Active Directory Migration Tool v2 系統管理員版簡介

  • 發行項

作者: Nino Bilic

本文提供 Active Directory® Migration Tool (ADMT) 版本 2 (v2) 的簡介,此版本是與 Microsoft® Windows Server™ 2003 和 Windows® 2000 Server 同時發行。雖然 ADMT 是 Windows 工具,但它其實有助於您進行 Microsoft Exchange Server 遷移作業。本文將說明 ADMT 的功能。如需 ADMT 的詳細資訊,請參閱<其他詳細資訊>一節。

  • ADMT 是什麼?

  • 如何執行 ADMT?

  • 以 SID 歷程記錄遷移

  • 以 SID 歷程記錄和 Exchange 目錄遷移精靈遷移

  • 僅以 Exchange 目錄遷移精靈遷移

  • 其他詳細資訊

ADMT 是什麼?

Active Directory 遷移工具 (ADMT) 是可以讓您將使用者、電腦和群組從一個網域遷移另一個網域的工具。在多數牽涉到 Exchange Server 的情況下,使用 ADMT 可將帳戶從 Windows NT® Server 4.0 網域遷移到 Windows 2000 Server 網域。這種情況通常都跟從 Exchange Server 5.5 版遷移到 Exchange 2000 Server 有關。

ADMT 是以版本 2 (v2) 作為 Windows Server 2003 的一部分一同發行。它位於 Windows Server 2003 CD (\\.\I386\ADMT) 上。

ADMT v2 的重大改進功能之一是可以遷移使用者密碼。這項功能使得遷移作業比起舊版 ADMT 更能與使用者密切配合,前版是跟 Windows 2000 Server 相關聯。

如何執行 ADMT?

安裝好工具以後,請按一下 [系統管理工具],然後按 [Active Directory 遷移工具],來執行它的 Microsoft Management Console (MMC) 嵌入式管理單元。然後再以滑鼠右鍵按 [Active Directory 遷移工具],選取 [使用者帳戶遷移精靈] 選項。

Dd159853.note(zh-tw,TechNet.10).gif附註:

有些帳戶在順利完成遷移作業以後,可能無法使用某些選項。

Dd159853.98abc666-8aa5-4f25-8d21-3591b7ef6a1e(zh-tw,TechNet.10).gif

請在最初出現的畫面上按一下 [下一步]。

ADMT 提供讓您選擇 [設定先測試遷移設定,稍後才進行遷移] 或是 [立即遷移] 的選項。選取適當的選項之後,再按一下 [下一步]。

現在您可以選擇遷移作業所要使用的網域。

Dd159853.9a8d8185-a136-469a-96a0-d215e1556039(zh-tw,TechNet.10).gif

您可以使用的網域是依目前的樹系以及您所設的任何信任而定。切記!目標網域必須處於原生模式才能使用 ADMT。

初次執行 ADMT 時,ADMT 會執行幾項動作,以確保遷移作業能夠順利完成。其中包括測試先決條件、修改 Windows NT Server 4.0 網域主控站 (PDC) 上的登錄項目、重新啟動 Windows NT Server 4.0 PDC,以及修改 Windows Server 2003 和 Windows 2000 Server 原則。這些動作將根據您所配備的功能選項和網域類型而定。可能的 ADMT 選項的詳細探討已超出本文範圍。

以 SID 歷程記錄遷移

SID 歷程記錄是 Windows 作業系統和 Exchange Server 遷移作業中使用的專門術語。SID 歷程記錄最簡單的解釋就是:它是遷移後帳戶上的屬性,當中存放著原來帳戶的安全性識別碼 (SID)。

例如,若以網域 A 為來源網域,並以網域 B 為目標網域,而且帳戶是以 SID 歷程記錄進行遷移,則遷移至網域 B 的帳戶將具有存放網域 A 中原來帳戶之 SID 的屬性。

下文將說明您需要 SID 歷程記錄的原因:

  • 若已遷移至網域 B 的帳戶要從原始網域存取資源,有了 SID 歷程記錄,就可以讓該帳戶存取原有帳戶在網域 A 中有權限可以存取的任何資源。

  • Active Directory 連接器 (ADC) 會在比對 Exchange Server 5.5 目錄物件與 Active Directory 帳戶時,使用 SID 歷程記錄。假設 Exchange Server 5.5 位於網域 A 之中,而 Exchange Server 5.5 信箱的 Windows NT Server 4.0 主要帳戶是網域 A 中的帳戶,就可以使用 ADMT 和 SID 歷程記錄來遷移此帳戶。也就是說,您已經在網域 B 中建立帳戶,網域 A 中帳戶的 SID 就會戳印在該帳戶的 sIDHistory 屬性之中。您從網域 A 中的 Exchange Server 5.5 伺服器中,將 ADC 安裝到網域 B 中的網域控制站。當 ADC 執行時,就會檢查 Exchange Server 5.5 信箱的 Windows NT Server 4.0 主帳戶,並讀取其 SID。而由於 SID 歷程記錄已戳印於遷移後的帳戶中,所以會在 Active Directory 中找到相符的 SID。若網域 B 帳戶中沒有 SID 歷程記錄,ADC 就找不到相符項目,此時就會建立已停用狀態 (-1) 的新帳戶。

