哪些 Exchange 管理员需要了解 Active Directory 迁移工具

 

上一次修改主题: 2007-12-28

发布日期: 2004 年 8 月 3 日

作者:Nino Bilic

由于 Active Directory 迁移工具 (ADMT) 是一种 Active Directory 目录服务工具,而非 Exchange 工具,因此您可能会产生疑问,为什么 Exchange 管理员应该学习 Active Directory 迁移工具 (ADMT) 呢。

从我的个人经验来讲,在从 Microsoft Exchange Server 5.5 向 Exchange 2000 Server 和 Exchange Server 2003 迁移的过程中,许多客户在帐户迁移这一点上遇到了困难。随 Microsoft Windows Server 2003 一起发布的第 2 版 ADMT 具有一些与 Exchange 有关的功能,这些功能都十分有用,可以大大地简化迁移过程。

许多客户使用的是非 Microsoft 产品,而不是 ADMT。 当然只要您能够确切地知道自己想要做什么,使用非 Microsoft 产品也是很不错的。而我经常会在问题发生后才想对策,因此撰写了此文,以便于在第一时间避免这些错误的发生。

我在文章中简单介绍了如何使用 ADMT 来实现 Windows NT 帐户的迁移,并描述了该工具在 Exchange 迁移中所起的作用。

ADMT 的第 1 版是随 Microsoft Windows 2000 Server 一起发布的。 正如前面所提到的,ADMT 的第 2 版随 Windows Server 2003 一起发布。您可以在 Windows Server 2003 CD 上找到该工具。

您可以使用 ADMT 将用户、计算机和组从一个域迁移到另一个域。 这种迁移最常用的情况是从 Windows NT 4.0 域迁移到 Active Directory 域。

新版 ADMT 中一个主要改进就是它可以迁移用户密码。 这一功能可以为用户提供更加无缝的迁移,因为其帐户在完成迁移之后,您不必再要求用户创建新的密码。 他们可以继续使用在 Windows NT 4.0 中所用的旧密码。 但是,有这样一种情况,那就是 Windows NT 4.0 中旧密码的长度和复杂性可能不能满足 Active Directory 目录服务的策略需求,因此,在这种情况下移动用户帐户之后,就得要求用户更改密码。

  1. 从 Windows Server 2003 CD(位于 \i386\ADMT)运行 Active Directory 迁移工具的安装程序。
  2. 在“控制面板”中,或“开始”菜单上,单击“管理工具”,然后再单击“Active Directory 迁移工具”。
  3. 当窗口打开时,用鼠标右键单击“Active Directory 迁移工具”,并单击“用户帐户迁移向导”。
    note注意:
    某些选项可能只有在您成功执行了某些帐户的迁移之后才可使用。
  4. 单击“用户帐户迁移向导”初始页面上的“下一步”。
  5. 此时,您可以选择“测试迁移设置,稍后再迁移”或“立即迁移”。 如果您想在更改生产环境之前先对迁移进行一下测试(推荐的最佳做法),那么这个选项将很有帮助。 选择适当的选项,并单击“下一步”。
  6. 选择要在迁移中使用的域。 可用的域由当前林和现有的信任关系来确定。
important重要提示:
“目标域”必须以“纯”模式运行,才可以使用 Active Directory 迁移工具。

如果您是首次运行 Active Directory 迁移工具,则必须完成几项 ADMT 必须执行的任务,才能确保迁移成功。这些任务包括(但不限于):

  • 测试的先决条件
  • 修改 Windows NT 4.0 主域控制器 (PDC) 上的注册表项
  • 重新启动 Windows NT 4.0 PDC
  • 修改 Windows 2000 Server 或 Windows Server 2003 端的安全策略

