【51CTO精選譯文】合并活動目錄域可以節(jié)省資金、時間和人力，但是遷移需要價格不菲的工具——除非你采用這個方法：使用活動目錄遷移工具（ADMT）。

你之前部署的活動目錄結(jié)構(gòu)很可能已有十來個年頭，采用的活動目錄版本很舊，存在的種種局限通常會導致結(jié)果創(chuàng)建的域數(shù)量比現(xiàn)在的版本更多。早在那時，你不得不建立活動目錄林（forest），而如今只需要幾棵“活動目錄樹”（tree），甚至只需要一棵活動目錄樹。

其實有必要改動現(xiàn)有的活動目錄結(jié)構(gòu)，認定“我其實需要合并域，以便節(jié)省時間、資金以及寶貴的IT員工時間，用于管理和支持。”雖然這么做可能意味著要做這項艱巨的工作：遷移用戶、用戶組、計算機、配置文件及更多內(nèi)容，但這么做完全值得，為此我列出了有助于簡化這項工作的五個提示。

最近，一家規(guī)模很大的企業(yè)（用戶數(shù)量超過5萬個）問我作為這一舉動即合并活動目錄域的可行性如何。***個問題是：這將是活動目錄林內(nèi)的遷移還是活動目錄林之間的遷移？兩者的區(qū)別可大了，因為活動目錄林內(nèi)意味著是在現(xiàn)有的活動目錄林里面，之后就可以合并域。在活動目錄林之間遷移意味著要建立一個全新的活動目錄林，然后把帳戶之類的東西從舊活動目錄林轉(zhuǎn)移到新活動目錄林?；顒幽夸浟种g的遷移要復雜得多，但總的來說，這會帶來更干凈的結(jié)構(gòu)，因為你是從頭開始建起來的。因而，我建議這個客戶進行活動目錄林之間的遷移。

緊接著的問題是怎么遷移。我的***反應是：使用Quest遷移工具?？紤]遷移（無論是遷移活動目錄還是遷移Exchange）時，我首先想到的常常是Quest，尤其是針對龐大的復雜環(huán)境。當然，如果是小型環(huán)境，你可以試試免費工具；但是如果超過一定數(shù)量的用戶或域，你應該開始關(guān)注第三方產(chǎn)品，而Quest正好是我個人偏愛的可依賴的遷移工具。遺憾的是，Quest的工具價格不菲（不過在我看來，物有所值），這個客戶在第三方工具方面的預算要求是零成本。

于是我拉來了另一位活動目錄專家Greg Shields發(fā)表一下高見，他是最有價值專家（MVP），還是ConcentratedTech.com的聯(lián)合創(chuàng)辦人。他的***句話就是“使用Quest！”當我告訴他工具方面的預算為零，因而我希望能夠使用微軟免費的活動目錄遷移工具（ADMT）時，聽到的是他的抱怨！

先允許我簡要說一下活動目錄遷移工具（ADMT）的歷史：它的可靠性一向不大好。我從來沒有見過它用起來很理想的時候。但是***版本（3.1）看起來大有希望，于是我想我們至少應該試一下。版本3.1的測試和調(diào)整（以及進一步的測試）花了好幾天時間，但好歹可以運行。面對兩個不同的活動目錄林，我成功遷移了用戶帳戶（隨同安全標識符即SID和密碼）、用戶組帳戶（保留了成員關(guān)系）、本地配置文件（我的測試如此，但也可能是漫游配置文件）以及計算機帳戶（系統(tǒng)重啟后，毫無問題地加入了域）。用戶們能夠登錄，除了域名有變化外，好像其他什么都沒有變化。

你肯定會問自己：“該***版本果真直接可以使用嗎？”絕對不是。在這個過程的每一步，我們遇到了不少錯誤；說明文檔（長達恐怖的232頁，名為《活動目錄管理工具v3.1指南：遷移和重構(gòu)活動目錄域》）是我生平見過的最難懂的文檔之一。房間里的十來個管理員忙乎了一整天，還是沒有理出個頭緒來。我們不得不費力地克服每一步，不斷地來回翻閱這個艱深的大部頭。

但該***版本果真可以使用；我已設法弄清楚了如何讓它正常使用，不妨分享五個主要的提示和技巧，幫助你順利完成這項工作。要是活動目錄管理工具方面有什么問題或難忘經(jīng)歷，盡管發(fā)電子郵件給我。我覺得自己在過去一星期已成為這方面的專家。

