Active Directory 移行ツールのサポート ポリシーと既知の問題

  • [アーティクル]

この記事では、現在の Windows クライアントおよび Windows Server オペレーティング システムでの Active Directory 移行ツール (ADMT) の現在のサポート レベルに関する情報について説明します。 この記事では、管理者が Active Directory ドメインとフォレスト間でユーザー プロファイル、セキュリティ プリンシパル、パスワード、またはセキュリティ識別子履歴 (sIDHistory) データを移行しようとしたときに発生する可能性がある既知の問題についても説明します。

適用対象:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 4089459

オペレーティング システムによる Microsoft サポート

ADMT は、Windows 2000/Windows Server 2003 時代のオペレーティング システムへの移行をサポートする無料ダウンロードとしてリリースされました。

ADMT は、次のオペレーティング システムをサポートするように更新されていません。

  • Windows 11
  • Windows 10
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

サポートされていないオペレーティング システムで ADMT を実行すると、次の既知の問題が発生する可能性があります。

  • ADMT は、Windows 7 または Windows Server 2008 R2 より後のオペレーティング システムから他のオペレーティング システムにユーザー プロファイルを移行できません。 ADMT では、古いオペレーティング システムから Windows 7 または Windows Server 2008 R2 より後のオペレーティング システムにユーザー プロファイルを移行することもできません。
  • ADMT は、最新のオペレーティング システムで使用されるセキュリティで保護された既定値と互換性がありません。
  • ADMT は、以降のバージョンの Microsoft SQL Serverと共にテストされていません。 このような状況で ADMT を使用すると、非互換性やその他の問題が発生する可能性があります。

重要

ADMT の使用経験は、移行元の Windows バージョンや移行先の Windows バージョンなど、さまざまな要因によって異なります。 ツールは自己責任で使用してください。

商用 Windows サポート ケース ポリシー

Microsoft は、ADMT の問題のサポート ケースを完全に "ベスト エフォート" ベースで処理します。 サポート ケースが製品チームにエスカレートされない場合があります。 Microsoft では、問題が解決されることを保証できません。

コード レベルのサポート ポリシー

ADMT 3.2 コード ベースは非推奨になりました。 Microsoft は、ADMT コード ベースの開発を正式に停止しました。 ADMT は、セキュリティ修正、バグ修正、または設計変更の対象になりません。

一般的なサポート シナリオと既知の問題

このセクションでは、ADMT を使用するときに発生する可能性がある最も一般的な問題の一覧を示します。

重要

これらの問題の多くは、Windows の機能またはセキュリティが向上した変更が原因で発生します。 これらの問題の解決策の一部には、これらの機能強化を無効にする Windows に一時的な変更を加える必要があります。 これらのソリューションは自己責任で使用してください。

Windows Defender Credential Guard が有効になっているデバイスでは ADMT が実行されません

問題: 次のようなエラーが表示されます。

ソース オブジェクト CN=User1 の移動に失敗しました。 呼び出し元のアカウントが機密としてマークされていないため、委任できないことを確認します。 hr=0x8009030e。 セキュリティ パッケージでは資格情報を使用できません。

解決策: ADMT サーバーで Credential Guard を一時的に無効にします。

重要

Credential Guard 構成を変更する前に、セキュリティ チームに問い合わせてください。 変更を行う前に、ADMT サーバーをバックアップします。

Windows Defender Credential Guard の管理」トピックでは、Credential Guard を無効にするスクリプトを提供します。 スクリプトの実行に加えて、コンピューターの構成\管理用テンプレート\System\Device Guard\Secure Launch Configuration グループ ポリシー オブジェクト (GPO) を無効にします。 それ以外の場合、コンピューターは次回起動時に Credential Guard を再度有効にします。

注:

Windows Server 2022 を実行するデバイスでは、ここで説明する GPO が [未構成] に設定されている場合、Credential Guard が有効になります。

ドメイン コントローラーで制約のない委任を使用できない

問題: 移行プロセス中に、ADMT では、ドメイン コントローラーが 制約のない委任を使用する必要があります。 この方法は許可されなくなったか、推奨されていません。

解決策: ターゲット ドメイン コントローラーに ADMT アプリをインストールして実行します。 この構成により、委任が不要になります。

移行されたユーザー プロファイルを使用するユーザーに対して最新のアプリが起動しない

問題: ADMT 3.2 を使用してユーザー プロファイルを Windows クライアント コンピューターに移行した後、セキュリティ翻訳ウィザードを実行してプロファイルを更新すると、最新のアプリケーションは実行されません。 これらのアプリには、組み込みのアプリ (Windows の [スタート] メニューや [検索] など) と、Windows ストアからインストールされたアプリの両方が含まれます。

フォレスト内の移行は、この動作のリスクが最も高くなります。 これは、フォレスト内に移行されたユーザー アカウントを元のソース ドメインに復元できないためです。

解決策: 移行が完了したら、最新のアプリをアンインストールし、Windows ストアから再インストールします。

この問題の詳細については、「ADMT 3.2 セキュリティ翻訳がWindows 8、Windows 8.1、およびWindows 10で実行された後に Windows アプリを起動できない」を参照してください。

セキュリティ翻訳によってファイルの関連付けがリセットされる

問題: ユーザー プロファイルを移行し、セキュリティ翻訳ウィザードを [追加] モードで実行します。 移行後に初めてコンピューターにサインインする場合は、移行された (ターゲット) ユーザー資格情報ではなく、元の (ソース) ユーザー資格情報を使用します。 ファイルの関連付けは既定値にリセットされ、カスタム関連付けはすべて失われます。

Windows 10では、カスタム ファイルの関連付けは、ユーザーのセキュリティ識別子 (SID) の一部に基づくハッシュを使用して、不要な変更から保護されます。 カスタム ファイルの関連付けとハッシュはレジストリに格納されます。 ユーザーが新しいドメインに移行されると、新しいユーザー アカウントは新しい SID を受け取ります。 すべてのファイル関連付けハッシュは、それに応じて更新する必要があります。

解決策: 移行が完了したらすぐに、ソース ユーザー アカウントを無効にします。 このアクションにより、問題が発生するのを防ぐことができます。

子オブジェクトを持つオブジェクトは移行されません

問題: ADMT が子オブジェクトを持つオブジェクトを移行しようとすると、移行が失敗し、ADMT によって次のエントリが移行エラー ログに記録されます。

エラー 7422: ソース オブジェクト CN=<オブジェクト名>の移動に失敗しました。 hr=0x8007208c 子オブジェクトが存在するため、操作を実行できません。 この操作は、子オブジェクトに対してのみ実行できます。

移行をブロックする子オブジェクトのいくつかの例には、次のものが含まれますが、これらに限定されません。

  • Exchange Active Sync
  • Microsoft Dynamic GP
  • TermSrvLicensing
  • Citrix SSOSecret と SSOConfig

解決策: 親オブジェクトを移行するには、子オブジェクト (リーフ オブジェクトとも呼ばれます) を削除する必要があります。 たとえば、Exchange ActiveSync オブジェクトを削除する必要があります。 それ以外の場合は、既知の回避策はありません。

カスタム DNS サフィックスを持つデバイスでコンピューターの移行が失敗する

問題: フォレスト間の移行中に、ドメイン メンバーシップが変更されたときにプライマリ DNS サフィックスを保持するように構成されているコンピューターを移行します。 移行後の ADMT チェックは、ADMT が移行されたコンピューターのドメイン メンバーシップを確認しようとすると失敗します。 エラー メッセージは次の例のようになります。

エラー 7711: 移行されたコンピューター 'workstation1.contoso.com' の DNS ホスト名を取得できません。 ADSI プロパティがプロパティ キャッシュに見つかりません。 (hr=0x8000500d)チェック後は、コンピューター 'workstation1' で再試行されます

エラー 7709: コンピューター 'workstation1.contoso.com' でチェック後に失敗しました

エラー 7675: 移行されたコンピューター 'workstation1' がドメイン 'tailspintoys.com' に属することを確認できません。 アクセスが拒否されました。 (hr=0x80070005)

この構成をチェックするには、コンピューターの [システム] プロパティを開きます。 これを行うには、[スタート設定][システム>の>詳細設定について>] [コンピューター名>の変更] [その他] の順に選択>します>。 ドメイン メンバーシップの変更が選択されていないときにプライマリ DNS サフィックスを変更する場合、コンピューターはこの問題の影響を受けます。

解決策: 次のいずれかの方法を試してください。

  • 手動構成。 コンピューターをターゲット ドメインに参加した後、ソース ドメインのアカウントから SPN を削除します。 または、ソース ドメイン内のコンピューター アカウントを削除することもできます。

  • 応答ファイルの構成SyncDomainWithMembership を使用します。 1 に設定SyncDomainWithMembershipできます。 これは、 ドメイン メンバーシップが変更されたときにプライマリ DNS サフィックスの変更を有効にすることと同じです。 その後、移行中に、コンピューターは新しいドメインと一致し、競合しなくなった SPN を登録します。

SQL SERVER データベース ホストで TLS 1.0 が無効になっている場合、ADMT 3.2 が起動しない

問題: SQL Server データベースをホストするデバイスでは、ADMT 3.2 が起動せず、TLS 1.0 が無効になっていると SSL セキュリティ エラーが表示されます。 これは、SQL SERVER インスタンスと同じコンピューターに ADMT がインストールされている場合でも発生します。 エラー メッセージは次のようになります。

指定されたファイルが見つかりません。

解決策: ADMT がインストールされているコンピューターで、TLS 1.0 を一時的に有効にします。 ADMT は、ドメイン コントローラーで TLS 1.0 が無効になっている場合でも機能します。

重要

TLS 1.0 を有効にする前に、セキュリティ チームに問い合わせてください。

LSA 保護が有効になっている場合、パスワード エクスポート サーバー (PES) が失敗する

問題: パスワードの移行が失敗し、次のようなエラー メッセージが生成されます。

パスワード エクスポート サーバーとのセッションを確立できません。 RPC サーバーは使用できません。

解決策: ADMT パスワードの移行は、LSA 保護が無効になっている場合にのみ機能します。

重要

LSA Protection 構成を変更する前に、セキュリティ チームに問い合わせてください。 変更を行う前に、コンピューターをバックアップします。

ローカル プロファイルが移行されない

問題: ADMT 3.2 とセキュリティ翻訳ウィザードを実行すると、ADMT はローカル ユーザー アカウントを移行しますが、ローカル プロファイルは移行しません。

解決策: この動作は設計上の動作です。

詳細

ADMT は、 Active Directory 移行ツール バージョン 3.2 でダウンロードできます。