ADMT と PES のサポート情報

この記事では、Active Directory 移行ツール バージョン 3.2 (ADMT v3.2) およびパスワード エクスポート サーバー バージョン 3.1 (PES v3.1) について説明します。

元の製品バージョン:   Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号:   4089459

概要

この記事では、無料の Active Directory 移行ツールとドキュメントを提供します。 ツールは ADMT v3.2 および PES v3.1 です。 この記事では、ツールセットの既知の問題と制限事項も説明します。

ADMT ガイド

次のガイドでは、Active Directory 移行ツールを使用したドメインの移行に関するガイダンスを提供します。

Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築

注意

  • ADMT は、Windows 8.1 および 10 ワークステーションの移行用に更新されていない。
  • Windows Server 2012、Windows Server 2012 R2 以降のバージョンの Windows Server は、最新のアプリケーションとプロファイルの移行についてテストされていない。 移行する Windows バージョンなど、さまざまな要因によって、エクスペリエンスが異なる場合があります。 ツール スイートは、お客様のリスクで使用してください。
  • ADMT ツール スイートの代わりに、Microsoft Services:Active Directory Migration Services (ADMS) も利用できます。 このツールは、Azure クラウドで実行されます。 エントリ レベルの情報については、「 プレミア の好み: Windows Azure Active Directory 移行サービスと Microsoft Azure Active Directory 移行サービスによる ディレクトリ統合」を参照してください

既知の問題と制限事項

  • WINDOWS SERVER 2012 以降への PES のインストール

    古い ADMT ガイドでは、管理者特権でのコマンド プロンプトで pedmig.msiファイルを実行する必要については言及されません。 最新の ADMT ガイドでは、この要件について説明しています。 最新のガイドの日付は 2018 年 2 月 26 日で、Microsoft ダウンロード センターから提供されています。

  • ADMT を実行しているコンピューターで Credential Guard を使う必要があります

    移行を推進しているワークステーションは、移行を一人で行うのではありません。 オブジェクトの移動は、ターゲット ドメイン コントローラー (DC) で実行されます。 移行元ドメインからユーザーを移行するときに、移行タスクを実行しているユーザーに委任します。

    既定では、ドメイン コントローラーは、Credential Guard で許可されなくなった、無条件の委任用に設定されます。

    ADMT が Windows Server 2016 ベースのメンバー サーバーまたは Windows Server ベースの新しいバージョンのメンバー サーバーにインストールされている場合は、Credential Guard を無効にして移行を実行する必要があります。 または、ADMT インストールをターゲット ドメイン DC に移動することもできます。ここで、委任する必要があります。 また、Credential Guard はターゲット PC ではサポートされていません。

  • DC は、無条件の委任を使用できません

    既存の攻撃ベクトルのため、Microsoft は制限のない委任の使用を制限およびブロックしています。 これは、PC にも影響します。 ADMT は、次のエラーをログに記録します。

    ADMT ログ エラー: ソース オブジェクトの移動に失敗しました。 発信者のアカウントが機密としてマークされていないので、委任できないことを確認します。 hr=0x8009030eセキュリティ パッケージで使用できる資格情報はありません

    この更新プログラムの動作Windows Server 2008 R2 2019 年 3 月 12 日-KB4489885 (セキュリティ専用更新プログラム) に含まれている必要があります。

    Microsoft PFE では 、Kerberos Unconstrained Delegationを使用するアカウントを削除するでこの問題について説明しました。 別のブログでは、リリース計画 の概要を説明しています

    制約付き委任用にターゲット ドメインの DCS を構成し、ターゲット ドメインの PC がソースの PC (リソースベースの制約付き委任) に委任を許可することができます。 これは、PC が Windows Server Windows Server 2012以降のバージョンである場合にのみ可能です。

    Windows Server Windows Server 2008 R2以前のバージョンでは、ADMT インストールをターゲット ドメイン DC にのみ移動できます。 その後、委任する必要がなされます。

  • ADMT コンピューターに接続するには、TLS 1.0 が有効になっているSQL Server

    TLS 1.0 が無効になっている場合、ADMT コンピューターで次のようなメッセージが表示されます。

    失敗したアクションを確認できません。 : DBManager.ImanaDB.1 : [DBNETLIB][ConnectionOpen (SECCreateCredentials()).]SSL セキュリティ エラーです。

    エラー メッセージのスクリーンショット

    さらに、TLS 1.0 が無効になっている場合、管理者ツールは開くとスナップインを読み込みしません。 次のようなメッセージが表示されます。

    Screenshot of an error that occurs when Admin tool doesn't load snap-in.

  • ADMT を実行するユーザーは、認証サイロのメンバーではない必要があります。

    SidHistory の移行を実行するために使用するユーザー アカウントは、認証サイロ に含めずにしてください。 フォレスト間で SidHistory を移行する場合、ターゲット DC はソース DC へのネットワーク セッションを作成し、NTLM を使用して認証します。 認証サイロに含む管理者ユーザー アカウントの場合、一部の OS では、これらのユーザー アカウントに対して NTLM が既定で許可されていないか、ユーザーによって無効になっています。

  • ADMT タスクの認証フロー内のドメインは、NTLM を制限しなけれ

    認証サイロを回避するのと同じ理由から、ADMT SidHistory の移行に使用されるドメインは、ポリシーの 1 つによって NTLMの使用を制限しすることはできません。

  • SQL Serverバージョン

    ADMT を持つバージョンSQL Serverチェックはありません。 最後のテストは 2013 年に実行されました。 したがって、2014 SQL Server以降のバージョンを実行しているコンピューターはテストされません。 このツールを実稼働移行に使用する前に、テスト環境で独自の ADMT テストを実行します。

  • グループ管理サービス アカウント

    2018 年 2 月 27 日現在、ADMT ガイドでは、2018 年 2 月 27 日に実装されている管理サービス アカウントを処理する方法Windows Server 2008 R2。 グループ管理サービス アカウント (GMSA) のテストは行われていました。 これらのアカウントを複数の場所で特別に処理する場合は、次のガイドラインに従う必要があります。

    • フォレスト境界を越えて GMSA を移行しようとしない。
    • フォレスト内で GMSA を移動する場合は注意が必要です。
  • クライアントのオペレーティング システム

    最新のツールセットは Windows 8.0 が市場に入った後にリリースされましたが、Windows 8.xand 10.x コンピューター アカウントの移行のテストは実施されていませんでした。特に、ユーザー プロファイルの完全移行のテストは実施されていません。

    ユーザー プロファイルの正しい移行に関連するいくつかの移行の問題が見つかりました。 これは、最新のアプリケーション登録とプロファイルのアクセス許可に特に当てはっています。

  • パスワード更新の移行を繰り返す

    一部のユーザーは、アカウントの繰り返し移行を実行して、新しいパスワードをソース アカウントから別のフォレスト内の新しいアカウントに転送しています。 ADMT は、このアプローチ向けではありません。 データベース内の各移行ジョブを追跡します。 時間がたつ間に、ADMT データベースのサイズが増加します。 最終的には、次のような問題が発生する可能性があります。

    • データベースのライセンス サイズを超えている (高速展開SQL場合)。

    • データベースが、データベースを実行しているコンピューターの使用可能なディスク領域を超SQL Server。

    • 移行ジョブの速度が低下します。 これは、新しいジョブを実行すると移行履歴がスキャンされるためです。

      注意

      この方法で数週間または数か月間 ADMT を使用する予定で、同期スケジュールが頻繁にある場合は 、Microsoft Identity Managerなどの同期ソリューションに基づくソリューションをお勧めします。

関連情報