星期一, 11月 21, 2005

[Win] 如何設定 ADMT 以便將 Windows 2000 遷移至 Windows Server 2003

呼~~ 這次的實作裡,又發生莫名的靈異現象,明明是很簡單的一個把目標的Domain Admin加入來源的Administrators裡,竟然出現一堆問題,不過也拜它所賜,讓我跑去書局才發現原來還有要注意的先前準備要做,才能順利使用ADMT,算是因禍得福吧。
作業環境:利用2000 Server 建立cymc.com、2003 Server 建立camel.com
cymc.com - camel.com
  • camel.com => 192.168.0.1(PC1)
  • cymc.com => 192.168.0.2(PC2)
PC1和PC2分別為網域裡唯一的網域控制站
==================================================
ADMT的用途
使用 ADMT 將使用者、群組和電腦從一個網域遷移到另一個網域,並且分析實際執行遷移程序之前以及之後會造成的影響。您可以在來源或目標網域 (Windows 2000、Windows Server 2003 或 Microsoft Windows XP) 的任何上級成員中安裝和執行 ADMT。 然而,最單純的設定是在目標樹系的網域控制站上安裝與執行 ADMT
建立信任
  1. 將來源網域設定為信任目標網域。
  2. 將目標網域設定為信任來源網域。
  • 因為作業環境上的關係,dcpromo時,精靈會一起建立。
  • 確認信任是否建立完成,以camel.com為例說明,【AD網域及信任】 ->點選【camel.com】右鍵內容->標籤的【信任】->欲檢查的信任關係->內容->標籤的【一般】->【確認】或是利用者用者登入網域檢查,假如信任關係已經建立完成,那cymc.com的使用者一定可以登入camel.com,不過因為PC1和PC2是網域控制站,除了是Enterprise admin外,還必須先給予(允許本機登入)的權限才可以登入。
群組
  1. 將來源網域的 Domain Admins 全域群組,新增至目標網域的系統管理員本機群組。
  2. 將目標網域的 Domain Admins 全域群組,新增至來源網域的系統管理員本機群組。
之所以要這樣做是因為擁有以下的權限才能執行ADMT:
  1. 目標網域的網域系統管理員權限。
  2. 來源網域中的系統管理員群組成員。
  3. 您所遷移的每部電腦上的系統管理員權限。
  4. 每部轉譯安全性之電腦上的系統管理員權限。
稽查
  1. 在來源網域上啟用使用者和群組管理成功與失敗的稽核。
  2. 在目標網域的「預設網域控制站」原則中,啟用稽核帳戶管理成功與失敗的稽
  • 已2003的路徑為例,系統管理工具 => 網域控制站安全性原則 => 安全性設定 => 本機原則 => 稽查原則 => 啟動稽查帳戶管理;搬移過程,在事件檢查簿裡可以看見類別目錄的帳戶管理資料。

登錄檔
在來源網域的 PDC 上,將 AllowPasswordExport:REG_DWORD:0x1 (即設為1)數值新增至下列登錄機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

  • 這樣在搬移的過程中,使用者的密碼才能一起搬過去目標網域。
  • 沒有的話,請自行新增。
網域等級
  1. 目標網域必須為2003或200純綷模式才可執行,預設為2000混合模式。
  2. 在建立AD時,必須選取「與Window 2000 伺服器前版伺服器相容」=> 允許匿名使用者帳號可以存取網域資訊,以及用來複製本機原則;或是將 Everyone 系統群組新增到目標網域上的 Pre-Windows 2000 Compatible Access 群組上。如果未執行此動作,則 ADMT 會記錄「拒絕存取」錯誤。若要執行此動作,請在目標網域控制站上使用「Active Directory 使用者和電腦」嵌入式管理單元,或在命令提示字元下使用下列語法:NET LOCALGROUP "Pre-Windows 2000 Compatible Access" Everyone /ADD
  3. 變更群組成員後,必須確保Everyone群組權限套用至匿名者,系統管理工具 => 網域控制站安全性原則 => 安全性設定 => 安全性選項 => 啟用"網路存取:讓Everyone權限套用到匿名使用者"
以上為執行ADMT時,必須先準備的動作,以確保過程中不會出現錯誤;之後請直接操作ADMT。
  • ADMT的ReadMe說明,這資料裡有許多已經發生過的實例錯誤,非常具有參考價值,實作時一定要詳讀,減少錯誤的發生。
  • Microsoft Windows Server 2003 Active Directory 技術寶典 CH7 這本書裡面也介紹的非常詳細,唯一的缺點是全部都是文字,讀起來會比較累。
參考資料
HOW TO:在 Windows Server 2003 中建立對 Windows NT 網域的信任
如何設定 ADMT 以便將 Windows NT 4.0 遷移至 Windows Server 2003
Microsoft Windows Server 2003 Active Directory 技術寶典 CH7
2003 Server 安裝光碟裡,ADMT的ReadMe說明