Bagaimana untuk Migrasi Pengguna dan Komputer ke Domain / Hutan AD 2008R2 yang baru sepenuhnya dari Domain / Hutan 2003/2008 / 2008R2 yang lama - Bagaimana Untuk

Bagaimana untuk Migrasi Pengguna dan Komputer ke Domain / Hutan AD 2008R2 yang baru sepenuhnya dari Domain / Hutan 2003/2008 / 2008R2 yang lama

Sejak melengkapkan beberapa projek Penciptaan / Penghijrahan AD yang berjaya, saya sering ditanya mengenai penghasilan Pengguna dan Komputer yang berjaya. Memulakan projek ini untuk kali pertama boleh menjadi menakutkan dalam jumlah penyelidikan dan penyediaan yang diperlukan untuk berjaya. Di sini saya telah mempermudahkan dan meletakkan langkah-langkah asas yang diperlukan tanpa meletihkan ketetapan yang terlalu banyak, yang boleh dijumpai dengan cara mencari atau mengolah kata kunci yang berkaitan dengan setiap langkah. (Saya telah memasukkan beberapa pautan yang berkaitan di dalam langkah-langkah ketika saya mempunyai mereka sedia ada)

Nota-nota ini adalah hasil akhir banyak penyelidikan dan percubaan dan kesilapan, dan direka untuk memastikan bahawa mereka yang mengikuti mereka akan mengelakkan banyak kesulitan yang menunggu untuk yang tidak dikenali atau tidak bersedia.

Sila ambil perhatian bahawa pada arahan, di mana saya merujuk kepada "Domain BARU", saya bercakap mengenai domain sasaran baru anda yang anda berhijrah ke "," yang, misalnya, mungkin NEW.local, ABCDEF.com, COMPANY01.com , dan sebagainya. Di mana saya merujuk kepada "OLD Domain", saya bercakap tentang domain yang anda berhijrah dari "dari". Di mana saya masukkan pemegang nilai dalam "wortel", seperti, anda harus memasukkan domain baru anda, iaitu: NEW.local atau apa sahaja, tanpa wortel. Sama berlaku untuk pemegang kata kunci dalam wortel.

How-to ini juga dapat membantu migrasi antara hutan tahun 2003 atau 2008, dengan perubahan kecil.

Semoga berjaya!

14 Langkah total

Langkah 1: Sediakan Domain BARU dan Buat Rangkaian di antara OLD dan BARU Domain

1. Muatkan pelayan dengan R2 2008 dan pasangkan peranan Domain Controller, memilih penamaan domain dan pelayan yang sesuai.

2. Buat Admin dan lain-lain Akaun Perkhidmatan yang diperlukan di domain BARU mengikut dasar syarikat

3. Komunikasi antara domain Berbeza-beza mengikut tapak (biasanya VPN untuk peralihan, Local Layer-3 routing untuk tempatan)

4. Buat Zon Rangkaian DNS yang sesuai di setiap Domain untuk yang lain

http://technet.microsoft.com/en-us/library/cc816809%28v=ws.10%29.aspx

5. Sahkan resolusi DNS yang betul merentasi Domain

Langkah 2: Mewujudkan Amanah antara Domain

1. Amanah Transitif dua arah antara domain OLD dan domain BARU.

http://technet.microsoft.com/en-us/library/cc816810%28v=ws.10%29.aspx

2. Pengesahan Kebenaran Hutan

3. Mengesahkan Amanah

Langkah 3: Sediakan Domain (Sasaran) BARU (Nota: jangan masukkan simbol "<" atau ">" di sekeliling contoh)

1. Buat DNS Suffix Settings / DNS Senarai Senarai Suffix Cari GPO di Domain Root

http://support.microsoft.com/kb/294785

2. Buat Pelayan ADMT di domain / hutan BARU.

a. Boleh fizikal atau maya - 64 bit disyorkan (Pelayan Tempatan - boleh dipecat apabila selesai projek Migrasi)

b. Mesti memuatkan perisian Microsoft ADMT yang sesuai bergantung pada tahap Hutan domain LAMA dan BARU (bandingkan keperluan senarai semak di laman muat turun Microsoft)

http://technet.microsoft.com/en-us/library/active-directory-migration-tool-versions-and-supported-environments%28v=ws.10%29.aspx

c. Harus membuat pengguna AD di domain BARU untuk ADMTadmin yang juga merupakan anggota Kumpulan Admins Domain dan kumpulan Pentadbir. Sekiranya juga menjadi ahli kumpulan Pentadbir tempatan pada mesin pelayan ADMT ini.

