原AD账户使用迁移的方式,迁移到新的DC中去,这样省得一台一台的客户端一台一台的加入域,把迁移成功的步骤和结果,拿出来与大家分享一下。微软技术在线 您的潜力,我们的动力!, S% B( k, S8 l O1 n
微软技术在线 您的潜力,我们的动力!" P/ X6 \! F/ u% A2 |
先说一下环境,源DC为:msclub.msclub.org.cn(2003、DC、GC、DNS) 客户端:PC01.msclub.org.cn目标DC为:dcmsclub.dcmsclub.com(2003、DC、GC、DNS)/ V/ } 9 E. D$ ?. ?
‘ f5 X9 F‘ j" v9 S5 p. P y) g
IP地址分别为:192.168.0.1 192.168.0.2 192.168.0.3
1、做迁移工作的前提条件,提升目标DC域级别。
1)提升2个域的域级别至Windows 2003 Server 纯模式
2)提升2个域的域级别至Windows 2003 Server 纯模式
2、建立DNS“辅助区域”
1)分别建立对方的辅助区域,并允许对方复制
2)进行复制
3、建立二个DC之间的信任关系。
1)建立外部信任
4、将双方管理员帐号添加到本域的Bulitin容器下的Administrators组中
5、在默认域控制器安全设置里面,开启网络访问:让每个人(everyone)权限应用于匿名用户
6、把EVERYONE组加入到目标域的“pro-windows 2000 compatible access”组中。
7、在目标DC上面安装ADMT及在源域上安装DLL密码迁移
创建源域密钥c:\program Files\Active Directory Migration Tool> admt key msclub.org.cn c:\
源域上安装DLL密码迁移
8.先迁移组用户
注:为什么要先迁移组呢?为什么不先迁移帐户呢?组中的成员只能是来自其各自域中的用户。因此,当将用户帐户从一个域迁移到其他域时,通过 Active Directory迁移工具在目标域中创建的新帐户不能是源域中全局组的成员。当迁移组时,组从属关系将被还原。然而,如果在迁移全局组之前迁移用户,那么该用户将可能通过迁移帐户登陆到目标域,而该迁移用户帐户不具备任何组从属关系。
9.第三步:迁移用户帐号% a5 l `3 Y; p; O7 t, ^& o
迁移用帐户密码时,需要在源DC上面,修改如下注册表微软技术在线 您的潜力,我们的动力!, N‘ `7 t5 Y5 a4 g6 U. b1 T
HKLM\System\CurrentControllSet\Control\LSA名为AllowPasswordExport 键值改为1和TcpipClientSupport 键值修改为1:
10.迁移计算机帐号
注意:在迁移计算机帐号时,需要在目标域上,使用源DC管理员帐号和密码登录。要不然会出错哦!
.
TAG:
域控制器
