【51CTO精選譯文】合并活動(dòng)目錄域可以節(jié)省資金、時(shí)間和人力，但是遷移需要價(jià)格不菲的工具——除非你采用這個(gè)方法：使用活動(dòng)目錄遷移工具（ADMT）。

你之前部署的活動(dòng)目錄結(jié)構(gòu)很可能已有十來個(gè)年頭，采用的活動(dòng)目錄版本很舊，存在的種種局限通常會(huì)導(dǎo)致結(jié)果創(chuàng)建的域數(shù)量比現(xiàn)在的版本更多。早在那時(shí)，你不得不建立活動(dòng)目錄林（forest），而如今只需要幾棵“活動(dòng)目錄樹”（tree），甚至只需要一棵活動(dòng)目錄樹。

其實(shí)有必要改動(dòng)現(xiàn)有的活動(dòng)目錄結(jié)構(gòu)，認(rèn)定“我其實(shí)需要合并域，以便節(jié)省時(shí)間、資金以及寶貴的IT員工時(shí)間，用于管理和支持。”雖然這么做可能意味著要做這項(xiàng)艱巨的工作：遷移用戶、用戶組、計(jì)算機(jī)、配置文件及更多內(nèi)容，但這么做完全值得，為此我列出了有助于簡化這項(xiàng)工作的五個(gè)提示。

最近，一家規(guī)模很大的企業(yè)（用戶數(shù)量超過5萬個(gè)）問我作為這一舉動(dòng)即合并活動(dòng)目錄域的可行性如何。***個(gè)問題是：這將是活動(dòng)目錄林內(nèi)的遷移還是活動(dòng)目錄林之間的遷移？兩者的區(qū)別可大了，因?yàn)榛顒?dòng)目錄林內(nèi)意味著是在現(xiàn)有的活動(dòng)目錄林里面，之后就可以合并域。在活動(dòng)目錄林之間遷移意味著要建立一個(gè)全新的活動(dòng)目錄林，然后把帳戶之類的東西從舊活動(dòng)目錄林轉(zhuǎn)移到新活動(dòng)目錄林。活動(dòng)目錄林之間的遷移要復(fù)雜得多，但總的來說，這會(huì)帶來更干凈的結(jié)構(gòu)，因?yàn)槟闶菑念^開始建起來的。因而，我建議這個(gè)客戶進(jìn)行活動(dòng)目錄林之間的遷移。

緊接著的問題是怎么遷移。我的***反應(yīng)是：使用Quest遷移工具。考慮遷移（無論是遷移活動(dòng)目錄還是遷移Exchange）時(shí)，我首先想到的常常是Quest，尤其是針對(duì)龐大的復(fù)雜環(huán)境。當(dāng)然，如果是小型環(huán)境，你可以試試免費(fèi)工具；但是如果超過一定數(shù)量的用戶或域，你應(yīng)該開始關(guān)注第三方產(chǎn)品，而Quest正好是我個(gè)人偏愛的可依賴的遷移工具。遺憾的是，Quest的工具價(jià)格不菲（不過在我看來，物有所值），這個(gè)客戶在第三方工具方面的預(yù)算要求是零成本。

于是我拉來了另一位活動(dòng)目錄專家Greg Shields發(fā)表一下高見，他是最有價(jià)值專家（MVP），還是ConcentratedTech.com的聯(lián)合創(chuàng)辦人。他的***句話就是“使用Quest！”當(dāng)我告訴他工具方面的預(yù)算為零，因而我希望能夠使用微軟免費(fèi)的活動(dòng)目錄遷移工具（ADMT）時(shí)，聽到的是他的抱怨！

先允許我簡要說一下活動(dòng)目錄遷移工具（ADMT）的歷史：它的可靠性一向不大好。我從來沒有見過它用起來很理想的時(shí)候。但是***版本（3.1）看起來大有希望，于是我想我們至少應(yīng)該試一下。版本3.1的測試和調(diào)整（以及進(jìn)一步的測試）花了好幾天時(shí)間，但好歹可以運(yùn)行。面對(duì)兩個(gè)不同的活動(dòng)目錄林，我成功遷移了用戶帳戶（隨同安全標(biāo)識(shí)符即SID和密碼）、用戶組帳戶（保留了成員關(guān)系）、本地配置文件（我的測試如此，但也可能是漫游配置文件）以及計(jì)算機(jī)帳戶（系統(tǒng)重啟后，毫無問題地加入了域）。用戶們能夠登錄，除了域名有變化外，好像其他什么都沒有變化。

你肯定會(huì)問自己：“該***版本果真直接可以使用嗎？”絕對(duì)不是。在這個(gè)過程的每一步，我們遇到了不少錯(cuò)誤；說明文檔（長達(dá)恐怖的232頁，名為《活動(dòng)目錄管理工具v3.1指南：遷移和重構(gòu)活動(dòng)目錄域》）是我生平見過的最難懂的文檔之一。房間里的十來個(gè)管理員忙乎了一整天，還是沒有理出個(gè)頭緒來。我們不得不費(fèi)力地克服每一步，不斷地來回翻閱這個(gè)艱深的大部頭。

但該***版本果真可以使用；我已設(shè)法弄清楚了如何讓它正常使用，不妨分享五個(gè)主要的提示和技巧，幫助你順利完成這項(xiàng)工作。要是活動(dòng)目錄管理工具方面有什么問題或難忘經(jīng)歷，盡管發(fā)電子郵件給我。我覺得自己在過去一星期已成為這方面的專家。

