Directiva de soporte técnico y problemas conocidos para la herramienta de migración de Active Directory

En este artículo se describe información sobre el nivel actual de compatibilidad con Active Directory Migration Tool (ADMT) en los sistemas operativos Windows Client y Windows Server actuales. En este artículo también se enumeran los problemas conocidos que pueden experimentar los administradores al intentar migrar perfiles de usuario, entidades de seguridad, contraseñas o datos del historial de identificadores de seguridad (sIDHistory) entre dominios y bosques de Active Directory.

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 4089459

Soporte técnico de Microsoft por sistema operativo

ADMT se lanzó como descarga gratuita para admitir la migración a sistemas operativos de la era Windows 2000/Windows Server 2003.

ADMT no se ha actualizado para admitir los siguientes sistemas operativos:

• Windows 11
• Windows 10
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Al ejecutar ADMT en sistemas operativos que no se admiten, es posible que experimente los siguientes problemas conocidos:

• ADMT no puede migrar perfiles de usuario de sistemas operativos posteriores a Windows 7 o Windows Server 2008 R2 a otros sistemas operativos. ADMT tampoco puede migrar perfiles de usuario a sistemas operativos posteriores a Windows 7 o Windows Server 2008 R2 desde sistemas operativos anteriores.
• ADMT no es compatible con los valores predeterminados seguros que usan los sistemas operativos modernos.
• ADMT no se ha probado junto con versiones posteriores de Microsoft SQL Server. Si usa ADMT en tales circunstancias, es posible que vea incompatibilidades u otros problemas.

Directiva de caso de soporte técnico de Windows comercial

Microsoft controla completamente los casos de soporte técnico para los problemas de ADMT con el "mejor esfuerzo". Es posible que los casos de soporte técnico no se escalen a los equipos de producto. Microsoft no puede garantizar que se resuelvan los problemas.

Directiva de soporte técnico de nivel de código

La base de código de ADMT 3.2 ha quedado en desuso. Microsoft ha detenido oficialmente cualquier desarrollo en la base de código de ADMT. ADMT no es apto para correcciones de seguridad, correcciones de errores ni cambios de diseño.

Escenarios comunes de soporte técnico y problemas conocidos

En esta sección se enumeran los problemas más comunes que puede experimentar al usar ADMT.

ADMT no se ejecutará en dispositivos que tengan habilitado Windows Defender Credential Guard

Problema: verá errores similares a los siguientes:

No se pudo mover el objeto de origen CN=User1. Compruebe que la cuenta del autor de la llamada no está marcada como confidencial y, por lo tanto, no se puede delegar. hr=0x8009030e. No hay credenciales disponibles en el paquete de seguridad.

Solución: deshabilite temporalmente Credential Guard en el servidor DE ADMT.

El tema Administrar Windows Defender Credential Guard proporciona un script que deshabilita Credential Guard. Además de ejecutar el script, deshabilite la configuración del equipo\Plantillas administrativas\System\Device Guard\Secure Launch Configuration directiva de grupo Object (GPO). De lo contrario, el equipo volverá a habilitar Credential Guard la próxima vez que se inicie.

Los controladores de dominio no pueden usar la delegación sin restricciones

Problema: durante el proceso de migración, ADMT requiere que los controladores de dominio usen la delegación sin restricciones. Esta práctica ya no se permite ni se recomienda.

Solución: instale y ejecute aplicaciones de ADMT en el controlador de dominio de destino. Esta configuración elimina la necesidad de delegación.

Las aplicaciones modernas no se inician para un usuario que usa un perfil de usuario migrado

Problema: cuando se usa ADMT 3.2 para migrar un perfil de usuario a un equipo cliente de Windows y, a continuación, se ejecuta el Asistente para traducción de seguridad para actualizar el perfil, las aplicaciones modernas no se ejecutan. Estas aplicaciones incluyen aplicaciones integradas (como el menú Inicio de Windows y Búsqueda) y aplicaciones instaladas desde la Tienda Windows.

Las migraciones entre bosques son las que tienen más riesgo para este comportamiento. Esto se debe a que las cuentas de usuario migradas dentro del bosque no se pueden restaurar al dominio de origen original.

Solución: después de completar la migración, desinstale las aplicaciones modernas y vuelva a instalarlas desde la Tienda Windows.

Para obtener más información sobre este problema, consulta Aplicación de Windows no se puede iniciar después de que la traducción de seguridad de ADMT 3.2 se ejecute en Windows 8, Windows 8.1 y Windows 10.

La traducción de seguridad restablece las asociaciones de archivos

Problema: migre un perfil de usuario y, a continuación, ejecute el Asistente para traducción de seguridad en el modo Agregar. Al iniciar sesión en el equipo por primera vez después de la migración, se usan las credenciales de usuario originales (origen) en lugar de las credenciales de usuario migradas (de destino). Las asociaciones de archivos se restablecen a sus valores predeterminados y se pierden las asociaciones personalizadas.

En Windows 10, una asociación de archivos personalizada está protegida contra modificaciones no deseadas mediante un hash que se basa en parte en el identificador de seguridad (SID) del usuario. La asociación de archivos personalizados y el hash se almacenan en el Registro. Cuando el usuario se migra a un nuevo dominio, la nueva cuenta de usuario recibe un nuevo SID. Todos los hashes de asociación de archivos deben actualizarse en consecuencia.

Solución: en cuanto finalice la migración, deshabilite la cuenta de usuario de origen. Esta acción impide que se produzca el problema.

Los objetos que tienen objetos secundarios no se migran

Problema: cuando ADMT intenta migrar un objeto que tiene un objeto secundario, se produce un error en la migración y ADMT registra la siguiente entrada en el registro de errores de migración:

Error 7422: No se pudo mover el objeto de origen CN=<nombre >del objeto. hr=0x8007208c No se puede realizar la operación porque existen objetos secundarios. Esta operación solo se puede realizar en un objeto secundario.

Algunos ejemplos de objetos secundarios que bloquean la migración incluyen, pero no se limitan a, lo siguiente:

• Exchange Active Sync
• Microsoft Dynamic GP
• Licencias de TermSrv
• Citrix SSOSecret y SSOConfig

Solución: tiene que eliminar el objeto secundario (también conocido como objeto hoja) para migrar el objeto primario. Por ejemplo, tendría que eliminar el objeto Exchange ActiveSync. De lo contrario, no hay ninguna solución alternativa conocida.

Se produce un error en la migración de equipos en dispositivos que tienen sufijos DNS personalizados

Problema: durante una migración entre bosques, se migran equipos que están configurados para conservar su sufijo DNS principal cuando cambia su pertenencia a dominio. Se produce un error en la comprobación posterior a la migración de ADMT cuando ADMT intenta comprobar la pertenencia al dominio del equipo migrado. Los mensajes de error son similares a los siguientes ejemplos:

Error 7711: No se puede recuperar el nombre de host DNS del equipo "workstation1.contoso.com" migrado. La propiedad ADSI no se encuentra en la memoria caché de propiedades. (hr=0x8000500d) La comprobación posterior se volverá a intentar en el equipo "workstation1"

Error 7709: Error posterior a la comprobación en el equipo "workstation1.contoso.com"

Error 7675: No se puede comprobar que el equipo migrado "workstation1" pertenece al dominio "tailspintoys.com". Acceso denegado. (hr=0x80070005)

Para comprobar esta configuración, abra las propiedades del sistema en el equipo. Para ello, seleccione Iniciar>configuración>Acerca de>la configuración avanzada del> sistemaNombre del> equipoCambiar>más. Si no se selecciona Cambiar el sufijo DNS principal cuando no se selecciona la pertenencia a un dominio , el equipo se ve afectado por este problema.

Solución: Pruebe uno de los métodos siguientes:

• Configuración manual. Después de unir el equipo al dominio de destino, quite los SPN de la cuenta del dominio de origen. Como alternativa, puede eliminar la cuenta de equipo en el dominio de origen.

• Configuración del archivo de respuesta. Use SyncDomainWithMembership. Puede establecer en SyncDomainWithMembership1. Esto equivale a habilitar cambiar el sufijo DNS principal cuando cambia la pertenencia al dominio. A continuación, durante la migración, el equipo registra SPN que coinciden con el nuevo dominio y ya no entran en conflicto.

ADMT 3.2 no se inicia si TLS 1.0 está deshabilitado en el host de base de datos SQL Server

Problema: en un dispositivo que hospeda una base de datos de SQL Server, ADMT 3.2 no se inicia y muestra errores de seguridad SSL si TLS 1.0 se ha deshabilitado. Esto ocurre incluso si ADMT está instalado en el mismo equipo que la instancia de SQL Server. El mensaje de error es similar al siguiente:

El sistema no puede encontrar el archivo especificado.

Solución: en el equipo en el que está instalado ADMT, habilite temporalmente TLS 1.0. ADMT funciona incluso si TLS 1.0 está deshabilitado en el controlador de dominio.

Se produce un error en el servidor de exportación de contraseñas (PES) si la protección de LSA está habilitada

Problema: se produce un error en la migración de contraseñas y se genera un mensaje de error similar al siguiente:

No se puede establecer una sesión con el servidor de exportación de contraseñas. El servidor RPC no está disponible.

Solución: la migración de contraseñas de ADMT solo funciona si la protección de LSA está deshabilitada.

Los perfiles locales no se migran

Problema: al ejecutar ADMT 3.2 y el Asistente para traducción de seguridad, ADMT migra cuentas de usuario locales, pero no perfiles locales.

Solución: este comportamiento es por diseño.

Más información

ADMT está disponible para su descarga en la versión 3.2 de La herramienta de migración de Active Directory.