Active Directory Migration Tool 2.0 版本简介

出处：微软中国作者：Nino Bilic 时间：2006-11-14 18:30:00

本文介绍了 Active Directory Migration Tool (ADMT) v2（版本 2），该工具随同 Microsoft Windows Server 2003 和 Windows 2000 Server 一同发布。虽然 ADMT 只是一个 Windows 工具，但是在处理有关 Microsoft Exchange Server 的迁移工作时，您会发现它十分有用。本文阐述了 ADMT 的功能。有关 ADMT 的更多信息，请参见“更多信息”部分。

•	什么是 ADMT？
•	如何运行 ADMT？
•	使用 SID 历史执行迁移
•	使用 SID 历史和 Exchange 目录迁移向导执行迁移
•	仅使用 Exchange 目录迁移向导执行迁移
•	更多信息

什么是 ADMT？

Active Directory Migration Tool (ADMT) 是一个允许您将用户、计算机和组从一个域迁移到另一个域的工具。在涉及 Exchange Server 的大多数应用情境中，可使用 ADMT 将帐户从 Windows NTServer 4.0 域迁移到 Windows 2000 Server 域。通常，这需要同时从 Exchange Server v5.5 迁移到 Exchange 2000 Server。

Windows Server 2003 中附带的 ADMT 版本为 2.0 (v2)。它位于 Windows Server 2003 CD 上 (\\.\I386\ADMT)。

ADMT v2 的主要改进之一是它迁移用户密码的能力。与 Windows 2000 Server 上使用先前版本的 ADMT 进行的迁移相比，迁移现在对于用户来说是一种更加无缝的体验。

如何运行 ADMT？

在工具安装完毕后，可通过单击管理工具，再单击 Active Directory 迁移工具，来运行它的 MMC（微软管理控制台）管理单元。在管理单元中，右击 Active Directory 迁移工具并选择用户帐户迁移向导选项。

注意：

在对某些帐户执行成功迁移之前，某些选项可能无法使用。

单击初始屏幕上的下一步。

ADMT 提供了选项，允许测试迁移设置并且稍后再迁移或者立刻迁移。选择所需的选项并单击下一步。

现在，您可以选择迁移工作要使用的域。

可用的域是由您的当前森林和现有的任何信任关系决定的。请记住，为了使用 ADMT，目标域必须处于本机模式。

如果您是第一次运行 ADMT，ADMT 将执行几个操作，确保迁移能够成功。这包括测试必备条件，在 Windows NT Server 4.0 主域控制器上修改注册表项，启动 Windows NT Server 4.0 PDC，以及修改 Windows Server 2003 和 Windows 2000 Server 策略。这些操作将根据您拥有的域的类型和选项而有所不同。对可能的 ADMT 选项的详细讨论已经超出了本文的内容范畴。

使用 SID 历史执行迁移

SID 历史是一个在 Windows 操作系统的迁移和 Exchange Server 的迁移工作中提到过的术语。简单来说，SID 历史即被迁移帐户上的一个属性，它持有原始帐户的安全标识符 (SID)。

例如，如果您将 A 域作为源域，将 B 域作为目标域，并且如果使用 SID 历史执行帐户迁移，那么 B 域中的被迁移帐户将具有一个属性，该属性保存了来自 A 域的原始帐户的 SID。

下面将介绍需要使用 SID 历史的原因：

•

如果 B 域中的被迁移帐户需要访问来源域中的资源，那么 SID 历史的存在将使得该帐户能够访问原始帐户在 A 域中有权访问的任何资源。

•

Active Directory Connector（Active Directory 连接器，ADC）在将 Exchange Server 5.5 目录对象匹配到 Active Directory 帐户时，会使用 SID 历史。假如 Exchange Server 5.5 位于 A 域中，而 Exchange Server 5.5 邮箱的 Windows NT Server 4.0 帐户是 A 域中的帐户。那么可以使用 ADMT 和 SID 历史迁移该帐户。这表明，您在 B 域中创建了一个帐户，该帐户的 sIDHistory 属性中保存了 A 域帐户的 SID。您将 ADC 从 A 域中的 Exchange Server 5.5 服务器设置为 B 域中的域控制器。当 ADC 运行时，它会检查 Exchange Server 5.5 邮箱的主 Windows NT Server 4.0 帐户并读取其 SID。然后，它在 Active Directory 中查找匹配项，因为被迁移帐户上盖有 SID 历史的印记。如果 B 域帐户上没有 SID 历史，ADC 将无法找到匹配项，并且将以禁用状态 (-1) 创建新帐户。

