Вопросы Теги

Дочерняя доменная миграция для порождения домена

Подобный решению user23413, можно отключить аутентификацию с открытым ключом в целом для конкретного хоста (или подстановочный шаблон):

Host *.example.org
RSAAuthentication no        # SSHv1
PubkeyAuthentication no     # SSHv2
2
задан 16 November 2011 в 16:07
2 ответа

Вы определенно захотите использовать ADMT для этого процесса. Версия, которую вы используете, будет зависеть от того, какие системы вам нужно перенести. Например, если вам нужно перенести компьютеры с Windows 7 / или server 2008 R2, вам нужно будет запустить ADMT v3.2, который можно запустить только при установке Server 2008 R2. Если у вас нет компьютеров Server 2008/2008 R2 / Windows Vista / Windows 7, вы можете использовать ADMT v3.0, который можно установить на Server 2003.

Как отметил Марк, вы не можете использовать ADMT для миграции DC. Вы захотите начать миграцию с DCpromo, отключив один DC на сайте, который вы переносите. Когда это будет выполнено и полностью реплицируется по всей вашей топологии (для проверки подойдет программа replmon.exe), вы можете затем использовать ADMT для миграции сервера. После завершения миграции вы можете использовать DCpromo в корневом домене.

DNS должен быть установлен на контроллерах домена, если еще не установлен, и AD будет реплицировать ваши зоны AD-I (зону корневого домена) на контроллеры домена, добавленные в ваш корневой домен. Вам необходимо будет повторно авторизовать DHCP-серверы после их миграции в корневой домен (требуется учетная запись с правами администратора Enterprise).

Я обнаружил, что следующий порядок переноса мне подходит:

  1. Перенести группы
  2. Перенести пользователей (переименуйте конфликты перед переносом, это избавит вас от хлопот)
  3. ADMT настроит ваших пользователей на изменение пароль при следующем входе в систему после миграции
    1. Если вы не хотите, чтобы им приходилось менять пароли, установите для каждого пользователя запрет на изменение.
  4. DCpromo из одного контроллера домена, Migrate, DCPromo в новый домен
  5. Migrate any other File, and Application серверы (обязательно спланируйте влияние на приложения и уточните у поставщиков изменения, которые необходимо внести).
  6. Миграция ПК
  7. DCpromo из 2-го DC, миграция, DCpromo в новый домен

При правильном планировании влияние на пользователей должно быть крайне минимальным. Я выполнил миграцию полных сайтов с более чем 100 ПК и серверами в течение периода обслуживания около 6-8 часов.

Есть и другие вещи, которые вам нужно учитывать, например, использование службы экспорта паролей для переноса паролей.

1
ответ дан 3 December 2019 в 13:15

Это Big Thing To Do ™. Вам следует сначала подумать о найме консультанта, который, по крайней мере, поможет вам спланировать и координировать это, если у вас нет собственного опыта. Если это не вариант, то вы на правильном пути, посмотрев на ADMT.

Вы не можете запустить ADMT для миграции контроллера домена. Если у вас есть только один DC на каждом сайте, вам нужно разместить там новый, который присоединен к целевому домену, и выполнить миграцию таким образом. Вы не должны списывать все контроллеры домена на сайте, пока все с этого сайта не будет успешно перенесено.

Что вам нужно сделать, так это запустить ADMT для каждого ПК, сервера и учетной записи пользователя, которые существуют в доменах, которые вы мигрируете. Его можно автоматизировать и запускать удаленно, и он хорошо документирован . На каждый компьютер может уйти до 10 минут, поэтому не планируйте делать это во время обеденного перерыва для всего офиса. По всей вероятности, вам понадобятся как минимум выходные. Учетные записи пользователей и группы переносятся намного быстрее.

Если есть повторяющиеся имена пользователей, ADMT может делать несколько вещей. Он может игнорировать их и не переносить дубликаты. Он может перезаписывать дубликаты в целевом домене. И он может объединить два объекта. Последний вариант важен, потому что он также передает членство в группе. Использование слияния предоставит дублированным учетным записям все членство. Если ваши дубликаты предназначены для пользователей, которые не являются одним и тем же фактическим лицом, и вы не хотите их объединять, вы также можете переименовать дубликаты с помощью ADMT, хотя я, вероятно, рассмотрел бы переименование их до миграции, если их всего несколько.

Что касается DHCP и DNS. Я' Я не уверен, о чем вы спрашиваете. Вы можете продолжать использовать эти службы на каждом сайте, как и сейчас.

0
ответ дан 3 December 2019 в 13:15

Теги

Похожие вопросы