Compartilhar via

Política de suporte e problemas conhecidos da Ferramenta de Migração do Active Directory

Este artigo discute informações sobre o nível atual de suporte para a Ferramenta de Migração do Active Directory (ADMT) nos sistemas operacionais Windows Client e Windows Server atuais. Este artigo também lista problemas conhecidos que os administradores podem enfrentar ao tentar migrar perfis de usuário, entidades de segurança, senhas ou dados de histórico de identificadores de segurança (sIDHistory) entre domínios e florestas do Active Directory.

Número original do KB: 4089459

Suporte da Microsoft por sistema operacional

O ADMT foi lançado como um download gratuito para dar suporte à migração para os sistemas operacionais Windows 2000/Windows Server 2003.

O ADMT não foi atualizado para dar suporte aos seguintes sistemas operacionais:

  • Windows 11
  • Windows 10
  • Windows 8.1
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016
  • Windows Server 2012 R2

Ao executar o ADMT em sistemas operacionais sem suporte, você pode enfrentar os seguintes problemas conhecidos:

  • O ADMT não pode migrar perfis de usuário de sistemas operacionais posteriores ao Windows 7 ou Windows Server 2008 R2 para outros sistemas operacionais. O ADMT também não pode migrar perfis de usuário para sistemas operacionais posteriores ao Windows 7 ou Windows Server 2008 R2 de sistemas operacionais mais antigos.
  • O ADMT não é compatível com os padrões seguros que os sistemas operacionais modernos usam.
  • O ADMT não foi testado junto com versões posteriores do Microsoft SQL Server. Se você usar o ADMT nessas circunstâncias, poderá ver incompatibilidades ou outros problemas.

Importante

Sua experiência no uso do ADMT depende de muitos fatores, incluindo a versão do Windows da qual você está migrando e a versão do Windows para a qual você está migrando. Use a ferramenta por sua conta e risco.

Política de caso de suporte comercial do Windows

A Microsoft lida com casos de suporte para problemas do ADMT completamente com base no "melhor esforço". Os casos de suporte podem não ser encaminhados para as equipes de produto. A Microsoft não pode garantir que os problemas serão resolvidos.

Política de suporte no nível do código

A base de código do ADMT 3.2 foi preterida. A Microsoft interrompeu oficialmente qualquer desenvolvimento na base de código do ADMT. O ADMT não é elegível para correções de segurança, correções de bugs ou alterações de design.

Cenários comuns de suporte e problemas conhecidos

Esta seção lista os problemas mais comuns que você pode enfrentar ao usar o ADMT.

Importante

Muitos desses problemas ocorrem devido a alterações que melhoraram a funcionalidade ou a segurança do Windows. Algumas soluções para esses problemas envolvem fazer alterações temporárias no Windows que anulam essas melhorias. Use essas soluções por sua conta e risco.

O ADMT não será executado em dispositivos que tenham o Windows Defender Credential Guard habilitado

Problema: você vê erros semelhantes aos seguintes:

Falha ao mover o objeto de origem CN=User1. Verifique se a conta do chamador não está marcada como confidencial e, portanto, não pode ser delegada. hr=0x8009030e. Nenhuma credencial está disponível no pacote de segurança.

Solução: desabilite temporariamente o Credential Guard no servidor ADMT.

Importante

Consulte sua equipe de segurança antes de alterar a configuração do Credential Guard. Faça backup do servidor ADMT antes de fazer qualquer alteração.

O tópico Gerenciar Windows Defender Credential Guard fornece um script que desabilita o Credential Guard. Além de executar o script, desabilite o GPO (Objeto de Política de Grupo) de Configuração do Computador\Modelos Administrativos\Sistema\Device Guard\Secure Launch Configuration . Caso contrário, o computador reabilitará o Credential Guard na próxima vez que for iniciado.

Observação

Em dispositivos que executam o Windows Server 2022, o Credential Guard será habilitado se o GPO descrito aqui estiver definido como Não Configurado.

Os controladores de domínio não podem usar a delegação irrestrita

Problema: durante o processo de migração, o ADMT exige que os controladores de domínio usem a delegação irrestrita. Esta prática não é mais permitida ou recomendada.

Solução: instale e execute aplicativos ADMT no controlador de domínio de destino. Essa configuração elimina a necessidade de delegação.

Os aplicativos modernos não são iniciados para um usuário que usa um perfil de usuário migrado

Problema: quando você usa o ADMT 3.2 para migrar um perfil de usuário para um computador Windows Client e, em seguida, executa o assistente de Conversão de Segurança para atualizar o perfil, os aplicativos modernos não são executados. Esses aplicativos incluem aplicativos internos (como o menu Iniciar do Windows e a Pesquisa) e aplicativos instalados da Windows Store.

As migrações intraflorestais correm maior risco para esse comportamento. Isso ocorre porque as contas de usuário migradas dentro da floresta não podem ser restauradas para o domínio de origem original.

Solução: depois de concluir a migração, desinstale os aplicativos modernos e reinstale-os na Windows Store.

Para obter mais informações sobre esse problema, consulte O aplicativo Windows não pode ser iniciado após a execução da conversão de segurança do ADMT 3.2 no Windows 8, Windows 8.1 e Windows 10.

