面向管理员的 Active Directory 迁移工具 v2 简介

 

上一次修改主题: 2006-04-05

作者:Nino Bilic

Active Directory® 迁移工具 (ADMT) 版本 2 (v2) 是随 Microsoft® Windows Server™ 2003 和 Windows® 2000 Server 一起发布的一款工具,本文将对此工具进行介绍。虽然 ADMT 是一款 Windows 工具,但您会发现,该工具对于 Microsoft Exchange Server 迁移也非常有用。本文将对 ADMT 的各项功能进行阐述。有关 ADMT 的详细信息,请参阅“有关详细信息”部分。

Active Directory 迁移工具 (ADMT) 是一款可以帮助您将用户、计算机和组从一个域迁移到另一个域的工具。在涉及 Exchange Server 的大多数情形中,都可以使用 ADMT 将帐户从 Windows NT® Server 4.0 域迁移到 Windows 2000 Server 域。这通常与从 Exchange Server 版本 5.5 到 Exchange 2000 Server 的迁移相关联。

ADMT 版本 2 (v2) 是作为 Windows Server 2003 的一部分发布的。您可以在 Windows Server 2003 CD (\\.\I386\ADMT) 中找到它。

ADMT v2 的一项重大改进是它可以迁移用户密码。与上一版 ADMT(与 Windows 2000 Server 关联)相比,这一功能可以为用户提供更加顺畅的迁移。

在设置了该工具之后,请通过以下方式运行其 Microsoft 管理控制台 (MMC) 管理单元:单击“管理工具”,然后单击“Active Directory 迁移工具”。在该管理单元中,用鼠标右键单击“Active Directory 迁移工具”,并选择“用户帐户迁移向导”选项。

note注意:
某些选项可能只有在您成功执行了某些帐户的迁移之后才可使用。
Active Directory 迁移工具主下拉框

在初始屏幕中单击“下一步”。

ADMT 将提供“测试迁移设置,稍后再迁移”或“立即迁移”选项。选择适当的选项,并单击“下一步”。

现在,可以选择迁移要使用的域。

Active Directory 迁移工具域选择

可供选择的域由当前林和现有的信任关系来确定。请记住,要使用 ADMT,目标域必须处于本机模式。

如果您是首次运行 ADMT,ADMT 将执行若干项操作,以确保迁移成功。这些操作包括测试先决条件、修改 Windows NT Server 4.0 主域控制器 (PDC) 上的注册表项、重新启动 Windows NT Server 4.0 PDC 以及修改 Windows Server 2003 和 Windows 2000 Server 策略。根据您的选项和现有域的类型,这些操作将会有所不同。对 ADMT 选项的详细讨论不在本文讨论的范围之内。

“SID 历史记录”是 Windows 操作系统迁移和 Exchange Server 迁移中提及的一条术语。简单来说,SID 历史记录是迁移后帐户的一个属性,用于保存原始帐户的安全标识符 (SID)。

例如,如果域 A 是源域,域 B 是目标域,则在使用 SID 历史记录迁移帐户的情况下,域 B 中的迁移后帐户将会有一个属性,用于保存域 A 中原始帐户的 SID。

下文介绍了为什么需要使用 SID 历史记录:

  • 如果域 B 中的迁移后帐户要访问原始域中的资源,则 SID 历史记录的存在将允许该帐户访问域 A 中原始帐户有权访问的任何资源。
  • 在将 Exchange 5.5 目录对象与 Active Directory 帐户进行匹配时,Active Directory 连接器 (ADC) 会使用 SID 历史记录。可以假设这样一种情形:Exchange Server 5.5 在域 A 中,而 Exchange Server 5.5 邮箱的 Windows NT Server 4.0 主帐户是域 A 中的帐户。而您使用了 ADMT 和 SID 历史记录迁移此帐户。这意味着您在域 B 中创建了一个帐户,并在其 sIDHistory 属性中标记了域 A 帐户的 SID。在域 A 的 Exchange 5.5 服务器与域 B 的域控制器之间设置 ADC。当运行 ADC 时,它便会检查 Exchange Server 5.5 邮箱的 Windows NT Server 4.0 主帐户,并读取其 SID。接着,它会在 Active Directory 中找到匹配项,因为迁移后帐户上标记了 SID 历史记录。如果域 B 帐户上没有 SID 历史记录,ADC 将找不到匹配项,便会创建一个处于禁用状态 (-1) 的新帐户。