d. Benarkan program untuk memasang pangkalan data SQL Express sendiri, yang akan dirujuk sebagai SQLExpress dalam SQL Management Studio 2008

e. Pasang Pengurusan Studio SQL (Alat Pengurusan sahaja, TIADA Pangkalan Data)

3. Lumpuhkan Penapisan SID:

a. Dari Prompt Perintah "tinggi" pada Emulator PDC di Domain Sasaran BARU, masukkan arahan berikut:

i. Kepercayaan Netdom / domain: / kuarantin: Tidak / userD: / passwordD:

ii. Tukar domain, pengguna dan kata laluan sumber di atas seperti yang diperlukan untuk setiap domain

4. Membolehkan Sejarah SID:

a. Dari Prompt Perintah "tinggi" pada Emulator PDC di Domain Sasaran BARU, masukkan arahan berikut:

i. Netdom trust / domain: / enableSIDhistory: yes / userD: / passwordD:

ii. Tukar domain, pengguna dan kata laluan sumber di atas seperti yang diperlukan untuk setiap domain

Langkah 4: Sediakan Domain (Sumber) LAMA (Nota: jangan masukkan simbol "<" atau ">" di sekeliling contoh)

1. Lumpuhkan Penapisan SID:

a. Dari Prompt Perintah "dinaikkan" pada Emulator PDC di Domain Sumber OLD, masukkan arahan berikut:

Kepercayaan Netdom / domain: / kuarantin: no / userD: admtadmin / passwordD:

b. Ubah domain sumber di atas seperti yang diperlukan untuk setiap domain

2. Dayakan Sejarah SID: (Nota: jangan masukkan simbol "" sekitar contoh)

a. Dari Prompt Perintah "dinaikkan" pada Emulator PDC di Domain Sumber OLD, masukkan arahan berikut:

Amanah / domain Netdom: / enableSIDhistory: yes / userD: admtadmin / passwordD:

b. Ubah domain sumber di atas seperti yang diperlukan untuk setiap domain

3. Beban Sambungan Skrin Windows 2008 R2 (2008 R2 Pasang DVD Sokongan Adprep) (Kecuali sudah 2008 R2)

a. Lakukan salah satu daripada yang berikut:

i. Pada mesin emulator PDC 32-bit di Domain Sumber

1. Masukkan DVD Server 2008 R2 ke dalam pemacu

2. Dari Prompt Perintah yang ditinggikan, navigasi ke X: support adprep (Dimana X ialah huruf pemacu)

3. Masukkan, dalam perintah ini, arahan berikut

a. Jalankan adprep32 / forestprep

b. Jalankan adprep32 / domainprep / gpprep

c. Jalankan adprep32 / rodcprep

ii. Pada mesin emulator PDC 64-bit di Domain Sumber

1. Masukkan DVD Server 2008 R2 ke dalam pemacu

2. Dari Prompt Perintah yang ditinggikan, navigasi ke X: support adprep (Dimana X ialah huruf pemacu)

3. Masukkan, dalam perintah ini, arahan berikut

a. Jalankan adprep / forestprep

b. Jalankan adprep / domainprep / gpprep

c. Jalankan adprep / rodcprep

4. Jika menggunakan Pelayan Exchange tempatan, Pelanjutan Skim Pertukaran Beban pada Domain Sasaran (kecuali jika sudah menggunakan versi Pertukaran di Domain Sasaran yang sesuai)

a. Pada 2008 R2 Target DC

i. Masukkan DVD Exchange

ii. Dari Prompt Perintah yang dinaikkan masukkan, dalam perintah ini, arahan berikut

