Compartir a través de


Directiva de soporte técnico y problemas conocidos de la Herramienta de migración de Active Directory

En este artículo se describe información sobre el nivel actual de compatibilidad con la Herramienta de migración de Active Directory (ADMT) en los sistemas operativos cliente de Windows y Windows Server actuales. En este artículo también se enumeran los problemas conocidos que los administradores pueden experimentar al intentar migrar perfiles de usuario, entidades de seguridad, contraseñas o datos del historial de identificadores de seguridad (sIDHistory) entre dominios y bosques de Active Directory.

Número de KB original: 4089459

Soporte técnico de Microsoft por sistema operativo

ADMT se lanzó como descarga gratuita para admitir la migración a sistemas operativos de windows 2000/Windows Server 2003-era.

ADMT no se ha actualizado para admitir los siguientes sistemas operativos:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Al ejecutar ADMT en sistemas operativos que no son compatibles, es posible que experimente los siguientes problemas conocidos:

  • ADMT no puede migrar perfiles de usuario de sistemas operativos posteriores a Windows 7 o Windows Server 2008 R2 a otros sistemas operativos. ADMT tampoco puede migrar perfiles de usuario a sistemas operativos posteriores a Windows 7 o Windows Server 2008 R2 desde sistemas operativos anteriores.
  • ADMT no es compatible con los valores predeterminados seguros que usan los sistemas operativos modernos.
  • ADMT no se ha probado junto con versiones posteriores de Microsoft SQL Server. Si usa ADMT en tales circunstancias, es posible que vea incompatibilidades u otros problemas.

Importante

La experiencia en el uso de ADMT depende de muchos factores, incluida la versión de Windows desde la que va a migrar y la versión de Windows a la que va a migrar. Use la herramienta en su propio riesgo.

Directiva de casos de soporte técnico de Windows comercial

Microsoft controla los casos de soporte técnico de los problemas de ADMT por completo en una base de "mejor esfuerzo". Es posible que los casos de soporte técnico no se remitan a los equipos de producto. Microsoft no puede garantizar que se resuelvan los problemas.

Directiva de soporte técnico de nivel de código

La base de código ADMT 3.2 está en desuso. Microsoft ha detenido oficialmente cualquier desarrollo en el código base de ADMT. ADMT no es apto para correcciones de seguridad, correcciones de errores ni cambios de diseño.

Escenarios de soporte técnico comunes y problemas conocidos

En esta sección se enumeran los problemas más comunes que puede experimentar al usar ADMT.

Importante

Muchos de estos problemas se producen debido a cambios que han mejorado la funcionalidad o la seguridad de Windows. Algunas soluciones a estos problemas implican realizar cambios temporales en Windows que anulan estas mejoras. Use estas soluciones en su propio riesgo.

ADMT no se ejecutará en dispositivos que tengan Habilitado Credential Guard de Windows Defender

Problema: verá errores similares a los siguientes:

No se pudo mover el objeto de origen CN=User1. Compruebe que la cuenta del autor de la llamada no está marcada como confidencial y, por tanto, no se puede delegar. hr=0x8009030e. No hay credenciales disponibles en el paquete de seguridad.

Solución: deshabilite Temporalmente Credential Guard en el servidor ADMT.

Importante

Consulte al equipo de seguridad antes de cambiar la configuración de Credential Guard. Realice una copia de seguridad del servidor ADMT antes de realizar cualquier cambio.

El tema Administrar Credential Guard de Windows Defender proporciona un script que deshabilita Credential Guard. Además de ejecutar el script, deshabilite la configuración del equipo\Plantillas administrativas\System\Device Guard\Objeto de directiva de grupo de configuración de inicio seguro (GPO). De lo contrario, el equipo volverá a habilitar Credential Guard la próxima vez que se inicie.

Nota:

En los dispositivos que ejecutan Windows Server 2022, Credential Guard está habilitado si el GPO que se describe aquí está establecido en No configurado.

Los controladores de dominio no pueden usar la delegación sin restricciones

Problema: durante el proceso de migración, ADMT requiere que los controladores de dominio usen la delegación sin restricciones. Esta práctica ya no está permitida ni recomendada.

Solución: instale y ejecute aplicaciones de ADMT en el controlador de dominio de destino. Esta configuración elimina la necesidad de delegación.

Las aplicaciones modernas no se inician para un usuario que usa un perfil de usuario migrado

Problema: cuando se usa ADMT 3.2 para migrar un perfil de usuario a un equipo cliente de Windows y, a continuación, se ejecuta el Asistente para traducción de seguridad para actualizar el perfil, las aplicaciones modernas no se ejecutan. Estas aplicaciones incluyen aplicaciones integradas (como windows menú Inicio y Search) y aplicaciones que se instalan desde la Tienda Windows.

Las migraciones dentro del bosque están en mayor riesgo para este comportamiento. Esto se debe a que las cuentas de usuario migradas dentro del bosque no se pueden restaurar en el dominio de origen original.

Solución: después de completar la migración, desinstale las aplicaciones modernas y vuelva a instalarlas desde la Tienda Windows.

Para obtener más información sobre este problema, consulta Aplicación de Windows no se puede iniciar después de que la traducción de seguridad de ADMT 3.2 se ejecute en Windows 8, Windows 8.1 y Windows 10.

La traducción de seguridad restablece las asociaciones de archivos

Problema: migre un perfil de usuario y, a continuación, ejecute el Asistente para traducción de seguridad en el modo Agregar. Al iniciar sesión en el equipo por primera vez después de la migración, use las credenciales de usuario originales (de origen) en lugar de las credenciales de usuario migradas (de destino). Las asociaciones de archivo se restablecen a sus valores predeterminados y se pierden las asociaciones personalizadas.

En Windows 10, una asociación de archivos personalizada está protegida frente a modificaciones no deseadas mediante un hash basado en parte en el identificador de seguridad (SID) del usuario. La asociación de archivos personalizada y el hash se almacenan en el registro. Cuando el usuario se migra a un nuevo dominio, la nueva cuenta de usuario recibe un nuevo SID. Todos los hashes de asociación de archivos deben actualizarse en consecuencia.

Solución: en cuanto finalice la migración, deshabilite la cuenta de usuario de origen. Esta acción impide que se produzca el problema.

Los objetos que tienen objetos secundarios no se migran

Problema: cuando ADMT intenta migrar un objeto que tiene un objeto secundario, se produce un error en la migración y ADMT registra la siguiente entrada en el registro de errores de migración:

Error 7422: No se pudo mover el objeto de origen CN=<nombre> de objeto. hr=0x8007208c No se puede realizar la operación porque existen objetos secundarios. Esta operación solo se puede realizar en un objeto secundario.

Algunos ejemplos de objetos secundarios que bloquean la migración incluyen, pero no se limitan a:

  • Exchange Active Sync
  • Gp dinámico de Microsoft
  • TermSrvLicensing
  • Citrix SSOSecret y SSOConfig

Solución: tiene que eliminar el objeto secundario (también conocido como objeto hoja) para migrar el objeto primario. Por ejemplo, tendría que eliminar el objeto Exchange ActiveSync. De lo contrario, no hay ninguna solución alternativa conocida.

Se produce un error en la migración de equipos en dispositivos que tienen sufijos DNS personalizados

Problema: durante una migración entre bosques, se migran los equipos configurados para conservar su sufijo DNS principal cuando cambia su pertenencia al dominio. Se produce un error en la comprobación posterior a la migración de ADMT cuando ADMT intenta comprobar la pertenencia al dominio del equipo migrado. Los mensajes de error se asemejan a los ejemplos siguientes:

Error 7711: No se puede recuperar el nombre de host DNS para el equipo migrado "workstation1.contoso.com". No se encuentra la propiedad ADSI en la caché de propiedades. (hr=0x8000500d) La comprobación posterior se reintentará en el equipo "workstation1"

Error 7709: Error posterior a la comprobación en el equipo "workstation1.contoso.com"

Error 7675: No se puede comprobar que el equipo migrado "workstation1" pertenece al dominio "tailspintoys.com". Se denegó el acceso. (hr=0x80070005)

Para comprobar esta configuración, abra las propiedades del sistema en el equipo. Para ello, seleccione Iniciar>configuración Acerca de>>la configuración avanzada del>sistema Nombre>del equipo Cambiar>más. Si cambia el sufijo DNS principal cuando no se seleccionan cambios en la pertenencia al dominio, el equipo se ve afectado por este problema.

Solución: pruebe uno de los métodos siguientes:

  • Configuración manual. Después de unir el equipo al dominio de destino, quite los SPN de la cuenta en el dominio de origen. Como alternativa, puede eliminar la cuenta de equipo en el dominio de origen.

  • Configuración del archivo de respuesta. Use SyncDomainWithMembership. Puede establecer en SyncDomainWithMembership 1. Este es el equivalente a habilitar el sufijo DNS principal de cambio cuando cambia la pertenencia al dominio. A continuación, durante la migración, el equipo registra los SPN que coinciden con el nuevo dominio y ya no entra en conflicto.

ADMT 3.2 no se inicia si TLS 1.0 está deshabilitado en el host de base de datos de SQL Server

Problema: en un dispositivo que hospeda una base de datos de SQL Server, ADMT 3.2 no se inicia y muestra errores de seguridad SSL si TLS 1.0 estaba deshabilitado. Esto ocurre incluso si ADMT está instalado en el mismo equipo que la instancia de SQL Server. El mensaje de error es similar al siguiente:

El sistema no puede encontrar el archivo especificado.

Solución: en el equipo en el que está instalado ADMT, habilite temporalmente TLS 1.0. ADMT funciona incluso si TLS 1.0 está deshabilitado en el controlador de dominio.

Importante

Consulte al equipo de seguridad antes de habilitar TLS 1.0.

Se produce un error en el servidor de exportación de contraseñas (PES) si la protección de LSA está habilitada

Problema: Se produce un error en la migración de contraseñas y se genera un mensaje de error similar al siguiente:

No se puede establecer una sesión con el servidor de exportación de contraseñas. El servidor RPC no está disponible.

Solución: la migración de contraseñas de ADMT solo funciona si la protección de LSA está deshabilitada.

Importante

Consulte al equipo de seguridad antes de cambiar la configuración de protección de LSA. Realice una copia de seguridad del equipo antes de realizar los cambios.

Los perfiles locales no se migran

Problema: al ejecutar ADMT 3.2 y el Asistente para traducción de seguridad, ADMT migra cuentas de usuario locales, pero no perfiles locales.

Solución: Este comportamiento es así por diseño.

Más información

ADMT está disponible para su descarga en La herramienta de migración de Active Directory versión 3.2.