» Поделитесь опытом по юзанию ADMT

Привет, Олл!

Поделитесь опытом по поводу работы с сабжем. Мелкомагкие доки я читал, получил этот самый ключ командой ADMT KEY MYDOMAIN c:\
Что мне с этим ключем теперь делать? Куда пихать его на новом сервере?
И как быть с пользователями, которых надо тоже перетащить?
Ламерский, конечно вопрос, но тем немение... и если можно без отсылки на доки, лучше личный опыт.

почитай вот тут...
http://support.microsoft.com/default.aspx?scid=kb;ru;326480

сам еще не пробовал. буду в скорости тестить, а вообще есть аналогичный софт от www.pointdev.com
Ideal Migration
только к версии 3.0 нет клЮча... у меня есть рабочая версия 2.15. если хочешь могу поделиться.
Пиши в ПМ

good luck & good frag's

Я пользовался этой утилитой для миграции одного домена с Windows NT на AD, предварительно сделав конкурс. Использование в тестлабе Ideal Migration дало отрицательные результаты. ADMT всё сделала без запинки.

К сожалению, по схеме с ключом не смогу подсказать-под руками нет уже сейчас.

А документация достаточно прозрачная, как в ней - так и на практике.
Успехов!

подскажите. миграция с NT на W2k3
все настроил как надо, включил юзера, под которым логинюсь на 2003 сервер в группу админов на 2003 и на NT. настроил трастинг. но: не могу включить группу админов с NT в группу админов 2003. он просто не видит этого домена. но в сетевом окружении нормально в него заходит. при попытке запуска миграции пишет ошибку "server NT not operational (error code = 8250)" в реестре на NT прописал что нужно. группы Everyone на 2003 включил. в чем поблема?

Подскажите, кто мигрировал домен Win2003 из одного леса в другой, насколько прозрачно для конечных пользователей это происходит при использовании утилиты ADMT? Как миграция отражается на них или они приходят утром, регистрируются в ПК и духом не ведают, что их ПК и они сами уже в другом домене с другим именем?

Xless
Да интересный вопрос.
Я например пробывал деструктурировать домен, но к сожалению домен, который я хотел переставить - является корневым доменом леса, такой переставить нельзя - единственный вариант - миграция. У меня немного другой случай - w2k3 -> w2k3. Просто надо перекроить AD. В домене есть Exchange 2003, боюсь это усложнит процесс переноса.

Собираюсь шалить с ADMT.... посмотрю на результаты.
Очень нужны перцы которые имеют опыт обращения с такой утилитой, ждёмс комменатриев и советов

Прозрачно для пользователей не получилось ,в моей практике.Пришлось руками втягивать в новый домен и бодаться с профилями и настройками на Exchange. Многое конечно можно автоматизировать,ну это дело вкуса и соотношения пользователей и рабочих рук.
Тянуться пароли ,sid history,groups membership. Не тянуться группы Domain Admins и т.д. Соответственно и administrator тоже не тянется. Много можно почитать на microisoft.com без шуток. Даже на русском есть статейки. А так ман в руки тот что с admt идет и будет вам счастье.

Пароли и пользователей перенес. Начал переносить компьютер - в новый домен преписывается, агента на компьютер отсылает. Агент успешно устанавливается на компьютере и ничего не делает ни профили ни реестр ни принтеры ни пр. В логах пишет: агент начал работать. Все. Что за ерунда?

rouel

Цитата:

Агент успешно устанавливается на компьютере и ничего не делает ни профили ни реестр ни принтеры ни пр. В логах пишет: агент начал работать. Все. Что за ерунда?

Та же фигня наблюдалась,никак не победил.Пришлось руками.

rouel
netman
У меня всё вроде ок
получилось всё.

Tumer
А как с компами которые в домен входят,получилось автоматом перетянуть?

netman
ага. работает. без перезагрузки компа не обойтись.
в общем схема:

форест траст полный
аккаунт сурс домена должен быть в группе администраторов(только в неё включить и получится) в целевом лесу: корневом домене и в домене целевом.

для миграции паролей: генерим ключ *.pes команда: admt key, ставим, используя сгенерённый ключ, драйвер "dll" миграции паролей: pwdmig.exe (нужно распаковать admt.exe он будет в нём)
правим реестр сурс домен контроллера: localmachine\currentcontкolset\system\lsa\allowpassmig (сильно не точно надо искать в реестре, или уточнить )

и вперёд. всё мигрируется чудесно.

