跨林ADMT迁移文件说明

跨林ADMT（Active Directory Migration Tool）迁移是一个复杂的过程，用于将一个林中的对象（如用户、组、计算机等）安全地迁移到另一个林。在这个过程中，重要的是要确保数据的完整性，同时建立和维护两个林之间的信任关系，以便迁移后的用户能够继续访问原有的资源。 在上述实验环境中，我们有两个不同的域林：test.com 和 contoso.com。迁移的目标是从test.com域林迁移到contoso.com。实验步骤包括以下关键环节： 1. **前期准备**：安装两台Server 2008 R2操作系统作为域控制器，分别命名为DC-test和DC-contoso，并设置相应的IP地址。通过运行dcpromo命令将它们提升为域控制器。 2. **建立双向信任关系**：这是跨林迁移的基础，需要在DNS中配置转发规则，确保源域（test.com）和目标域（contoso.com）能互相解析。然后，在源域DC-test上创建到目标域contoso.com的信任关系，选择林信任并设定为双向。在目标域DC-contoso上确认传出和传入的信任关系。 3. **管理员权限配置**：为了确保迁移过程中有足够的权限，需要在两个域的内置administrators组中添加对方域的Domain Admins组成员。 4. **禁用SID筛选**：SID（Security Identifier）是Windows身份验证的关键部分，禁用SID筛选是为了确保用户和组的身份能在新域中被正确识别。 5. **启用审核**：在源域和目标域的“域控制器安全策略”中，启用“审核账号管理”的成功和失败审计，以便追踪迁移过程中的操作。 6. **安装ADMT工具**：安装ADMT，通常需要与SQL Server配合使用。在ADMT服务器上安装工具，并生成源域的pes密钥文件，然后在源域中安装Pwdmig工具，重启计算机以完成配置。 7. **迁移用户**：迁移用户前，启动源域控制器上的密码导出服务。使用ADMT控制台，通过用户账户迁移向导选择要迁移的用户，指定目标域和目标OU，进行迁移操作。 这个过程需要细心规划和执行，确保迁移的顺利进行。每个步骤都至关重要，任何错误都可能导致迁移失败或数据丢失。在整个过程中，必须密切关注日志和审核信息，以便及时发现并解决问题。此外，迁移完成后，还需要测试用户的登录、权限和资源访问，以验证迁移的成功性。