Active Directory 迁移工具要执行的任务取决于所选择的域选项和域类型。 对所有可能的域选项及域类型的介绍不在本文的讨论范围内。 但是,您在过程中会得到提示。

note注意:
在此阶段中,请将 CD 中包括的自述文件放在触手可及的位置。

Windows NT 权限模型基于用户安全标识符 (SID),而非用户名。 用户 SID 是一种唯一的长数字,当用户尝试访问域中的任何资源时,此 SID 就用于唯一标识该用户。 此功能使您可以重命名用户的域帐户,而不必为新的帐户名称重新分配用户权限。 这还可以解释另外一种情况,那就是在您删除了某个用户之后,如果再用相同的用户名重新创建一个用户,那么再创建的这个用户将不再具有先前用户所具有的资源访问权限。 这时候,您就需要为新帐户重新分配权限。 新帐户的 SID 和旧帐户的 SID 并不匹配。

SID 历史记录在 Windows 和 Exchange 迁移中经常被提到。 在迁移过程中,sIDHistory 属性会被添加到迁移帐户之中。 该属性随原始登录帐户的 SID 一同被填充。

假设域 A 是源域,而域 B 是目标域。 如果帐户随 SID 历史记录一起迁移,则域 B 中的迁移帐户将有一个属性,其中保存有该帐户在域 A 中时原始帐户的 SID。

至于在迁移时为什么必须使用 SID 历史记录,至少有以下两个原因:

  • 在帐户被迁移至域 B 之后,sIDHistory 属性的存在使该帐户仍可访问原始帐户(在域 A 中时)有权访问的任何资源。 此处上下文中的资源是指任何设置了访问权限的资源(例如,NTFS 共享或打印机)。
  • 在将 Exchange 5.5 目录对象与 Active Directory 帐户相匹配时,Exchange Active Directory 连接器 (ADC) 会使用 SID 历史记录。
    示例: Exchange 5.5 服务器位于域 A 中,且 Exchange 5.5 邮箱的 Windows NT 主帐户是域 A 中的帐户。现在要用 Active Dircetory 迁移工具和 SID 历史记录来迁移这个帐户。 在域 B 中创建一个帐户,其 SID 即为域 A 帐户在 sIDHistory 属性上标记的 SID。 接下来,在域 A 的 Exchange 5.5 服务器与域 B 的域控制器之间设置一个 ADC 接收人连接协议。当运行 ADC 时,该协议便会检查 Exchange 5.5 邮箱的主 Windows NT 帐户,并读取其 SID。 它会发现该帐户的 SID 与 Active Directory 中的 SID 存在匹配关系,因为迁移帐户上标记了 SID 历史记录。 如果域 B 的帐户中没有提供 SID 历史记录,ADC 就会创建一个新的禁用帐户,并在其帐户名称中包含“-1”。 有关此问题的详细信息,请参阅 Microsoft 知识库中文章 256862 如何在 Active Directory 连接器在 Exchange 2000 Server 中复制完成之后更正不匹配的帐户

当您用 LDAP 工具(比如:LDP.exe)查看 Active Directory 中的 sIDHistory 属性时,属性看起来与以下示例类似:

1> sIDHistory: S-1-5-21-1619521004-1441481110-1935294565-1315;

如果您在用户帐户中看到一个类似以上示例的属性,则说明存在 SID 历史记录。 如果缺少这种属性或该属性被标记为“No set”(如果用 ADSI Edit 查看属性),则说明该特定帐户并没有迁移 SID 历史记录。

note注意:
此属性中列出的 SID 将与原始域(帐户迁移前所在的域)中原始帐户的 SID 相匹配。 迁移后的 Active Directory 帐户将拥有其自己唯一的 SID。 了解这一点非常重要。 要知道,在两个域中不可能存在两个具有相同 SID 的帐户。 Active Directory 帐户拥有其自己的 SID,同时还具有一个存储在 sIDHistory 属性中的“原始”帐户的 SID。

如果您希望使用 SID 历史记录迁移帐户,则必须在 Active Directory 迁移工具的“帐户转换选项”页面上指定此项。 选择标题为“向目标域迁移用户 SID”的复选框。

