Como usar a Ferramenta de Migração do Active Directory versão 2 para migrar do Windows 2000 para o Windows Server 2003

Esse artigo descreve como configurar a Ferramenta de migração do Active Directory (ADMT) para migrar de um domínio com o Microsoft Windows 2000 para um com o Microsoft Windows Server 2003.

Você pode usar a ADMT para migrar usuários, grupos e computadores de um domínio para outro e analisar o seu efeito antes e depois do processo de migração em si.

Observação Este artigo presume que o domínio de origem é um domínio com o Windows 2000 e que o alvo é um domínio com o Windows Server 2003 no modo Windows 2000 Native ou mais recente.

Como configurar a ADMT para uma migração do Windows 2000 para o Windows Server 2003

Você pode instalar a Ferramenta de migração do Active Directory versão 2 em qualquer computador executando o Windows 2000 ou mais recente, incluindo:

• Microsoft Windows 2000 Professional
• Microsoft Windows 2000 Server
• Microsoft Windows XP Professional
• Microsoft Windows Server 2003

O computador no qual você instala a ADMT deve ser um membro do domínio de origem ou de destino.

Migração intraforest

A migração intraforest não exige nenhuma configuração de domínio especial. A conta usada para executar a ADMT deve ter permissões suficientes para executar as ações solicitadas pela ADMT. Por exemplo, a conta deve ter o direito para excluir contas no domínio de origem e para criar contas no domínio de destino.

A migração intraforest é uma operação de movimentação, não uma operação de cópia. Essas migrações são conhecidas por serem destrutivas, uma vez que, após a movimentação os objetos migrados, deixam de existir no domínio de origem. Como o objeto é movido ao invés de ser copiado, algumas ações opcionais nas migrações interforest ocorrem automaticamente. Especificamente, o sIDHistory e a senha são migrados automaticamente durante todas as migrações intraforest.

Migração interforest

A ADMT exige as seguintes permissões para executar adequadamente:

• Direitos de administrador no domínio de origem.
• Direitos de administrador em cada computador que você migrar.
• Direitos de administrador em cada computador no qual você converte a segurança.

Antes de migrar um domínio com o Windows 2000 para um domínio com o Windows Server 2003, você deve fazer algumas configurações de domínio e de segurança. A migração do computador e a conversão de segurança não exigem nenhuma configuração especial. No entanto, cada computador que você deseja migrar deve ter os compartilhamentos administrativos C$ e ADMIN$.

A conta usada para executar a ADMT deve ter permissões suficientes para completar as tarefas exigidas. A conta deve ter permissão para criar contas do computador no domínio de destino e na unidade organizacional e deve ser um membro do grupo Administradores local em cada computador a ser migrado.

Migração de usuário e de grupo

Você deve configurar o domínio de origem para confiar no domínio de destino. Como opção, o destino pode ser configurado para confiar no domínio do origem. Isso pode facilitar a configuração, mas não é necessário para concluir a migração da ADMT.

Requisitos para tarefas de migração opcionais

Você pode completar as seguintes tarefas automaticamente executando o Assistente para migração de usuários, no modo de Teste, e selecionando a opção Migrar sIDHistory. A conta do usuário usada para executar a ADMT deve ser de Administrador, tanto no domínio de origem quanto no de destino, para que a configuração automática tenha êxito.

Aviso O uso incorreto do Editor do Registro ou outro método pode causar sérios problemas que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que os problemas resultantes do uso incorreto do Editor do Registro possam ser solucionados. O uso do Editor do Registro é de sua responsabilidade.

1. Crie um novo grupo local no domínio de origem chamado %sourcedomain%$$$. Não deve haver membros nesse grupo.
2. Ative a auditoria para o êxito ou o fracasso da Auditoria de gerenciamento de contas nos dois domínios na diretiva Controladores de domínio padrão.
3. Configure o domínio de origem para permitir o acesso da RPC para o SAM configurando a seguinte entrada do Registro no Emulador PDC no domínio de origem com um valor DWORD de 1:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
   Você deve reiniciar o Emulador PDC após fazer essa alteração.

Observação Para os domínios do Windows 2000, a conta que você usa para executar a ADMT deve ter permissões de administrador de domínio nos domínios de origem e de destino. Para os domínios de destino do Windows Server 2003, a "Migrar sIDHistory" pode estar delegada. Para obter informações adicionais, consulte a Ajuda & Suporte do Windows Sever 2003.

Você pode ativar a migração de senhas interforest instalando uma DLL que executa no contexto do LSA. Executando nesse contexto protegido, as senhas são protegidas da visualização em um cleartext, mesmo pelo sistema operacional. A instalação da DLL é protegida por uma chave secreta criada pela ADMT e deve ser instalada por um administrador.

Para instalar a DLL de migração de senha:

1. Faça o logon como um administrador ou equivalente no computador no qual a ADMT está instalada.
2. Em um prompt de comando, execute o comando ADMT KEY domíniodeorigemcaminho [* | password] para criar o arquivo da chave de exportação de senha (.pes). Nesse exemplo, domínio_de_origem é o nome NetBIOS do domínio de origem e caminho é o caminho do arquivo no qual a chave será criada. O caminho deve ser local, mas pode apontar para uma mídia removível como uma unidade de disquete, um ZIP drive ou uma mídia de CD gravável. Caso digite a senha opcional no final do comando, a ADMT protegerá o arquivo .pes com a senha. Se digitar o asterisco (*), a ADMT solicitará uma senha e o sistema não irá representá-la como foi digitado.
3. Mova o arquivo .pes, criado na etapa 2, para o Servidor de exportação de senha designado no domínio de origem. Pode ser qualquer controlador de domínio, mas verifique se possui um link rápido e confiável para o computador executando a ADMT.
4. Instale a DLL de migração de senha no Servidor de exportação de senha executando a ferramenta Pwmig.exe, que está localizada na pasta I386\ADMT, na mídia de instalação do Windows Server 2003, ou na pasta para a qual você baixou a ADMT pela Internet.
5. Especifique o caminho para o arquivo .pes criado na etapa 2 quando lhe for solicitado. Esse deve ser um caminho de arquivo local.
6. Após a conclusão da instalação, você deve reiniciar o servidor.
7. Se estiver pronto para migrar senhas, modifique a seguinte chave do Registro para ter um valor DWORD de 1. Para obter a segurança máxima, não complete essa etapa até que esteja pronto para migrar.
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

Para baixar a ADMT, consulte o seguinte site da Microsoft (em inglês): Para obter informações adicionais sobre como usar a ADMT para realizar uma migração, consulte a Ajuda da ADMT. Inicie a Ferramenta de migração do Active Directory, clique em Tópicos de ajuda no menu Ajuda, na guia Conteúdo e em Ferramenta de migração do Active Directory.

Para obter informações adicionais sobre a ADMT, consulte o seguinte site da Microsoft (em inglês): A Ferramenta de migração do Active Directory versão 2 está incluída na pasta I386\Admt no CD do Windows Server 2003.