當您從輕量型目錄存取協定 (LDAP) 工具 ─ 如 LDP (ldp.exe) ─ 檢視 SID 時,此屬性將顯示如下:

"1> sIDHistory:S-1-5-21-1659521004-1441491110-1935394565-1315;"

這個 SID 將與此帳戶遷移前之原來網域中原始帳戶的 SID 相符。遷移後的 Active Directory 帳戶本身也會有唯一的 SID。

若要以 SID 歷程記錄進行遷移,則必須在 ADMT 中設定該選項。您可以在下面的 ADMT 畫面上進行選擇。

Dd159853.7d96b85d-a122-44a6-babd-032f87300322(zh-tw,TechNet.10).gif

以 SID 歷程記錄和 Exchange 目錄遷移精靈遷移

在帳戶以 SID 歷程記錄選項,從網域 A 遷移至網域 B 之後,仍然會發生 Exchange Server 5.5 信箱是設定成將網域 A Windows NT Server 4.0 帳戶設定為「NT 主帳戶」的狀況。您會遇到 Exchange Server 5.5 信箱是與 Windows NT Server 4.0 帳戶相關聯,而 ADC 則根據您所遷移的 SID 歷程記錄,將該信箱與 Active Directory (遷移後的) 帳戶相關聯的情況。

若要將 Exchange Server 5.5 NT 主帳戶轉換成遷移後的 Active Directory 新帳戶,必須執行「Exchange 目錄遷移精靈」。這個選項只有在遷移過帳戶以後才能使用。

Exchange 目錄遷移精靈的工作是轉換信箱的 Windows NT Server 4.0 主帳戶,並更新 Exchange Server 5.5 目錄物件的作用中控制項清單 (ACL),依您所選擇的選項而定,取代、新增或移除任何以遷移後的 Active Directory 新帳戶所提及的 Windows NT Server 4.0 帳戶。您可以使用這個精靈,將儲存在 Exchange Server 5.5 目錄中的所有物件上含相同權限的遷移帳戶,取代所有提及來源帳戶的工作。

在 ADMT 中,從可用的工作中選取 [Exchange 目錄遷移精靈]。

Dd159853.fa26a4dc-10c4-417e-8bd9-45d62c1375e6(zh-tw,TechNet.10).gif

在接下來的畫面上按一下 [下一步]。然後選擇僅要測試遷移設定,或是確實要立即遷移。按 [下一步] 以後,您就可以再次選取目標和來源網域。您可以在下一個畫面上,選擇希望使用 Exchange 目錄遷移精靈執行的作業。

Dd159853.604ccc47-6e34-453a-bdf1-62604df16fac(zh-tw,TechNet.10).gif

下文說明 Exchange 目錄遷移精靈的選項:

  • 取代   這個選項會在給予相同的權限下,以目標網域帳戶取代任何提及的原始來源網域帳戶。

  • 新增   這個選項會保留來源網域帳戶,同時也以相同權限新增目標網域帳戶。

  • 移除   當您要在執行 [新增] 選項之後移除來源網域帳戶時,就可以使用這個選項。

現在要完成精靈作業,以修改 Exchange Server 5.5 目錄。

僅以 Exchange 目錄遷移精靈遷移

由於 Exchange 目錄遷移精靈可以轉換 Exchange Server 5.5 信箱上的 Windows NT Server 4.0 主帳戶,來作為目標網域的遷移後帳戶,因此您可以肯定在執行 ADC 時一定找得到正確相符的帳戶。在此情況下,單從 ADC 的觀點,而不考慮可能需要以 Active Directory 帳戶存取 Windows NT Server 4.0 網域中的資源來看,可能甚至不需要遷移帳戶上的 SID 歷程記錄。若您已遷移 Windows NT Server 4.0 帳戶,但並未以 SID 歷程記錄進行遷移,而現在必須完成遷移作業,這種作業方式就很方便。

在這種情況下,遷移路徑如下:

  1. 使用 ADMT 遷移帳戶,但不附 SID 歷程記錄。

  2. 執行「Exchange 目錄遷移精靈」,然後以目標網域 (遷移後) 帳戶取代來源網域中的安全性參照。當中會完成的作業之一是,Exchange Server 5.5 信箱的 NT 主帳戶將成為 Active Directory 網域的遷移後新帳戶。

  3. 執行 ADC,因為現在遷移後的 Active Directory 新帳戶就是信箱的 Windows NT Server 4.0 主帳戶。ADC 應該會找到相符的項目,而且不會重複建立物件。

    Dd159853.note(zh-tw,TechNet.10).gif附註:

    但若有多個信箱與 Exchange Server 5.5 上同樣的 Windows NT Server 4.0 帳戶相關聯,還是可能會重複建立帳戶。執行 Exchange 目錄遷移精靈並無法解決這種問題。

其他詳細資訊

如需詳細資訊,請參閱<Windows 2000 Active Directory 遷移工具>(英文)。

Nino Bilic Nino Bilic, MCSE, MCSE+I, MCSE+M, MCSA, MCSA+M, A+
Technical Lead, Microsoft Product Support ServicesExchange administration support