none
ADMT 3.0 電腦帳號遷移遇到問題 RRS feed

  • 問題

  • 各位高手好~想請教一個問題

     

    我使用ADMT 3.0 來做Windows 2003 遷移到另外一個樹系子網域的Windows 2003

     

    基本上在操作部分,大致上都有照著Help文件走,使用者及群組帳戶遷移的部分也都沒有問題。

    唯一一個小問題是,ADMT 3.0 預設一定會把USER的下次登入時更改密碼的選項打勾,那這樣我遷移密碼還有用嗎?

    還是只要把勾勾拿掉,USER就可使用原本的密碼登入了呢??

     

    而我在遷移電腦帳號時,跑到代理程式時的前置檢查的部分,卻都失敗導致無法轉移

     

    LOG如下

     

    2008-04-16 12:06:42 已經從先前由網域 'esprit-australia.com' 遷移至網域 'au.esprit-asia.com' 的資料庫讀取 13 個帳戶。
    2008-04-16 12:06:43 已建立帳戶輸入檔以供遠端代理程式使用: Accounts000015.txt
    2008-04-16 12:06:43 正在 1 伺服器安裝代理程式
         
    2008-04-16 12:06:43 Active Directory 遷移工具代理程式將會安裝於 andy-pc-01.esprit-australia.com
    2008-04-16 12:06:45 WRN1:7290 無法辨識電腦 \\andy-pc-01.esprit-australia.com 的處理器結構。存取登錄機碼 SYSTEM\CurrentControlSet\Control\Session Manager\Environment 時發生錯誤 rc=5          存取被拒。
    2008-04-16 12:06:45 ERR2:7006 無法將代理程式安裝在 \\andy-pc-01.esprit-australia.com,rc=5   存取被拒。
    2008-04-16 12:06:45 ERR2:7667 無法存取機器 'andy-pc-01.esprit-australia.com' 上的 ADMIN$ 共用。請確定共用存在且執行 ADMT 的帳戶為機器 'andy-pc-01.esprit-australia.com' 上本機系統管理員群組的成員。  hr=0x80070005. 存取被拒。

     

    我做檢查的動作為:

    1. 稽核有開成功與失敗

    2. 兩邊的網域的Administrators都分別加入了對方的Domain Admin群組以及Administrator的帳號

    3. 兩邊的網域都有從網域頂層做委派動作,所有權限全開

    4.我在轉移電腦帳戶時,選擇所有功能,包含登陸,印表機等等的、並且使用新增模式

     

    但是,還是無法解決這個狀況,沒辦法繼續下去,請問各位高手我有哪邊疏忽或是可以檢查的嗎..

     

    我測試時,確實我直接在執行輸入 \\ \\andy-pc-01\c$ 是無法進入的必需要驗證

     

    另外我想請問的是在爬文時有看到發文說,做電腦帳戶遷移時,要把DNS IP先指到目標網域的DNS,以及更改用戶端的DNS尾碼,想請問這兩個的動作如果沒做在實際環境RUN時,會發生什麼事情。

    另外如果雙方網域都有對方的Administrators的權限了,應該就有對方網域的Client的Local Admin的權限了吧

    不知道為什麼還是無法遷移電腦帳戶,請大大幫忙解惑...

    2008年4月16日 上午 04:48

解答

  • 遷移完畢之後,如果要讓使用者用以前的密碼登入,就去取消 下一次登入要變更密碼。

     

    遷移電腦的話,你必須將Source Domain 的Administrator 帳號,加入遷移電腦的本機administrators 群組。

     

    另外DNS 如果可以就先指到新DNS Server,避免遷移完成之後的Post Check 失敗。

     

    2008年4月16日 上午 04:57
  • 報告大大

     

    我已經成功了,看來光在網域的Administrators的權限加入對方的Domain Admin還是不夠權限

     

    我手動至USER 電腦在Loacl Administrator的加入目標網域的Administrator的權限就可以正常通過了。

     

    看來這部分要利用cmd檔派送至所有USER端執行過才比較妥當。

     

    另外想請教一個部分

     

    1.      環境介紹
    樹系內有兩個Root Domain
    xxx-europe.com => single Domain
    xxx-asia.com => Mutli domain

    2.      子網域介紹
    xxx-asia.com
    的子網域下面有兩個子網域
    1. Sg.xxx-asia.com
    2. Au.xxx-asia.com

    3.      外部網域介紹
    xxx-Australia.com

     

    當我的外部網域成功的把使用者帳號及SID都成功遷移至目標網域之後

    使用者帳號的UPN,照理說應該為au.xxx-asia.com

    但是遷移成功後,使用者帳戶的UPN卻都會顯示為xxx.europe.com,必須再透過手動調整

     

    不知道這方面有大大有經驗嗎...

    因為這樣連電腦的File Share的權限也會變成xxx-europe.com

    會很難釐清權限

    2008年4月16日 上午 05:50

所有回覆

  • 遷移完畢之後,如果要讓使用者用以前的密碼登入,就去取消 下一次登入要變更密碼。

     

    遷移電腦的話,你必須將Source Domain 的Administrator 帳號,加入遷移電腦的本機administrators 群組。

     

    另外DNS 如果可以就先指到新DNS Server,避免遷移完成之後的Post Check 失敗。

     

    2008年4月16日 上午 04:57
  • 報告大大

     

    我已經成功了,看來光在網域的Administrators的權限加入對方的Domain Admin還是不夠權限

     

    我手動至USER 電腦在Loacl Administrator的加入目標網域的Administrator的權限就可以正常通過了。

     

    看來這部分要利用cmd檔派送至所有USER端執行過才比較妥當。

     

    另外想請教一個部分

     

    1.      環境介紹
    樹系內有兩個Root Domain
    xxx-europe.com => single Domain
    xxx-asia.com => Mutli domain

    2.      子網域介紹
    xxx-asia.com
    的子網域下面有兩個子網域
    1. Sg.xxx-asia.com
    2. Au.xxx-asia.com

    3.      外部網域介紹
    xxx-Australia.com

     

    當我的外部網域成功的把使用者帳號及SID都成功遷移至目標網域之後

    使用者帳號的UPN,照理說應該為au.xxx-asia.com

    但是遷移成功後,使用者帳戶的UPN卻都會顯示為xxx.europe.com,必須再透過手動調整

     

    不知道這方面有大大有經驗嗎...

    因為這樣連電腦的File Share的權限也會變成xxx-europe.com

    會很難釐清權限

    2008年4月16日 上午 05:50
  • Target Domain 的 administrator 本來就不會加入 Source Domain 的 本機 administraotrs  群組

    所以要另外加。

     

    另外你說的問題是UPN 的名字,你可以在AD 使用者及電腦,選擇要變更的使用者,右鍵 ->內容->帳戶

    去變更UPN 為你要的 au.xxx-asia.com 。

     

    如果沒有你要的UPN Domain name 你可以利用 AD網域及信任 去新增一個 au.xxx-asia.com

    2008年4月16日 上午 06:16