پیکربندی دومین های contoso.com و wiki.com برای انتقال (Migration)ویژگی sIDHistory



یکی از پیش نیازهای لازم نرم افزار ADMT برای انتقال sIDHistory تنظیمات Audit Account Management و "Audit directory service access"  مربوط به دو مین کنترلرهای مبدا و مقصد است. شما می توانید به صورت دستی دومین مبدا (contoso.com ) و دومین مقصد (wiki.com) را جهت انتقال security identifier (SID) history را قبل از اینکه شروع به انتقال بین فارست ها (interforest migration)کنید را پیکربندی کنید ، یا شما میتوانید اجازه دهید که ابزار ADMT به صورت خودکار دومین ها را که برای اولین بار بر روی آنها اجرا می شود پیکربندی کند.

در دومین کنترلر 2003 (contoso.com) ، بر روی Start سپس Administrative Tools کلیک کنید ، سپس کنسول  Group Policy Management را باز کنید.




بر روی  Default Domain Controllers Policy راست کلیک کنید ، سپس Edit را انتخاب کنید.



به مسیر Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy بروید ، بر روی  Audit account management کلیک راست کنید ، سپس Properties را انتخاب کنید.



گزینه Define these policy settings را انتخاب کنید ، سپس هر دو گزینه Success  و Failure را انتخاب کنید . و بر روی OK کلیک کنید.



به مسیر  Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy بروید ، بر روی Audit directory service access راست کلیک کنید ، سپس گزینه Properties را انتخاب کنید.



گزینه Define these policy settings را انتخاب کنید ، سپس هر دو گزینه Success  و Failure را انتخاب کنید . و بر روی OK کلیک کنید.



همه پنجره ها را ببنید ، Command prompt را باز کنید و کامند GPUPDATE /FORCE را اجرا کنید.



در دومین مبدا ، یک گروه  local
با اسم SourceDomain$$$ ایجاد کنید ، جای عبارت  SourceDomain نام NetBIOS  ای دومین مبدا را بنویسید. هیچ members  ای عضو این گروه نکنید ، اگر این کار را انجام دهید ، عملیات انتقال  sIDHistory با شکست مواجه میشود.

در DC2003 ، کنسول  Active Directory Users and Computers را باز کنید ، بر روی کانتینر Users راست کلیک کنید ، New  را انتخاب کنید سپس بر روی Group کلیک کنید.




چون نام NetBIOS ای دومین مبدا من contoso می باشد ، در قسمت Group name من نام Contoso$$$ را نوشتم ، در قسمت Group scope گزینه Domain local را انتخاب کنید ، و در قسمت Group type گزینه Security  را انتخاب کنید ، سپس بر روی OK کلیک کنید.





در دومین کنترلر wiki.com ، بر روی Start سپس Administrative Tools کلیک کنید ، سپس کنسول Group Policy Management را باز کنید.



بر روی Default Domain Controllers Policy کلیک راست کنید ، و Edit را انتخاب کنید.



به مسیر  Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy بروید ، بر روی Audit account management راست کلیک کنید ، سپس Properties را انتخاب کنید.



سپس  Define these policy settings را انتخاب کنید ، و هر دو گزینه Success  و Failure را انتخاب کنید ، و بر روی ok کلیک کنید.



به مسیر Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy بروید ، بر روی Audit directory service access راست کلیک کنید ، سپس Properties را انتخاب کنید.



گزینه Define these policy settings را انتخاب کنید ، و هر دو گزینه Success  و Failure را انتخاب کنید ، و بر روی ok کلیک کنید.



به مسیر  Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options بروید ، بر روی Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings کلیک راست کنید ، سپس Properties را انتخاب کنید.



گزینه Define these policy settings  را انتخاب کنید ، و سپس گزینه Enabled را انتخاب کنید ، و بر روی ok کلیک کنید.



تمامی پنجره ها را ببندید ، و  Command prompt را باز کنید و کامند زیر را اجرا کنید :


Auditpol /Get /Category:"Account Management"



شما میتوانید ، تنها پیغام های Success را که فعال است را ببنید ، شما با استفاده از کامند زیر میتوانید هم Success  و هم Failure را انتخاب کنید :

Auditpol /Set /Category:”Account Management” /Success:Enable /Failure:Enable





نکته : اگر migrating  بین یک دومین با دومین کنترلرهای 2003  یا بالاتر به دومین ای با دومین کنترلرهای 2003 یا بالاتر قرار انجام شود . رجیستری  TcpipClientSupport وجود ندارد که تغییر کند . برای اطلاعات بیشتر لینک زیر را بخوانید :

Configuring the Source and Target Domains for SID History Migration 




غیرفعال کردن فایروال


در بسیاری از سناریوهای migration  ، وقتی که فایروال (فایروال ویندوز یا 3rd-party فایروال) فعال باشد ، می تواند از انتقال (Migration) اکانت های کامپیوتر (Computer Account) از دومین مبدا به مقصد جلوگیری می کند. شما میتوانید فایروال را از طریق گروه پالیسی (group policy) غیرفعال کنید ، پس از اینکه عملیات migration کامل شد ، شما دوباره فایروال را فعال کنید.

اما ، شما نیاز به اطلاعاتی در مورد پورت هایی که در فایروال برای عبور ترافیک ADMT در شبکه تان دارید ، کنسول ADMT  از Lightweight Directory Access Protocol (LDAP) با شماره پورت 389 برای ارتباط با دومین کنترلرها و از Remote Procedure Call (RPC) برای ارتباط با ADMT agents نیاز دارد.برای ارتباط از طریق RPC ،  از رنج بین 1024 تا 5000 برای  پورت RPC ممکن است استفاده شود. برای اطلاعات بیشتر ، این لینک را بخوانید KB836429 . اگر Windows Firewall بر روی workstation  یا member server  هایی که شما عملیات انتقال را انجام می دهید در حال استفاده باشد ، امکان File and Printer Sharing را فعال کنید، برای اطلاعات بیشتر این لینک را بخوانید.اگر Error های ERR3:7075, ERR2:7625, ERR2:7014, ERR2:7014, WRN1:7372 و ERR2:7228 در فایل لاگ ADMT migration داشته باشید ، این لینک را بخوانید  KB929493 .

در دومین کنترلر 2003 به نام دومین (contoso.com) ، بر روی Start سپس Administrative Tools کلیک کنید ، سپس کنسول Group Policy Management را باز کنید.



چون من در یک TestLAB این کار را انجام میدهم ، من از Default Domain Policy استفاده می کنم . لطفا ، برای یک سناریو واقعی ، یک new GPO جدید ایجاد کنید. بر روی Default Domain Policy راست کلیک کنید ، سپس بر روی Edit کلیک کنید.



در صفحه Group Policy Management Editor ، به مسیر Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall\Domain Profile بروید . بر روی Windows Firewall: Protect all network connections کلیک راست کنید ، و سپس Properties را انتخاب کنید.



در صفحه On the Windows Firewall: Protect all network connections Properties  ، گزینه Disabled را انتخاب کنید ، سپس بر روی OK کلیک کنید.



همه پنجره ها را ببندید ، Command prompt را باز کنید و کامند را GPUPDATE /force را اجرا کنید.



تنظیمات فایروال ، قبل از اعمال GPO.



حالا تنظیمات فایروال ، بعد از اعمال GPO .



پیشنهادات




در TestLAB ام ، من فقط یک گروه (group ) برای انجام عملیات تستی migration  دارم. در این جا ، من کار را با انتقال (migration) اکانت کاربران (User account) شروع کرده ام . اما ، توصیه می شود که شما عملیات migration  را طبق مراحل زیر انجام دهید:

1- انتقال Group
2- انتقال Users account
3- انتقال Services account
4-  Security Translation
5- انتقال Computers account

Santhosh Sivarajan یک مقاله عالی در مورد این مراحل دارد :

Active Directory Migration – High Level Steps (Santhosh Sivarajan - ADDS MVP)


انتقال User Account



برای انتقال user account ، ما سه روش داریم . من سه اکانت کاربر (User Account)در ou به نام Support در دومین contoso.com دارم.



من برای انتقال user ها احتیاج به یک OU مشابه همین نام در دومین wiki.com دارم . من یک OU به نام Support در دومین wiki.com دارم.

بر روی Start ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Users and Computers را باز کنید.



بر روی wiki.com کلیک راست کنید ، New را انتخاب کنید ، سپس بر روی Organizational Unit کلیک کنید.



در قسمت Name ، نام Support را بنویسید ، سپس بر روی OK کلیک کنید.



حالا ، ما یک OU به نام Support  در دومین wiki.com داریم.



1- روش Normal



بر روی Start ، سپس Administrative Too کلیک کنید ، و کنسول Active Directory Migration Tool را باز کنید.



بر روی Active Directory Migration Tool کلیک راست کنید ، و User Account Migration Wizard را انتخاب کنید.



در صفحه Welcome to the User Account Migration Wizard ، بر روی Next کلیک کنید.



در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه User Selection Option ، گزینه Select users from domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه User Selection ، بر روی Add کلیک کنید ، و کاربرانی (users ) را که می خواهید را پیدا کنید و انتخاب کنید و سپس بر روی OK کلیک کنید. در این مورد من User1@contoso.com را انتخاب کرده ام.



در صفحه User Selection ، بر روی Next کلیک کنید.



در صفحه Organizational Unit Selection ، بر روی Browse کلیک کنید و OU مورد نظر را انتخاب کنید ، سپس بر روی OK کلیک کنید . در این جا ، OU مورد نظر به نام Support است .



در صفحه Organizational Unit Selection ، بر روی Next کلیک کنید.



در صفحه Password Options ، گزینه مناسب را انتخاب کنید.  در این جا من ، گزینه Migrate passwords را انتخاب می کنم که با انتخاب این گزینه عبارت DC2003.Contoso.com  در فیلد Password migration source DC نمایش داده می شود، سپس Next را انتخاب میکنم.

توضیح سریع و کوتاهی در مورد این گزینه ها :


Generate complex passwords
: با انتخاب این گزینه یک پسورد پیچیده (complex password) به صورت خودکار برای هر اکانت کاربری (User Account) یکه انتقال می دهید تولید میشود.

Migrate passwords : با انتخاب ای گزینه پسورد هایی که برای هر کاربر قبلا بوده (original passwords) از دومین مبدا به مقصد منتقل می شود.

Do not update passwords for existing users : با انتخاب این گزینه دیگر شما نیازی به آپدیت (تغییر) پسورد برای userهای موجود در دومین مقصد ندارید و برای اکانت های دیگر میتوانید از آپدیت پسورد استفاده کنید.



در صفحه Account Transition Options ، گزینه مناسب را انتخاب کنید.در این جا ، من گزینه های Target same as source و Migrate user SIDs to target domain را انتخاب کرده ام ، و سپس بر روی Next کلیک می کنیم.

توضیح سریع و کوتاهی در مورد این گزینه ها :

Enable target accounts : با انتخاب این گزینه User های جدیدی که در دومین مقصد ایجاد میشود در حالت enable هستند.

Disable target accounts : با انتخاب این گزینه User ها جدیدی که در دومین مقصد ایجاد می شوند در حالت disable هستند. لطفا ، این گزینه را برای انتقال اکانت هایی که قصد استفاده از سرویس را دارند انجام ندهید .

Target same as source : با انتخاب این گزینه اکانت مقصد دقیقا همان وضعیت اکانت دومین مبدا را می گیرد.


Source Account Disabling Options:

Disable source accounts :با انتخاب این گزینه اکانت اصلی کاربر در دومین مبدا را غیرفعال (disable) می کند.

Days until source accounts expires : با انتخاب این گزینه بعد از تعداد روز تعیین شده اکانت کاربر در دومین مبدا دیگر فعال نیست.

Migrate user SIDs to target domain :

Migrate user SIDs to target domain : با انتخاب این گزینه ، SID  اکانت منتقل شده دومین مبدا به sIDHistory attribute اکانت جدید در دومین مقصد اضافه می شود.



در صفحه User Account ، یوزر/ پسورد برای اعتبار ADMT جهت اضافه کردن SID history را وارد کنید. در این جا ، من از اکانت Wiki\Administrator  استفاده کرده ام ، سپس بر روی Next کلیک کنید.



در صفحه User Options ، گزینه مناسب را انتخاب کنید . در اینجا من ، گزینه های Upgrade user rights و Fix users group memberships را انتخاب کرده ام ، سپس بر روی Next کلیک کنید.

توضیح سریع و کوتاهی در مورد این گزینه ها :

Translate roaming profiles : با انتخاب این گزینه پروفایل roaming  مربوط به اکانت کاربرانی (user account)که انتخاب شده اند از دومین مبدا به دومین مقصد کپی می شود.

Update user rights : با انتخاب این گزینه ، دسترسی هایی که برای اکانت USER جدید در دومین مقصد اختصاص داده شده است با دسترسی ها کاربر در دومین مبدا تطبیق (match) داده می شود.