1. Jalankan persediaan / PS

2. Jalankan persediaan / persiapan / "nama organisasi" (iaitu - "NEW.local")

3. Jalankan persediaan / pad

5. Tetapkan Dasar Audit GPO, untuk Domain Root dan untuk Pengawal Domain OU. (Komputer, Windows, Keselamatan, Tempatan, Dasar Audit) untuk mengaudit Kejayaan / Kegagalan:

a. Peristiwa Logon Akaun

b. Pengurusan Akaun

c. Peristiwa Logon

d. Perubahan Dasar

Langkah 5: Sediakan kebenaran Cross-Domain

1. Dalam Domain Sumber:

a. Tambah pengguna NEW admtadmin ke kumpulan "Pentadbir" di BuiltUU OU

b. Tambah kumpulan BARU Pentadbir Domain kepada kumpulan "Pentadbir" di Binaan OU

2. Dalam Domain Sasaran:

a. Tambah Pengguna OLD xxxxxx kepada kumpulan "Pentadbir" dalam Builtin OU (di mana xxxxxx adalah pengguna yang BOTH Admin Domain dalam domain Sumber DAN Admin Tempatan di semua Workstation di domain

b. Tambah kumpulan OLD Domain Admin kepada kumpulan "Pentadbir" di Builtin OU

Langkah 6: Sediakan untuk Eksport Kata Laluan (Nota: jangan masukkan simbol "<" atau ">" di sekeliling contoh)

1. Buat Kunci PES pada Server ADMT Sasaran untuk Domain Sumber.

a. Pada Pelayan ADMT dalam domain BARU, masukkan arahan berikut di Prompt Perintah:

i. C:> admt key / option: create / sourcedomain: / keyfile: "c: Key PES PES" / keypassword:

ii. Tukar maklumat sumber dan folder yang sesuai

2. Salin PES.pes fail Utama ke PDC Emulator DC pada Domain Sumber dan masukkannya ke C: PES Key PES.pes

3. Muat turun dan Pasang Perkhidmatan PES dari Microsoft pada Emulator PDC Domain Sumber menggunakan fail PES.pes yang anda baru disalin

a. Semak imbas ke c: PES Key PES.pes

b. Masukkan kata laluan SAME yang anda gunakan semasa membuat fail Utama pada Server ADMT

c. Tetapkan "Log masuk sebagai" kepada: BARU admtadmin dengan kata laluan pengguna yang betul

d. Reboot Source Controller Domain Emulator PDC yang baru anda pasangkan PES

4. SELALU Mulakan dan / atau Mulakan Semula Perkhidmatan PES di Sumber Emulator PDC sebelum migrasi USER yang sebenar

Langkah 7: Kumpulan Pra-Migrasi dengan Sejarah SID (secara automatik akan mengelakkan pemindahan bawaan Terbina dalam)

1. Pada pelayan ADMT, mula Alat Migrasi Direktori Aktif

2. Klik kanan pada Wizard Migrasi Kumpulan

3. Taipkan domain Sumber dan Maklumat DC yang bersesuaian (harus menjadi Emulator PDC)

4. Taip maklumat domain Sasaran yang sesuai

5. Destinasi mestilah OU yang anda buat untuk "Kumpulan dari Domain Lama"

6. Ikuti arahan untuk memasukkan maklumat yang sesuai

http://technet.microsoft.com/en-us/library/cc773285%28v=ws.10%29.aspx

Langkah 8: Pengguna Pra-Migrasi dengan SID Sejarah (dilumpuhkan dalam Domain Sasaran, didayakan di Domain Sumber)

1. Pastikan anda telah mengikuti LANGKAH 6, Nombor 4

2. Pada pelayan ADMT, mulakan Alat Migrasi Direktori Aktif

3. Klik kanan pada Wizard Penghijrahan Pengguna

4. Taipkan domain Sumber dan info DC yang sesuai (harus menjadi Emulator PDC)

5. Taip maklumat domain Sasaran yang sesuai

6. Pilih pengguna untuk berhijrah terlebih dahulu

7. Pilih "Lumpuhkan Akaun Sasaran" dan "Pindahkan Sejarah SID"

8.Sekiranya berpindah DARI lebih dari satu domain ke domain BARU, pilih "On Conflicts, jangan berhijrah" supaya anda boleh menentukan sama ada terdapat sebarang konflik nama pengguna antara pengguna domain yang berhijrah dan pengguna yang sebelum ini telah dipindahkan dari domain lain

