两台域控制器实现AD迁移的方法

使用ADMT v3.0 域迁移1、把目标域的功能级别提升为windows2000或以上纯模式。

2、两台域控做辅助dns或转发3、对两个域做一个双向信任关系。

4、目标域安装ADMT v3.05、在迁移密码的时候需要生成一个数据库，.pes文件，用于存放密码。

在目标域的cmd中输入命令：admt key /option:create /sourcedomain: /keyfile:c:\keyfile/keypassword:password(这个密码可有可无)。

完成后，在C盘中就会生成keyfile.pes这个文件，然后把这个文件复制到原域的C:\下，可以用共享的方法。

在这里我对数据库文件创建了个密码。

这个密码可有可无。

6、现在就要开始在原域中安装PES（Password Export Server）服务了，这个服务用于域间资源迁移，在整个迁移过程中其核心作用。

现在来安装PES(pwdmig.msi)。

这个安装文件在目标域中，路径是：C:\WINDOWS\ADMT\PES\。

安装ADMT后才有。

再说明一点这个程序在系统光盘中也有，路径在\I386\ADMT\PWDMIG。

这个是2.0版本的，测试下来和3.0不兼容。

开始安装PES，直至安装完成提示重新启动。

如果你没有在5中设置密码，密码提示框是不会出现的。

建议选择: 目标域\administrator登陆，这样在目标域迁移过程中能直接读取原域中数据库里的信息。

重启后，PES默认是不自动启动的，这需要手动让它运行。

打开services.msc，右击Password Export Server Service, 然后点Start。

现在PES才开始运行。

注意，迁移完所有的资源后，关闭他，其实重启下原域就可以了。

7、修改源域中本地安全机构的注册表HKLM\System\CurrentControllSet\Control\LSA下面有一个名字为AllowPasswordExport的记录项，把这个值由0改成1。

活动目录的用户迁移目的：将A域中的用户迁移到B域(目标域)中要点：1．需要有活动目录迁移工具ADMT2．安装support工具3．安装ADMINPAK4．需要提升林功能级别为Windows 2003模式5．在两个域的DNS上建立对方域的辅助区域6．创建林双向信任关系5．迁移时是在目标域上操作的步骤：1．安装活动目录迁移工具ADMT在微软的官方网站上有下载，目前最新版本是ADMT 3.0。

要安装在目标域中，在本实验中就是安装在B域的DC上。

2．提升林功能级别为Windows Server 2003模式提升林功能级别的目的是为了建立林范围的双向信任关系。

首先，想提升林功能级别为Windows Server 2003模式，必须要将域中的所有DC的域功能级别提升为Windows 2000纯模式或Windows Server 2003模式后,才能把林功能级别提升为Windows 2003模式在DC上，打开AD用户和计算机，鼠标右键域选项选提升域功能级别选Windows 2000纯模式，点提升，然后确定然后，打开AD域和信任关系，鼠标右键AD域和信任关系选提升林功能级别为Windows Server 2003模式将林功能级别提升为Windows Server 2003模式后，林中的域功能级别也相应的被提升为Windows Server 2003模式。

只有将域功能级别提升为Windows 2000纯模式或Windows server 2003模式，才能将林功能级别提升为Windows server 2003模式。

上图为提升完林功能级别为Windows Server 2003后，域功能级别也被提升为Windows Server 2003模式了。

注意的是：提升域功能级别是在AD用户和计算机上和AD域和信任关系上做的操作而提升林功能级别是在AD域和信任关系上做的操作。

而且，提升林的功能级别的目的是为了建立林范围的信任关系。

AD的五种操作主机的作用及转移方法AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机schema master2..域命名主机domain naming master3.相对标识号(RID) 主机RID master4.主域控制器模拟器(PDCE)5.基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：1.架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

2.域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

3.相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机A4.PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

把Windows 2000 Server的域控制器迁移到Windows Server 2003域控制器的具体操作步骤1．为新服务器安装好Windows Server 2003的操作系统，然后加入到Windows 2000 Server的域中。

2．在Windows 2000 Server 上更新林架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /forestprep. 注意：E盘是光盘）(如果更新到Windows Server 2003 R2, 需要把R2的第2张光盘插入光驱，然后运行命令Drive:\CMPNE NTS\R2\ADPREP\adprep.exe /forestprep)3．在Windows 2000 Server 上更新域架构（把Windows Server 2003的光盘插入Windows Server 2000的计算机中，然后运行：E:\I386\ADPREP.EXE /Domainprep. 注意：E盘是光盘）4．把Windows Server 2003提升为Windows 2000 Server的附加域控制器。

