Download locaties en ondersteuningsinformatie voor ADMT en PES

Inleiding

In dit artikel vindt u informatie over de status van de gratis Active Directory-migratiehulpprogramma's en-documentatie.De hulpprogramma's zijn Active Directory Migration Tool versie 3,2 (ADMT v 3.2) en wachtwoordexportserver versie 3,1 (PES v 3.1).

In dit artikel worden ook de bekende problemen en beperkingen van de toolset beschreven.

Hoe kunt u deze hulpmiddelen weergeven?

De volgende hulpprogramma's zijn beschikbaar via het Microsoft Download centrum.

Active Directory-migratieprogramma versie 3,2 (ADMT v 3.2)

Biedt een geïntegreerde werkset voor het vergemakkelijken van de migratie en herstructurering van taken in een Active Directory Domain Services-infrastructuur.

 Download Active Directory Migration Tool versie 3,2

Wachtwoordexportserver versie 3,1 (PES v 3.1)

Schakelt wachtwoordmigratie in bij accountmigratie via een Active Directory Domain Services-infrastructuur.

 Download de wachtwoordexportserver versie 3,1 (PES v 3.1), x64 package

 Download wachtwoordexportserver versie 3,1 (x86)

Richtlijnen voor ADMT

Dit artikel bevat instructies voor de migratie van domeinen met behulp van het Active Directory-migratieprogramma.

 Handleiding voor Active Directory-migratieprogramma (ADMT): Active Directory-domeinen migreren en reorganisatie

Opmerkingen

  • ADMT is niet bijgewerkt voor Windows 8,1 en 10 Workstation Migration.

  • Windows Server 2012, Windows Server 2012 R2 en een latere versie van Windows Server zijn niet getest voor moderne toepassingen en profiel migraties. Uw ervaring kan variëren, afhankelijk van het aantal factoren, waaronder de Windows-versie die u migreert. Gebruik de hulpmiddelen Suite op eigen risico.

  • Een alternatief voor de hulpmiddelen voor ADMT is ook beschikbaar via de Microsoft-services: Active Directory Migration Services (ADMS). Dit hulpprogramma wordt uitgevoerd in de Azure-Cloud. Zie de volgende artikelen voor informatie over het invoeren van gegevens.

    Smaak van premier: Directory consolidatie met Windows Azure Active Directory Migration Services

    Migratie service voor Microsoft Azure Active Directory

Bekende problemen en beperkingen

PES installeren op Windows Server 2012 en hoger

Oude ADMT-handleidingen vermelden de noodzaak voor het uitvoeren van het bestand pedmig. msi niet op een opdrachtprompt met verhoogde bevoegdheid. De nieuwste richtlijnen van ADMT noemen dit vereiste. De meest recente handleiding heeft de gedateerde 26 februari 2018 en is beschikbaar op het Microsoft Download centrum.

Voor computer met ADMT moet Credential Guard niet worden gebruikt

Het werkstation dat de migratie overlevert, voert de migratie niet zelf uit. De object verplaatsing wordt uitgevoerd op de doeldomeincontroller (DC). Het delegeren van de gebruiker die de migratietaak uitvoert bij het migreren van een gebruiker uit het brondomein.

Standaard worden domeincontrollers ingesteld voor niet-beperkt delegeren en niet toegestaan door Credential Guard.

Als u ADMT hebt geïnstalleerd op een Windows Server 2016-lidserver of een nieuwere versie van Windows Server, moet u Credential Guard uitschakelen om migraties uit te voeren. U kunt ook de installatie van ADMT verplaatsen naar de doeldomein-DC, waar u de naam niet hoeft te delegeren. Credential Guard wordt ook niet ondersteund op doel-Dc's.

DC mag geen onbeperkt gemachtigde gebruiken

Vanwege bestaande aanvalsvectoren wordt door Microsoft het gebruik van onbeperkt delegeren beperkt en geblokkeerd. Dit geldt ook voor Dc's. ADMT meldt de volgende fout:

ADMT Logboekfout: kan bronobject niet verplaatsen. Controleer of het account van de beller niet is gemarkeerd als gevoelig en daarom niet kan worden gedelegeerd. HR = 0x8009030e geen referenties beschikbaar in het beveiligingspakket

De wijziging van het gedrag van Windows Server 2008 R2 is te vinden in 12 maart 2019: KB4489885 (beveiligingsupdate).

Dit probleem wordt door Microsoft PFE besproken in een blog in 2017. Een ander blog laat het release planomschrijven.

U kunt de Dc's voor het doeldomein configureren voor beperkt delegeren en toestaan dat de domein-DC delegeren aan de bron-DC (beperkte machtigingen op basis van bronnen). Dit is alleen mogelijk als uw Dc's Windows Server 2012 of een nieuwere versie van Windows Server zijn.

