このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
この記事では、現在の Windows クライアントおよび Windows Server オペレーティング システムでの Active Directory 移行ツール (ADMT) の現在のサポート レベルに関する情報について説明します。 この記事では、Active Directory ドメインとフォレストの間でユーザー プロファイル、セキュリティ プリンシパル、パスワード、またはセキュリティ識別子履歴 (sIDHistory) データを移行しようとしたときに管理者が発生する可能性がある既知の問題についても説明します。
元の KB 番号: 4089459
ADMT は、Windows 2000/Windows Server 2003 時代のオペレーティング システムへの移行をサポートする無料ダウンロードとしてリリースされました。
ADMT は、次のオペレーティング システムをサポートするように更新されていません。
サポートされていないオペレーティング システムで ADMT を実行すると、次の既知の問題が発生する可能性があります。
重要
ADMT の使用経験は、移行する Windows のバージョンや移行する Windows のバージョンなど、さまざまな要因によって異なります。 このツールは、ご自身の責任で使用してください。
Microsoft は、ADMT の問題のサポート ケースを完全に "ベスト エフォート" で処理します。 サポート ケースが製品チームにエスカレートされない場合があります。 Microsoft では、問題が解決されることを保証できません。
ADMT 3.2 コード ベースは非推奨になりました。 Microsoft は、ADMT コード ベースでの開発を正式に停止しました。 ADMT は、セキュリティ修正、バグ修正、設計変更の対象ではありません。
このセクションでは、ADMT を使用するときに発生する可能性がある最も一般的な問題の一覧を示します。
重要
これらの問題の多くは、Windows の機能またはセキュリティが向上した変更が原因で発生します。 これらの問題に対するいくつかの解決策には、これらの改善を無効にする Windows に一時的な変更を加える必要があります。 これらのソリューションは、ご自身の責任で使用してください。
問題: 次のようなエラーが表示されます。
ソース オブジェクト CN=User1 の移動に失敗しました。 呼び出し元のアカウントが機密としてマークされていないため、委任できないことを確認します。 hr=0x8009030e。 セキュリティ パッケージで利用できる資格情報がありません。
解決策: ADMT サーバーで Credential Guard を一時的に無効にします。
重要
Credential Guard の構成を変更する前に、セキュリティ チームに問い合わせてください。 変更を行う前に、ADMT サーバーをバックアップします。
Manage Windows Defender Credential Guard トピックでは、Credential Guard を無効にするスクリプトを提供します。 スクリプトの実行に加えて、 Computer Configuration\Administrative Templates\System\Device Guard\Secure Launch Configuration Group Policy Object (GPO) を無効にします。 それ以外の場合、コンピューターは次回起動時に Credential Guard を再び有効にします。
注意
Windows Server 2022 を実行するデバイスでは、ここで説明する GPO が 未構成に設定されている場合、Credential Guard が有効になります。
問題: 移行プロセス中に、ADMT ではドメイン コントローラーが 制約のない委任を使用する必要があります。 この方法は、許可も推奨もされなくなりました。
解決策: ターゲット ドメイン コントローラーに ADMT アプリをインストールして実行します。 この構成により、委任が不要になります。
問題: ADMT 3.2 を使用してユーザー プロファイルを Windows クライアント コンピューターに移行した後、セキュリティ翻訳ウィザードを実行してプロファイルを更新すると、最新のアプリケーションは実行されません。 これらのアプリには、組み込みのアプリ (Windows スタート メニューや検索など) と、Windows ストアからインストールされるアプリの両方が含まれます。
フォレスト内の移行は、この動作のリスクが最も高い。 これは、フォレスト内に移行されたユーザー アカウントを元のソース ドメインに復元できないためです。
解決策: 移行が完了したら、最新のアプリをアンインストールしてから、Windows ストアから再インストールします。
この問題の詳細については、「 Windows App cannot start after ADMT 3.2 security translation runs in Windows 8, Windows 8.1 and Windows 10.
問題: ユーザー プロファイルを移行した後、セキュリティ翻訳ウィザードを追加モードで実行します。 移行後に初めてコンピューターにサインインするときは、移行された (ターゲット) ユーザー資格情報ではなく、元の (ソース) ユーザー資格情報を使用します。 ファイルの関連付けは既定値にリセットされ、カスタム関連付けはすべて失われます。
Windows 10 では、カスタム ファイルの関連付けは、ユーザーのセキュリティ識別子 (SID) の一部に基づくハッシュを使用して、不要な変更から保護されます。 カスタム ファイルの関連付けとハッシュはレジストリに格納されます。 ユーザーが新しいドメインに移行されると、新しいユーザー アカウントは新しい SID を受け取ります。 すべてのファイル関連付けハッシュは、それに応じて更新する必要があります。
解決策: 移行が完了したらすぐに、ソース ユーザー アカウントを無効にします。 このアクションにより、問題が発生するのを防ぐことができます。
問題: ADMT が子オブジェクトを持つオブジェクトを移行しようとすると、移行が失敗し、ADMT によって次のエントリが移行エラー ログに記録されます。
エラー 7422: ソース オブジェクト CN=<object name> を移動できませんでした。 hr=0x8007208c 子オブジェクトが存在するため、操作を実行できません。 この操作は、子オブジェクトに対してのみ実行できます。
移行をブロックする子オブジェクトの例をいくつか次に示しますが、これらに限定されません。
解決策: 親オブジェクトを移行するには、子オブジェクト (リーフ オブジェクトとも呼ばれます) を削除する必要があります。 たとえば、Exchange ActiveSync オブジェクトを削除する必要があります。 それ以外の場合は、既知の回避策はありません。
問題: フォレスト間の移行中に、ドメイン メンバーシップが変更されたときにプライマリ DNS サフィックスを保持するように構成されているコンピューターを移行します。 ADMT が移行後のコンピューターのドメイン メンバーシップを確認しようとすると、ADMT の移行後のチェックが失敗します。 エラー メッセージは次の例のようになります。
エラー 7711: 移行されたコンピューター 'workstation1.contoso.com' の DNS ホスト名を取得できません。 ADSIプロパティがプロパティキャッシュに見つかりません。 (hr=0x8000500d)後チェックはコンピューター 'workstation1' で再試行されます
エラー 7709: コンピューター 'workstation1.contoso.com' でチェック後に失敗しました
エラー 7675: 移行されたコンピューター 'workstation1' がドメイン 'tailspintoys.com' に属しているかどうかを確認できません。 アクセスが拒否されました。 (hr=0x80070005)
この構成を確認するには、コンピューターの System プロパティを開きます。 これを行うには、 Start>Settings>About>Advanced システム設定>Computer Name>Change>More を選択します。 ドメイン メンバーシップが変更されたときに Change プライマリ DNS サフィックス が選択されていない場合、コンピューターはこの問題の影響を受けます。
解決策: 次のいずれかの方法を試してください。
手動構成。 コンピューターをターゲット ドメインに参加したら、ソース ドメインのアカウントから SPN を削除します。 または、ソース ドメイン内のコンピューター アカウントを削除することもできます。
応答ファイルの構成。 SyncDomainWithMembership を使用します。 SyncDomainWithMembershipを 1 に設定できます。 これは、ドメイン メンバーシップが変更されたときに Change プライマリ DNS サフィックスを有効にするのと同じです。 その後、移行中に、コンピューターは新しいドメインと一致し、競合しなくなった SPN を登録します。
問題: SQL Server データベースをホストするデバイスでは、ADMT 3.2 が起動せず、TLS 1.0 が無効になっていると SSL セキュリティ エラーが表示されます。 これは、SQL Server インスタンスと同じコンピューターに ADMT がインストールされている場合でも発生します。 エラー メッセージは次のようになります。
指定されたファイルが見つかりません。
解決策: ADMT がインストールされているコンピューターで、TLS 1.0 を一時的に有効にします。 ADMT は、ドメイン コントローラーで TLS 1.0 が無効になっている場合でも機能します。
重要
TLS 1.0 を有効にする前に、セキュリティ チームに問い合わせてください。
問題: パスワードの移行が失敗し、次のようなエラー メッセージが生成されます。
パスワード エクスポート サーバーとのセッションを確立できません。 RPC サーバーが利用できません。
解決策: ADMT パスワードの移行は、LSA 保護が無効になっている場合にのみ機能します。
重要
LSA 保護の構成を変更する前に、セキュリティ チームに問い合わせてください。 変更を行う前に、コンピューターをバックアップします。
問題: ADMT 3.2 とセキュリティ変換ウィザードを実行すると、ADMT はローカル ユーザー アカウントを移行しますが、ローカル プロファイルは移行しません。
解決方法: この動作は仕様です。
ADMT は、 Active Directory Migration Tool バージョン 3.2 でダウンロードできます。
トレーニング
モジュール
Active Directory Domain Services の移行 - Training
ドメイン コントローラーを Windows Server 2025 に移行するための最適なアプローチを決定します。 Active Directory 移行ツールでフォレスト内のドメインを統合する方法、またはドメインを新しい AD DS フォレストに移行する方法について確認します。
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。