动手了.1.首先,将所有公用文件夹复制到新服务器.删除原有LAB2的公用存储.最后只让LAB3来作为公用文件夹存储.确定后,等同步完成,检查结果.结果如下 ,说明同步完成.(双方服务器会显示一至)公用文件夹下所有文件夹重复操作一次,刚才是对a实行转移.我这环境,还有b 文件夹.以及Internet Newsgroups都执行了.检查结果显示同步.如果此公用文件夹具有子文件夹，并且您希望在目标服务器上有这些子文件夹的副本，请右键单击顶级公用文件夹，单击“所有任务”，然后单击“传播设置”。