мигрируются и группы и пользователи и машины. машины в процессе миграции требуют запуска агентов миграции.


момент: не известно как будут реагировать на миграцию ISA. думаю SMS тащить просто НЕРЕАЛЬНО, нуно ставить новый в целевом, это будет самое правильное решение. Такая же история с экченджем, и sharepoint/project. Наиболее хитро с эксченджем, до сих пор бьюсь. Тестовый эксчендж перетащил ящики без проблем, но продакшен, видимо сильно наворочен, не хочет и всё, вечно валится ошибка 13002, не может найти запись x500. Всё перерыл, пока безрезультатно. бьюсь

Нашел инструкцию только на английском... Есть ли на русском? 300 страниц на английском, я плохо перевариваю...
Может есть пошаговая инструкция?

У меня два домена с полным доверием. Нужно перенести учетки из Домена А(исходный) в Домен Б(целевой), с паролями...

1. Устанавливаю ADMT на Домен Б(целевой).
2. Запскаю на домене Б
admt key /option:create /sourcedomain:SourceDomain/keyfile:KeyFilePath/keypassword:{password|*}
3. Шарю ключик.
4. В Исходном домене А заускаю PES подставляю туда зашаренный ключик.
5. Во время установки PES пробовал выбирать и Local System account и учетку из целевого Домена Б...
6. Делаю рестарт сервера и запускаю службу PES
7. На Целевом домене Б запускаю ADMT... Когда дохожу до миграции паролей - получаю надпись:

Unable to establish a session with the password export server. Access denied


Помогите пожалуйста...

Nilfgardec у тебя явная нехватка прв. почитай пост товарища Tumer

Подготовка к миграции домена:
1. Установить утилиту ADMT на контроллере домена в старом домене.
2. Удостовериться что новый домен находится в nativ mode.
3. Установить двухсторонние доверительные отношения между старым и новым доменами.
4. Настроить репликацию WINS между серверами WINS старого и нового доменов.
5. В новом домене изменить Default Domain Controllers Policy - открыть Computer Configuration/
Windows Settings/ Security Settings/ Local Policies/ Security Options/ Network access/ - включить
опцию Let Everyone permissions apply to anonymous users.
6. Добавить группу Everyone в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup "Pre-Windows 2000 Compatible Access" Everyone /add.
7. Добавить группу Anonymous Logon в группу Pre-Windows 2000 Compatible Access, запустив команду
net localgroup "Pre-Windows 2000 Compatible Access" "Anonymous Logon" /add.
8. Перезагрузить контроллер домена.
9. Создать в старом домене (например в домене firma) пустую локальную группу firma$$$.
10. Удостовериться в том, что все подключенные сетевые диски между контроллерами старого и нового
доменов отключены.
11. На PDC старого домена в реестре создаем запись HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Control\Lsa\TcpipClientSupport:REG_DWORD и задаем значение - 0х1. Этот сервер будет
выступать как исходный контейнер для пользователей, групп и компьютеров.
12. Перезагружаем контроллер домена.
13. На контроллере домена старого домена (например в домене firma.local) на котором установлен
ADMT установить дискету в дисковод а и из командной строки перейти в каталог в котором
установлен ADMT и набрать команду admt key firma.local a: * В ответ на запрос - ввести пароль.
14. С установочного диска Windows 2003 Server из каталога \i386\Admt запустить программу
Pwdmig.exe.
15. При запросе сохраненного файла паролей - указать путь к дискете, созданной в п. 13.
16. Учетная запись, под которой планируется осуществить миграцию домена, должна обладать
следующими правами - быть членом в группе Administrators старого домена, администратором
на всех компьютерах, которые необходимо мигрировать, членом Domain Admins в новом домене.
17. Должен быть включен аудитуправления учетными записями пользователей и групп в старом
и новом доменах.
18. С помощью утилиты Netdom необходимо разрешить применение механизма SIDHistory, выполнив
на контроллере нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /enablesidhistory:yes
19. С помощью утилиты Netdom необходимо отключить фильтрацию SID, выполнив на контроллере
нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /quarantine:no


