Active Directory 移轉工具的支援原則和已知問題
本文討論目前 Windows 用戶端和 Windows Server 作業系統上 Active Directory 移轉工具 (ADMT) 目前支援層級的相關信息。 本文也會列出系統管理員嘗試在 Active Directory 網域與樹系之間移轉使用者配置檔、安全性主體、密碼或安全性識別碼歷程記錄 (sIDHistory) 數據時可能會遇到的已知問題。
原始 KB 編號: 4089459
操作系統支援Microsoft
ADMT 已發行為免費下載,以支援移轉至 Windows 2000/Windows Server 2003 時代作業系統。
ADMT 尚未更新以支援下列作業系統:
- Windows 11
- Windows 10
- Windows 8.1
- Windows Server 2022
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
當您在不支援的作業系統上執行 ADMT 時,可能會遇到下列已知問題:
- ADMT 無法將使用者配置檔從比 Windows 7 或 Windows Server 2008 R2 更新的操作系統移轉至其他操作系統。 ADMT 也無法將使用者配置檔從舊版操作系統移轉至比 Windows 7 或 Windows Server 2008 R2 還要晚的操作系統。
- ADMT 與新式作業系統所使用的安全預設值不相容。
- ADMT 尚未與更新版本的 MICROSOFT SQL Server 一起進行測試。 如果您在這類情況下使用 ADMT,您可能會看到不相容或其他問題。
重要
使用 ADMT 的體驗取決於許多因素,包括您要移轉的 Windows 版本,以及您要移轉至的 Windows 版本。 以您自己的風險使用工具。
商業版 Windows 支援案例原則
Microsoft以「盡最大努力」處理 ADMT 問題的支援案例。 支援案例可能不會呈報給產品團隊。 Microsoft 無法保證問題一定解決。
程式碼層級支援原則
ADMT 3.2 程式代碼基底已被取代。 Microsoft 已正式停止 ADMT 程式碼基底的任何開發。 ADMT 不符合安全性修正、錯誤修復或設計變更的資格。
常見的支援案例和已知問題
本節列出您在使用 ADMT 時可能會遇到的最常見問題。
重要
許多問題都是因為已改善 Windows 功能或安全性的變更而發生。 這些問題的一些解決方案牽涉到對 Windows 進行暫時變更,以消除這些改善。 以您自己的風險使用這些解決方案。
ADMT 不會在已啟用 Windows Defender Credential Guard 的裝置上執行
問題:您會看到類似下列的錯誤:
無法移動來源物件 CN=User1。 確認呼叫端的帳戶未標示為敏感性,因此無法委派。 hr=0x8009030e。 安全性套件中沒有可用的認證。
解決方案:暫時停用 ADMT 伺服器上的 Credential Guard。
重要
變更 Credential Guard 設定之前,請先洽詢您的安全性小組。 在您進行任何變更之前,請先備份 ADMT 伺服器。
管理 Windows Defender Credential Guard 主題提供停用 Credential Guard 的腳本。 除了執行腳本之外,請停用 計算機設定\系統管理範本\System\Device Guard\Secure Launch Configuration Group Policy Object (GPO)。 否則,計算機會在下次啟動時重新啟用 Credential Guard。
注意
在執行 Windows Server 2022 的裝置上,如果此處所述的 GPO 設定為 [未設定],則會啟用 Credential Guard。
域控制器無法使用不受限制的委派
問題:在移轉過程中,ADMT 要求域控制器使用 不受限制的委派。 此做法已不再允許或建議使用。
解決方案:在目標域控制器上安裝和執行ADMT應用程式。 此組態會移除委派的需求。
新式應用程式不會針對使用已移轉使用者配置檔的用戶啟動
問題:當您使用 ADMT 3.2 將使用者配置檔移轉至 Windows 用戶端電腦,然後執行安全性翻譯精靈來更新配置檔時,新式應用程式不會執行。 這些應用程式包括內建應用程式(例如 Windows [開始] 功能表 和搜尋),以及從 Windows 市集安裝的應用程式。
此行為最有風險的樹系內部移轉。 這是因為樹系內部移轉的用戶帳戶無法還原至原始來源網域。
