本文共 6007 字,大约阅读时间需要 20 分钟。
共2个练习
练习1:设计一个域重构。
练习2:实现一个域重构。
实验场景:
Contoso.com的DC为HQDC1,操作系统为Windows Server 2008 R2,IP地址为192.168.1.1,DNS指向自身。
Adatum.com的DC为AD-DC1,操作系统为Windows Server 2003,IP地址为192.168.1.201,DNS指向自身。
实验的目标是将Adatum.com迁移到指定的子域 EU.contoso.com 。已经为该子域准备了一台名为HQDC2的服务器作为子域的DC,操作系统为Windows Server 2008 R2,IP地址为192.168.1.2,DNS指向自身。
练习1:设计一个域重构
任务1:设计一个域重构
问:在EU.contoso.com与Adatum.com之间,你将执行哪种类型的重构?
答:由于两个域位于独立的林,因此需要执行林间重构(interforest restructure)。
任务2:创建一个域重构计划
问:哪些对象应被从Adatum.com中移动?为什么?
答:(1)Adatum.com域中的所有的用户和组对象都应被移动到EU.contoso.com,除了位于Users容器的内置的(built-in)用户和组。内置的组只针对于Adatum.com域,没有必要转移到新域。
(2)Adatum.com域中的计算机对象应被移到到EU.contoso.com。但是DC,例如AD-DC1不能被移动,因为它当前是运行在Windows Server 2003操作系统,但EU.contoso.com的域功能级别为Windows Server 2008 R2,这个域功能级别不允许Windows Server 2003计算机作为DC。
问:你将在新域中怎样放置这些对象?
答:由于设计为OU对OU的映射,两个域之间的OU结构不直接匹配。最佳的管理方法是将Adatum.com的所有用户和组对象都移动到EU.contoso.com的某一个OU中,在迁移完成之后再考虑在新域中吸收旧域的OU结构。旧域的计算机对象应位于新域中的Computers容器,而旧域的DC则将退役。
练习2:实现一个域重构
任务1:准备域环境
1、 在目的域中配置DNS转发
转到HQDC2服务器,打开“管理工具”中的“DNS”,配置DNS转发。
2、在源域中配置DNS转发
转到AD-DC1服务器,打开“管理工具”中的“DNS”,配置DNS转发。
3、验证源域的域功能级别
转到AD-DC1,打开“管理工具”中的“Active Directry域和信任关系”,验证域功能级别为Windows Server 2003。
4、配置双向信任
转到HQDC2,打开“管理工具”中的“Active Directory域和信任关系,为两个域之间添加双向信任。
5、为执行迁移的帐户配置管理权限
转到HQDC2服务器,打开“管理工具”中的“Active Directory用户和计算机”,修改内置的Administrators组的属性。
再转到AD-DC1服务器,参照上面的步骤,为Adatum\Administrators组添加成员。
再转到需要迁移的计算机,例如Adatum\AdatumPC1,为本地管理员组添加成员。
说明:当这个计算机对象的帐户迁入新域后,这台计算机将通过代理程序自动加入域并重启。
6、为密码SID历史迁移启用审核
分别在HQDC2和AD-DC1服务器上修改Default Domain Policy。
修改了默认的域的组策略之后,在命令提示符下面运行:gpupdate /force
7、创建一个本地组用于支持审核
说明:本步骤以及下一步骤的官方解释请见
转到AD-DC1服务器,打开“管理工具”中的“Active Directory用户和计算机”,在Users容器中创建一个名为“Adatum$$$”的本地域组。其中 Adatum 为源域的 NetBIOS 名称。
注意:请不要向此组添加成员;如果添加成员,则 SID 历史迁移将失败。
8、启用TCP/IP客户端支持
转到AD-DC1服务器(此操作要求在源域中担任 PDC 仿真FSMO的DC上进行操作),在命令提示符下面运行:regedit
编辑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LAS,新建一个数据类型为REG_DWORD 的注册表项 TcpipClientSupport,将其值设置为 1 。
9、在已有的域信任上禁用SID过滤
转到HQDC2,在命令提示符下面运行:
| C:\Users\Administrator>Netdom trust EU.contoso.com /domain:Adatum.com /quarantine:No /userD:Administrator /passwordD:* 键入与域用户相关联的密码:已为此信任启用 SID 筛选功能。身份验证期间返回的授权数据 将只接受来自受信域的 SID。 其他域的 SID 将被删除。命令成功完成。 |
10、为导入的用户和组对象创建OU
转到HQDC2服务器,打开“管理工具”中的“Active Directory用户和计算机”,新建一个名为“Adatum”的OU。
任务2:安装和配置ADMT
转到HQDC2服务器,安装SQL Server 。
ADMT需要使用Microsoft SQL Server数据库。建议使用Microsoft SQL Server 2005 Express sp3。如果使用SQL Server 2008 R2数据库时,可能出现以下的错误。
安装方法请参考《安装SQL Server Express版本》
Active Directory 迁移工具(ADMT)提供集成的工具集以便在 Active Directory 域服务基础结构中执行迁移和重构任务。Windows Server 2008 R2操作系统的计算机上要求安装v3.2版本。官网下载地址
安装了SQL Server之后,安装ADMT v3.2
任务3:迁移用户和组对象
转到HQDC2服务器,打开“管理工具”中的“Active Directory迁移向导”。
说明:选择生成复杂密码选项,将在指定的位置生成密码文件。例如:
任务4:验证旧域中过渡的访问权限
转到HQDC2,打开“管理工具”中的“Active Directory用户和计算机”,展开EU.contoso.com\Adatum这个OU,为用户AdatumUser1重设密码。
然后仍以Adatum\AdatumUser1帐户以及新密码登录到AdatumPC1计算机。
任务5:迁移服务器和ACL
转到HQDC2服务器,打开“管理工具”中的“Active Directory迁移向导”。
完成迁移之后,可以启动代理并运行操作。
转到客户端计算机AdatumPC1,登录后将出现如下提示。
关闭代理。
任务6:验证迁移后的计算机的访问权限
以EU\AdatumUser1登录到客户端计算机AdatumPC1,检查权限设定。
(附加)任务7:检查对象的详细信息