Миграция:
1. Мигрируем глобальные и универсальные группы с включением опций Update user rights и
Migrate group SIDs to target domain.
2. Мигрируем пользователя с включенными опциями Migrate password, Enable target accounts,
Migrate user SIDs to target domain, Update user rights, Fix users group memberships.
3. Перед миграцией компьютера проверяем входит ли учетная запись под которой планируется
осуществить миграцию в группу локальных администраторов, отключаем все файерволы и
останавливаем их службы, проверяем запущены ли службы "Удаленный вызов процедур (RPC)" и
"Удаленный реестр". При миграции, если к компьютеру локально не подключены принтеры, то
устанавливаем все флажки кроме printers, если принтер подключен, то устанавливаем и этот
флажок.



Вот вроде и все. При миграции важен следующий порядок: сначала мигрируем группы, затем
пользователя и только потом компьютер на котором находится профиль пользователя, иначе
у пользователя в новом домене появится новый профиль и все его настройки потеряются.
Компьютер рекомендуется мигрировать сразу после пользователя. Необходимо иметь ввиду,
что если миграция группы и пользователя занимает несколько секунд, то миграция компьютера
может занять несколько часов, в зависимости от объема данных и мощности компьютера.

удалил пост

удалил пост

Цитата:

Вот вроде и все. При миграции важен следующий порядок: сначала мигрируем группы, затем
пользователя и только потом компьютер на котором находится профиль пользователя, иначе
у пользователя в новом домене появится новый профиль и все его настройки потеряются.
Компьютер рекомендуется мигрировать сразу после пользователя. Необходимо иметь ввиду,
что если миграция группы и пользователя занимает несколько секунд, то миграция компьютера
может занять несколько часов, в зависимости от объема данных и мощности компьютера.

Профиль не переносится... Тоесть нет переноса документов, настроек десктопа и так далее... Фактически создается новый профиль. Хотя делаю все так, как написано выше...
Что сделать?

мастер переноса нормально запускается на целевой машине? какая версия адмт?

делаю всё как описано выше... получаю вот такую ошибку:

2008-08-15 10:59:35
2008-08-15 10:59:35 Миграция в Active Directory начинается...
2008-08-15 10:59:35 Запуск репликации учетных записей.
2008-08-15 10:59:38 Миграция учетных записейWriteChanges:No FORAFARM TD CopyUsers:Yes CopyGlobalGroups:No CopyLocalGroups:No CopyComputers:No
2008-08-15 10:59:38 ERR2:7600 Не удается провести опрос глобального каталога конечного леса для проверки уникальности имени пользователя-участника (UPN) "doseykina@TD.lan". Атрибут UPN не будет установлен. Указанный домен не существует или к нему невозможно подключиться.
2008-08-15 10:59:38 CN=Досейкина Ирина - создано
2008-08-15 10:59:38 Операция завершена.

доверие работает, контроллеры домена друг друга пингуют, заходят друг на друга...
почему не удаётся подключиться к домену ума не приложу... может что-нибудь подскажите?!

А под каким юзером делаешь это? Юзер должен входить в группу Domain Admins

Доброго времени суток всем
Если кто сталкивался, помогите плиз, уже не знаю где порыться, при попытке миграции выдает следующую ошибку

"Unable to establisha session with the password export server. Access is denied"

vggu06
Предыдущую страницу прочитай, там этот вопрос поднимали.

у меня на пунктах

18. С помощью утилиты Netdom необходимо разрешить применение механизма SIDHistory, выполнив
на контроллере нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /enablesidhistory:yes
19. С помощью утилиты Netdom необходимо отключить фильтрацию SID, выполнив на контроллере
нового домена следующую команду:
netdom trust firma.domain.old /domain:firma.domain.new /quarantine:no

на контроллере нового домена говорят что access denied.

у пользователя права domain admins

klimusu
у юзера права домайэйн админс должны быть в обоих доменах

VovaMozg
они есть, и там и там.

Eluvatar по твоей инструкции после инсталляции сервера паролей, как его запускать после перезагрузки сервера ?
У меня опять выдает:

Unable to estabilish a session with the password export server. The specified service does not exist as an installed.

Ответьте если не трудно.

Народ, мне кто-нибудь поможет ?

Кто знает, можно ли с помощью admt v.3 перенести пользователей и компьютеры с win2003 enterprise на win2003 std?