Active Directory 迁移工具的支持策略和已知问题

项目
02/19/2024

本文介绍当前 Windows 客户端和 Windows Server 操作系统上 Active Directory 迁移工具 (ADMT) 支持级别的信息。本文还列出了管理员尝试在 Active Directory 域和林之间迁移用户配置文件、安全主体、密码或安全标识符历史记录 (sIDHistory) 数据时可能会遇到的已知问题。

适用于：Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
原始 KB 编号： 4089459

按操作系统提供的 Microsoft 支持

ADMT 作为免费下载发布，支持迁移到 Windows 2000/Windows Server 2003 时代操作系统。

ADMT 尚未更新为支持以下操作系统：

Windows 11
Windows 10
Windows 8.1
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2

在不支持的操作系统上运行 ADMT 时，可能会遇到以下已知问题：

ADMT 无法将高于 Windows 7 或 Windows Server 2008 R2 的操作系统中的用户配置文件迁移到其他操作系统。 ADMT 也无法将用户配置文件从较旧的操作系统迁移到低于 Windows 7 或 Windows Server 2008 R2 的操作系统。
ADMT 与新式操作系统使用的安全默认值不兼容。
ADMT 尚未与更高版本的 Microsoft SQL Server一起测试。如果在这种情况下使用 ADMT，可能会看到不兼容或其他问题。

重要

使用 ADMT 的体验取决于许多因素，包括要从中迁移的 Windows 版本和要迁移到的 Windows 版本。使用该工具的风险自担。

商业 Windows 支持案例策略

Microsoft 完全在“尽最大努力”的基础上处理 ADMT 问题的支持案例。支持案例可能不会上报给产品团队。 Microsoft 无法保证问题得到解决。

代码级支持策略

ADMT 3.2 基本代码已弃用。 Microsoft 已正式停止对 ADMT 代码库的任何开发。 ADMT 不符合安全修复、bug 修复或设计更改的条件。

常见支持方案和已知问题

本部分列出了使用 ADMT 时可能会遇到的最常见问题。

重要

其中许多问题是由于改进了 Windows 的功能或安全性的更改而发生的。这些问题的一些解决方案涉及对 Windows 进行临时更改，以取消这些改进。使用这些解决方案的风险自担。

ADMT 不会在启用了 Windows Defender Credential Guard 的设备上运行

问题：会看到类似于以下内容的错误：

无法移动源对象 CN=User1。验证调用方帐户是否未标记为敏感，因此无法委派。 hr=0x8009030e。安全包中没有可用的凭据。

解决方案：暂时禁用 ADMT 服务器上的 Credential Guard。

重要

在更改 Credential Guard 配置之前，请咨询安全团队。在进行任何更改之前，请备份 ADMT 服务器。

管理 Windows Defender Credential Guard 主题提供了禁用 Credential Guard 的脚本。除了运行脚本，还禁用计算机配置\管理模板\System\Device Guard\Secure Launch Configuration 组策略 Object (GPO) 。否则，计算机将在下次启动时重新启用 Credential Guard。

注意

在运行 Windows Server 2022 的设备上，如果此处所述的 GPO 设置为“ 未配置”，则会启用 Credential Guard。

域控制器不能使用不受约束的委派

问题：在迁移过程中，ADMT 要求域控制器使用不受约束的委派。不再允许或推荐这种做法。

解决方案：在目标域控制器上安装并运行 ADMT 应用。此配置无需委派。

对于使用已迁移的用户配置文件的用户，新式应用不会启动

问题：使用 ADMT 3.2 将用户配置文件迁移到 Windows 客户端计算机，然后运行安全转换向导来更新配置文件时，新式应用程序不会运行。这些应用包括内置应用 (（例如 Windows“开始”菜单）和“搜索) ”以及从 Windows 应用商店安装的应用。

林内迁移此行为的风险最大。这是因为无法将林内迁移的用户帐户还原到原始源域。

解决方案：完成迁移后，卸载新式应用，然后从 Windows 应用商店重新安装它们。

有关此问题的详细信息，请参阅在 Windows 8、Windows 8.1 和 Windows 10 中运行 ADMT 3.2 安全转换后 Windows 应用无法启动。

安全转换重置文件关联

问题：迁移用户配置文件，然后在“添加”模式下运行安全转换向导。迁移后首次登录到计算机时，请使用原始 (源) 用户凭据，而不是迁移 (目标) 用户凭据。文件关联会重置为其默认值，并且任何自定义关联都将丢失。

在 Windows 10中，通过使用部分基于用户安全标识符 (SID) 的哈希来保护自定义文件关联免受不必要的修改。自定义文件关联和哈希存储在注册表中。当用户迁移到新域时，新用户帐户会收到新的 SID。必须相应地更新所有文件关联哈希。

解决方案：迁移完成后，立即禁用源用户帐户。此操作可防止问题发生。

不会迁移具有子对象的对象

问题：当 ADMT 尝试迁移具有子对象的对象时，迁移失败，ADMT 会在迁移错误日志中记录以下条目：

错误 7422：无法移动源对象 CN=<对象名称>。 hr=0x8007208c 无法执行该操作，因为存在子对象。此操作只能对子对象执行。

阻止迁移的子对象的一些示例包括但不限于以下内容：

Exchange Active Sync
Microsoft Dynamic GP
TermSrvLicensing
Citrix SSOSecret 和 SSOConfig

解决方案：必须删除子对象 (也称为叶对象) 才能迁移父对象。例如，必须删除 Exchange ActiveSync 对象。否则，没有已知的解决方法。

在具有自定义 DNS 后缀的设备上，计算机迁移失败

问题：在林间迁移期间，迁移配置为在域成员身份更改时保留其主 DNS 后缀的计算机。当 ADMT 尝试验证已迁移计算机的域成员身份时，ADMT 迁移后检查失败。错误消息类似于以下示例：

错误 7711：无法检索已迁移计算机“workstation1.contoso.com”的 DNS 主机名。在属性缓存中找不到 ADSI 属性。 (hr=0x8000500d) 将在计算机“workstation1”上重试检查后

错误 7709：计算机“workstation1.contoso.com”上的后检查失败

错误 7675：无法验证迁移的计算机“workstation1”是否属于域“tailspintoys.com”。访问被拒绝。 (hr=0x80070005)

若要检查此配置，请在计算机上打开“系统”属性。为此，请选择“ 开始>设置>关于>高级系统设置>计算机名称>更改>更多”。如果未选择 “域成员身份更改时更改主 DNS 后缀 ”，则此问题会影响计算机。

解决方案：尝试以下方法之一：

手动配置。将计算机加入目标域后，请从源域中的帐户中删除 SPN。或者，可以在源域中删除计算机帐户。
应答文件配置。使用 SyncDomainWithMembership。可以设置为 SyncDomainWithMembership1。这相当于在 域成员身份更改时启用更改主 DNS 后缀。然后在迁移期间，计算机注册与新域匹配且不再冲突的 SPN。

如果在SQL Server数据库主机上禁用 TLS 1.0，ADMT 3.2 不会启动

问题：在托管 SQL Server 数据库的设备上，ADMT 3.2 无法启动，如果禁用 TLS 1.0，则显示 SSL 安全错误。即使 ADMT 与 SQL Server 实例安装在同一台计算机上，也会发生这种情况。错误消息如下所示：

系统找不到指定的文件。

解决方案：在安装了 ADMT 的计算机上，暂时启用 TLS 1.0。即使域控制器上禁用了 TLS 1.0，ADMT 也能正常工作。

重要

在启用 TLS 1.0 之前，请咨询安全团队。

如果启用了 LSA 保护，则密码导出服务器 (PES) 失败

问题：密码迁移失败，并生成类似于以下内容的错误消息：

无法与密码导出服务器建立会话。 RPC 服务器不可用。

解决方案：仅当禁用 LSA 保护时，ADMT 密码迁移才有效。

重要

在更改 LSA 保护配置之前，请咨询安全团队。在进行任何更改之前，请备份计算机。

不迁移本地配置文件

问题：运行 ADMT 3.2 和安全转换向导时，ADMT 会迁移本地用户帐户，但不会迁移本地配置文件。

解决方案：此行为是设计使然。