ADMT 和 PES 的下载位置和支持信息

简介

本文提供了有关免费 Active Directory 迁移工具和文档状态的更新。 这些工具为 Active Directory 迁移工具版本 3.2 (ADMT v3.2) 和密码导出服务器版本 3.1 (PES v3.1)。

本文还介绍了工具集的已知问题和限制。

如何获取这些工具

可以从 Microsoft 下载中心下载以下工具。

Active Directory 迁移工具版本 3.2 (ADMT v3.2)

提供了一个集成工具集,以帮助 Active Directory 域服务基础结构中的任务迁移和重组。

 下载 Active Directory 迁移工具版本 3.2

密码导出服务器版本 3.1 (PES v3.1)

在 Active Directory 域服务基础结构中的帐户迁移期期间启用密码迁移。

 下载密码导出服务器版本 3.1 (PES v3.1) x64 软件包

 下载密码导出服务器版本 3.1 (x86)

ADMT 指南

使用 Active Directory 迁移工具提供有关域迁移的指导。

 Active Directory 迁移工具 (ADMT) 指南: 迁移和重构 Active Directory 域

注意

  • ADMT 尚未针对 Windows 8.1 和 10 工作站迁移进行更新。 Windows Server 2012、Windows Server 2012 R2 和更高版本的 Windows Server 尚未使用现代应用程序和配置文件迁移进行测试。 你的体验可能会有所不同,具体取决于许多因素,包括你想要迁移的 Windows 的版本。 使用此方法需自担风险。

  • ADMT 工具套件的替代方案也可从在 Azure Cloud 中运行的 Microsoft 服务(Active Directory 迁移服务 (ADMS))获得。 有关入门级信息,请参阅:

顶级版体验: 与 Windows Azure Active Directory 迁移服务的目录合并

Windows Azure Active Directory 迁移服务

已知问题和限制

在 Windows Server 2012 及更高版本上安装 PES

旧的 ADMT 指南没有提到需要从提升的命令提示符运行 pedmig.msi 文件。 Microsoft 下载中心提供的 ADMT指南(日期为 2018 年 2 月 26 日)提到了这一要求。

运行 ADMT 的计算机不得使用 Credential Guard

驱动迁移的站点本身不会执行迁移。 对象移动在目标域控制器 (DC)上执行。 在从源域迁移用户时,它委派用户运行迁移任务。

默认情况下,域控制器设置为无约束委派,而 Credential Guard 不再允许这种委派。

如果你在 Windows Server 2016 或更高版本的基于 Windows Server 的成员服务器上安装了 ADMT,则必须禁用 Credential Guard 才能执行迁移。 或者,你可以将 ADMT 安装移动到无需委派的目标域 DC。 此外,目标 DC 上不支持 Credential Guard。

DC 不能使用无约束委派

由于现有攻击媒介,Microsoft 正在限制和阻止使用无约束委派。 这也会影响 DC。 ADMT 记录以下错误:

ADMT 日志错误: 无法移动源对象。 确认调用方的帐户未标记为敏感,因此无法被委派。hr=0x8009030e 安全包中没有可用的凭据

Windows Server 2008 R2 的行为更改包含在 2019 年 3 月 12 日 -KB4489885(仅安全更新)中。

Microsoft PFE 在 2017 年的博客中讨论了这个问题。 另一个博客概述了发布计划

你可以将目标域 DC 配置为受限委派,并允许目标域 DC 委派到源 DC(基于资源的受限委派)。 仅当 DC 为 Windows Server 2012 或更高版本的 Windows Server 时,才可以执行此操作。

在 Windows Server 2008 R2 或较低版本的 Windows Server 上,你只能将 ADMT 安装移动到目标域 DC。 之后,你无需委派。

运行 ADMT 的用户不得是身份验证接收器的成员

用于驱动 SidHistory 迁移的用户帐户不得位于身份验证接收器中。 跨林迁移 SidHistory 时,目标 DC 将创建到源 DC 的网络会话,并使用 NTLM 进行身份验证。 对于身份验证接收器中的管理员用户帐户,在某些操作系统中,默认情况下不允许这些用户帐户使用 NTLM,或者用户已禁用 NTLM。

ADMT 任务身份验证流中的域不得限制 NTLM

出于与避免身份验证接收器相同的原因,用于 ADMT SidHistory 迁移的域不得因其中一个策略限制使用 NTLM

SQL Server 版本

对于带有 ADMT 的 SQL Server 版本,没有版本检查。 最后一次测试于 2013 年运行。 因此,运行 SQL Server 2014 和更高版本的计算机未经过测试。 请在工具用于生产迁移之前,在测试环境中执行你自己的 ADMT 测试。

组托管服务帐户

截至 2018 年 2 月 27 日,ADMT 指南介绍了如何处理 Windows Server 2008 R2 中实施的托管服务帐户。 尚未对组托管服务帐户 (GMSA) 执行过测试。 因此,鉴于在几个位置对这些帐户所做的特殊处理,你应该:

  • 不要尝试跨林边界迁移 GMSA。

  • 当你尝试在林中移动 GMSA 时要小心。

客户端操作系统

尽管最新的工具集在 Windows 8.0 上市后已发布,但没有对 Windows 8.x 和 10.x 计算机帐户的迁移(特别是用户配置文件的完整迁移)进行过测试。

我们发现了一些与正确转换用户配置文件有关的迁移问题,尤其是与现代应用程序注册和配置文件权限有关。

Microsoft 内部支持信息

截至 2018 年 2 月 27 日,报告显示最新 Windows 10 版本 SAC 1709 出现的问题较少。

密码更新的重复迁移

某些客户正在运行帐户的重复迁移,以将新密码从源帐户转移到另一个林中的新帐户。 ADMT 并非设计用于此方法。 它将跟踪其数据库中的每一个迁移。 因此,随着时间的推移,ADMT 数据库的大小会增大。 它可能会在某个时候发生以下情况:

  • 超过了许可的数据库大小(对于 SQL 快速部署)。

  • 超过了在运行 SQL Server 的计算机上的可用磁盘空间。

  • 运行迁移作业会变慢,因为在运行新作业时该工具将扫描迁移历史记录。

注意: 如果你打算以这种方式使用 ADMT 数周或数月,并定期执行同步计划,我们建议你使用基于同步解决方案的解决方案,如 Microsoft Identity Manager

参考

有关身份验证接收器的详细信息

有关 NTLM 限制策略的详细信息

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×