域更名步骤
1. 备份所有域控的系统状态
2. 在DNS服务器上创建新域的AD集成的DNS区域mingfaigroup.com
3. 在ADSIEDIT.MSC增加允许的域名
4. 复制站点数据
5. 提升域和林级别为Windows 2003
6. 安装一台windows2003作为成员服务器并安装domainrename工具,并将安装好的rendom和gpfixup复制到C:\
7. 确保能连接到各台DC,执行rendom /list
8. 修改生成的domainlist.xml文件,将原来的mingfai替换成mingfaigroup.com,保存退出
9. 运行rendom /upload,如果想取消域更名执行rendom /end
10. 运行rendom /prepare
如果出现连接不到DC或出现1753错误,将站点强行复制一次。一定要能连接到所有的DC。或执行repadmin /bind。
11. 如果上一步没有错误运行rendom /execute。执行成功后DC将会自动重启。等DC重启完成后将控制主机重启两次。
12. 修改所有DC的DNS后缀名。
13. 将所有的客户端重启两次,注意不能关机后再开机。
14. 修复域策略
Gpfixup /olddns:mingfai.com /newdns:mingfaigroup.com /oldnb:mingfai /newnb:mingfaigroup.com /dc:mingfai.com
15. 清除域更名所使用的信息rendom /clean。注意:需要等所有的客户端重启两次后才能执行此步骤
16. 重新建立mingfaigroup.com与szmingfai.com的信任关系。
17. 使用ADModify工具将AD用户的帐户信息的后缀名更改为mingfaigroup.com
域迁移步骤
将源域mingfaild.com迁移到目标域mingfaigroup.com
1. 提升目标域的功能级别。
2. 设置两个域的DNS互相转发。
3. 设置源域和目标域的帐户管理审核策略。管理工具---域控制器策略—本地策略—审核策略。
4. 在目标域启用匿名访问(域控制器策略中-安全设置-本地策略-安全选项-“网络访问:让everyone组的权利应用到匿名用户”)。
5. 在源域DC上新建空的安全组。Net localgroup mingfaild$$$ /add
6. 设置两个域的信任关系,并加enablesidhistory。
Netdom trust mingfaild /domain:mingfaigroup /ud:administrator /pd:password /uo:administrator /po:password /add /twoway /enablesidhistory
7. 将mingfaild\domain admins组加入到mingfaigroup域的administrators组。
Net localgroup administrators “mingfaigroup\domian admins” /add
8. 将mingfaigroup\domain admins组加到mingfaild域的administrator组。
Net localgroup administrators “mingfaild\domian admins” /add
9. 在目标域DC上将everyone和anonymous logon加到Pre-Windows 2000 Compatible Access。
10. 在目标域DC上安装admt3.0,安装目录为C:\windows\admt。
11. 为密码迁移做准备
11.1 在目标域DC的C:\windows\admt。执行
admt key /option:create /sourcedomain:mingfaild /keyfile:C:\
11.2 将C:\生成的.pes文件和admt目录下的PES目录复制到源域DC上。
11.3 在源域DC上运行pwdmig.msi,安装完成后重启,再到服务里启动密码导出服务。
11.4 修改源域中本地安全机构的注册表HKLM\System\CurrentControllSet\Control\LSA下面有一个名字为AllowPasswordExport的记录项,把这个值由0改成1。
12. 将mingfaigroup\administrator加到mingfaild域的各电脑的本地管理员组,并关闭防火墙。
13. 重启源域DC和目标域的DC。
14. 在目标域DC上运行ADMT(Active Directory 迁移工具)。
15. 运行组迁移
16. 运行用户迁移
17. 运行计算机迁移
