【51CTO精选译文】合并活动目录域可以节省资金、时间和人力,但是迁移需要价格不菲的工具——除非你采用这个方法:使用活动目录迁移工具(ADMT)。
你之前部署的活动目录结构很可能已有十来个年头,采用的活动目录版本很旧,存在的种种局限通常会导致结果创建的域数量比现在的版本更多。早在那时,你不得不建立活动目录林(forest),而如今只需要几棵“活动目录树”(tree),甚至只需要一棵活动目录树。
其实有必要改动现有的活动目录结构,认定“我其实需要合并域,以便节省时间、资金以及宝贵的IT员工时间,用于管理和支持。”虽然这么做可能意味着要做这项艰巨的工作:迁移用户、用户组、计算机、配置文件及更多内容,但这么做完全值得,为此我列出了有助于简化这项工作的五个提示。
最近,一家规模很大的企业(用户数量超过5万个)问我作为这一举动即合并活动目录域的可行性如何。***个问题是:这将是活动目录林内的迁移还是活动目录林之间的迁移?两者的区别可大了,因为活动目录林内意味着是在现有的活动目录林里面,之后就可以合并域。在活动目录林之间迁移意味着要建立一个全新的活动目录林,然后把帐户之类的东西从旧活动目录林转移到新活动目录林。活动目录林之间的迁移要复杂得多,但总的来说,这会带来更干净的结构,因为你是从头开始建起来的。因而,我建议这个客户进行活动目录林之间的迁移。
紧接着的问题是怎么迁移。我的***反应是:使用Quest迁移工具。考虑迁移(无论是迁移活动目录还是迁移Exchange)时,我首先想到的常常是Quest,尤其是针对庞大的复杂环境。当然,如果是小型环境,你可以试试免费工具;但是如果超过一定数量的用户或域,你应该开始关注第三方产品,而Quest正好是我个人偏爱的可依赖的迁移工具。遗憾的是,Quest的工具价格不菲(不过在我看来,物有所值),这个客户在第三方工具方面的预算要求是零成本。
于是我拉来了另一位活动目录专家Greg Shields发表一下高见,他是最有价值专家(MVP),还是ConcentratedTech.com的联合创办人。他的***句话就是“使用Quest!”当我告诉他工具方面的预算为零,因而我希望能够使用微软免费的活动目录迁移工具(ADMT)时,听到的是他的抱怨!
先允许我简要说一下活动目录迁移工具(ADMT)的历史:它的可靠性一向不大好。我从来没有见过它用起来很理想的时候。但是***版本(3.1)看起来大有希望,于是我想我们至少应该试一下。版本3.1的测试和调整(以及进一步的测试)花了好几天时间,但好歹可以运行。面对两个不同的活动目录林,我成功迁移了用户帐户(随同安全标识符即SID和密码)、用户组帐户(保留了成员关系)、本地配置文件(我的测试如此,但也可能是漫游配置文件)以及计算机帐户(系统重启后,毫无问题地加入了域)。用户们能够登录,除了域名有变化外,好像其他什么都没有变化。
你肯定会问自己:“该***版本果真直接可以使用吗?”绝对不是。在这个过程的每一步,我们遇到了不少错误;说明文档(长达恐怖的232页,名为《活动目录管理工具v3.1指南:迁移和重构活动目录域》)是我生平见过的最难懂的文档之一。房间里的十来个管理员忙乎了一整天,还是没有理出个头绪来。我们不得不费力地克服每一步,不断地来回翻阅这个艰深的大部头。
但该***版本果真可以使用;我已设法弄清楚了如何让它正常使用,不妨分享五个主要的提示和技巧,帮助你顺利完成这项工作。要是活动目录管理工具方面有什么问题或难忘经历,尽管发电子邮件给我。我觉得自己在过去一星期已成为这方面的专家。
五个主要提示:
1、活动目录管理工具v3.1运行在Windows Server 2008上,而不是运行在R2上。你可以为运行Windows Server 2008 R2域控制器的某个域,将该工具安装在成员服务器上,但别试图安装在Windows Server R2服务器上。你会被告知:活动目录管理工具只能安装在Windows Server 2008上。微软致力于通过v3.2来解决这个问题。
2、你必须在活动目录林之间创建信任关系。双向信任效果***,不过单向信任也得到支持。如果你在迁移之后保留安全标识符(SID),就要牢记一点:你应该禁用信任关系上的SID过滤功能。这一步说起来容易做起来难。需要活动目录林两头都拥有相应权限的人来运行netdom trust <trusted domain> /domain:<trusting doamin> /quarantine:no和netdom trust <trusted domain> /domain:<trusting doamin> /enablesidhistory:yes这两个命令。
3、获得执行所有迁移任务的相应权限并非易事。你应该创建一个ADMT Admin帐户(这个帐户随你命名),拥有***级别的权限(域管理员和企业管理员),并且确保该帐户放在内置管理员的源域和目标域组当中。这可能有点像是杀鸡用牛刀,但要确保该帐户拥有尽可能大的权限来处理一切事务。由于没有相应的权限,跨活动目录林的迁移过程处处面临故障。
4、如果你希望密码与迁移的用户保持相匹配,应该把密码迁移工具(PMT)v3.1下载到源域上。不是非得需要这个工具才能迁移用户;你在迁移用户时,向导让你可以创建新的随机密码。如果你果真使用密码迁移工具来保留密码,要注意说明文档里面没有提到的这个要求:你必须在目标域上创建一个.pes文件,然后还要把该.pes文件导入到目标上。这一步似乎多余,却是让密码迁移工具可以正常使用的一个必要步骤。
5、要迁移工作站,你得确保ADMT Admin帐户(或你命名的任何帐户)在工作站上也被授予了权限。你可能想要临时禁用防火墙,确保代理软件可以安装上去、把工作站转移到新的域中。
要做好这项工作,最关键的是,不断演练(Practice)、记入文档(Document)和反复测试(Test),即所谓的PDT。在模拟实际环境的实验室环境下执行你的任务。把每一个故障都记入文档,然后解决故障,制定一套专门适合贵企业的按部就班的流程。之后测试你需要的每一步,不单单在实验室环境下,更重要的是在实际环境下测试——这一步很关键。
你可以安装活动目录管理工具,尤其是在开始着手之前测试每一步。这个工具的优点之一在于,你可以让两个活动目录林协同运行,直到你准备好进行***的迁移;在急着迁移之前,要把所有时间都用于反复测试。
我是不是在赞赏活动目录管理工具?的确是。它确实管用、免费,一旦你搞定了恐怖的说明文档,看到万事俱备,会对取得的结果和节省的资源感到开心。
我建议,微软的活动目录管理工具开发团队应该学习学习新发布的Exchange部署助手(Exchange Deployment Assistant)。这款出色的在线工具会提出几个问题,问你准备做什么,并且就提供你应该执行的那几个有条不紊的步骤。它大大简化了部署工作。活动目录管理工具应该使用这种助手。
你在迁移过程中有什么样的经历?你有没有用过第三方工具?还是说你是活动目录管理工具的老用户?如果这样的话,欢迎留言。
【51CTO精选译文 转载请标明出处与作者】
原文链接:http://www.infoworld.com/d/windows/5-tips-cheaper-leaner-active-directory-environment-376
【编辑推荐】