Op Windows Server 2008 R2 of een oudere versie van Windows Server kunt u de installatie van ADMT alleen naar een doeldomein DC verplaatsen. Vervolgens hebt u niet de machtiging die u moet delegeren.

Op de computer van ADMT moet TLS 1,0 zijn ingeschakeld om verbinding te maken met SQL Server

Als TLS 1,0 is uitgeschakeld, wordt een bericht weergegeven op de ADMT-computer, die er ongeveer als volgt uitziet:

Kan niet controleren op mislukte acties. : DBManager. ImanaDB. 1: [DBNETLIB] [ConnectionOpen (SECCreateCredentials ()).] Beveiligingsfout met SSL.

Als TLS 1,0 is uitgeschakeld, wordt de module ook niet geladen wanneer dit wordt geopend. U ontvangt een bericht van de volgende strekking:

Gebruikers die ADMT uitvoeren, mogen geen lid zijn van een authenticatie silo

Het gebruikersaccount dat wordt gebruikt voor het doorsturen van de migratie van SidHistory moet zich niet in een authenticatie silobevinden. Wanneer u de SidHistory via een forest migreert, wordt met de doel-DC een netwerksessie gemaakt met de bron-DC en geverifieerd met behulp van NTLM. Voor de beheerders van gebruikersaccounts die zich in een authenticatie silo bevinden, is NTLM niet toegestaan voor deze gebruikersaccounts, of is deze door gebruikers uitgeschakeld.

Domeinen in de verificatie stroom van ADMT-taken mogen geen beperking hebben voor NTLM

Voor dezelfde reden voor het vermijden van authenticatie silo, mag de domeinen die worden gebruikt voor het migreren van de versie van de versie van NTLM, geen beperking hebben voor het gebruik van NTLM door een van de beleidsregels.

Versies van SQL Server

Er is geen versiecontrole op SQL Server-versies met ADMT. De laatste testen werden uitgevoerd in 2013. Daarom werden computers met SQL Server 2014 en nieuwere versies niet getest. Voer uw eigen proefversie van ADMT uit in een testomgeving voordat u het hulpmiddel voor productie migratie gebruikt.

Beheerde service accounts voor groepen

Met ingang van 27 februari 2018 wordt in de ADMT-handleiding beschreven hoe u beheerde service accounts kunt afhandelen zoals geïmplementeerd in Windows Server 2008 R2. Er was geen tests gedaan voor groepen beheerde service accounts (GMSA). Uitgaande van de speciale behandeling van deze accounts, moet u deze guideliens volgen:

  • Probeer GMSA niet te migreren over de grenzen van het forest.

  • Wees voorzichtig wanneer u probeert GMSA te verplaatsen binnen een forest.

Client besturingssystemen

Hoewel de nieuwste werkset is uitgebracht na de markt van Windows 8,0, is er geen proefversie voor Windows 8.x en 10.x migratie van een computeraccount en, met name, geen controle voor de volledige migratie van gebruikersprofielen.

Er zijn diverse migratieproblemen met betrekking tot de juiste overgang van gebruikersprofielen. Dit geldt met name voor moderne sollicitatie registraties en profiel machtigingen.

Interne ondersteuningsinformatie van Microsoft

Met een kleiner uiterlijk van 27 februari 2018 bieden we rapporten dat de nieuwste versie van Windows 10, SAC 1709, met minder problemen werkt.

Migraties herhalen voor wachtwoord updates

Sommige klanten voeren herhaaldelijke migraties van accounts uit om een nieuw wachtwoord over te dragen van een bronaccount naar een nieuw account in een ander forest. ADMT is niet voor deze aanpak geschikt. Elke migratietaak wordt in de database bijgehouden. In de loop van de tijd wordt de grootte van de database van ADMT groter. Uiteindelijk kan het volgende gebeuren:

  • De database overschrijdt de gelicentieerde grootte van de database (voor SQL Express-implementaties).

  • De database overschrijdt de beschikbare schijfruimte op de computers waarop SQL Server wordt uitgevoerd.

  • Vertraagde migratietaken. Dit komt doordat het hulpmiddel de migratiegeschiedenis scant wanneer u een nieuwe taak uitvoert.

Opmerking Als u ADMT op deze manier wilt gebruiken en u een vaak synchronisatieschema hebt, wordt u aangeraden een oplossing te gebruiken op basis van een synchronisatieoplossing, zoals Microsoft Identity Manager.

Verwijzingen

Details van authenticatie Silon

Meer informatie over NTLM-beperkingsbeleid

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×