Migrate associated user groups : با انتخاب این گزینه گروه هایی که کاربران  عضو آنها انتقال یافته اند، نیز منتقل می شوند.

Update previously migrated objects :این گزینه برای به روز رسانی گروه هایی که کاربران عضو آنها منتقل شده اند ، می باشد. حتی اگر این گروه ها (group)قبلا منتقل شده باشند.

Fix users' group memberships : با انتخاب این گزینه ، اکانت های user منتقل شده ، دقیقا به گروهایی که قبلا در دومین مبدا عضو آنها بوده اند ، در مقصد به آن گروه ها اضافه می شوند (عضو آن گروه های می شوند.)



در صفحه Object Property Exclusion ، گزینه های مناسب را انتخاب کنید . در اینجا من ، من تمام صفات (attributes)ها را می خواهم ، سپس Next را انتخاب کنید.



در صفحه Conflict Management ، گزینه Do not migrate source object if a conflict is detected in the target domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completting the User Account Migration Wizard  ، مروری بر قسمت Task description بکنید ، سپس بر روی Finish کلیک کنید.



بعد از کامل شدن مراحل ، بر روی View Log کلیک کنید.



حالا ، شما می توانید فایل لاگ Migration  را ببنید ، اگر عملیات Migration  شما failed شده باشد.



کنسول Active Directory Users and Computers را باز کنید ، OU ای به نام Support  را باز کنید و اکانت کاربری را که منتقل کرده اید را چک کنید.




2- خواندن کاربران (Users) از یک فایل



برای انتقال اکانت User2 ، من یک فایل ایجاد کرده ام و از این فایل برای انتقال User2 استفاده میکنم.

بر روی Strat ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Migration Tool را باز کنید . بر روی Active Directory Migration Tool کلیک راست کنید ، و User Account Migration Wizard را انتخاب کنید.



در صفحه Welcome to the User Account Migration Wizard ، بر روی Next کلیک کنید.



در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه User Selection Option ، گزینه Read objects from a include file را انتخاب کنید ، سپس بر روی Next کلیک کنید.



شما می توانید یک فایل با پسوند .txt یا .csv ایجاد کنید. من یک فایل با نام MigUser.txt ایجاد کرده ام. به طور مثال :

SourceName,TargetSAM,TargetUPN
User2,User2,User2@wiki.com




در صفحه Include File Selection ، در فیلد Include file ، فایل MigUser.txt  را انتخاب کنید ، در فیلد Source OU ، در دومین Contoso.com (دومین مبدا)، OU ای با نا�� Support  را انتخاب کنید.



بر روی Next کلیک کنید.



در صفحه Organizational Unit Selection ، در فیلد Target OU ، بر روی Browse  کلیک کنید و OU مقصد را انتخاب کنید . سپس بر روی OK کلیک کنید . در این جا من ، OU ای به نام Support را در دومین مقصد انتخاب میکنم . سپس بر روی Next کلیک می کنم.



در صفحه Password Options ، گزینه مناسب را انتخاب کنید.  در این جا من ، گزینه Migrate passwords را انتخاب می کنم که با انتخاب این گزینه عبارت DC2003.Contoso.com  در فیلد Password migration source DC نمایش داده می شود، سپس Next را انتخاب میکنم.



در صفحه Account Transition Options ، گزینه مناسب را انتخاب کنید.در این جا ، من گزینه های Target same as source و Migrate user SIDs to target domain را انتخاب کرده ام ، و سپس بر روی Next کلیک می کنیم.



در صفحه User Account ، یوزر/ پسورد برای اعتبار ADMT جهت اضافه کردن SID history را وارد کنید. در این جا ، من از اکانت Wiki\Administrator  استفاده کرده ام ، سپس بر روی Next کلیک کنید.



در صفحه User Options ، گزینه مناسب را انتخاب کنید . در اینجا من ، گزینه های Upgrade user rights و Fix users group memberships را انتخاب کرده ام ، سپس بر روی Next کلیک کنید.



در صفحه Object Property Exclusion ، گزینه های مناسب را انتخاب کنید . در اینجا من ، من تمام صفات (attributes)ها را انتخاب می کنم ، سپس Next را انتخاب کنید.



در صفحه Conflict Management ، گزینه Do not migrate source object if a conflict is detected in the target domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completting the User Account Migration Wizard  ، مروری بر قسمت Task description بکنید ، سپس بر روی Finish کلیک کنید.



بعد از کامل شدن مراحل ، بر روی View Log کلیک کنید.



حالا ، شما می توانید فایل لاگ Migration  را ببنید ، اگر عملیات Migration  شما failed شده باشد.



کنسول Active Directory Users and Computers را باز کنید ، OU ای به نام Support  را باز کنید و اکانت کاربری را که منتقل کرده اید را چک کنید.



حالا User2 در دومین wiki.com یک sID  جدید دارد  و sID مربوط به دومین contoso.com در sIDHistory ذخیره می شود.





3- ادغام کردن (Merging) کاربران (User)



من  می خواهم اکانت User3  در دومین contoso.com را با اکانت موجود (Ed Price) در دومین wiki.com را منتقل و ادغام کنم.

در این جا با کاربر Ed Price موجود در دومین wiki.com این عملیات را انجام می دهیم.



کاربر User3  در دومین contoso.com مورد نظر است.



در اینجا من یک فایل به اسم MergUser.txt می سازم .

SourceName,TargetSAM,TargetUPN
User3,Ed.Price,Ed.Price@Wiki.com




بر روی Strat ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Migration Tool را باز کنید . بر روی Active Directory Migration Tool کلیک راست کنید ، و User Account Migration Wizard را انتخاب کنید.



در صفحه Welcome to the User Account Migration Wizard ، بر روی Next کلیک کنید.




در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه User Selection Option ، گزینه Read objects from a include file را انتخاب کنید ، سپس بر روی Next کلیک کنید.




در صفحه Include File Selection ، در فیلد Include file ، فایلMergUser.txt  را انتخاب کنید ، در فیلد Source OU ، در دومین Contoso.com (دومین مبدا)، OU ای با نام Support  را انتخاب کنید.



بر روی Next کنید.



در صفحه Organizational Unit Selection ، در فیلد Target OU ، بر روی Browse  کلیک کنید و OU مقصد را انتخاب کنید . سپس بر روی OK کلیک کنید . در این جا من ، OU ای به نام Support را در دومین مقصد انتخاب میکنم . سپس بر روی Next کلیک می کنم.



در صفحه Password Options ، گزینه مناسب را انتخاب کنید.  در این جا من ، گزینه Migrate passwords را انتخاب می کنم که با انتخاب این گزینه عبارت DC2003.Contoso.com  در فیلد Password migration source DC نمایش داده می شود، سپس Next را انتخاب میکنم.



در صفحه Account Transition Options ، گزینه مناسب را انتخاب کنید.در این جا ، من گزینه های Target same as source و Migrate user SIDs to target domain را انتخاب کرده ام ، و سپس بر روی Next کلیک می کنیم.



در صفحه User Account ، یوزر/ پسورد برای اعتبار ADMT جهت اضافه کردن SID history را وارد کنید. در این جا ، من از اکانت Wiki\Administrator  استفاده کرده ام ، سپس بر روی Next کلیک کنید.




در صفحه User Options ، گزینه مناسب را انتخاب کنید . در اینجا من ، گزینه های Upgrade user rights و Fix users group memberships را انتخاب کرده ام ، سپس بر روی Next کلیک کنید.



در صفحه Object Property Exclusion ، گزینه های مناسب را انتخاب کنید . در اینجا من ، من تمام صفات (attributes)ها را می خواهم ، سپس Next را انتخاب کنید.



در صفحه Conflict Management ، گزینه Migrate and merge conflicting objects را انتخاب کنید ، گزینه Before merging remove user rights for existing target account را از حالت انتخاب  نکنید  و گزینه Move merged objects to the specified target Organizational Unit را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completting the User Account Migration Wizard  ، مروری بر قسمت Task description بکنید ، سپس بر روی Finish کلیک کنید.



بعد از کامل شدن مراحل ، بر روی View Log کلیک کنید.



حالا ، شما می توانید فایل لاگ Migration  را ببنید ، اگر عملیات Migration  شما failed شده باشد.



در سرور DC2003.contoso.com ، پنجره Command Prompt  را باز کنید و کامند زیر را اجرا کنید :

Dsquery * -filter "&(objectcategory=user)(sAMAccountName=User3)" -attr objectsid

حالا ، شما sID مربوط به کاربر User3 می توانید ببنید.



