Como utilizar a versão 2 da ferramenta de migração do Active Directory para migrar do Windows 2000 para o Windows Server 2003

Este artigo descreve como configurar a ferramenta de migração do Active Directory (ADMT, Active Directory Migration Tool) para migrar de um domínio baseado no Microsoft Windows 2000 para um domínio baseado no Microsoft Windows Server 2003.

Pode utilizar a ferramenta ADMT para migrar utilizadores, grupos e computadores de um domínio para outro e para analisar o efeito da migração antes e depois do processo de migração propriamente dito.

Nota: este artigo pressupõe que o domínio de origem é baseado no Windows 2000 e que o domínio de destino é baseado no Windows Server 2003, no modo nativo do Windows 2000 ou posterior.

Como configurar a ferramenta ADMT para uma migração do Windows 2000 para o Windows Server 2003

Pode instalar a ferramenta de migração do Active Directory versão 2 em qualquer computador com o Windows 2000 ou posterior, incluindo:

• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows XP Professional
• Microsoft Windows Server 2003

O computador em que instalar a ADMT tem de ser membro do domínio de origem ou de destino.

Migração intrafloresta

A migração intrafloresta não requer uma configuração de domínio especial. A conta utilizada para executar a ferramenta ADMT tem de ter permissões suficientes para executar as acções solicitadas pela ADMT. Por exemplo, a conta tem de ter direitos para eliminar contas no domínio de origem e para criar contas no domínio de destino.

A migração intrafloresta é uma operação de mudança de localização e não uma operação de cópia. Estas migrações são consideradas destrutivas porque, depois de terem sido movidos, os objectos migrados deixam de existir no domínio de origem. Dado que o objecto é movido em vez de copiado, algumas acções que são opcionais nas migrações interfloresta ocorrem automaticamente. Concretamente, o sIDHistory e a palavra-passe são automaticamente migrados durante todas as migrações intrafloresta.

Migração interfloresta

A ferramenta ADMT requer as seguintes permissões para funcionar correctamente:

• Direitos de administrador no domínio de origem.
• Direitos de administrador em cada computador que migrar.
• Direitos de administrador em cada computador em que converta a segurança.

Antes de fazer a migração de um domínio baseado no Windows 2000 para um domínio baseado no Windows Server 2003, tem de fazer algumas configurações de domínio e de segurança. A migração de computador e a conversão de segurança não requerem uma configuração de domínio especial. Contudo, cada computador que pretenda migrar tem de ter as partilhas administrativas, C$ e ADMIN$.

A conta utilizada para executar a ferramenta ADMT tem de ter permissões suficientes para concluir as tarefas necessárias. Tem também de ter permissões para criar contas de computador no domínio de destino e na unidade organizacional, e tem de ser membro do grupo de administradores local em cada computador a migrar.

Migração de utilizadores e de grupos

Tem de configurar o domínio de origem para considerar fidedigno o domínio de destino. Opcionalmente, o destino pode ser configurado para considerar o domínio de origem fidedigno. Embora isto possa facilitar a configuração, não é necessário para concluir a migração pela ferramenta ADMT.

Requisitos para tarefas de migração opcionais

Pode efectuar as seguintes tarefas automaticamente, executando o assistente de migração de utilizadores no modo de teste e seleccionando a opção de migração do sIDHistory. A conta de utilizador usada para executar a ferramenta ADMT tem de ter o estatuto de administrador nos domínios de origem e de destino para que a configuração automática tenha êxito.

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo (Registry Editor) ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

1. Crie um novo grupo local no domínio de origem com o nome %sourcedomain%$$$. Este grupo não pode ter membros.
2. Active a função de auditoria de êxito e falha da auditoria da gestão de contas em ambos os domínios, na política predefinida de controladores de domínio.
3. Configure o domínio de origem para permitir acesso via RPC ao SAM configurando a seguinte entrada do registo no emulador de PDC do domínio de origem com o valor DWORD de 1:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
   Depois de efectuar esta alteração tem de reiniciar o emulador de PDC.

Nota: relativamente aos domínios do Windows 2000, a conta utilizada para executar a ADMT tem de ter permissões de administrador de domínio nos domínios de origem e de destino. Relativamente aos domínios de destino do Windows Server 2003, a opção de migração do sIDHistory pode ser delegada. Para obter mais informações, consulte a ajuda e suporte do Windows Server 2003.

Pode activar a migração de palavras-passe interfloresta instalando uma DLL que é executada no contexto da LSA. Ao serem executadas neste contexto protegido, as palavras-passe são protegidas contra visualização em texto simples, mesmo pelo sistema operativo. A instalação da DLL é protegida por uma chave secreta, que é criada pela ferramenta ADMT, e deve ser instalada por um administrador.

Para instalar a DLL de migração de palavras-passe:

1. Inicie sessão como administrador ou equivalente no computador em que a ferramenta ADMT está instalada.
2. Numa linha de comandos, execute o comando ADMT KEY domíniodeorigemcaminho [* | password] para criar o ficheiro-chave de exportação de palavras-passe (.pes). Neste exemplo, domíniodeorigem é o nome de NetBIOS do domínio de origem e caminho é o caminho de ficheiro onde a chave vai ser criada. O caminho tem de ser local, mas pode apontar para um suporte amovível, como uma unidade de disquetes, uma unidade ZIP ou CDs graváveis. Se escrever a palavra-passe opcional no final do comando, a ferramenta ADMT protege o ficheiro .pes com a palavra-passe. Se escrever o asterisco (*), a ferramenta ADMT pede uma palavra-passe e o sistema não a ecoará à medida que for escrita.
3. Mova o ficheiro .pes que criou no passo 2 para o servidor de exportação de palavras-passe designado no domínio de origem. Esse pode ser qualquer controlador de domínio, mas deve ter uma ligação rápida e fiável ao computador em que está a ser executada a ferramenta ADMT.
4. Instale a DLL de migração de palavras-passe no servidor de exportação de palavras-passe executando a ferramenta Pwmig.exe. O ficheiro Pwmig.exe está localizado na pasta I386\ADMT do suporte de instalação do Windows Server 2003, ou na pasta para a qual transferiu a ADMT a partir da Internet.
5. Quando solicitado, especifique o caminho para o ficheiro .pes que criou no passo 2. Tem de ser um caminho local.
6. Após a conclusão do processo de instalação, tem de reiniciar o servidor.
7. Se estiver preparado para migrar palavras-passe, modifique a chave de registo que se segue, de modo a ter o valor DWORD 1. Para a máxima segurança, não efectue este passo enquanto não estiver preparado para fazer a migração.
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

Para transferir a ADMT, visite o seguinte Web site da Microsoft: Para obter mais informações sobre como utilizar a ADMT para efectuar uma migração, consulte a respectiva ajuda. Inicie a ferramenta de migração do Active Directory, clique em Tópicos de ajuda (Help Topics) no menu Ajuda (Help), clique no separador Índice (Contents) e clique em Ferramenta de migração do Active Directory (Active Directory Migration Tool).

Para obter mais informações sobre a ADMT, visite o seguinte Web site da Microsoft: A ferramenta de migração do Active Directory versão 2 está incluída na pasta I386\Admt do CD do Windows Server 2003.