五個(gè)主要提示：

1、活動(dòng)目錄管理工具v3.1運(yùn)行在Windows Server 2008上，而不是運(yùn)行在R2上。你可以為運(yùn)行Windows Server 2008 R2域控制器的某個(gè)域，將該工具安裝在成員服務(wù)器上，但別試圖安裝在Windows Server R2服務(wù)器上。你會(huì)被告知：活動(dòng)目錄管理工具只能安裝在Windows Server 2008上。微軟致力于通過v3.2來解決這個(gè)問題。

2、你必須在活動(dòng)目錄林之間創(chuàng)建信任關(guān)系。雙向信任效果***，不過單向信任也得到支持。如果你在遷移之后保留安全標(biāo)識(shí)符（SID），就要牢記一點(diǎn)：你應(yīng)該禁用信任關(guān)系上的SID過濾功能。這一步說起來容易做起來難。需要活動(dòng)目錄林兩頭都擁有相應(yīng)權(quán)限的人來運(yùn)行netdom trust <trusted domain> /domain:<trusting doamin> /quarantine:no和netdom trust <trusted domain> /domain:<trusting doamin> /enablesidhistory:yes這兩個(gè)命令。

3、獲得執(zhí)行所有遷移任務(wù)的相應(yīng)權(quán)限并非易事。你應(yīng)該創(chuàng)建一個(gè)ADMT Admin帳戶（這個(gè)帳戶隨你命名），擁有***級(jí)別的權(quán)限（域管理員和企業(yè)管理員），并且確保該帳戶放在內(nèi)置管理員的源域和目標(biāo)域組當(dāng)中。這可能有點(diǎn)像是殺雞用牛刀，但要確保該帳戶擁有盡可能大的權(quán)限來處理一切事務(wù)。由于沒有相應(yīng)的權(quán)限，跨活動(dòng)目錄林的遷移過程處處面臨故障。

4、如果你希望密碼與遷移的用戶保持相匹配，應(yīng)該把密碼遷移工具（PMT）v3.1下載到源域上。不是非得需要這個(gè)工具才能遷移用戶；你在遷移用戶時(shí)，向?qū)ё屇憧梢詣?chuàng)建新的隨機(jī)密碼。如果你果真使用密碼遷移工具來保留密碼，要注意說明文檔里面沒有提到的這個(gè)要求：你必須在目標(biāo)域上創(chuàng)建一個(gè).pes文件，然后還要把該.pes文件導(dǎo)入到目標(biāo)上。這一步似乎多余，卻是讓密碼遷移工具可以正常使用的一個(gè)必要步驟。

5、要遷移工作站，你得確保ADMT Admin帳戶（或你命名的任何帳戶）在工作站上也被授予了權(quán)限。你可能想要臨時(shí)禁用防火墻，確保代理軟件可以安裝上去、把工作站轉(zhuǎn)移到新的域中。

要做好這項(xiàng)工作，最關(guān)鍵的是，不斷演練（Practice）、記入文檔（Document）和反復(fù)測試（Test），即所謂的PDT。在模擬實(shí)際環(huán)境的實(shí)驗(yàn)室環(huán)境下執(zhí)行你的任務(wù)。把每一個(gè)故障都記入文檔，然后解決故障，制定一套專門適合貴企業(yè)的按部就班的流程。之后測試你需要的每一步，不單單在實(shí)驗(yàn)室環(huán)境下，更重要的是在實(shí)際環(huán)境下測試——這一步很關(guān)鍵。

你可以安裝活動(dòng)目錄管理工具，尤其是在開始著手之前測試每一步。這個(gè)工具的優(yōu)點(diǎn)之一在于，你可以讓兩個(gè)活動(dòng)目錄林協(xié)同運(yùn)行，直到你準(zhǔn)備好進(jìn)行***的遷移；在急著遷移之前，要把所有時(shí)間都用于反復(fù)測試。

我是不是在贊賞活動(dòng)目錄管理工具？的確是。它確實(shí)管用、免費(fèi)，一旦你搞定了恐怖的說明文檔，看到萬事俱備，會(huì)對(duì)取得的結(jié)果和節(jié)省的資源感到開心。

我建議，微軟的活動(dòng)目錄管理工具開發(fā)團(tuán)隊(duì)?wèi)?yīng)該學(xué)習(xí)學(xué)習(xí)新發(fā)布的Exchange部署助手（Exchange Deployment Assistant）。這款出色的在線工具會(huì)提出幾個(gè)問題，問你準(zhǔn)備做什么，并且就提供你應(yīng)該執(zhí)行的那幾個(gè)有條不紊的步驟。它大大簡化了部署工作。活動(dòng)目錄管理工具應(yīng)該使用這種助手。

你在遷移過程中有什么樣的經(jīng)歷？你有沒有用過第三方工具？還是說你是活動(dòng)目錄管理工具的老用戶？如果這樣的話，歡迎留言。

 【51CTO精選譯文 轉(zhuǎn)載請(qǐng)標(biāo)明出處與作者】

原文鏈接：http://www.infoworld.com/d/windows/5-tips-cheaper-leaner-active-directory-environment-376

【編輯推薦】

1. 竭盡所能 保護(hù)活動(dòng)目錄的健康程度
2. 活動(dòng)目錄的域控制器中如何創(chuàng)建漫游用戶？
3. 使用ADMT進(jìn)行活動(dòng)目錄遷移的準(zhǔn)備工作
4. 如何讓我們的活動(dòng)目錄保持整潔？
5. 活動(dòng)目錄復(fù)制的***做法和建議