بعد از انتقال (migration)، در سرور DC2008R2.wiki.com ، پنجره Command Prompt را باز کنید و کامند زیر را اجرا کنید:

Dsquery * -filter "&(objectcategory=user)(sAMAccountName=User3)" -attr sIDHistory


حالا ، شما می بینید که sID  کاربر User3 به عنوان sIDHistory کاربر  Ed Price  می شود .







انتقال Group Account




حالا ، ما گروه Global security را انتقال می دهیم. که این گروه نامش  Group1  است و ما این گروه را از دومین Contoso.com به دومین Wiki.com انتقال می دهیم.



بر روی Strat ، سپس Administrative Tool کلیک کنید ، و کنسول Active Directory Migration Tool را باز کنید . بر روی Active Directory Migration Tool کلیک راست کنید  ، و گزینه Group Account Migration Wizard را انتخاب کنید.



��ر صفحه Welcome to the Group Account Migration Wizard ، بر روی Next کلیک کنید.



در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه Group Selection Option ، گزینه Select groups from domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Group Selection ، بر روی Add کلیک کنید ، و گروه مورد نظر را پیدا کنید و بر روی OK کلیک کنید .در اینجا من Group1 را انتخاب کرده ام.



بر روی Next کلیک کنید.



در صفحه Organizational Unit Selection ، گزینه Browse  را انتخاب کنید و OU مورد نظر در مقصد را انتخاب کنید ، سپس بر روی OK کلیک کنید.  در این جا OU ای که من در مقصد انتخاب کرده ام به اسم Support است.



در صفحه Organizational Unit Selection ، بر روی Next کلیک کنید.



در صفحه Group Options ، گزینه مناسب را انتخاب کنید . در اینجا من گزینه های Fix membership of group  و Migrate group SIDs to target domain را انتخاب کرده ام . سپس بر روی Next کلیک کنید.



در صفحه User Account ، یوزر/ پسورد برای اعتبار ADMT جهت اضافه کردن SID history را وارد کنید. در این جا ، من از اکانت Wiki\Administrator  استفاده کرده ام ، سپس بر روی Next کلیک کنید.



در صفحه Object Property Exclusion ، گزینه های مناسب را انتخاب کنید . در اینجا من ، من تمام صفات (attributes)ها را می خواهم ، سپس Next را انتخاب کنید.



در صفحه Conflict Management ، گزینه Do not migrate source object if a conflict is detected in the target domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completing the Group Account Migration Wizard ، بعد از مرور تنظیمات انجام شده سپس Finish را انتخاب کنید.



بعد از کامل شدن مراحل ، بر روی View Log کلیک کنید.



حالا ، شما می توانید فایل لاگ Migration  را ببنید ، اگر عملیات Migration  شما failed شده باشد.



کنسول Active Directory Users and Computers را باز کنید ، بر روی OU ای با نام Support  کلیک کنید ، و اکانت Group منتقل شده را چک کنید.



Security Translation - Local Profiles



1- روش  Normal



بر روی Start ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Migration Tool را باز کنید. بر روی Active Directory Migration Tool کلیک راست کنید ، و گزینه Security Translation Wizard را انتخاب کنید.



در صفحه Welcome to the Security Translation Wizard  ، بر روی Next کلیک کنید.



در صفحه Security Translation Option ، گزینه Previously migrated objects را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه Computer Selection Option ، گزینه Select computers from domain را انتخاب کنید ، و بر روی Next کلیک کنید.



در صفحه Computer Selection ، بر روی Add کلیک کنید  ، computers  مورد نظرتان را پیدا کنید و بر روی OK کلیک کنید . در اینجا من WINXP را انتخاب کرده ام.



بر روی Next کلیک کنید.



در صفحه Translate Objects ، گزینه های مورد نظرتان را انتخاب کنید . در این جا ، من به تمام گزینه ها احتیاج دارم . بر روی Next کلیک کنید.



در صفحه Security Translation Option ، گزینه Add را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completing the Security Translation Wizard ، تنظیمات انجام شده را مرور کنید ، سپس بر روی Finish کلیک کنید.



در صفحه Active Directory Migration Tool Agent Dialog ، گزینه Run pre-check and agent operation را انتخاب کنید ، سپس بر روی Start کلیک کنید.





پس از پایان عملیات ، بر روی Agent Detail کلیک کنید.