五個主要提示：

1、活動目錄管理工具v3.1運行在Windows Server 2008上，而不是運行在R2上。你可以為運行Windows Server 2008 R2域控制器的某個域，將該工具安裝在成員服務器上，但別試圖安裝在Windows Server R2服務器上。你會被告知：活動目錄管理工具只能安裝在Windows Server 2008上。微軟致力于通過v3.2來解決這個問題。

2、你必須在活動目錄林之間創(chuàng)建信任關(guān)系。雙向信任效果***，不過單向信任也得到支持。如果你在遷移之后保留安全標識符（SID），就要牢記一點：你應該禁用信任關(guān)系上的SID過濾功能。這一步說起來容易做起來難。需要活動目錄林兩頭都擁有相應權(quán)限的人來運行netdom trust <trusted domain> /domain:<trusting doamin> /quarantine:no和netdom trust <trusted domain> /domain:<trusting doamin> /enablesidhistory:yes這兩個命令。

3、獲得執(zhí)行所有遷移任務的相應權(quán)限并非易事。你應該創(chuàng)建一個ADMT Admin帳戶（這個帳戶隨你命名），擁有***級別的權(quán)限（域管理員和企業(yè)管理員），并且確保該帳戶放在內(nèi)置管理員的源域和目標域組當中。這可能有點像是殺雞用牛刀，但要確保該帳戶擁有盡可能大的權(quán)限來處理一切事務。由于沒有相應的權(quán)限，跨活動目錄林的遷移過程處處面臨故障。

4、如果你希望密碼與遷移的用戶保持相匹配，應該把密碼遷移工具（PMT）v3.1下載到源域上。不是非得需要這個工具才能遷移用戶；你在遷移用戶時，向?qū)ё屇憧梢詣?chuàng)建新的隨機密碼。如果你果真使用密碼遷移工具來保留密碼，要注意說明文檔里面沒有提到的這個要求：你必須在目標域上創(chuàng)建一個.pes文件，然后還要把該.pes文件導入到目標上。這一步似乎多余，卻是讓密碼遷移工具可以正常使用的一個必要步驟。

5、要遷移工作站，你得確保ADMT Admin帳戶（或你命名的任何帳戶）在工作站上也被授予了權(quán)限。你可能想要臨時禁用防火墻，確保代理軟件可以安裝上去、把工作站轉(zhuǎn)移到新的域中。

要做好這項工作，最關(guān)鍵的是，不斷演練（Practice）、記入文檔（Document）和反復測試（Test），即所謂的PDT。在模擬實際環(huán)境的實驗室環(huán)境下執(zhí)行你的任務。把每一個故障都記入文檔，然后解決故障，制定一套專門適合貴企業(yè)的按部就班的流程。之后測試你需要的每一步，不單單在實驗室環(huán)境下，更重要的是在實際環(huán)境下測試——這一步很關(guān)鍵。

你可以安裝活動目錄管理工具，尤其是在開始著手之前測試每一步。這個工具的優(yōu)點之一在于，你可以讓兩個活動目錄林協(xié)同運行，直到你準備好進行***的遷移；在急著遷移之前，要把所有時間都用于反復測試。

我是不是在贊賞活動目錄管理工具？的確是。它確實管用、免費，一旦你搞定了恐怖的說明文檔，看到萬事俱備，會對取得的結(jié)果和節(jié)省的資源感到開心。

我建議，微軟的活動目錄管理工具開發(fā)團隊應該學習學習新發(fā)布的Exchange部署助手（Exchange Deployment Assistant）。這款出色的在線工具會提出幾個問題，問你準備做什么，并且就提供你應該執(zhí)行的那幾個有條不紊的步驟。它大大簡化了部署工作?；顒幽夸浌芾砉ぞ邞撌褂眠@種助手。

你在遷移過程中有什么樣的經(jīng)歷？你有沒有用過第三方工具？還是說你是活動目錄管理工具的老用戶？如果這樣的話，歡迎留言。

 【51CTO精選譯文 轉(zhuǎn)載請標明出處與作者】

原文鏈接：http://www.infoworld.com/d/windows/5-tips-cheaper-leaner-active-directory-environment-376

【編輯推薦】

1. 竭盡所能 保護活動目錄的健康程度
2. 活動目錄的域控制器中如何創(chuàng)建漫游用戶？
3. 使用ADMT進行活動目錄遷移的準備工作
4. 如何讓我們的活動目錄保持整潔？
5. 活動目錄復制的***做法和建議