Использование средства Active Directory Migration Tool версии 2 для перехода с Windows 2000 на Windows Server 2003

Переводы статьи Переводы статьи
Код статьи: 326480 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Для получения дополнительных сведений о создании резервной копии, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

В данной статье рассмотрены вопросы настройки средства ADMT (Active Directory Migration Tool) для перехода от домена Windows 2000 к домену Windows Server 2003.

Дополнительная информация

Средство ADMT служит для переноса пользователей, групп и компьютеров из домена в домен, а также анализа результатов перехода как до, так и после его выполнения.

Примечание. Предполагается, что исходный домен является доменом Windows 2000, а домен назначения Windows Server 2003 работает в основном режиме Windows 2000 или более поздней версии.

Настройка средства ADMT для выполнения миграции из домена Windows 2000 в Windows Server 2003

Средство Active Directory Migration Tool версии 2 может быть установлено на компьютере под управлением Windows 2000 или операционной системы более поздней версии, включая следующие:
  • Microsoft Windows 2000 Professional;
  • Microsoft Windows 2000 Server
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003;
Этот компьютер должен входить в состав исходного домена или домена назначения.

Переход внутри леса

Переход внутри леса не требует специальной настройки домена. Учетная запись, от имени которой запускается средство ADMT, должна обладать достаточными правами (например правом удаления учетных записей в исходном домене и создания учетных записей в домене назначения).

Переход внутри леса, по сути, является операцией перемещения, а не копирования. В определенном смысле она деструктивна, поскольку после перемещения объекты исчезают из исходного домена. В силу того что объекты не копируются, а перемещаются, некоторые действия, необязательные при переходе между лесами, в данном случае выполняются автоматически. Например, при переходе внутри леса происходит автоматический перенос атрибутов sIDHistory и паролей.

Переход между лесами

Для использования средства ADMT требуется наличие следующих прав.
  • Права администратора в исходном домене.
  • Права администратора на каждом из перемещаемых компьютеров.
  • Права администратора на каждом из компьютеров, на который перемещаются параметры безопасности.
Перед началом перехода от домена Windows 2000 к домену Windows Server 2003 необходимо выполнить настройку некоторых параметров домена и безопасности. Перенос компьютеров и параметров безопасности не требуют специальной настройки домена. Однако на каждом переносимом компьютере должны существовать общие административные ресурсы C$ и ADMIN$.

Учетная запись, от имени которой запускается средство ADMT, должна иметь права, достаточные для выполнения всех нужных задач. В частности, ей необходимо разрешение на создание учетных записей компьютеров в конечном домене и подразделении; эта запись также должна входить в локальную группу администраторов на каждом из компьютеров, для которых выполняется переход.

Перенос пользователей и групп

Исходный домен должен доверять домену назначения. При желании доверительные отношения можно сделать двухсторонними (домен назначения также доверяет исходному). Это упростит настройку, но не является обязательным условием для выполнения перехода с помощью средства ADMT.

Требования, относящиеся к выполнению необязательных задач перехода

Перечисленные ниже задачи можно выполнить автоматически, запустив мастер переноса пользователей в тестовом режиме и выбрав перенос sIDHistory. Автоматическая настройка будет успешной только в случае, если учетная запись, от имени которой запускается средство ADMT, обладает правами администратора как в исходном домене, так и в домене назначения.

Предупреждение. При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут привести к необходимости переустановки операционной системы. Корпорация Майкрософт не гарантирует разрешения этих проблем. Ответственность за изменение реестра несет пользователь.
  1. Создайте в исходном домене локальную группу %sourcedomain%$$$. Эта группа не должна содержать учетных записей.
  2. Включите в политике по умолчанию для контроллеров домена аудит успешных и неудачных операций «Аудит управления учетными записями» в обоих доменах.
  3. Разрешите в исходном домене доступ к диспетчеру SAM через удаленный вызов процедур (Remote Procedure Call, RPC). Для этого на эмуляторе основного контроллера домена в исходном домене необходимо создать указанный ниже параметр типа DWORD со значением 1:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
    После добавления этого параметра эмулятор основного контроллера домена следует перезапустить.
Примечание. В доменах Windows 2000 учетная запись, от имени которой запускается средство ADMT, должна иметь права администратора домена как в исходном домене, так и в домене назначения. В домене назначения Windows Server 2003 перенос атрибута sIDHistory может быть делегирован. Дополнительные сведения имеются в центре справки и поддержки Windows Server 2003.

Чтобы включить перенос паролей из леса в лес, необходимо установить библиотеку DLL, выполняющуюся в контексте LSA. Работа в этом защищенном контексте предотвращает просмотр паролей в незашифрованном текстовом виде, включая просмотр самой операционной системой. Библиотека DLL защищена секретным ключом, который создается средством ADMT, и устанавливается администратором.

Чтобы установить библиотеку переноса паролей, необходимо выполнить следующие действия.
  1. Войдите с правами администратора на компьютер, где установлено средство ADMT.
  2. В командной строке введите команду ADMT KEY исходный_доменпуть [* | пароль], чтобы создать файл ключа экспорта паролей (файл типа PES). В этом примере исходный_домен — это NetBIOS-имя исходного домена, а путь — это путь к файлу экспорта паролей. Путь должен быть локальным, однако может указывать на съемный носитель, например дискету, диск ZIP или записываемый компакт-диск. Для защиты файла PES укажите в конце команды пароль. Если ввести звездочку (*), средство ADMT запросит пароль (символы пароля не отображаются на экране).
  3. Переместите созданный файл PES на сервер экспорта паролей в исходном домене (любой контроллер домена, обладающий быстрым и надежным доступом к компьютеру, на котором запущено средство ADMT).
  4. С помощью программы Pwmig.exe установите библиотеку миграции паролей DLL на сервер экспорта паролей (программа Pwmig.exe находится в папке I386\ADMT на установочном носителе Windows Server 2003 или в папке, в которую было загружено средство ADMT из Интернета).
  5. В ответ на соответствующий запрос укажите путь к созданному файлу с расширением PES. Этот путь должен быть локальным.
  6. По завершении установки сервер необходимо перезапустить.
  7. Непосредственно перед переносом паролей измените значение указанного ниже параметра типа DWORD на 1 Чтобы свести риск к минимуму, не делайте этого заранее.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
Загрузить средство ADMT можно с веб-узла корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp
Дополнительные сведения о выполнении переноса с помощью средства ADMT приведены в справочной системе ADMT (запустите средство ADMT, выберите в меню Справка пункт Вызов справки, откройте вкладку Содержание и выберите в списке раздел Миграция в Active Directory).

Для получения дополнительных сведений о средстве ADMT посетите следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/technet/prodtechnol/Windows2000Pro/reskit/part7/proch31.mspx
Средство Active Directory Migration Tool версии 2 расположено в папке I386\Admt на компакт-диске Windows Server 2003.

Свойства

Код статьи: 326480 - Последний отзыв: 21 ноября 2006 г. - Revision: 8.4
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Ключевые слова: 
kbactivedirectory kbhowto kbmigrate KB326480

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com