（在Windows Server 2003上运行dcpromo）5．让Windows Server 2003成为PDC1)把5中操作主机（架构主机，域命名主机，PDC仿真器，RID主机，基础结构主机）传递到Windows Server 2003上（安装超级工具包——>ntdsutil→Roles→Connections→Connectto Server →quit→T ransfer 五种操作主机的名称）2)让Windows Server 2003成为GC(全局编录服务器)在“Active Driectory站点和服务”工具中操作。

3)在Windows Server 2003上为DNS服务做备份6．把Windows 2000 Server从DC变成Member Server(命令dcpromo) 7．把Windows 2000 Server 退出域并关机，然后把Windows Server 2003的IP地址改成原先windows Server 2000的IP地址。

两台域控制器如何迁移AD两台域控制器如何迁移AD两台域控制器如何迁移AD，下面店铺准备了关于两台域控制器实现AD迁移的方法，提供给大家参考!AD用户账号、密码迁移步骤利用MicrosoftActiveDirectoryMigrationT ool可以在两个独立的AD域之间迁移用户、组、计算机等账号，其中2.0版可以实现迁移用户账号密码，本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。

操作步骤1、在目标域与源域之间建立双向的信任关系。

2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。

3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。

(这一部分不知道是否必需，但是我在实际操作中安装了该加密包。

而且根据微软的资料，在Win2K标准产品中已经包含了128位加密)4、在目标域的域控制器上安装ADMTVersion2.0.5、在目标域上查看系统内建组“Pre-Windows2000CompatibleAccess”的属性，检查“成员”中是否包括Everyone.如果没有，必须将Everyone加入，并且重启服务器。

(缺省情况下该组已经包含Everyone)。

6、检查目标域与源域之间的安全策略是否会影响到密码的迁移，如口令长度限制等。

如果有，需要进行相应的调整。

7、在目标域的域控制器的`命令提示符下输入如下命令进行保存密码文件的保存：admtkeySourceDomainNameDriveLetter [Password]。

注意：尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘)，但是为了安全起见建议保存在软盘中。

如果你用星号“*”代替密码，会提示你输入密码。

SourceDomainName必需是源域的NetBIOS名称。

8、建议在源域中选择一台BDC作为密码导出服务器。

9、在源域的密码导出服务器中运行Pwdmig.exe，然后在相应提示中选择步骤7所生成的密码文件(如插入软盘)，如果步骤7中输入了密码，那么也必须输入密码。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：其中：：ADC01作为主域控制器，操作系统为WindowsServer2008R2，并安装有DHCP服务，作用域范围为——。

ADC02作为的辅助域控制器，操作系统为WindowsServer2008R2Exs01为的Mail服务器，操作系统为WindowsServer2003SP2，Exchange版本为2003TMG01为防火墙，加入到网域，操作系统为WindowsServer2008R2，ForefrontTMG为2010Client为加入到此网域的客户端PC，由DHCPServer分配IP：Ad-cntse为的域控制器，操作系统为WindowsServer2008R2，为了网域的迁移安装有ADMT以及SQLServerExpress2005SP2Exs-centse作为的MailServer，操作系统为WindowsServer2003SP2，Exchange版本为2003.备注：所有的Server均处在同一个网段二、的User结构：如图，其中红色圈中部分为自建组别，OAUser为普通办公人员组别，拥有Mail账号，admins为管理员群组，TerminalUser为终端机用户组别，均没有Mail 账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把的解析交给的DNS。

如下图：2、在“ActiveDirectory网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

实战操作主机角色转移今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC 主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示，域内有两个域控制器，Florence和Firenze。

Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。

其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一从Florence转移到Firenze在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。

从下图所示，在Active Directory用户和计算机中右键单击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。

AD域迁移
AD域控制器迁移方法
1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域，也可以不加)。

2:提升新DC为辅助域控制器后重启。

3:重启完成后，安装DNS服务.然后等老DC的DNS信息自动同步到新DC的DNS 上。

4:将新DC设置为G，然后等新/旧DC同步，具体时间视网络环境。

5:同步完成之后，就可以传送FSMO角色这是最重要的一步(用ntdsutil来把旧DC 上的FSMO五种角色转移到新DC上,转移用到命令transfer )。

6:老DC降级重启然后退域，关机。

7:新DC改IP，把自己的IP地址改为DNS地址(做这一步就是为了让客户端感觉不到更换了服务器,也省了到下面去改DNS地址)。