如果通过轻量级目录访问协议（LDAP）工具——例如 LDP（ldp.exe）——查看 SID，该属性看起来将如下所示：

"1> sIDHistory:S-1-5-21-1659521004-1441491110-1935394565-1315;"

此 SID 将匹配来自原始域（即从中迁移出帐户的域）的原始帐户的 SID。被迁移的 Active Directory 帐户将拥有自己独一无二的 SID。

若要使用 SID 历史执行迁移，必须在 ADMT 中设置该选项。以下 ADMT 屏幕便是执行此项设置的位置。

使用 SID 历史和 Exchange 目录迁移向导执行迁移

在使用“SID 历史”选项将帐户从 A 域迁移到 B 域之后，仍然会出现这样一种状况，即 Exchange Server 5.5 邮箱被设置为拥有 A 域的 Windows NT Server 4.0 帐户（被设置为主 NT 帐户）。在这种情况下，Exchange Server 5.5 邮箱与 Windows NT Server 4.0 帐户进行关联，并且 ADC 已根据已经迁移的 SID 历史，将该邮箱关联到 Active Directory（被迁移）帐户。

为了将 Exchange Server 5.5 主 NT 帐户切换到新迁移的 Active Directory 帐户，需要运行 Exchange 目录迁移向导。此选项只有在迁移了帐户后才变为可用。

Exchange 目录迁移向导的工作是切换邮箱的主 Windows NT Server 4.0 帐户，并更新 Exchange Server 5.5 目录对象的主动控制列表 (ACL)，以根据选择的选项，使用新迁移的 Active Directory 帐户来替换、添加或删除对 Windows NT Server 4.0 帐户的任何记载。利用该向导，您可以使用在 Exchange Server 5.5 目录中存储的所有对象上具有相同权限的被迁移帐户在提及源帐户的所有地方替换源帐户。

在 ADMT 中，从可用任务中选择 Exchange 目录迁移向导。

单击以下屏幕上的下一步。然后，选择是仅测试迁移测试还是立即开始真正的迁移过程。在单击下一步后，能够再次选择您的目标域和源域。在下一屏幕上，可选择希望使用 Exchange 目录迁移向导完成的工作。

下面讲解了 Exchange 目录迁移向导的各个选项：

•	替换－此选项使用具有相同权限的目标域帐户在提及原始的源域帐户的地方替换源帐户。
•	添加－此选项保留源域帐户，并且添加具有相同权限的目标域帐户。
•	删除－如果在运行“添加”选项后希望删除源域帐户，则可使用此选项。

现在，完成向导以修改 Exchange Server 5.5 目录。

仅使用 Exchange 目录迁移向导执行迁移

由于 Exchange 目录迁移向导可以将 Exchange Server 5.5 邮箱上的主 Windows NT Server 4.0 帐户切换到目标域中的被迁移帐户，可以确保在运行 ADC 时能够找到正确的匹配项。在此情况下，仅从 ADC 的观点看，不考虑您可能需要使用 Active Directory 帐户访问 Windows NT Server 4.0 域中的资源，您可能甚至无需迁移帐户的 SID 历史。如果您已经迁移了 Windows NT Server 4.0 帐户但是没有使用 SID 历史迁移它们，而且现在需要完成迁移，那么这可能是十分方便的。

在这种情况下，迁移路径可能如下所述：

使用 ADMT（不包括 SID 历史）迁移帐户。

运行 Exchange 目录迁移向导，使用目标域（被迁移的）帐户替换源域中的安全性引用。要完成的目标之一便是：Exchange Server 5.5 邮箱的主 NT 帐户将是 Active Directory 域中的新迁移帐户。

运行 ADC，因为新迁移的 Active Directory 帐户现在是邮箱的主 Windows NT Server 4.0 帐户。ADC 应找到匹配项并且不应创建重复对象。

注意：

如果多个邮箱关联到 Exchange Server 5.5 一侧的同一个 Windows NT Server 4.0 帐户，那么仍有可能创建重复帐户。运行 Exchange 目录迁移向导无助于解决该问题。