解決方案:完成移轉之後,請卸載新式應用程式,然後從 Windows 市集重新安裝它們。
如需此問題的詳細資訊,請參閱 Windows App 無法在 Windows 8、Windows 8.1 和 Windows 10 中執行 ADMT 3.2 安全性轉譯之後啟動。
安全性翻譯會重設檔案關聯
問題:您會移轉使用者配置檔,然後在 [新增] 模式中執行安全性翻譯精靈。 當您在移轉後第一次登入計算機時,您會使用原始的用戶認證,而不是移轉的(目標)用戶認證。 檔案關聯會重設為預設值,且任何自定義關聯都遺失。
在 Windows 10 中,自定義檔案關聯會使用以使用者安全識別碼 (SID) 為基礎的哈希,保護自定義檔案關聯不受不必要的修改。 自定義檔案關聯和哈希會儲存在登錄中。 當使用者移轉至新的網域時,新的用戶帳戶會收到新的SID。 所有檔案關聯哈希都必須據以更新。
解決方案:移轉完成後,請停用來源用戶帳戶。 此動作可防止發生問題。
沒有移轉子物件的物件
問題:當 ADMT 嘗試移轉具有子物件的物件時,移轉會失敗,而 ADMT 會在移轉錯誤記錄檔中記錄下列專案:
錯誤 7422:無法移動來源物件 CN=<物件名稱>。 hr=0x8007208c 因為子物件存在,所以無法執行作業。 此作業只能在子物件上執行。
封鎖移轉的子物件範例包括,但不限於下列專案:
- Exchange Active Sync
- Microsoft動態 GP
- TermSrvLicensing
- Citrix SSOSecret 和 SSOConfig
解決方案:您必須刪除子物件(也稱為分葉物件),才能移轉父物件。 例如,您必須刪除 Exchange ActiveSync 物件。 否則,沒有已知的因應措施。
具有自定義 DNS 後綴的裝置上的電腦移轉失敗
問題:在樹系間移轉期間,您會移轉設定為在網域成員資格變更時保留其主要 DNS 後綴的電腦。 當 ADMT 嘗試驗證已移轉電腦的網域成員資格時,ADMT 移轉後檢查會失敗。 錯誤訊息類似下列範例:
錯誤 7711:無法擷取已移轉電腦 'workstation1.contoso.com' 的 DNS 主機名。 屬性快取中找不到 ADSI 屬性。 (hr=0x8000500d)檢查後將會在計算機 『workstation1』 上重試
錯誤 7709:在電腦 'workstation1.contoso.com' 上檢查后失敗
錯誤 7675:無法確認移轉的電腦 'workstation1' 屬於網域 'tailspintoys.com'。 存取遭拒。 (hr=0x80070005)
若要檢查此設定,請開啟 電腦上的 [系統 ] 屬性。 若要這樣做,請選取 [開始>設定關於>進階系統設定>>] [計算機名稱>變更>更多]。 如果未 選取網域成員資格變更時變更 主要 DNS 後綴,計算機就會受到此問題的影響。
解決方案:請嘗試下列其中一種方法:
手動設定。 將計算機加入目標網域之後,請從來源網域中的帳戶中移除SPN。 或者,您也可以刪除來源網域中的計算機帳戶。
回應檔案組態。 使用 SyncDomainWithMembership。 您可以將 設定
SyncDomainWithMembership為 1。 這相當於在 網域成員資格變更時啟用變更主要 DNS 後綴。 然後在移轉期間,計算機會註冊符合新網域且不再衝突的SPN。
如果 SQL Server 資料庫主機上停用 TLS 1.0,ADMT 3.2 就不會啟動
問題:在裝載 SQL Server 資料庫的裝置上,ADMT 3.2 不會啟動,如果停用 TLS 1.0,它會顯示 SSL 安全性錯誤。 即使 ADMT 安裝在與 SQL Server 實例相同的電腦上,也會發生這種情況。 該錯誤訊息類似如下:
系統找不到指定的檔案。
解決方案:在安裝 ADMT 的電腦上,暫時啟用 TLS 1.0。 即使域控制器上停用 TLS 1.0,ADMT 仍可運作。
重要
啟用 TLS 1.0 之前,請先洽詢您的安全性小組。
如果啟用 LSA 保護,密碼匯出伺服器 (PES) 會失敗
問題:密碼移轉失敗,併產生類似下列的錯誤訊息:
無法使用密碼匯出伺服器建立會話。 RPC 伺服器無法使用。
解決方案:ADMT 密碼移轉只有在停用 LSA 保護時才有效。
重要
變更 LSA 保護設定之前,請先洽詢您的安全性小組。 在您進行任何變更之前,請先備份計算機。
本機配置檔不會移轉
問題:當您執行 ADMT 3.2 和安全性翻譯精靈時,ADMT 會移轉本機用戶帳戶,但不會移轉本機配置檔。
解決方案:這是原廠設計的行為。
其他相關資訊
ADMT 可在 Active Directory 移轉工具 3.2 版下載。