none
用之於社會,取之於社會~AD遷移問題~歡迎大家問我~討論 RRS feed

  • 一般討論

  • 各位好:
    對於AD遷移部分
    小弟比較愚笨一點
    前前後後斷斷續續嘗試了很多方式來做AD遷移
    終於歷時數十次的「實驗」終於成功
    得到很多經驗
    當然也得到很多失敗的經驗

    特別是
    網路上搜尋或者是「專家」回答的~都是未經個人實際測試來的「答案」
    所以~得到很多失敗的經驗

    但也相對的得到不錯的經驗與觀念

    如果大家對於「AD遷移」有任何疑問~
    歡迎可以與我討論~
    我將把我這一部份「正確」的經驗告訴你
    2009年2月19日 上午 07:28

所有回覆

  • 那你可以先寫篇完整的流程給大家參考
    每個人環境都不一
    不一定網路上的作法都有錯或沒測試
    AD遷移外在因素眾多
    所以方法怎樣用在於人


    分享工作上的經驗,Windows歡迎提出討論,Jerry_IT資訊技術手札 - 無名小站http://www.wretch.cc/blog/jerry0822 10/26影音教學(有聲音)Jerry_IT資訊教學影片技術手札(http://kili92.myweb.hinet.net/index.htm)
    2009年2月20日 上午 01:02
  • 我贊同你的說法
    雖然遷移的外在因素很多

    但其關鍵往往都會lost
    我做AD遷移時
    從書本或者是網路搜尋、電子書、討論區
    往往都少了一些keyword
    這些keyword非個人或者外在因素

    而是每一個人都留一步

    說穿了~標準流程人人會說~會寫
    但非每一種狀況都遇過

    我的標題流程跟大家都差不多

    1.建立dns互相transfer或者query.

    2.建立兩方ad信任.

    3.將兩方 Administrator 與 Domain Admin 加入對方Administrators群組.

    4.於目的網域控制站安裝ADMT.(註1)

    5.利用ADMT將密碼匯出.(註2)

    6.將此加密網域密碼複製到來源網域控制站.安裝PWS密碼遷移伺服器.安裝時,選擇剛才目的加密密碼.
    7.先不要重新開機.

    8.Command輸入「regedit」去編輯註冊碼.


    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    新增
    TcpipClientSupport = 1
    AllowPasswordExport = 1

    9.接著將來源網域控制站重新開機.於「服務」中啟動「密碼匯出伺服器」.

    10.於來源網域控制站GPO Startup Command.寫一個可以讓New Domain Administrator加入每一個本機Administrators群組中.此用於電腦帳號遷移與安全性轉譯遷移之用.(註3)

    11.記得該遷移的用戶端防火牆要關閉.以免影響到遷移代理程式部署.

    12.於目的網域控制站.先遷移User Account使用者帳號.勾選「遷移密碼」、「將使用者SID遷移到目標網域」、「轉譯漫遊設定檔」、「更新使用者權利」、「修正使用者群組成員資格」。

    13.再遷移「群組帳號」.勾選「更新使用者權利」、「修正群組成員資格」、「將群組SID遷移到目標網域」.

    14.在遷移「電腦帳號」.轉譯項目全部勾選~轉譯選項則為「新增」.ADMT該帳號操作原就會發代理程式給該電腦用戶端.去更改其相關註冊碼.

    15.在遷移「安全性轉譯」.轉譯項目全部勾選~轉譯選項則為「新增」.此用戶端電腦會自動重新開機一次.

    16.
    這樣該使用者就遷移完成了~
    (1)該new domain user account可以使用old domain user profile.
    (2)new domain user account可以同時讀寫new與old user 檔案權限資料夾.因為此為SID History交換.所以兩個SID雖然不一樣.但old user account不可以讀寫new domain user 的檔案資料匣.

    註1.ADMT、PWS於windows 2003光碟中為2.0版.網路上為3.0版.ADMT與PWS版本要對應.切忌不可以ADMT為3.0但PWS為2.0.這樣會找不到該密碼伺服器. 3.1版則不可以用於2003.

    註2.密碼匯出指令2.0版與3.0有差異.
    2.0版為
    admt key SourceDomainName.local /keyfile:c:\檔案名稱.pes
    3.0版為
    admt key /OPT:CREATE /SD:SourceDomainName.local /KF:c:\檔案名稱.pes

    註3.
    將網路管理者加入本機Administrators群組中,此執行者必須有本機管理者權限.您可以從OLD DOMAIN 下GPO去為每一台用戶端做一次.
    NET LOCALGROUP "Administrators" "DestDomainName\Administrator" /ADD


    以上為單一使用者來做遷移
    至於如何遷移全公司使用者
    只要從群組遷移開始為第一步驟就可以著手了.
    觀念大概是這樣.

    以上有錯誤~歡迎指教~此為本人心得~如有遺漏~敬請留言~感恩~
    2009年2月20日 上午 01:39
  • 如果是 windows2003對windows2008網域的話,使用ADMT3.1有無特別要注意的地方,
    以及user profile遷移是否都正常,謝謝!!
    2009年2月26日 上午 09:08