在选中 SID 历史记录选项,并将帐户从域 A 迁移到域 B 之后,您可能想要解决另外一个问题。 Exchange 5.5 邮箱被设置为将域 A 的 Windows NT 帐户作为“主 Windows NT 帐户”,而 ADC 则根据 SID 历史记录将邮箱关联到 Active Directory(迁移后的)帐户。

note注意:
此步骤是可选的。 如果您希望用户用迁移后的新 Active Directory 帐户开始登录,并访问仍保留在 Exchange 5.5 上的邮箱,则应当使用“Exchange 目录迁移向导 (EDMW)”。

要从 Exchange 5.5 主 Windows NT 帐户切换到迁移后的新 Active Directory 帐户,您必须运行 EDMW。 在帐户迁移完成后,运行 EDMW 的选项将变得可用。

“Exchange 目录迁移向导”的主要作用是切换邮箱的主 Windows NT 帐户,并对 Exchange 5.5 目录对象上的访问控制列表 (ACL) 进行设置,以替换/添加/删除(取决于所选择的选项)迁移后的新 Active Dirctory 帐户中任何对 Windows NT 4.0 帐户内容的引用。 使用此向导,您可以用迁移后的帐户(具有与源帐户相同的权限)对 Exchange 5.5 目录中存储的所有对象替换掉所有对源帐户的引用。

  1. 在“控制面板”中,或“开始”菜单上,单击“管理工具”,然后再单击“Active Directory 迁移工具”。
  2. 当窗口打开时,用鼠标右键单击“Active Directory 迁移工具”,并单击“用户帐户迁移向导”。
  3. 单击“用户帐户迁移向导”初始页面上的“下一步”。
  4. 此时,您可以选择“测试迁移设置,稍后再迁移”或“立即迁移”。 选择适当的选项,并单击“下一步”。
  5. 在“安全转换选项”页面上,您可以用“Exchange 目录迁移向导”选择不同的任务来执行:
    • 替换   如果选择此选项,将会用目标域帐户替换掉所有对原始源域帐户的引用,且替换后的目标域帐户所拥有的权限与原始源域帐户的权限相同。
    • 添加   选择此选项可以在保留源域帐户的同时,添加具有相同权限的目标域帐户。
    • 删除   在运行了上述“添加”选项后,选择此选项可以删除源域帐户。
  6. 完成向导的剩余步骤,这些步骤将修改 Exchange 5.5 的目录。

由于 EDMW 可以将 Exchange 5.5 邮箱上的主 Windows NT 帐户切换为目标域中的已迁移的帐户,因此,您可以确保在 ADC 运行时,一定可找到正确的匹配。

在这种情况下,您可能不需要迁移帐户上的 SID 历史记录。 对于那些已迁移了 Windows NT 帐户,但没有迁移 SID 历史记录,而现在需要完成此迁移的组织来说,该功能将很有帮助。

note注意:
有时您可能需要用 Active Directory 帐户访问 Windows NT 域中的资源,在这种情况下,可能会需要 SID 历史记录

如果您选择使用 EDMW 进行迁移,而不迁移 SID 历史记录,则可通过以下途径完成迁移:

  1. 用 Active Directory 迁移工具迁移帐户,但不迁移 SID 历史记录。
  2. 运行 EDMW,并用目标域(迁移目的地)帐户的安全性引用替换掉源域帐户(在 Exchange 5.5 目录中)中的所有安全性引用。 结果,Echange 5.5 邮箱的主 Windows NT 帐户将变为 Active Directory 域中新的迁移后帐户。
  3. 运行 ADC。 由于新的迁移后 Active Directory 帐户现在成为了邮箱的主 Windows NT 帐户,因此 ADC 应该能够找到匹配关系,而不再创建重复对象。
note注意:
如果有多个邮箱都关联到 Exchange 5.5 端的同一个 Windows NT 帐户,则仍可能创建重复帐户。 运行 EDMW 并不能解决此问题。 如果您使用的是 Exchange 2003 ADC,则可以使用“ADC 工具向导”来解决此问题。 如果使用的是 Exchange 2000 Server ADC,请参阅 Microsoft 知识库文章 274173 NTDSNoMatch 实用工具的文档

请参阅以下文章,获取有关 Active Directory 迁移工具的帮助信息:

 
显示: