Windows域迁移方案

实测Windows 2003域控迁移到Windows 2008域控Taylen 2010.5一、 前期背景：1.现有邮件服务器域控都为Windows 2003系统。

为方便将Exchange2007升级到Exchange2010，需要将Windows 2003域控升级为2008 。

二、 前期硬件、系统准备：1.一台原有域控服务器，系统为Windows 2003 。

2.另外一台需要预装Windows 2008系统。

三、 配置Windows Server 2008 域控兼容环境：1.首先将Windows 2008 系统加入Windows 2003 域控的域中。

这里为测试的，暂为 。

加入以后重启2008系统。

2.重启后用shdc\administrator登录2008系统。

在测试进行之前，我们来查看一下，现有的FSMO角色情况。

（运行CMD，输入netdom query fsmo），显示结果所有的角色都在2003的域控shdc-1中。

3.在升级域控到Windows Server 2008之前，必须进行相关的扩展，这一点，与从Windows Server 2000域升级到Windows Server 2003域一样。

在这里我们必须在原Windows Server 2003 域控制器上运行Windows Server 2008的ADPREP工具，该工具位于Windows Server 2008光盘中的Source\adprep目录下，请复制adprep 目录到Windows Server 2003域控制上的任意磁盘分区中（计算机名为:shdc-1），本案例将此文件夹复制到SHDC-1的磁盘分区C。

特别说明，敬请留意：原Windows Server 2000域升级到Windows Server 2003域，只需对Forest和Domian进行扩展，但在Windows Server 2003域升级到Windows Server 2008域中，还必须对RODC 进行扩展，以便Windows Server 2008能在基于Windows Server 2003的域中担任域控制器类型角色4.下面操作在shdc-1（域控制器）上进行操作。

Windows域迁移方法1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加)2:提升新DC为辅助域控制器后重启3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上)4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了.5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方.6:老DC降级 重启 然后退域。

关机7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址)8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC9:旧DC拔掉网线,重装系统.10:到此基本就完成了.AD的五种操作主机的作用及转移方法Active Directory 定义了五种操作主机角色（又称FSMO）：1.架构主机 schema master2..域命名主机domain naming master3.相对标识号 (RID) 主机 RID master4.主域控制器模拟器 (PDCE)5.基础结构主机 infrastructure master转移办法:转移RID\PDC\结构主机:Windows 界面:1. 打开 Active Directory 用户和计算机。

2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。

3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。

网络加域的项目，所有的用户全部从工作组环境切换到域环境，本地账号迁移到域账号。

因客户端比较多，仔细研究了一下微软的加域和用户迁移工具，结合在网上搜到的一些脚本，Windows Xp，Windows 7自动加域及自动迁移用户配置文件的脚本。

该脚本使用到了几个工具:1、Netdom.exe：计算机加域用到，XP和Windows 7须使用不同版本，可分别去2003和2008系统光盘里找。

其中Windows 7还要使用到netdom.exe.mui文件，该文件可到2008系统%windir%\system32\en-US\目录下复制。

2、moveuser.exe：XP系统迁移用户配置工具，网上下载或2003系统里面找。

3、USMT 4.0工具包：Windows 7用户配置迁移工具。

网上下载，如果有安装Win AIK的，可以直接去目录下找，具体路径忘记了。

其实这个工具的低版本也可以迁移XP系统，不过感觉比较复杂。

一、目录准备收集齐了这几个工具，先在C盘根目录下创建Domain_Migration目录，该目录结构如下图：USMT，Win7，XP三个目录以及Auto.bat文件Win7文件夹下再放netdom.exe，netdom.exe.mui，Win7AutoAddDomain.bat三个文件Xp文件夹下放moveuser.exe，netdom.exe，XpAutoAddDomain.bat二、使用说明1、将Domain_Migration文件夹复制到C盘根目录2、以管理员身份运行Auto.bat3、按照提示操作，更改计算机名后必须重启，再次运行Auto.bat加域4、加域后重启，使用临时域管理员登陆，再次运行Auto.bat转移用户配置文件5、转移完成后，注销，使用域账号登陆6、删除Domain_Migration文件夹三、bat文件详细说明1、Auto.bat:选择操作系统类型，调用加域脚本，内容比较简单@echo offcolor 1eECHO ******选择操作系统类型*******:STARTecho 1: winXPecho 2: win 7echo q: quitSET /P OS_type=:IF "%OS_type%"=="q" GoTo EOFIF "%OS_type%"=="1" GoTo WinXpIF "%OS_type%"=="2" GoTo Win7echo 选择有误,请重新选择& GoTo START:WinXpecho 你选择了WinXP系统!call "c:\Domain_Migration\xp\XpAutoAddDomain.bat":Win7echo 你选择了Win7系统!if not exist "%windir%\system32 etdom.exe" copy "c:\Domain_Migration\win7\netdom.exe" "%windir%\system32" /yif not exist "%windir%\system32\en-US etdom.exe.mui" copy "c:\Domain_Migration\win7 etdom.exe.mui" "%windir%\system32\en-US\" /yREM 调用Windows 7加域迁移脚本call "c:\Domain_Migration\win7\Win7AutoAddDomain.bat"exit:EOFExit***********************************************************************REM 脚本结束2、XpAutoAddDomain.bat：更改计算机名，加域，迁移用户配置文件@echo offcolor 1ecd /d C:\Domain_Migration\xp::功能说明与使用说明注意事项ECHO 请在使用本脚本前修改相应的参数为实际值set dns1=192.168.12.5set dns2=192.168.2.3REM 请设置自己真实环境的域名、域管理员账号和密码set domainname=set domainadminname=testadminset domainadminpassword=!@@#3%%^^::判断是否已经加入域，如果加入了则直接跳转::wmic ntdomain get domainname | findstr /i "%domainname%::if %errorlevel% equ 0 echo 该计算机已经加入域&& goto moveuseripconfig /all | findstr /i "%domainname%" >nul && echo 该计算机已经加入域,准备转移配置文件&& goto moveuser :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断当前登陆用户是否有管理员权限，如果没有则注销后重新以管理员登陆:adminECHO ************************判断当前用户权限******************net user %username% | findstr "*Administrators"if %errorlevel% equ 1 (echo 当前用户不是本地管理员，请注销后使用有本地管理员权限的用户登录) else (goto DNS)set /p logoff=现在要注销吗if /i "%logoff%"=="y" logoff ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断当前DNS设置是否为指定地址，如果不是，则清空当前配置后重新设置DNSECHO *************************更改DNS****************************netsh interface ip show dns | findstr "%dns1%" 1>nul && echo DNS已经设置为%dns1% && goto renamecomputernameecho 清理更改现有DNS...for /f "skip=2 tokens=2,* " %%i in ('netsh interface show interface') do (set netname=%%jif "%%j"=="环回" goto backif "%%j"=="内部" goto backnetsh interface ip delete dns name="%%j" addr=all >nulnetsh interface ip add dns name="%%j" addr=%dns1% index=1 >nulnetsh interface ip add dns name="%%j" addr=%dns2% index=2 >nul):backecho DNS更改完成::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断计算机名是否已经更改，如更改则进入下一部分；如未更改是否需要更改计算机名，更改完成后要求重新启动计算机:renamecomputernameECHO *********************更改计算机名****************************set a=%computername%echo 当前计算机名为：%a%set /p b=请输入要修改的计算机名称(跳过请输入s)：if /i "%b%"=="s" goto joindomainif /i "%b%"=="" echo 计算机名不能为空&& goto renamecomputernamewmic computersystem Where name="%a%" call rename "%b%" >nulif %errorlevel% equ 1 (echo 更改计算机名失败,请手工更改&& pause && exit) else (echo 计算机名已更改为%b%)set /p reboot=更改计算机名完成，现在要重起吗?y/n:if /i "%reboot%"=="y" shutdown /r /t 0goto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断计算机是否已加入域，如加入域则继续下一部分；否则检查相应服务是否启动，自动加入域（用户名密码部分参数需要自行更改）:joindomainECHO ***********************计算机加入域*************************if /i "%userdomain%"=="%domainname%" goto moveuserrem 判断服务TCP/IP NetBIOS HELPER服务是否禁用或未启动，如果禁用则更改为自动，未启动则自动启动，否则显示服务已启动sc query state= inactive | findstr /c:"TCP/IP NetBIOS" && (echo 服务未启动，正在启动服务... && sc config lmhosts start= auto && sc start lmhosts) || echo 服务已启动if /i "%userdomain%"=="%domainname%" do (echo 计算机已加入域&& goto moveuser)if not exist netdom.exe echo 请将netdom工具放到同文件夹下再尝试运行&& goto end. etdom join %computername% /Domain:%domainname% /UserD:%domainadminname%/PasswordD:%domainadminpassword% || echo 加入域失败，请检查网络环境及批处理参数是否正确&& goto endset /p shutdown=加入域完成，现在要重起吗?y/n:if /i "%shutdown%"=="y" shutdown /r /t 0goto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::使用moveuser工具对用户配置文件进行迁移（提示用户输入要迁移的用户和要迁移到的用户）:moveuserECHO *********************用户配置文件迁移*************************if not exist moveuser.exe echo 请将MOVEUSER工具放到同文件夹下再尝试运行&& goto end net user:retryset /p user=请输入你要迁移的本地用户账户名称:if /i "%user%"=="%username%" echo 转移的用户配置文件为当前登陆用户，请重新启动后使用域管理员登陆再进行转移&& goto endnet user %user% 2>nul 1>nul || echo 你输入的本地账户不存在,请重新输入&& goto retry set /p domainuser=请输入你要迁移到的域账号名称：net user %domainuser% /domain 2>nul 1>nulif %errorlevel% neq 0 (echo 你要转移到的域账户尚未建立，请建立后重新尝试迁移) && goto endmoveuser %user% %domainname%\%domainuser% /k /y | findstr /i "failed" 2>nul 1>nul && echo用户配置文件迁移失败，请检查配置&& goto end::if %errorlevel% neq 0 echo 用户配置文件迁移失败，请检查配置&& goto end::如果是从本机管理员用户迁移，则域用户也变成管理员，此处删除域用户管理员权限，加入PowerUsers群组，可自行更改echo 更改域用户为Power User权限net localgroup administrators %domainname%\%domainuser% /deletenet localgroup "Power Users" %domainname%\%domainuser% /addecho 配置文件迁移成功，请注销后使用您的域账号登陆set /p logoff=现在要注销吗?y/n:if /i "%logoff%"=="y" logoffgoto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::结束退出:endpause>nulexit****************************************************************REM 脚本结束3、Win7AutoAddDomain.bat，更改计算机名，加域，迁移用户配置文件@echo offcolor 1e::功能说明与使用说明注意事项ECHO 请在使用本脚本前修改相应的参数为实际值set dns1=192.168.12.5set dns2=192.168.2.3REM 请设置自己真实环境的域名、域管理员账号和密码set domainname=set domainadminname=testadminset domainadminpassword=!@@#3%%^^::判断是否已经加入域，如果加入了则直接跳转::wmic ntdomain get domainname | findstr /i "%domainname%::if %errorlevel% equ 0 echo 该计算机已经加入域&& goto moveuseripconfig /all | findstr /i "%domainname%" >nul && echo 该计算机已经加入域,准备转移配置文件&& goto moveuser :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断当前登陆用户是否有管理员权限，如果没有则注销后重新以管理员登陆:adminECHO ************************判断当前用户权限******************net user %username% | findstr "*Administrators"if %errorlevel% equ 1 (echo 当前用户不是本地管理员，请注销后使用有本地管理员权限的用户登录) else (goto DNS)set /p logoff=现在要注销吗if /i "%logoff%"=="y" logoff ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断当前DNS设置是否为指定地址，如果不是，则清空当前配置后重新设置DNS:DNSECHO *************************更改DNS****************************netsh interface ip show dns | findstr "%dns1%" 1>nul && echo DNS已经设置为%dns1% && goto renamecomputernameecho 清理更改现有DNS...for /f "skip=2 tokens=2,* " %%i in ('netsh interface show interface') do (set netname=%%jif "%%j"=="环回" goto backif "%%j"=="内部" goto backnetsh interface ip delete dns name="%%j" addr=all >nulnetsh interface ip add dns name="%%j" addr=%dns1% index=1 >nulnetsh interface ip add dns name="%%j" addr=%dns2% index=2 >nul):backecho DNS更改完成::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断计算机名是否已经更改，如更改则进入下一部分；如未更改是否需要更改计算机名，更改完成后要求重新启动计算机:renamecomputernameECHO *********************更改计算机名****************************set a=%computername%echo 当前计算机名为：%a%set /p b=请输入要修改的计算机名称(跳过请输入s)：if /i "%b%"=="s" goto joindomainif /i "%b%"=="" echo 计算机名不能为空&& goto renamecomputernamewmic computersystem Where name="%a%" call rename "%b%" >nulif %errorlevel% equ 1 (echo 更改计算机名失败,请手工更改&& pause && exit) else (echo 计算机名已更改为%b%)set /p reboot=更改计算机名完成，现在要重起吗?y/n:if /i "%reboot%"=="y" shutdown /r /t 0goto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::判断计算机是否已加入域，如加入域则继续下一部分；否则检查相应服务是否启动，自动加入域（用户名密码部分参数需要自行更改）:joindomainECHO ***********************计算机加入域*************************if /i "%userdomain%"=="%domainname%" goto moveuserrem 判断服务TCP/IP NetBIOS HELPER服务是否禁用或未启动，如果禁用则更改为自动，未启动则自动启动，否则显示服务已启动sc query state= inactive | findstr /c:"TCP/IP NetBIOS" && (echo 服务未启动，正在启动服务... && sc config lmhosts start= auto && sc start lmhosts) || echo 服务已启动if /i "%userdomain%"=="%domainname%" do (echo 计算机已加入域&& goto moveuser). etdom join %computername% /Domain:%domainname% /UserD:%domainadminname% /PasswordD:%domainadminpassword% || echo 加入域失败，请检查网络环境及批处理参数是否正确&& goto endecho 加入域完成,重启电脑后请使用域管理员帐户登陆转移个人配置文件!set /p shutdown=现在要重起吗?y/n:if /i "%shutdown%"=="y" shutdown /r /t 0goto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::使用moveuser工具对用户配置文件进行迁移（提示用户输入要迁移的用户和要迁移到的用户）:moveuserECHO *********************用户配置文件迁移*************************net user:retryset /p user=请输入你要迁移的本地用户账户名称:if /i "%user%"=="%username%" echo 转移的用户配置文件为当前登陆用户，请重新启动后使用域管理员登陆再进行转移&& goto endnet user %user% 2>nul 1>nul || echo 你输入的本地账户不存在,请重新输入&& goto retry set /p domainuser=请输入你要迁移到的域账号名称：net user %domainuser% /domain 2>nul 1>nulif %errorlevel% neq 0 (echo 你要转移到的域账户尚未建立，请建立后重新尝试迁移) && goto endcd /d C:\Domain_Migration\USMT\x86echo 正在备份个人配置文件，请耐心等候......scanstate \\fileserver\migration\%computername%-%user% /c /i:miguser.xml /i:migapp.xml /v:13 /ue:*\* /ui:%computername%\%user% /l:scan.log /localonly /o /efs:copyrawecho 正在转移个人配置文件，请耐心等候......loadstate \\fileserver\migration\%computername%-%user% /mu:%computername%\%user%:%domainname%\%domainuser% /i:miguser.xml /i:migapp.xml /v:13echo 将域账号加入本地PowerUser群组net localgroup administrators %domainname%\%domainuser% /deletenet localgroup "Power Users" %domainname%\%domainuser% /addecho 删除临时文件del "%windir%\system32\netdom.exe"del "%windir%\system32\en-US\netdom.exe.mui"echo 配置文件迁移成功，请注销后使用您的域账号登陆set /p logoff=现在要注销吗?y/n:if /i "%logoff%"=="y" logoffgoto end ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::结束退出:endpause>nulexit。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：：ADC01作为主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。

ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008R2，Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003.备注：所有的Server均处在同一个网段172.16.1.x/24二、的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组， Terminal User为终端机用户组别，均没有Mail账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把 的解析交给的DNS。

如下图：2、在“Active Directory 网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

Windows Server 2008主域控迁移手顺1.安装windows server 2008 R2虚拟机，名称不能为主域控服务器名称2.主域控、辅助域控的备份：使用Windows Server Backup进行备份，并将备份文件放置在本地。

3.将主域控角色迁移到辅助域控服务器：例：A001 主域控服务、A002为辅助域控登陆辅助域控，打开“运行”，输入”regsvr32 schmmgmt.dll”。

确定运行成功，出现下记提示：3.1打开“运行”，输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用户和计算机到控制台，如下图所示：3.2右键单击键Active Directory 架构，选择”更改Active Directory 架构”。

出现下记提示，点击确认：3.3右键单击Active Directory 架构，选择“操作主机”点击更改，点击确定后如下图所示：If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !!3.4右键Active Directory 域和信任关系，选择“更改Active Directory 域控制器”。

选择辅助域控服务器,确定3.5右键Active Directory 域和信任关系，选择“操作主机”点击更改，确定后关闭3.6右键Active Directory 用户和计算机-所有任务-操作主机3.7分别在RID、PDC、基础结构选项卡下，点击更改4.客户端运行中输入：netdom query fsmo ，确认操作主机名称为辅助域控服务器5.关闭主域控服务器, 在辅助域控服务器上新建用户，新加域计算机，更改密码进行测试6.打开Active Directory 站点和服务，删除主域控服务器删除DNS信息7.修改虚拟机名称为主域控服务器,并加入域8.打开服务器管理器，安装Active Directory 域服务9.完成后打开运行，输入”dcpromo”安装辅助域控下一步，选择“向现有域添加域控制器”出现下记警告，选择“是”继续选择DNS服务器及全局编录点击“是”继续选择“通过网络从现有域控制器复制数据”选择源服务器-辅助域控服务器根据情况存放下记文件路径：设定目录还原密码：等待安装：安装完成后重启10.重复运行4、5将操作主机修改为主域控服务器11.将客户端退域、加域、新增用户、更改密码进行测试12.没有意外，所有操作完成。

域迁移方案一、软件环境：1.操作系统：Windows Server 2008 R22.Mail Server软件：Exchange Server 20103.客户端操作系统：Windows XP PRO SP34.客户端邮件软件：Outlook 2003二、域环境：1.建立两个域：以及，域控制器名称分别为以及。

2.在下建立子域，域控制器名称为。

3.各域间建立信任关系。

4.分别在以及域上建立Mail Server，两Server名称分别为以及。

5.在下建立若干User。

6.客户端client加入域三、IP地址分配：:172.16.1.1/24:172.16.1.100/24:172.16.1.101/24:172.16.1.200/24:172.16.1.201/24四、安装Exchange Server 20101、在安装Exchange Server 2010：I.安装.NetFrameWork 3.5II.安装相关补丁III.开始安装Exchange Server 20102、在下安装Exchange Server 2010I.安装.NetFrameWork 3.5II.安装相关补丁III.在根林下执行Setup /PrePareSchema以及setup /preparead /organizationname:”cntse” （注：如果遇到“正在扩展ActiveDirectory 架构失败”的问题，请调整本地连接的DNS设定）IV.返回下，执行Setup /PrepareDomainV.把下的管理员（保证是"Organization Management"角色组或"Enterprise Admins"组的成员）加入到本机的administrators组，使用该管理员执行安装程序。

VI.开始安装Exchange Server 2010五、配置Exchange Server 20101.设定接收连接器、接受的域和发送连接器。

工作组计算机入域后用户文件迅速迁移方法从工作组加入到域环境时，用户加入域后系统将会重新建立域用户配置文件，原有使用用户配置文件都全部没有了，需要手工拷贝及设定，相当浪费时间。

moveuser工具可以帮助我们方便的把本地用户的profile转移到域用户下面，对于大量转移有很大的帮助。

转移包含：桌面、我的文档、OE、outlook 等设定、打印机等等。

注：这里只探讨用户转移时更快速的实现用户文件、配置迁移方式，对于域管理不作讨论，因为有可能ADMT3.0有更完善的方法。

(PS:为什么突然提起这个，原因手头有一个域的项目，检查发现实施人员都是人工的每台电脑入域后，由原有用户文件夹查找相应文件后，拷贝至新的域用户文件夹内，感觉太浪费时间。

)MoveUser官方解释：MoveUser uses the following syntax:moveuser[Domain\]OldUserAccount[Domain\]NewUserAccount[/c:Computer] [/k] [/y]ParametersOldUserAccountSpecifies a user who has a local profile. Specify domain and user names in the Domain/User or the user principal name (UPN) format.If Domain is omitted, OldUserAccount is assumed to belong to the domain of the current user.NewUserAccountSpecifies the user who will own the OldUserAccount profile. This account must already exist. Specify domain and user names in the Domain/User or the user principal name (UPN) format. If Domain is omitted, NewUserAccount is assumed to belong to the domain of the current user./c:ComputerSpecifies a remote computer on which to make the changes. Ifomitted, the local computer is assumed. Use this parameter to move the user profile to a new computer./kSpecifies that OldUserAccount resides in the local database of the computer and should not be deleted after the profile is moved. 保留本机帐户。

把Windows 2008 R2域服务升级和迁移到Windows Server 2012 R2上• (一)windows Server 2012 R2 中增加了不少功能，在AD角色中就增加了如下新特性：Workplace Join：支持设备在不加入域的情况下，通过第二因子认证和单点登录通过web应用代理访问内部应用:外部设备可以直接通过Web应用代理来访问内部应用和服务，如：ADFS、Applications。

通过规则以决定访问ADFS资源的用户权限，权限有三种：允许所有用户访问、输入凭据访问、拒绝用户访问迁移工作可以有多种方式，常见的就是在不同设备上进行迁移，这样安全可靠。

还有一种是就地升级的迁移，这种方式只限于能直接升级到Windows Server 2012 R2 的系统，升级前做好系统备份工作。

1.新安装一台Windows server 2012 R2服务器，打开添加角色和功能对话框。

2.在安装类型页面点击下一步3.在服务器选择页面，点击下一步4.在服务器角色页面，选择AD域服务角色，点击下一步5.在功能页面，点击下一步7.点击下一步8.勾选“如果需要，自动重新启动服务器”，点击安装9.安装完成后点击“将此服务器升级为域控制器”10.在部署配置页面，选择将域控制器添加到现有域，具体配置如图所示，点击下一步11.输入目录还原密码，然后点击下一步12.点击下一步13.复制自选择主域控制器，然后点击下一步14.在路径页面，点击下一步15.点击下一步16.点击下一步17.先决条件检查通过后，点击安装18.安装完成后，点击关闭19.在AD管理中心中看到，windows server 2012 R2 服务器已经成为域控制器。

（二）将域的五个角色转移到Windows server 2012 R2AD域环境中的五大主机角色在Win Server多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

windows server 2008R2 域控迁移到windows server 2012域控首要做的就是备份AD，这是准备工作中的重点，一旦发生迁移故障中断，可以迅速恢复到原状态，以保证正常的应用。

备份完成后，正式进入迁移的实操，操作系统的版本和网络配置如上图所示。

1、把Windows server 2012加入到win2k8 AD中作为域成员，添加完成以后，打开服务器管理器，添加AD角色。

点击“下一步”，选择基于角色或基于功能的安装选项，选项目标服务器，在Windows server 2012中可以实现对服务器组的管理（这是win2k12的一个亮点哦），我们这里只选择当前的服务器就可以了再接下来的安装界面和Windows server 2008就相似了，此处省略了几个添加功能的步骤，直接上结果界面2、添加AD DS后，接下来配置它，在服务器管理器左侧的仪表板中打开AD DS，在右侧的内容管理器中会AD DS的状态，在右侧的界面的顶端有一个很友好的内容警示提醒，点击警示栏中的“更多”链接，弹出通知窗口，在通知窗口中可以看到当前正在进行配置的任务状态的明细进度点击操作栏中的“将此服务器提升为域控制器”的按钮，此时的“阶段”状态将由“未开始”变成“正在运行”。

3、接下来进入域服务器配置向导，选择“将域控制器添加到现有域”4、当继续点击“下一步”按钮时，弹出副本验证失败的警示，原因就是凭据失败，这是用当前用户（工作组）权限验证，当然是失败的，既然是工作组用户不能验证，当然就需要更改为域用户来验证了，5、通过了验证后，接下来就是域控升级的第一个惊喜，也是最为关键的步骤，警示栏很友好的告诉我们林功能级别不够，接下来升级Windows 2K8 的AD。

在本示例中，我的win 2k8 AD是从Win2k3 AD一路升级过来的，所以会提示林\域功能级别低，倘若AD 初始化安装在Windows 2K8下面，则其域功能级别默认为Windows server 2003，可以直接跳过步骤6-10，进入步骤 11所示。

使用ADMT3.2进行域用户的迁移，详细步骤如：1、部署环境的说明 (2)2、AD部署的部署 (2)3、AD信任关系的建立 (2)4、ADMT3.2的安装 (12)5、生成keyfile.pes文件 (15)6、PES(Password Export Server )3.1的安装 (16)7、Password Export Server Service服务的设置 (19)8、为迁移赋予相应的权限 (19)9、测试迁移过程是否成功 (29)1、部署环境的说明部署过程总共需2台机器，具体配置如下：将域下的hp OU下的一个域用户user01迁移到域migrate OU下，用户的密码需保持不变。

2、AD部署的部署具体和域的部署简略安装完成后需调节域功能级别、林功能级别为windows server 2008R23、AD信任关系的建立和之间建立林信任、双向信任关系，在建立信任之前两台域控必须解析到对方。

可以在另一方建立一方的辅助区域，通过区域传送将DNS主要区域的内容复制过来。

在TS-ADMTDC01新建的辅助区域在TS-ADMTDC02上设置的区域传送在TS-ADMTDC01上辅助区域已从主要区域成功复制数据建立的辅助区域和辅助区域相同开始进行信任关系的建立：与的林信任关系已建立成功4、ADMT3.2的安装ADMT3.2需安装在Ts-admtdc02(目的域控制器上)，在安装ADMT3.2之前需安装SQL Server 2005 Express Edition SP3SQL Server 2005 Express Edition SP3具体安装步骤简略，数据库实例名称默认SQL Server 2005 Express Edition SP3安装完成后，进行ADMT3.2的安装数据库为：ts-admtdc02\SQLEXPRESS安装完成后，可以在管理工具内出现”Active Directory迁移工具”5、生成keyfile.pes文件在ts-admtdc02内生成keyfile.pes文件，同时将生成的keyfile.pes拷贝到ts-admtdc01的C盘目录下6、PES(Password Export Server )3.1的安装Keyfile.pes为ts-admtnode02生成的文件PES3.1安装完成后，需重新启动计算机7、Password Export Server Service服务的设置8、为迁移赋予相应的权限将与的域管理员administrator添加到相互的本地管理员组administrators。