9. Ikuti arahan untuk memasukkan maklumat yang sesuai

10. Sekiranya terdapat sebarang konflik nama pengguna, ubah nama pengguna pengguna "untuk disatukan" dan laksanakan kembali proses ini untuk nama pengguna baru sehingga semua konflik diselesaikan.

http://technet.microsoft.com/en-us/library/cc784018%28v=ws.10%29.aspx

Langkah 9: Sediakan Komputer untuk Migrasi

1. Dalam Active Directory domain sumber, gerakkan komputer ke kumpulan komputer "tiada polisi", jika diperlukan

2. Log masuk ke stesen kerja sebagai pengguna tetap mesin yang akan dipindahkan

3. Memohon semua patch dan kemas kini dari Microsoft, Adobe, Java, dan lain-lain, walaupun mereka berlaku kemudian dalam proses

4. Jalankan versi terkini CCleaner terhadap registri dengan "sandaran" dan tetapkan, jalankan semula sehingga bersih

5. Bersihkan semua fail temp dan tong kitar semula yang kosong, dan sebagainya, menggunakan alat CCleaner atau Pembersihan Cakera. (Untuk IE, jangan memadamkan Kuki, Sejarah, Fail Terkini, atau Dokumen Terkini, kecuali Fail Internet Sementara)

6. Pastikan sifat NIC menunjukkan, sekurang-kurangnya:

a. Pelanggan untuk Rangkaian Microsoft

b. QoS Packet Scheduler

c. Perkongsian Fail dan Pencetak untuk Microsoft Networks

d. Protokol Internet Versi 4

e. Link-Layer Topology Discovery Mapper (Windows Vista / Windows 7 sahaja)

f. Link-Layer Topology Discovery Responder (Windows Vista / Windows 7 sahaja)

7. Sahkan bahawa perkhidmatan berikut ditetapkan kepada "automatik" dan "bermula":

a. Windows XP:

i. Pelancar Proses Server DCOM

ii. Panggilan Prosedur Jauh (RPC)

b. Windows Vista:

i. Pelancar Proses Server DCOM

ii. Panggilan Prosedur Jauh (RPC)

c. Windows 7:

i. Pelancar Proses Server DCOM

ii. Panggilan Prosedur Jauh (RPC)

iii. RPC Endpoint Mapper

d. Pastikan perkhidmatan "Panggilan Prosedur Panggilan Jauh (RPC)" dihentikan dan / atau tidak wujud

8. Sahkan bahawa Kunci Pendaftaran berikut wujud:

a. Windows XP:

i. HKEY_LOCAL_MACHINE System CurrentControlSet Services RpcSs

b. Windows Vista:

i. HKEY_LOCAL_MACHINE System CurrentControlSet Services RpcSs

ii. HKEY_LOCAL_MACHINE System CurrentControlSet Services DcomLaunch

c. Windows 7:

i. HKEY_LOCAL_MACHINE System CurrentControlSet Services RpcSs

ii. HKEY_LOCAL_MACHINE System CurrentControlSet Services DcomLaunch

iii. HKEY_LOCAL_MACHINE System CurrentControlSet Services RpcEptMapper

d. Jika satu atau lebih kunci ini tidak wujud, eksportnya dari mesin lain dengan OS yang sama, dan importnya ke registri pada mesin ini

9. Matikan Windows Firewall (sama ada secara langsung atau melalui GPO)

10. Matikan mana-mana Firewall lain jika ada

11. Jika mesin mempunyai apa-apa perisian keselamatan "disediakan oleh pengeluar" (HP Security, dan lain-lain, sepenuhnya mematikannya)

12. Dari command prompt, jalankan command "verifier" dengan nilai lalai, klik di sebelah fix fix

13. Reboot dan Log masuk sebagai pengguna admin (bukan pengguna biasa mesin) dan Sandaran Profil Pengguna utama sekiranya berlaku (gunakan Transwiz, USMT, dan lain-lain)

