Cómo utilizar la versión 2 de la herramienta de migración de Active Directory para realizar la migración de Windows 2000 a Windows Server 2003

Seleccione idioma Seleccione idioma
Id. de artículo: 326480 - Ver los productos a los que se aplica este artículo
Importante
Este artículo contiene información acerca de cómo se modifica el Registro. Antes de modificar el Registro, asegúrese de hacer una copia de seguridad del mismo y de que sabe cómo restaurarlo si se produce algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986 Definición del Registro de Microsoft Windows
Expandir todo | Contraer todo

En esta página

Resumen

En este artículo se describe cómo configurar la Herramienta de migración de Active Directory (ADMT, Active Directory Migration Tool) para realizar una migración desde un dominio basado en Microsoft Windows 2000 a un dominio basado en Microsoft Windows Server 2003.

Más información

ADMT puede utilizarse para migrar usuarios, grupos y equipos desde un dominio a otro y para analizar la repercusión de la migración antes y después del proceso real de migración.

Nota
En este artículo se da por supuesto que el dominio de origen está basado en Windows 2000 y el de destino es un dominio basado en Windows Server 2003 en modo nativo de Windows 2000 o posterior.

Cómo configurar ADMT para la migración de Windows 2000 a Windows .NET Server

La Herramienta de migración de Active Directory versión 2 puede instalarse en cualquier equipo donde se ejecute Windows 2000 o posterior, incluidos:
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003
El equipo en el que se instale ADMT debe ser miembro del dominio de origen o del de destino.

Migración en el mismo bosque

La migración en el mismo bosque no requiere ninguna configuración especial de los dominios. La cuenta que use para ejecutar ADMT debe tener los permisos suficientes para realizar las acciones solicitadas por ADMT. Por ejemplo, la cuenta debe tener los derechos para eliminar cuentas en el dominio de origen y para crearlas en el de destino.

La migración en el mismo bosque es una operación de movimiento y no de copia. Se dice que estas migraciones son destructivas porque después del movimiento, los objetos migrados ya no existen en el dominio de origen. Dado que el objeto se mueve en lugar de copiarse, algunas acciones que en una migración entre bosques son opcionales se producen automáticamente. En concreto, el sIDHistory y la contraseña se migran de forma automática durante todas las migraciones en el mismo bosque.

Migración entre bosques

ADMT requiere los permisos siguientes para ejecutarse correctamente:
  • Derechos de administrador en el dominio de origen.
  • Derechos de administrador en cada equipo que migre.
  • Derechos de administrador en los equipos en los que necesite mayor nivel de seguridad.
Antes de migrar un dominio basado en Windows 2000 a un dominio basado en Windows Server 2003, debe configurar algunas opciones de seguridad y de los dominios. La migración de equipos y la aplicación de otros grados de seguridad no requiere ninguna configuración especial en los dominios. Sin embargo, cada equipo que desee migrar debe tener los recursos compartidos de administración C$ y ADMIN$.

La cuenta que use para ejecutar ADMT debe tener suficientes permisos para completar las tareas necesarias. La cuenta debe tener permiso para crear cuentas de equipo en la unidad organizativa y el dominio de destino, y debe ser miembro del grupo local Administradores en cada equipo que se vaya a migrar.

Migración de usuarios y grupos

Debe configurar el dominio de origen para que confíe en el de destino. También puede configurar el dominio de destino para que confíe en el de origen. Aunque esto puede facilitar la configuración, no es obligatorio para finalizar la migración con ADMT.

Requisitos para llevar a cabo tareas opcionales de migración

Puede realizar las tareas siguientes automáticamente si ejecuta el Asistente para migración de usuarios en el modo de prueba y selecciona la opción de migrar sIDHistory. La cuenta de usuario que use para ejecutar ADMT debe ser de administrador tanto en el dominio de origen como en el destino para que la configuración automática se lleve a cabo correctamente.