1、使用LDP检查EU\AdatumUser1的信息
| Expanding base 'CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com'... Getting 1 entries: Dn: CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com accountExpires: 0 (never); badPasswordTime: 2012/12/20 16:40:57 中国标准时间; badPwdCount: 0; cn: AdatumUser1; codePage: 0; countryCode: 0; displayName: AdatumUser1; distinguishedName: CN=AdatumUser1,OU=Adatum,DC=EU,DC=contoso,DC=com; dSCorePropagationData: 0x0 = ( ); instanceType: 0x4 = ( WRITE ); lastLogoff: 0 (never); lastLogon: 2012/12/20 16:41:00 中国标准时间; lastLogonTimestamp: 2012/12/20 16:41:00 中国标准时间; logonCount: 1; logonHours: ; name: AdatumUser1; objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=contoso,DC=com; objectClass (4): top; person; organizationalPerson; user; objectGUID: b9209829-d220-42f1-95d4-fc0e02654225; objectSid: S-1-5-21-2048830343-1918485759-2035796411-1109; primaryGroupID: 513 = ( GROUP_RID_USERS ); pwdLastSet: 2012/12/20 16:19:24 中国标准时间; sAMAccountName: AdatumUser1; sAMAccountType: 805306368 = ( NORMAL_USER_ACCOUNT ); sIDHistory: S-1-5-21-1865030272-1710735330-795842870-1107; sn: AdatumUser1; userAccountControl: 0x200 = ( NORMAL_ACCOUNT ); userPrincipalName: AdatumUser1@contoso.com; uSNChanged: 13295; uSNCreated: 13216; whenChanged: 2012/12/20 16:41:00 中国标准时间; whenCreated: 2012/12/20 16:16:06 中国标准时间; |
2、使用LDP检查EU\AdatumPC1的信息
| Expanding base 'CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com'... Getting 1 entries: Dn: CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com accountExpires: 9223372036854775807 (never); badPasswordTime: 2012/12/20 16:34:29 中国标准时间; badPwdCount: 0; cn: ADATUMPC1; codePage: 0; countryCode: 0; displayName: ADATUMPC1$; distinguishedName: CN=ADATUMPC1,OU=Adatum,DC=EU,DC=contoso,DC=com; dNSHostName: ADATUMPC1.EU.contoso.com; dSCorePropagationData: 0x0 = ( ); instanceType: 0x4 = ( WRITE ); isCriticalSystemObject: FALSE; lastLogoff: 0 (never); lastLogon: 2012/12/20 16:40:42 中国标准时间; lastLogonTimestamp: 2012/12/20 16:34:29 中国标准时间; localPolicyFlags: 0; logonCount: 6; msDS-SupportedEncryptionTypes: 0x1C = ( RC4_HMAC_MD5 | AES128_CTS_HMAC_SHA1_96 | AES256_CTS_HMAC_SHA1_96 ); name: ADATUMPC1; objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=contoso,DC=com; objectClass (5): top; person; organizationalPerson; user; computer; objectGUID: 9315353c-1a7a-4b2d-a6dd-692e479fe951; objectSid: S-1-5-21-2048830343-1918485759-2035796411-1114; operatingSystem: Windows 7 企业版; operatingSystemVersion: 6.1 (7600); primaryGroupID: 515 = ( GROUP_RID_COMPUTERS ); pwdLastSet: 2012/12/20 16:34:31 中国标准时间; sAMAccountName: ADATUMPC1$; sAMAccountType: 805306369 = ( MACHINE_ACCOUNT ); servicePrincipalName (4): RestrictedKrbHost/ADATUMPC1; RestrictedKrbHost/ADATUMPC1.EU.contoso.com; HOST/ADATUMPC1; HOST/ADATUMPC1.EU.contoso.com; userAccountControl: 0x1020 = ( PASSWD_NOTREQD | WORKSTATION_TRUST_ACCOUNT ); uSNChanged: 13287; uSNCreated: 13268; whenChanged: 2012/12/20 16:34:31 中国标准时间; whenCreated: 2012/12/20 16:32:55 中国标准时间; |
转载地址:http://lpgyx.baihongyu.com/