14. Reboot komputer dan Log masuk sebagai pengguna biasa komputer

15. Pada mesin Windows 7, ia telah ditunjukkan untuk bermigrasi dengan lebih baik jika menggunakan MSCONFIG, semua perkhidmatan bukan Microsoft dilumpuhkan buat sementara waktu, untuk didayakan semula selepas penghijrahan. Anda akan perlu reboot semula pada ketika ini

16. Benarkan permulaan selesai sepenuhnya untuk memastikan bahawa tiada kemas kini automatik cuba dijalankan

17. Tutup sebarang program terbuka

18. Log keluar dan biarkan komputer di negeri ini

19. Pastikan pengguna tidak dilog masuk terus ke mesin domain lain semasa proses penghijrahan

Langkah 10: Pindahkan Komputer

1. Masuk ke pelayan ADMT Domain Sasaran dengan kelayakan Pentadbir Sumber Domain yang juga Admin Komputer setempat pada stesen kerja untuk laman web tersebut

2. Memastikan pengguna stesen kerja biasa telah dipindahkan terlebih dahulu (PENTING)

3. Jalankan Wizard Penghijrahan Komputer dengan operasi ejen penuh, dan melumpuhkan pemantauan post-check

4. Komputer perlu reboot secara automatik jika penghijrahan berjaya (atau jika ejen "Menyelesaikan Kesilapan")

5. Mungkin memerlukan beberapa reboot manual manual selama beberapa langkah seterusnya sebelum selesai

6. Pengguna Domain BARU yang baru tidak akan dapat log masuk ke mesin mereka sehingga akaun pengguna dipindahkan semula dan didayakan di Domain Sasaran

Langkah 11: Mengalihkan Semula Kumpulan (hanya jika kumpulan telah berubah sejak penghijrahan pengguna terakhir)

1. Ikuti peraturan yang sama seperti dalam LANGKAH 7

Langkah 12: Mentransmisikan semula Pengguna Komputer yang baru bermigrasi (didayakan di Domain Sasaran, dilumpuhkan dalam Domain Sumber)

1. Pastikan anda telah mengikuti LANGKAH 6, Nombor 4

2. Pilih "Dayakan di Domain Sasaran" dan "Matikan di Domain Sumber"

3. Pilih "Pindahkan Sejarah SID"

4. Pilih "Beralih dan Gabungkan pengguna yang bertentangan"

Langkah 13: Selepas Migrasi berjaya diselesaikan (sebelum membenarkan Pengguna log masuk)

1. Pada Target Domain DC, nyahtanda kotak "yang diperlukan untuk menukar kata laluan" pada akaun pengguna.

2. Pada Sasaran DC, tambahkan pengguna ke kumpulan Domain Target yang sesuai jika belum ada.

JIKA MENGGUNAKAN UNTUK MENGGUNAKAN SERVER EXCHANGE LAMA DALAM SUMBER DOMAIN:

3. Membaiki peti mel e-mel:

a. Dalam Konsol Pengurusan Pertukaran Domain Sumber, "Lumpuhkan" peti mel pengguna (TIDAK "Buang", NOTA: Langkah ini akan mengalih keluar sebarang alamat e-mel tambahan yang bukan lalai untuk pengguna. Jika ini masalah, anda perlu mencatat apa yang mereka adalah supaya anda boleh meletakkannya kembali, ATAU, anda perlu mengabaikan Langkah ini dan Langkah b di bawah, dan sebaliknya gunakan Shell Management Shell untuk menghubungkan peti mel.

b. Dalam tetingkap peti mel Terputus, Sambung semula peti mel:

i. Pilih peti mel "Dihubungkan", klik seterusnya

ii. Pilih "Pengguna yang Ada", dan cari pengguna yang dilumpuhkan dalam Sumber Domain, klik seterusnya

iii. Pilih "Hutan yang Dipercayai atau Domain" dan pilih Domain BARU

iv. Pilih Domain DC BARU sebagai Domain Berdaftar DC (menggunakan tempatan akan menghapuskan keperluan untuk menunggu Replikasi AD berlaku)

v. Pilih nama pengguna yang sama di Domain Sasaran sebagai Pengguna Master Berkaitan, klik seterusnya, kemudian sambungkan, kemudian selesai

JIKA MENGURUSKAN PELANGGAN DALAM SURAT TARGET:

4. Pindahkan peti mel dari pertukaran lama ke pertukaran baru dengan menggunakan prosedur biasa untuk memindahkan peti mel, iaitu proses yang berasingan dari dokumen ini

5. Masuk ke sistem yang dipindahkan sebagai admin lokal dan periksa sifat-sifat komputer untuk memastikan Domain adalah domain BARU

6. Jalankan GPUPDATE / FORCE dari Command Prompt

7. Reboot Komputer

8. Masuk ke sistem setempat sebagai admin lokal dan semak nama komputer untuk memastikan bahawa Suffix DNS ditetapkan ke Domain BARU

9. Jika tidak, Jalankan GPUPDATE / FORCE dari Command Prompt sekali lagi, but semula, dan teruskan proses ini sehingga DNS Sufiks IS ditetapkan ke Domain BARU.

10. Reboot Komputer

11. Benarkan Pengguna untuk log masuk ke komputer pada domain BARU. (Jika terdapat ralat, lihat Penyelesaian masalah di bawah)

12. Pastikan operasi yang sah semua aplikasi warisan pengguna

13. Pastikan akses yang betul kepada semua sumber warisan pengguna

a. Folder / Saham -

i. Tambah pengguna / kumpulan domain BARU untuk menyesuaikan kumpulan akses domain BARU dengan sewajarnya

ii. Tambah pengguna / kumpulan domain BARU untuk membenarkan kebenaran "berkongsi" dengan sewajarnya

Langkah 14: Penyelesaian Masalah

1. Jika, pada logon pengguna pertama, anda menerima mesej berikut:

a. "Amanah di antara stesen kerja dan domain utama gagal", maka:

i. "Reset" akaun komputer baru dalam direktori aktif di domain baru, dan cuba log masuk sekali lagi. Jika ini tidak berfungsi, maka,

ii. Log masuk ke mesin tempatan sebagai admin mesin tempatan dan keluarkan komputer dari domain tersebut, kemudian reboot dan bergabung semula komputer ke domain dan cuba masuk lagi

2. Jika, semasa cuba log masuk, anda menerima mesej yang menyatakan sesuatu di sepanjang baris:

a. "Domain BARU tidak tersedia", atau

b. "Tidak dapat log masuk kerana Domain Pengawal atau Domain tidak tersedia", dsb.

i. Log masuk secara tempatan ke mesin dan sahkan Domain ditetapkan ke Domain BARU

ii. Sahkan bahawa Nama Komputer Penuh adalah XXX-XXXXX.NEW Domain, jika masih mempunyai akhiran DNS lama,

1. Buka Prompt Perintah dan masukkan "gpupdate / force" untuk memaksa kemas kini Dasar dari domain baru

2. Reboot Komputer dan cuba lagi untuk log masuk ke domain baru

3. Cuba log masuk ke domain lama, kemudian cuba lagi log masuk ke domain baru

4. Anda mungkin perlu membiarkannya duduk selama 10 hingga 15 minit sebelum ini akan berfungsi

3. Jika Mesin Lulus Pra-Ujian, dan Selesai dengan Kesilapan pada Operasi Agen, anda boleh log masuk dan semak untuk melihat sama ada profil baru "Domain BARU" dibuat pada mesin. Sekiranya ia dicipta, semak untuk melihat sama ada saiz yang sama dan profil "OLD Domain". Jika sudah, sila semak untuk melihat sama ada kedua-dua profil mempunyai akses yang sama kepada folder "Pengguna" untuk pengguna di mesin tempatan. Jika ya, sila semak untuk melihat sama ada domain itu masih ditetapkan ke Domain OLD. Sekiranya semua ini wujud, maka anda boleh secara manual menyertai komputer ke Domain BARU tanpa sebarang masalah.

4. NOTA: Jika terus menggunakan saham di Domain OLD, ingat bahawa pada Saham Fail, pengguna yang sekarang berada di Domain BARU perlu ditambah ke kebenaran "Berkongsi" di Kongsi itu sendiri, sebelum Sejarah SID mereka akan membenarkan mereka untuk menggunakan keizinan Fail dan Folder mereka.