Windows Server活动目录之迁移(上)

　　说到活动目录迁移就要用到迁移工具，但Windows本身却并没有自带个工具，我建议大家到微软的官方网站上去下载，因为可以下到最新版，安装盘里那个版本太低了。这个工具的全称叫Active Directory Migration Tool，我们以下简称ADMT。

　　我先来介绍一下实验的环境:

　　目标域:

　　域名:demo.com

　　域控制器:server

　　操作系统:Windows Server 2003

　　IP:192.168.5.1

　　子网掩码:255.255.255.0

　　DNS:192.168.5.1

　　源域:

　　域名:ms.com

　　域控制器:win200ser(本来是打算用win2000ser的，一时大意，少打了一个“0”，将错就错了，反正也没有什么关系)

　　操作系统:Windows 2000 Advanced Server

　　IP:192.168.5.10

　　子网掩码:255.255.255.0

　　DNS:192.168.5.10

　　实验目的:要把ms.com上的一个叫“Tom”的用户和一台名叫“Test2000”的计算机帐号迁移到Demo.com。

　　在执行正式的操作以前呢，我们先要来做三个准备工作:

　　1、 把目标域，在这里也就是demo.com的功能级别提升为纯模式。

　　点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”:

在“demo.com”上击右键:

选择上面选中的“提升域功能级别”:

　　请注意，当前的域功能级别是Windows 2000 混合模式，然后开始提升操作:

　　点击上图中的“提升按钮”，注意这种操作是不可逆的，提升完成后，就会出现如下画面:

　　这就表示提升成功了，如果有多台域控制的话，请注意复制时间，以确定这一修改被复制到整个域的所有域控制器上。

　　这里输入和信任域相同的名称，我这里输入的是“ms.com”，然后再点击“下一步”:

　　这里要输入信任域DNS服务器的IP地址，试验环境中是“192.168.5.10”，继续“下一步”:

最后点击“完成”。

出现上图就表示辅助区域已经建立成功了，然后到源域上再操作一次。

　　说到这儿呢，我顺便还想再和大家提一下转发器的问题，有些朋友喜欢使用转发器来解决上面的问题，从理论上来讲，好像也没有什么讲不通的地方，但是用转发器的时候，很多人都会在上面出现一个严重的错误操作，以我的实验环境为例，这个错误操作就是在demo.com的DNS上设置转发器，转发到ms.com上面的DNS服务器;然后再到ms.com的DNS服务器上设置转发器，转发到demo.com上的DNS服务器。当然我知道大家这么设置的理由是什么，就是当demo.com上的机器需要访问ms.com上的资源的时候，而本地的DNS服务器无法解析，这时可以根据DNS服务器上设置的转发器，转到ms.com上的DNS服务器来进行解析，从而获得正确的IP地址;同理，当ms.com上的机器要访问demo.com上的资源时，也可以利用本地的DNS服务器上的转发器转到demo.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看，好像还是挺有道理的。但实际上你会为这样的操作付出代价的，什么原因?来分析一下，当一个客户端发出一个请求，是两台DNS服务器上有的纪录，那么是不会有什么问题的，因为当服务器本身能解析请求时，转发器是不起作用的。但是，当下面的客户机发出一个错误的请求，比如输错了一个字母，也就是说发出的请求在两台DNS服务器上都没有纪录的时候，那么这时就会根据转上器上的地址来进行转发，而你又是在两台DNS服务器上设置相互转发，那么这条请求就会从这台服务器到那台服务器，再从那中服务器到这台服务器?????……，并且周而复始，这样就会进入一个死循环，会大大的加重你的服务器的负担，甚至引起死机的可能性也不是没有。所以DNS服务器之间是不能设置相互转发的，这一点请大家切记切记!

　　OK，那我们继续，建立完DNS辅助区域以后，再始建立域的信任关系。

　　先到目标域上，也就是demo.com上，点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”: