Политика поддержки и известные проблемы для средства миграции Active Directory

В этой статье рассматриваются сведения о текущем уровне поддержки средства миграции Active Directory (ADMT) в текущих операционных системах Windows Client и Windows Server. В этой статье также перечислены известные проблемы, с которыми администраторы могут столкнуться при попытке переноса профилей пользователей, субъектов безопасности, паролей или данных журнала идентификаторов безопасности (sIDHistory) между доменами Active Directory и лесами.

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 4089459

Поддержка Майкрософт в операционной системе

ADMT был выпущен в качестве бесплатного скачивания для поддержки миграции на операционные системы Windows 2000/Windows Server 2003 эры.

ADMT не был обновлен для поддержки следующих операционных систем:

• Windows 11
• Windows 10
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

При запуске ADMT в операционных системах, которые не поддерживаются, могут возникнуть следующие известные проблемы:

• ADMT не может переносить профили пользователей из операционных систем, которые являются более поздними, чем Windows 7 или Windows Server 2008 R2, в другие операционные системы. ADMT также не может переносить профили пользователей в операционные системы, которые старше Windows 7 или Windows Server 2008 R2 из более старых операционных систем.
• ADMT несовместим с безопасными значениями по умолчанию, используемыми в современных операционных системах.
• ADMT не тестировался вместе с более поздними версиями Microsoft SQL Server. При использовании ADMT в таких обстоятельствах могут возникнуть несовместимости или другие проблемы.

Политика обращения в службу поддержки Для коммерческих организаций Windows

Корпорация Майкрософт обрабатывает обращения в службу поддержки для проблем ADMT полностью на основе "наилучших усилий". Обращения в службу поддержки могут не передаваться группам разработчиков. Корпорация Майкрософт не может гарантировать, что проблемы будут устранены.

Политика поддержки на уровне кода

База кода ADMT 3.2 устарела. Корпорация Майкрософт официально приостановила разработку базы кода ADMT. ADMT не подходит для исправлений безопасности, исправлений ошибок или изменений в структуре.

Распространенные сценарии поддержки и известные проблемы

В этом разделе перечислены наиболее распространенные проблемы, которые могут возникнуть при использовании ADMT.

ADMT не будет запускаться на устройствах с включенным Защитник Windows Credential Guard.

Проблема. Вы видите ошибки, похожие на следующие:

Не удалось переместить исходный объект CN=User1. Убедитесь, что учетная запись вызывающего пользователя не помечена как конфиденциальная и поэтому не может быть делегирована. hr=0x8009030e. В пакете безопасности отсутствуют учетные данные.

Решение. Временно отключите Credential Guard на сервере ADMT.

В разделе Управление Защитник Windows Credential Guard содержится сценарий, который отключает Credential Guard. В дополнение к выполнению сценария отключите конфигурацию компьютера\Административные шаблоны\System\Device Guard\Secure Launch Configuration групповая политика объект (GPO). В противном случае компьютер повторно включает Credential Guard при следующем запуске.

Контроллеры домена не могут использовать неограниченное делегирование

Проблема. В процессе миграции ADMT требует, чтобы контроллеры домена использовали неограниченное делегирование. Эта практика больше не разрешена или не рекомендуется.

Решение. Установите и запустите приложения ADMT на целевом контроллере домена. Эта конфигурация устраняет необходимость в делегировании.

Современные приложения не запускаются для пользователя, который использует перенесенный профиль пользователя

Проблема. Если вы используете ADMT 3.2 для переноса профиля пользователя на клиентский компьютер Windows, а затем запускаете мастер преобразования безопасности для обновления профиля, современные приложения не запускаются. К этим приложениям относятся как встроенные приложения (например, меню "Пуск" Windows и поиск), так и приложения, установленные из Магазина Windows.

Миграция внутри леса в наибольшей степени подвержена риску такого поведения. Это связано с тем, что учетные записи пользователей, перенесенные внутри леса, не могут быть восстановлены в исходном исходном домене.

Решение. После завершения миграции удалите современные приложения, а затем переустановите их из Магазина Windows.

Дополнительные сведения об этой проблеме см. в статье Приложение Windows не запускается после выполнения преобразования безопасности ADMT 3.2 в Windows 8, Windows 8.1 и Windows 10.

Преобразование безопасности сбрасывает сопоставления файлов

Проблема. Вы переносите профиль пользователя, а затем запускаете мастер преобразования безопасности в режиме добавления. При первом входе на компьютер после миграции вы используете исходные (исходные) учетные данные пользователя вместо перенесенных (целевых) учетных данных пользователя. Сопоставления файлов сбрасываются до значений по умолчанию, и все пользовательские связи теряются.

В Windows 10 настраиваемое сопоставление файлов защищено от нежелательных изменений с помощью хэша, частично основанного на идентификаторе безопасности пользователя (SID). Пользовательское сопоставление файлов и хэш хранятся в реестре. При миграции пользователя в новый домен новая учетная запись пользователя получает новый идентификатор безопасности. Все хэши сопоставления файлов должны быть обновлены соответствующим образом.

Решение. Как только миграция завершится, отключите исходную учетную запись пользователя. Это действие предотвращает возникновение проблемы.

Объекты с дочерними объектами не переносятся

Проблема. Когда ADMT пытается перенести объект с дочерним объектом, миграция завершается сбоем, и ADMT регистрирует следующую запись в журнале ошибок миграции:

Ошибка 7422: не удалось переместить исходный объект CN=<имя> объекта. hr=0x8007208c Операция не может быть выполнена, так как существуют дочерние объекты. Эту операцию можно выполнить только для дочернего объекта.

Ниже приведено несколько примеров дочерних объектов, которые блокируют миграцию.

• Exchange Active Sync
• Microsoft Dynamic GP
• TermSrvLicensing
• Citrix SSOSecret и SSOConfig

Решение. Чтобы перенести родительский объект, необходимо удалить дочерний объект (также известный как конечный объект). Например, необходимо удалить объект Exchange ActiveSync. В противном случае не существует известного обходного решения.

Сбой миграции компьютера на устройствах с пользовательскими DNS-суффиксами

Проблема. Во время миграции между лесами переносятся компьютеры, настроенные для сохранения основного DNS-суффикса при изменении членства в домене. AdMT после миграции проверка сбоем, когда ADMT пытается проверить членство в домене перенесенного компьютера. Сообщения об ошибках выглядят примерно в следующих примерах:

Ошибка 7711: не удается получить имя узла DNS для перенесенного компьютера "workstation1.contoso.com". Не удается найти свойство ADSI в кэше свойств. (hr=0x8000500d) После проверка будет повторно выполняться на компьютере "workstation1"

Ошибка 7709: сбой после проверка на компьютере "workstation1.contoso.com"

Ошибка 7675: не удается проверить принадлежность перенесенного компьютера "workstation1" к домену "tailspintoys.com". Отказ в доступе. (hr=0x80070005)

Чтобы проверка этой конфигурации, откройте свойства системы на компьютере. Для этого выберите Пуск> ПараметрыО>дополнительных параметрах>системы Имя>>компьютераИзменить>больше. Если изменить основной DNS-суффикс при изменении членства в домене не выбрано, эта проблема затрагивает компьютер.

Решение. Попробуйте один из следующих методов:

• Настройка вручную. После присоединения компьютера к целевому домену удалите имена субъектов-служб из учетной записи в исходном домене. Кроме того, можно удалить учетную запись компьютера в исходном домене.

• Конфигурация файла ответов. Используйте SyncDomainWithMembership. Можно задать значение SyncDomainWithMembership1. Это эквивалентно включению основного DNS-суффикса Change при изменении членства в домене. Затем во время миграции компьютер регистрирует имена субъектов-служб, которые соответствуют новому домену и больше не конфликтуют.

ADMT 3.2 не запускается, если протокол TLS 1.0 отключен на узле базы данных SQL Server

Проблема. На устройстве, на котором размещена база данных SQL Server, ADMT 3.2 не запускается и отображает ошибки безопасности SSL, если протокол TLS 1.0 отключен. Это происходит, даже если ADMT устанавливается на том же компьютере, что и экземпляр SQL Server. Сообщение об ошибке выглядит следующим образом:

Не удается найти указанный файл.

Решение. На компьютере, на котором установлен ADMT, временно включите TLS 1.0. ADMT работает, даже если протокол TLS 1.0 отключен на контроллере домена.

Сервер экспорта паролей (PES) завершается сбоем, если включена защита LSA

Проблема. Миграция пароля завершается сбоем и создает сообщение об ошибке, похожее на следующее:

Не удается установить сеанс с сервером экспорта паролей. Сервер RPC недоступен.

Решение. Миграция паролей ADMT работает только в том случае, если защита LSA отключена.

Локальные профили не переносятся

Проблема. При запуске ADMT 3.2 и мастера преобразования безопасности ADMT переносит локальные учетные записи пользователей, но не локальные профили.

Решение. Это поведение является конструктивным.

Дополнительная информация

ADMT можно скачать на сайте Active Directory Migration Tool версии 3.2.