A conversão de segurança redefine as associações de arquivos

Problema: você migra um perfil de usuário e, em seguida, executa o assistente de conversão de segurança no modo Adicionar. Ao entrar no computador pela primeira vez após a migração, você usa as credenciais de usuário originais (origem) em vez das credenciais de usuário migradas (destino). As associações de arquivo são redefinidas para seus valores padrão e todas as associações personalizadas são perdidas.

No Windows 10, uma associação de arquivo personalizada é protegida contra modificações indesejadas usando um hash baseado em parte no SID (identificador de segurança) do usuário. A associação de arquivo personalizado e o hash são armazenados no registro. Quando o usuário é migrado para um novo domínio, a nova conta de usuário recebe um novo SID. Todos os hashes de associação de arquivo devem ser atualizados de acordo.

Solução: assim que a migração for concluída, desabilite a conta de usuário de origem. Essa ação impede que o problema ocorra.

Objetos que têm objetos filho não são migrados

Problema: quando o ADMT tenta migrar um objeto que tem um objeto filho, a migração falha e o ADMT registra a seguinte entrada no log de erros de migração:

Erro 7422: Falha ao mover o objeto de origem CN=<nome do objeto>. hr=0x8007208c A operação não pode ser executada porque existem objetos filho. Essa operação só pode ser executada em um objeto filho.

Alguns exemplos de objetos filho que bloqueiam a migração incluem, mas não estão limitados a, o seguinte:

  • Exchange Active Sync
  • GP Dinâmica da Microsoft
  • TermSrvLicensing
  • Citrix SSOSecret e SSOConfig

Solução: você precisa excluir o objeto filho (também conhecido como objeto folha) para migrar o objeto pai. Por exemplo, você teria que excluir o objeto do Exchange ActiveSync. Caso contrário, não há solução alternativa conhecida.

A migração do computador falha em dispositivos que têm sufixos DNS personalizados

Problema: durante uma migração entre florestas, você migra computadores configurados para manter o sufixo DNS primário quando a associação de domínio é alterada. A verificação pós-migração do ADMT falha quando o ADMT tenta verificar a associação de domínio do computador migrado. As mensagens de erro são semelhantes aos seguintes exemplos:

Erro 7711: Não é possível recuperar o nome do host DNS para o computador migrado 'workstation1.contoso.com'. A propriedade ADSI não pode ser encontrada no cache de propriedades. (hr=0x8000500d) A pós-verificação será repetida no computador 'workstation1'

Erro 7709: Falha na pós-verificação no computador 'workstation1.contoso.com'

Erro 7675: Não é possível verificar se o computador migrado 'workstation1' pertence ao domínio 'tailspintoys.com'. Acesso negado. (hr=0x80070005)

Para verificar essa configuração, abra as propriedades do sistema no computador. Para fazer isso, selecione Iniciar>Configurações>Sobre>Configurações avançadas do>sistema Nome do computador>Alterar>mais. Se a opção Alterar sufixo DNS primário quando a associação de domínio for alterada não estiver selecionada, o computador será afetado por esse problema.

Solução: tente um dos seguintes métodos:

  • Configuração manual. Depois de associar o computador ao domínio de destino, remova os SPNs da conta no domínio de origem. Como alternativa, você pode excluir a conta do computador no domínio de origem.

  • Configuração do arquivo de resposta. Use SyncDomainWithMembership. Você pode definir SyncDomainWithMembership como 1. Isso é o equivalente a habilitar Alterar sufixo DNS primário quando a associação de domínio for alterada. Em seguida, durante a migração, o computador registra SPNs que correspondem ao novo domínio e não entram mais em conflito.

O ADMT 3.2 não será iniciado se o TLS 1.0 estiver desabilitado no host do banco de dados do SQL Server

Problema: em um dispositivo que hospeda um banco de dados do SQL Server, o ADMT 3.2 não é iniciado e exibe erros de segurança SSL se o TLS 1.0 tiver sido desabilitado. Isso ocorre mesmo se o ADMT estiver instalado no mesmo computador que a instância do SQL Server. Essa mensagem de erro é semelhante à exibida a seguir:

O sistema não pode encontrar o arquivo especificado.

Solução: no computador em que o ADMT está instalado, habilite temporariamente o TLS 1.0. O ADMT funciona mesmo se o TLS 1.0 estiver desabilitado no controlador de domínio.

Importante

Consulte sua equipe de segurança antes de habilitar o TLS 1.0.

O Servidor de Exportação de Senha (PES) falha se a Proteção LSA estiver habilitada

Problema: a migração de senha falha e gera uma mensagem de erro semelhante à seguinte:

Não é possível estabelecer uma sessão com o servidor de exportação de senha. O servidor RPC não está disponível.

Solução: a migração de senha do ADMT só funcionará se a proteção LSA estiver desabilitada.

Importante

Consulte sua equipe de segurança antes de alterar a configuração do LSA Protection. Faça backup do computador antes de fazer qualquer alteração.

Os perfis locais não são migrados

Problema: quando você executa o ADMT 3.2 e o assistente de Conversão de Segurança, o ADMT migra contas de usuário locais, mas não perfis locais.

Solução: este comportamento ocorre por design.

Mais informações

O ADMT está disponível para download na Ferramenta de Migração do Active Directory versão 3.2.