در صفحه %ComputerName% Agent Progress ، گزینه View log راانتخاب کنید و فایل لاگ را چک کنید.







2- خواندن Local Profiles از یک فایل



بر روی Start ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Migration Tool را باز کنید. بر روی Active Directory Migration Tool کلیک راست کنید ، و گزینه Security Translation Wizard را انتخاب کنید.



در صفحه Welcome to the Security Translation Wizard  ، بر روی Next کلیک کنید.



در صفحه Security Translation Option  ، گزینه Other objects specified in a file را انتخاب کنید . سپس بر روی Browse کلیک کنید.



اینجا به طور مثال من یک فایل به اسم (MigST.txt) برای پروفایل های user1 و user2 ساخته ام . که فرمت آن به صورت زیر باید باشد:

User SID in Source Domain,User SID in Target Domain



اگر شما نمی خواهید از فرمت SID  استفاده کنید ، می توانید از فرمت زیر همچنین برای ایجاد این فایل استفاده کنید :

SourceDomain\UserName,TargetDomain\UserName



فایلی را که ایجاد کرده اید را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Computer Selection ، بر روی Add کلیک کنید . و کامپیوتر مورد نظرتان را انتخاب کنید و سپس بر روی OK کلیک کنید . در اینجا من WIN7 را انتخاب کرده ام.



سپس بر روی Next کلیک کنید.



در صفحه Translate Objects ، گزینه های مورد نظرتان را انتخاب کنید . در این جا ، من به تمام گزینه ها احتیاج دارم . بر روی Next کلیک کنید.



در صفحه Security Translation Option ، گزینه Add را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Completing the Security Translation Wizard ، تنظیمات انجام شده را مرور کنید ، سپس بر روی Finish کلیک کنید.





در صفحه Active Directory Migration Tool Agent Dialog ، گزینه Run pre-check and agent operation را انتخاب کنید ، سپس بر روی Start کلیک کنید.










پس از پایان عملیات ، بر روی Agent Detail کلیک کنید. در صفحه %ComputerName% Agent Progress ، گزینه View log راانتخاب کنید و فایل لاگ را چک کنید.





انتقال Computer Account




قبل از اینکه ما computer account را اانتقال دهیم ، دو تنظیم زیر را حتما باید چک کنید :

1- بر روی دومین کنترلر مقصد RegEdit.exe را اجرا کنید ، و به در مسیر زیر registry key را پیدا کنید :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

و مطمئن شوید که در کلید رجیستری NullSessionPipes  دو مقدار LSARPC و Netlogon موجود باشد .



تنظیم این registry key ، برای Error ای است که در هنگام انتقال computer account رخ می دهد :

ERR3:7075 Failed to change domain affiliation, hr=800704f1 The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.

برای اطلاعات بیشتر لینک زیر را بخوانید :

ADMT, RODC’s, and Error 800704f1 (Ask the Directory Services Team)

2- کنسول Group Policy Management Editor را دومین کنترلر مقصد باز کنید ، و سپس Default Domain Controllers Policy را انتخاب کنید و گزینه Edit را انتخاب کنید ، به این مسیر بروید Computer Configuration\Policies\Administrative Templates\System ، بر روی Net Logon را کلیک کنید ، و سپس بر روی Allow cryptography algorithms compatible with Windows NT 4.0  دابل کلیک کنید ، و گزینه Enabled را انتخاب کنید.



این تنظیم GPO برای error انتقال computer account است :

ERR3:7075 Failed to change domain affiliation, hr=800704f1 The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.

برای اطلاعات بیشتر لینک زیر را بخوانید :

The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default (KB94256

حالا ، ما میتوانیم computer accounts ها را انتقال دهیم :

بر روی Start ، سپس Administrative Tool کلیک کنید ، کنسول Active Directory Migration Tool را باز کنید . بر روی Active Directory Migration Tool راست کلیک کنید ، و گزینه Computer Migration Wizard را انتخاب کنید.



در صفحه Welcome to the Computer Migration Wizard  ، بر روی Next کلیک کنید.



در صفحه Domain Selection ، دومین Source و Target را انتخاب کنید ، شما می توانید دومین کنترلر خاصی را برای این کار انتخاب کنید ، البته اگر چندین دومین کنترلر داشته باشید . در TestLAB ام ، دومین مبدا contoso.com و نام دومین کنترلر DC2003.Contoso.com است ، و دومین مقصد Wiki.com است که اسم سرور دومین کنترلر DC2008R2.Wiki.com است . سپس بر روی Next کلیک کنید.