在从轻型目录访问协议 (LDAP) 工具(如 LDP (ldp.exe))中查看 SID 时,该属性类似以下内容:

"1> sIDHistory: S-1-5-21-1659521004-1441491110-1935394565-1315;"

此 SID 将与原始域(此帐户的迁移源域)中原始帐户的 SID 进行匹配。迁移后的 Active Directory 帐户将拥有其唯一的 SID。

若要使用 SID 历史记录迁移帐户,则必须在 ADMT 中设置此选项。以下是进行此项选择的 ADMT 屏幕。

ADMT 用户帐户迁移选项

在使用 SID 历史记录选项将帐户从域 A 迁移到域 B 之后,您仍存在以下问题:Exchange Server 5.5 邮箱被设置为将域 A 中的 Windows NT Server 4.0 帐户作为“NT 主帐户”。在这种情况下,Exchange Server 5.5 邮箱与 Windows NT Server 4.0 帐户相关联,ADC 则根据您迁移的 SID 历史记录将该邮箱与迁移后的 Active Directory 帐户相关联。

若要将 Exchange Server 5.5 NT 主帐户切换到迁移后的 Active Directory 新帐户,需要运行 Exchange Directory 迁移向导。此选项仅在迁移了帐户之后才可使用。

“Exchange 目录迁移向导”的作用是切换邮箱的 Windows NT Server 4.0 主帐户,并更新 Exchange Server 5.5 目录对象的访问控制列表 (ACL),以替换、添加或删除(取决于所选择的选项)迁移后的 Active Dirctory 新帐户中对 Windows NT Server 4.0 帐户内容的任何引用。对于 Exchange Server 5.5 目录中存储的任何对象,您都可以在此向导的帮助下,用迁移后的帐户(具有与源帐户相同的权限)替换掉其对源帐户的所有引用。

在 ADMT 中,从可用任务中选择“Exchange 目录迁移向导”。

带有 EDMW 选择的 ADMT 主下拉框

在以下屏幕中单击“下一步”。然后,选择是要仅测试迁移设置还是立即开始实际迁移。单击“下一步”后,可以再次选择目标域和源域。在下一个屏幕中,可以选择要使用“Exchange 目录迁移向导”完成的任务。

Exchange 目录迁移向导安全选项

下面介绍 Exchange 目录迁移向导选项:

  • 替换   此选项将会用目标域帐户替换掉所有对原始源域帐户(赋予目标域帐户相同的权限)的引用。
  • 添加   此选项可以在保留源域帐户的同时,添加具有相同权限的目标域帐户。
  • 删除   如果要在运行“添加”选项后删除源域帐户,则可以使用此选项。

现在即可完成向导以修改 Exchange Server 5.5 目录。

由于 Exchange 目录迁移向导可以将 Exchange Server 5.5 邮箱上的 Windows NT Server 4.0 主帐户切换为目标域中的迁移后帐户,因此,您可以确保在 ADC 运行时,能够找到正确的匹配项。在这种情况下,仅从 ADC 角度来看,并未考虑以下情况:您可能需要用 Active Directory 帐户访问 Windows NT Server 4.0 域中的资源,您甚至可能不需要迁移帐户上的 SID 历史记录。这种方法对于下面这种情况会非常方便:已迁移了 Windows NT Server 4.0 帐户,但并未使用 SID 历史记录迁移,而现在需要完成迁移。

这种情况下的迁移方式如下所示:

  1. 使用 ADMT 但不使用 SID 历史记录迁移帐户。
  2. 运行 Exchange 目录迁移向导,并用目标域(迁移后)帐户的安全引用替换源域中的安全引用。要完成的其中一项工作是将 Exchange Server 5.5 邮箱的 NT 主帐户作为 Active Directory 域中迁移后的新帐户。
  3. 运行 ADC,因为迁移后的 Active Directory 新帐户现在是邮箱的 Windows NT Server 4.0 主帐户。ADC 应可以找到匹配项,而不会创建重复对象。
    note注意:
    如果有多个邮箱都关联到 Exchange Server 5.5 端的同一个 Windows NT Server 4.0 帐户,则仍可能创建重复帐户。运行 Exchange 目录迁移向导并不能解决此问题。

有关详细信息,请参阅 Windows 2000 Active Directory Migration Tool(英文网页)。

 
显示: