Jak używać narzędzia migracji usługi Active Directory w wersji 2 w celu migracji z systemu Windows 2000 do systemu Windows Server 2003

Ważne Ten artykuł zawiera informacje dotyczące modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową i upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows

Streszczenie

W tym artykule opisano, jak skonfigurować narzędzie migracji usługi Active Directory (ADMT) w celu migracji z domeny opartej na systemie Microsoft Windows 2000 do domeny opartej na systemie Microsoft Windows Server 2003.

Więcej informacji

Narzędzie ADMT umożliwia przeprowadzanie migracji użytkowników, grup i komputerów z jednej domeny do innej oraz analizę skutków migracji przed zakończeniem i po zakończeniu rzeczywistego procesu migracji.

Uwaga Dla potrzeb tego artykułu przyjęto założenie, że domeną źródłową jest domena oparta na systemie Windows 2000, a domeną docelową domena oparta na systemie Windows Server 2003 w trybie macierzystym Windows 2000 lub nowszym.

Jak skonfigurować narzędzie ADMT do migracji z systemu Windows 2000 do systemu Windows Server 2003

Narzędzie migracji usługi Active Directory w wersji 2 można zainstalować na dowolnym komputerze z systemem Windows 2000 lub nowszą wersją systemu Windows, w tym:
 • Microsoft Windows 2000 Professional
 • Microsoft Windows 2000 Server
 • Microsoft Windows XP Professional
 • Microsoft Windows Server 2003
Komputer, na którym jest instalowane narzędzie ADMT, musi być członkiem domeny źródłowej lub docelowej.

Migracja między lasami

Migracja w obrębie lasu nie wymaga specjalnej konfiguracji domeny. Konto używane do uruchamiania narzędzia ADMT musi mieć wystarczające uprawnienia do wykonywania czynności wymaganych przez narzędzie ADMT. Na przykład konto musi mieć prawo do usuwania kont w domenie źródłowej oraz do tworzenia kont w domenie docelowej.

Migracja między lasami jest operacją przenoszenia, a nie kopiowania. Migracje tego typu uważane są za destrukcyjne, ponieważ obiekty poddane migracji po przeniesieniu przestają istnieć w domenie źródłowej. W wyniku tego, że obiekt jest przenoszony, a nie kopiowany, niektóre czynności opcjonalne w przypadku migracji między lasami wykonywane są automatycznie. W szczególności podczas wszystkich migracji między lasami automatycznej migracji poddawany jest obiekt sIDHistory oraz hasło.

Migracja między lasami

Prawidłowe uruchomienie narzędzia ADMT wymaga następujących uprawnień:
 • Uprawnienia administratora w domenie źródłowej.
 • Uprawnienia administratora na każdym komputerze poddawanym migracji.
 • Uprawnienia administratora na każdym komputerze, na którym odbywa się translacja zabezpieczeń.
Przed rozpoczęciem migracji domeny opartej na systemie Windows 2000 do domeny opartej na systemie Windows Server 2003 należy wprowadzić pewne ustawienia domen i zabezpieczeń. Migracja komputera oraz translacja zabezpieczeń nie wymagają żadnej specjalnej konfiguracji domeny. Jednak każdy komputer, który ma zostać poddany migracji, musi mieć udziały administracyjne C$ i ADMIN$.

Konto używane do uruchamiania narzędzia ADMT musi mieć uprawnienia wystarczające do wykonywania wymaganych zadań. Konto musi mieć uprawnienia do tworzenia kont komputerów w domenie docelowej oraz w jednostce organizacyjnej, musi również być członkiem lokalnej grupy Administratorzy na każdym komputerze, który ma zostać poddany migracji.

Migracja użytkowników i grup

Należy skonfigurować domenę źródłową tak, aby ufała domenie docelowej. Opcjonalnie można skonfigurować domenę docelową, tak aby ufała domenie źródłowej. Mimo że ułatwia to konfigurację, nie jest wymagane do zakończenia migracji ADMT.

Wymagania opcjonalnych zadań migracji

Poniższe zadania można wykonać automatycznie, uruchamiając Kreatora migracji użytkowników w trybie testowym i wybierając opcję migracji sIDHistory. Aby konfiguracja automatyczna zakończyła się pomyślnie, konto użytkownika używane do uruchomienia narzędzia ADMT musi mieć uprawnienia administratora zarówno w domenie źródłowej, jak i w domenie docelowej.


