2016年8月17日 星期三

Windows 2008 R2 使用 ADMT 帳號遷移工具至 Windows 2012 R2

公司的 AD 因系統不是很穩定,有一些怪問題,故打算整個重建順便升級至 Windows 2012,但重建方法評估為另外建立新的樹系,再遷移帳號,不打算以 Join 原樹系的方式升級,因為擔心原樹系有一些不正確參數一併複寫至新 DC。


LAB 環境如下:
來源端目的端
網域
SLAB.com.twDLAB.com.tw
Hostname/IP address
OLDC01/10.0.2.100
OLDC02/10.0.2.110
NWDC01/10.0.2.200
NWDC02/10.0.2.210
作業系統版本Windows Server 2008 R2Windows Server 2012 R2
網域功能等級Windows Server 2003Windows Server 2008 R2
樹系功能等級Windows Server 2003Windows Server 2008


 一、設定 DNS 條件轉寄站
  步驟以來源網域 (SLAB.com.tw) 為例,目的網域 (DLAB.com.tw) 步驟相同。
 1. 開啟 DNS 管理員,並在「條件轉寄站」上按滑鼠右鍵,選擇「新條件轉寄站」。

 2. 輸入「DNS 網域」名稱及 IP 後,按「確定」。

 3. 來源網域設定完成後,如下圖。


 4. 目的網域重覆上述步驟 1-2,完成後,如下圖。



 5. 確認雙方 DC 能夠 ping 到對方網域。





二、建立雙向信任關係
  該步驟範例在目的網域 (DLAB.com.tw) 的 DC 上執行,只需在其中一方建立信任即可。
 1. 在目的網域的 DC 上開啟「Active Directory 網域及信任」,並在目的網域名上按滑鼠右鍵,選擇「內容」。


 2. 按「新增信任」


 3. 按「下一步」。


 4. 輸入來源網域名稱。


 5. 選擇「樹系信任」。


 6. 選擇「雙向」。


 7. 選擇「這個網域和指定網域兩者」,同時在兩邊網域建立信任關係。


 8. 輸入對方網域的系統管理員帳號/密碼。


 9. 來源網域選擇「驗證整個樹系」。


 10. 目的網域選擇「驗證整個樹系」。


 11. 確認選取的信任設定,按「下一步」。


 12. 信任關係已成功建立,按「下一步」。


 13. 驗證連出信任,選擇「是,確認連出信任」。


 14. 驗證連入信任,選擇「是,我要確認連入信任」。


 15. 信任關係已成功建立並確認,按「完成」。


 16. 開啟來源網域的「Active Directory 網域及信任」,在 Domain Name 上按滑鼠右鍵,選擇「內容」,點選「信任」分頁,確認雙方信任關係已建立完成。


 17. 並將 DLAB.com.tw 的 Administrator 加入到 SLAB.com.tw 的 Administrators 群組中。


 18. 開啟目的網域的「Active Directory 網域及信任」,在 Domain Name 上按滑鼠右鍵,選擇「內容」,點選「信任」分頁,確認雙方信任關係已建立完成。

 19. 並將 SLAB.com.tw 的 Administrator 加入到 DLAB.com.tw 的 Administrators 群組中。



三、安裝 ADMT 工具
  為保持 AD 的乾淨環境,建議 ADMT 工具可安裝在 Member 主機。以下步驟為安裝在 Windows 2012 Member Server。

 1. 安裝 .NET Framework 3.5。
  請參考另一篇《Windows 2012 新增 .NET Framework 3.5 功能失敗》

 2. 安裝 MS SQL Server 2008 R2 Express
  請參考另一篇《Windows 2012 安裝 MS SQL Server 2008 R2 Express》

 3. 執行 Active Directory 遷移工具安裝精靈


 4. 選擇「我同意」。


 5. 按「下一步」。


 6. 輸入資料庫位置及名稱「.SQLEXPRESS」。


 7. 正在安裝中...


 8. 選擇「否,請不要從現存的資料庫匯入資料」。


 9. 安裝完成。



四、安裝 Pwdmig 工具 (ADMT密碼遷移)
 1. 在目的網域有安裝 ADMT 的 Server,執行下列指令匯出加密金鑰。
  > admt key /option:create /sourcedomain:SLAB.com.tw /keyfile:C:key.pes /keypassword:1234

   備註:
    若在加密金鑰匯出後且 Pwdmig 工具已安裝完成,而 ADMT 工具需重新安裝或移至其他主機,則需將該金鑰重新匯入。
    > admt key /option:import /sourcedomain:SLAB.com.tw /keyfile:C:key.pes /keypassword:1234