Advertencia
Pueden producirse problemas graves si modifica incorrectamente el Registro mediante el Editor del Registro o con cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
  1. Cree un nuevo grupo local en el dominio de origen llamado %sourcedomain%$$$. No debe haber miembros en este grupo.
  2. Active la auditoría de lo que vaya bien y mal en la administración de cuentas auditables en ambos dominios, en la directiva predeterminada de controladores de dominio.
  3. Configure el dominio de origen de modo que permita el acceso de RPC al SAM; para ello, configure la siguiente entrada del Registro en el emulador de controlador de dominio principal (PDC) del dominio de origen con el valor DWORD 1:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
    Después de realizar este cambio debe reiniciar el emulador de PDC.
Nota
En los dominios de Windows 2000, la cuenta que use para ejecutar ADMT debe tener permisos de administrador de dominio tanto en el dominio de origen como en el de destino. En dominios de destino de Windows Server 2003 puede delegarse el permiso 'Migrar sIDHistory'. Para obtener más información, consulte la Ayuda y el soporte técnico de Windows Server 2003.

Puede activar la migración de contraseñas entre bosques si instala una DLL que se ejecute en el contexto de LSA. Al ejecutarla en este contexto protegido, se impide que las contraseñas sean vistas en texto sin cifrar, ni siquiera por el sistema operativo. La instalación de la DLL se protege con una clave secreta que se crea mediante ADMT y debe instalarla un administrador.

Para instalar la DLL de migración de contraseñas:
  1. Inicie sesión como administrador o equivalente en el equipo en el que está instalado ADMT.
  2. En el símbolo del sistema, ejecute el comando ADMT KEY dominioDeOrigenruta de acceso [* | contraseña] para crear el archivo de clave de exportación de contraseñas (.pes). En este ejemplo, dominioDeOrigen es el nombre NetBIOS del dominio de origen y ruta de acceso es la ruta de acceso del archivo donde se va a crear la clave. La ruta de acceso debe ser local pero puede señalar a un medio extraíble como una unidad de disco, una unidad ZIP o un medio de CD grabable. Si escribe la contraseña opcional al final del comando, ADMT la usa para proteger el archivo .pes. Si escribe un asterisco (*), ADMT pide una contraseña y el sistema no la mostrará a medida que se escriba.
  3. Mueva el archivo .pes que creó en el paso 2 al servidor de exportación de contraseñas designado en el dominio de origen. Puede tratarse de cualquier controlador de dominio pero compruebe que tenga un vínculo rápido y confiable con el equipo donde se ejecute ADMT.
  4. Instale la DLL de migración de contraseñas (Password Migration DLL) en el servidor de exportación de contraseñas mediante la herramienta Pwmig.exe. Pwmig.exe se encuentra en la carpeta I386\ADMT del medio de instalación de Windows Server 2003 o en la carpeta en la que descargó ADMT desde Internet.
  5. Cuando se le pida, especifique la ruta del archivo .pes creado en el paso 2. Debe tratarse de una ruta del sistema.
  6. Una vez finalizada la instalación debe reiniciar el servidor.
  7. Si ya está preparado para migrar las contraseñas, modifique la siguiente clave del Registro con el valor DWORD 1. Para conseguir la máxima seguridad, no siga este paso hasta que esté listo para realizar la migración.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
Para descargar ADMT, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=6F86937B-533A-466D-A8E8-AFF85AD3D212
Para obtener más información acerca de cómo usar ADMT con el fin de realizar una migración, vea la Ayuda de ADMT. Inicie la Herramienta de migración de Active Directory, haga clic en Temas de Ayuda en el menú Ayuda, haga clic en la ficha Contenido y, a continuación, haga clic en Herramienta de migración de Active Directory.

Para obtener más información acerca de ADMT, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/prodtechnol/Windows2000Pro/reskit/part7/proch31.mspx
La versión 2 de la Herramienta de migración de Active Directory se encuentra en la carpeta I386\Admt del CD de Windows Server 2003.

Propiedades

Id. de artículo: 326480 - Última revisión: martes, 11 de septiembre de 2007 - Versión: 8.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Palabras clave: 
kbhowto kbactivedirectory kbmigrate KB326480

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com