در صفحه Computer Selection Option ، گزینه Select computers from domain را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه Computer selection ، بر روی Add کلیک کنید ، computers را در دومین مبدا پیدا کنید وانتخاب کنید (در TestLAB  منظور از دومین مبدا contoso.com است) و سپس بر روی OK کلیک کنید . در اینجا من WIN7 و WINXP را انتخاب کرده ام.



در صفحه Computer Selection ، بر روی Next کلیک کنید.



در صفحه Organizational Unit Selection ، بر روی Browse  کلیک کنید و OU مقصد را انتخاب کنید ،سپس بر روی OK کلیک کنید . در اینجا ، OU مقصد من کانتینر Computers است .



در صفحه Organizational Unit Selection ، بر روی Next کلیک کنید .



در صفحه Translate Objects ، گزینه مورد نظرتان را مشخص کنید . در این جا ، من تمامی موارد را نیاز دارم . سپس بر روی Next کلیک کنید.



در صفحه Security Translation Option ، بر روی Add کلیک کنید ، سپس بر روی Next کلیک کنید.



در صفحه Computer Options  ، زمان مورد نظرتان را انتخاب کنید سپس بر روی Next کلیک کنید . در اینجا ، من بر روی 1 Minutes تنظیم کرده ام.



در صفحه Object Property Exclusion ، گزینه های مورد نظرتان را انتخاب کنید . در اینجا ، من تمام attributes ها را میخواهم ، سپس بر روی Next کلیک کنید.



در صفحه Conflict Management ، گزینه Do not migrate source object if a conflict is detected in the target domain  را انتخاب کنید ، سپس بر روی Next کلیک کنید.



در صفحه  Completing the Computer Migration Wizard ، بعد از مرور تنظیمات ، بر روی Finish کلیک کنید.



بعد از کامل شدن عملیات ، بر روی View Log کلیک کنید .



حالا ، شما می توانید فایل لاگ Migration  را ببنید ، اگر عملیات Migration  شما failed شده باشد.



بعد از بستن فایل لاگ ، پنجره Active Directory Migration Agent Dialog به صورت خودکار باز می شود . در صفحه  Active Directory Migration Tool Agent Dialog ، گزینه Run pre-check and agent opration را انتخاب کنید ، سپس بر روی Start کلیک کنید.





بعد از اینکه عمیلات مربوط به Agent تمام شد ، کلاینت به صورت خودکار ریستارت می شود.



در فایل Warning  دارید که مشکلی نیست (WRN1:7347) . زیرا ما پروفایل user را منتقل (translate) کرده ایم .





بعد از ریستارت  ، Post-check به صورت خودکار اجرا می شود.



حالا ، computer  به صورت کامل منتقل شده است .



بر روی client لاگین کنید ، بر روی Computer لاگین کنید ، Properties  را انتخاب کنید و عبارت های Domain  و  Full computer name را چک کنید.



بعد از انتقال (migration) ،کاربر Wiki\User1 نیاز دارد که برای اولین بار بر روی کلاینت لاگین کند .



می بنید ، که شما را اجبار میکند که پسورد را تغییر دهید .












استفاده از ADMT 2.3 برای انتقال به دومین 2012


اگر شما احتیاج به migration  از دومین کنترلر 2003 به دومین کنترلر 2012 دارید ، تا کنون ADMT  برای ویندوز سرور 2012 نیست .

شما می توانید فانکشنال لول forest   و دومین را به Windows Server 2008 R2 پایین (downgrade ) بیاورید ، و یک ادیشنال دومین کنترلر  2008 R2 نصب کنید و حالا از ADMT 3.2 برای انتقال (migration) استفاده کنید . بعد از اینکه migration  کامل شد ، شما میتوانید دومین کنترلر 2008R2 را از دور خارج کنید (demote). و FFL و DFT  را به Windows Server 2012 ارتقا (raise ) دهید.

برای اطلاعات بیشتر لینک زیر را بخوانید :

ADMT 3.2 and PES 3.1 installation errors on Windows Server 2012 (KB2753560)




قسمت اول





قسمت دوم




لینک اصلی مقاله


Refrence Link : http://social.technet.microsoft.com/wiki/contents/articles/16621.interforest-migration-with-admt-3-2-part-3.aspx