 2. 匯出的金鑰。


 3. 在來源網域的 AD 安裝 ADMT 密碼遷移工具。


 4. 勾選「我接受授權合約中的條款」。


 5. 選擇剛剛在目的網域匯出的加密金鑰。


 6. 輸入剛剛匯出加密金鑰時的密碼。


 7. 開始安裝。


 8. 密碼匯出服務需要設定執行身份,請輸入 Domain Admin 權限。


 9. 安裝完成。


 10. 重新開機。


 11. 開啟「服務」,將「密碼匯出伺服器服務」手動啟動。(自行評估是否要設定為開機時即啟動)



五、遷移使用者
 1. 在目的網域已安裝 ADMT 工具的伺服器上,執行「Active Directory 遷移工具」,並在「Active Directory 遷移工具」上按滑鼠右鍵,選擇「使用者帳戶遷移精靈」。


 2. 按「下一步」。


 3. 選擇來源及目的網域。
  來源網域:SLAB.com.tw
  來源網域控制站:<任何網域控制站> or 任一台 DC
  目的網域:DLAB.com.tw
  目的網域控制站:<任何網域控制站> or 任一台 DC


 4. 選擇「從網域選取使用者」。


 5. 點擊「新增」,加入要遷移的帳號。(可一次遷移多個帳號)


 6. 選擇存放的目標 OU。


 7. 選擇「遷移密碼」,密碼遷移來源建議選擇有安裝密碼匯出工具的 DC。


 8. 選擇「目標與來源相同」及勾選「將使用者 SID 遷移到目標網域」。


 9. 出現來源網域的警示,因為我們要一併遷移 SID,所以按「是」繼續。


 10. 出現目的網域的警示,按「是」繼續。


 11. 出現本機群組的警示,按「是」繼續。


 12. 輸入來源網域的最高系統管理者帳號密碼。


 13. 勾選遷移工作內容。
  ● 遷移關聯的使用者群組:將使用者的群組一併遷移至目的網域。
  ● 修正使用者的群組成員資格


 14. 沒有要排除的內容,所以按「下一步」。


 15. 預設值,按「下一步」。


 16. 按「完成」進行帳號遷移作業。


 17. 完成遷移作業,可按「檢視記錄檔」,確認作業內容。


 18. 最後一行若顯示「操作完成」,代表無任何錯誤。


 19. 在目的網域開啟「Active Directory 使用者和電腦」,可檢查帳號是否已存在指定的 OU 中。


六、遷移群組
 1. 在目的網域已安裝 ADMT 工具的伺服器上,執行「Active Directory 遷移工具」,並在「Active Directory 遷移工具」上按滑鼠右鍵,選擇「群組帳戶遷移精靈」。


 2. 按「下一步」。


 3. 選擇來源及目的網域。
  來源網域:SLAB.com.tw
  來源網域控制站:<任何網域控制站> or 任一台 DC
  目的網域:DLAB.com.tw
  目的網域控制站:<任何網域控制站> or 任一台 DC


 4. 選擇「從網域選取群組」。


 5. 點擊「新增」,加入要遷移的群組。(可一次遷移多個群組)


 6. 選擇存放的目標 OU。


 7. 勾選要遷移的工作項目。
  ● 更新使用者權利:若帳號已遷移至目的網域,要更新被遷移群組的成員則需勾選。
  ● 複製群組成員:若群組內的成員尚未被遷移至目的網域,則可一併遷移。
  ● 更新先前遷移的物件:更新先前已遷移物件參數
  ● 修正群組的成員資格:<預設值>
  ● 將群組 SID 遷移到目標網域:<預設值>


 8. 輸入來源網域的最高系統管理者帳號密碼。


 9. 沒有要排除的內容,所以按「下一步」。


 10. 預設值,按「下一步」。


 11. 選擇「遷移密碼」,密碼遷移來源建議選擇有安裝密碼匯出工具的 DC。
    註:若前面群組項目有勾選與使用者有關的工作項目,會出現該畫面。


   補充:若選擇未安裝密碼匯出工具的 DC 或密碼匯出伺服器服務未啟動,則會出現下圖訊息。


 12. 選擇「目標與來源相同」。
    註:若前面群組項目有勾選與使用者有關的工作項目,會出現該畫面。


 13. 按「完成」進行群組遷移作業。


 14. 完成遷移作業,可按「檢視記錄權」,確認作業內容。


 15. 若遷移過程中有任何問題,可從記錄檔發現問題。

  註:如果不小心關閉畫面,可到 C:WindowsADMTLogs 底下檢視先前的記錄檔。



資料參考來源:








沒有留言:

張貼留言