Ostrzeżenie Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Mogą one wymagać ponownego zainstalowania systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Można modyfikować rejestr na własną odpowiedzialność.
 1. Utwórz nową grupę lokalną w domenie źródłowej o nazwie %domena_źródłowa%$$$. Grupa ta nie może zawierać żadnych członków.
 2. W domyślnych zasadach kontrolera domeny włącz w obu domenach inspekcję sukcesu lub porażki zarządzania kontem inspekcji.
 3. Skonfiguruj domenę źródłową, aby umożliwić dostęp RPC do SAM. W tym celu na emulatorze podstawowego kontrolera domeny PDC skonfiguruj następujący wpis rejestru w domenie źródłowej, używając wartości DWORD wynoszącej 1:
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport
  Po wprowadzeniu tej zmiany trzeba ponownie uruchomić emulator podstawowego kontrolera domeny.
Uwaga W przypadku domen systemu Windows 2000 konto używane do uruchamiania narzędzia ADMT musi mieć uprawnienia administratora domeny zarówno w domenie źródłowej, jak i w domenie docelowej. W przypadku domen docelowych systemu Windows Server 2003 opcję migracji sIDHistory można delegować. Więcej informacji można znaleźć w dokumentacji Windows Server 2003 Help & Support.

Migrację hasła między lasami można włączyć, instalując bibliotekę DLL uruchamianą w kontekście LSA. Hasła uruchamiane w tym chronionym kontekście są zabezpieczone przed wyświetlaniem w postaci zwykłego tekstu nawet przez system operacyjny. Instalacja biblioteki DLL jest chroniona tajnym kluczem tworzonym przez narzędzie ADMT i musi być przeprowadzana przez administratora.

Aby zainstalować bibliotekę DLL migracji hasła:
 1. Zaloguj się jako administrator lub użytkownik z równoważnymi uprawnieniami do komputera, na którym jest zainstalowane narzędzie ADMT.
 2. W wierszu polecenia uruchom polecenie ADMT KEY domena_źródłowaścieżka [* | hasło], aby utworzyć plik klucza eksportowania hasła (pes). W omawianym przykładzie domena_źródłowa oznacza nazwę domeny źródłowej w systemie NetBIOS, a ścieżka oznacza ścieżkę pliku, w której zostanie utworzony klucz. Ścieżka musi być ścieżką lokalną, ale może wskazywać wymienny nośnik danych, taki jak stacja dyskietek, dysk ZIP lub zapisywalne nośniki CD. Po wpisaniu na końcu polecenia opcjonalnego hasła narzędzie ADMT zabezpiecza plik .pes hasłem. Po wpisaniu gwiazdki (*) narzędzie ADMT wyświetla monit z prośbą o podanie hasła, a system nie powtarza wpisywanego hasła.
 3. Przenieś plik .pes utworzony w kroku 2 do wybranego serwera eksportowania hasła w domenie źródłowej. Może to być dowolny kontroler domeny, należy jednak upewnić się, że ma szybkie, niezawodne łącze do komputera, na którym uruchamiane jest narzędzie ADMT.
 4. Zainstaluj bibliotekę DLL migracji hasła na serwerze eksportowania hasła, uruchamiając narzędzie Pwmig.exe. Narzędzie Pwmig.exe znajduje się w folderze I386\ADMT na nośnikach instalacyjnych z systemem Windows Server 2003 lub w folderze, do którego zostało pobrane z Internetu narzędzie ADMT.
 5. Po wyświetleniu odpowiedniego monitu określ ścieżkę do pliku .pes utworzonego w kroku 2. Musi to być lokalna ścieżka pliku.
 6. Po zakończeniu instalacji musisz uruchomić ponownie serwer.
 7. Jeśli migracja haseł jest przygotowana, zmodyfikuj poniższy klucz rejestru, aby wartość DWORD wynosiła 1. W celu zachowania maksymalnego bezpieczeństwa nie wykonuj tego kroku, dopóki migracja nie będzie przygotowana.
  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport
Aby pobrać narzędzie ADMT, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać więcej informacji na temat przeprowadzenia migracji za pomocą narzędzia ADMT, zobacz Pomoc narzędzia ADMT. Uruchom narzędzie migracji usługi Active Directory, kliknij polecenie Tematy Pomocy w menu Pomoc, kliknij kartę Spis treści, a następnie kliknij opcję Narzędzie migracji usługi Active Directory.

Aby uzyskać więcej informacji na temat narzędzia ADMT, odwiedź następującą witrynę firmy Microsoft w sieci Web: Narzędzie migracji usługi Active Directory w wersji 2 znajduje się w folderze I386\Admt na dysku CD-ROM z systemem Windows Server 2003.
Właściwości

Identyfikator artykułu: 326480 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia