Política de suporte e problemas conhecidos para a Ferramenta de Migração do Active Directory

Este artigo discute informações sobre o nível atual de suporte para a Ferramenta de Migração do Active Directory (ADMT) nos sistemas operacionais Windows Client e Windows Server atuais. Este artigo também lista problemas conhecidos que os administradores podem enfrentar ao tentar migrar perfis de usuário, entidades de segurança, senhas ou dados de histórico de identificador de segurança (sIDHistory) entre domínios e florestas do Active Directory.

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 4089459

Suporte da Microsoft por sistema operacional

O ADMT foi lançado como um download gratuito para dar suporte à migração para sistemas operacionais windows 2000/Windows Server 2003.

O ADMT não foi atualizado para dar suporte aos seguintes sistemas operacionais:

• Windows 11
• Windows 10
• Windows 8.1
• Windows Server 2022
• Windows Server 2019
• Windows Server 2016
• Windows Server 2012 R2

Quando você executa o ADMT em sistemas operacionais que não têm suporte, você pode experimentar os seguintes problemas conhecidos:

• O ADMT não pode migrar perfis de usuário de sistemas operacionais posteriores ao Windows 7 ou Windows Server 2008 R2 para outros sistemas operacionais. O ADMT também não pode migrar perfis de usuário para sistemas operacionais posteriores ao Windows 7 ou Windows Server 2008 R2 de sistemas operacionais mais antigos.
• O ADMT não é compatível com os padrões seguros que os sistemas operacionais modernos usam.
• O ADMT não foi testado junto com versões posteriores do Microsoft SQL Server. Se você usar o ADMT nessas circunstâncias, poderá ver incompatibilidades ou outros problemas.

Importante

Sua experiência em usar o ADMT depende de muitos fatores, incluindo a versão do Windows da qual você está migrando e a versão do Windows para a qual você está migrando. Use a ferramenta por sua conta e risco.

Política de caso de suporte comercial do Windows

A Microsoft lida com casos de suporte para problemas do ADMT completamente em uma base de "melhor esforço". Os casos de suporte podem não ser escalonados para as equipes de produtos. A Microsoft não pode garantir que os problemas serão resolvidos.

Política de suporte no nível de código

A base de código do ADMT 3.2 foi preterida. A Microsoft interrompeu oficialmente qualquer desenvolvimento na base de código do ADMT. O ADMT não é qualificado para correções de segurança, correções de bugs ou alterações de design.

Cenários de suporte comuns e problemas conhecidos

Esta seção lista os problemas mais comuns que você pode enfrentar ao usar o ADMT.

Importante

Muitos desses problemas ocorrem devido a alterações que melhoraram a funcionalidade ou a segurança do Windows. Algumas soluções para esses problemas envolvem fazer alterações temporárias no Windows que anulam essas melhorias. Use essas soluções por sua conta e risco.

O ADMT não será executado em dispositivos que tenham Windows Defender Credential Guard habilitado

Problema: você vê erros que se assemelham ao seguinte:

Falha ao mover o objeto de origem CN=User1. Verifique se a conta do chamador não está marcada como confidencial e, portanto, não pode ser delegada. hr=0x8009030e. Nenhuma credenciais está disponível no pacote de segurança.

Solução: desabilite temporariamente o Credential Guard no servidor ADMT.

Importante

Consulte sua equipe de segurança antes de alterar a configuração do Credential Guard. Faça backup do servidor ADMT antes de fazer alterações.

O tópico Gerenciar Windows Defender Credential Guard fornece um script que desabilita o Credential Guard. Além de executar o script, desabilite a Configuração do Computador\Modelos Administrativos\System\Device Guard\Secure Launch Configuration Política de Grupo Object (GPO). Caso contrário, o computador habilitará novamente o Credential Guard na próxima vez que ele for iniciado.

Observação

Em dispositivos que executam o Windows Server 2022, o Credential Guard será habilitado se o GPO descrito aqui estiver definido como Não Configurado.

Os controladores de domínio não podem usar delegação não treinada

Problema: durante o processo de migração, o ADMT exige que os controladores de domínio usem delegação não treinada. Essa prática não é mais permitida ou recomendada.

Solução: instale e execute aplicativos ADMT no controlador de domínio de destino. Essa configuração remove a necessidade de delegação.

Aplicativos modernos não começam para um usuário que usa um perfil de usuário migrado

Problema: quando você usa o ADMT 3.2 para migrar um perfil de usuário para um computador Cliente Windows e, em seguida, executa o assistente de Tradução de Segurança para atualizar o perfil, os aplicativos modernos não são executados. Esses aplicativos incluem aplicativos internos (como o menu Iniciar do Windows e a Pesquisa) e aplicativos instalados na Windows Store.

As migrações intra-florestais estão em maior risco para esse comportamento. Isso ocorre porque as contas de usuário migradas por intra-floresta não podem ser restauradas para o domínio de origem original.

Solução: depois de concluir a migração, desinstale os aplicativos modernos e reinstale-os da Windows Store.

Para obter mais informações sobre esse problema, consulte O Aplicativo Windows não pode ser iniciado após a execução da tradução de segurança do ADMT 3.2 em Windows 8, Windows 8.1 e Windows 10.

A tradução de segurança redefine associações de arquivos

Problema: você migra um perfil de usuário e, em seguida, executa o assistente de tradução de segurança no modo Adicionar. Quando você entra no computador pela primeira vez após a migração, usa as credenciais de usuário originais (de origem) em vez das credenciais de usuário migradas (destino). As associações de arquivo são redefinidas para seus valores padrão e todas as associações personalizadas são perdidas.

Em Windows 10, uma associação de arquivos personalizada é protegida contra modificações indesejadas usando um hash baseado em parte no SID (identificador de segurança) do usuário. A associação de arquivos personalizado e o hash são armazenados no registro. Quando o usuário é migrado para um novo domínio, a nova conta de usuário recebe um novo SID. Todos os hashes de associação de arquivos devem ser atualizados de acordo.

Solução: assim que a migração for concluída, desabilite a conta de usuário de origem. Essa ação impede que o problema ocorra.

Objetos que têm objetos filho não são migrados

Problema: quando o ADMT tenta migrar um objeto que tem um objeto filho, a migração falha e o ADMT registra a seguinte entrada no log de erros de migração:

Erro 7422: falha ao mover o objeto de origem CN=<nome >do objeto. hr=0x8007208c A operação não pode ser executada porque há objetos filho. Essa operação só pode ser executada em um objeto filho.

Alguns exemplos de objetos filho que bloqueiam a migração incluem, mas não se limitam a, o seguinte:

• Exchange Active Sync
• Microsoft Dynamic GP
• TermSrvLicensing
• Citrix SSOSecret e SSOConfig

Solução: você precisa excluir o objeto filho (também conhecido como objeto folha) para migrar o objeto pai. Por exemplo, você teria que excluir o objeto Exchange ActiveSync. Caso contrário, não há solução alternativa conhecida.

A migração do computador falha em dispositivos que têm sufixos DNS personalizados

Problema: durante uma migração entre florestas, você migra computadores configurados para manter o sufixo DNS primário quando a associação de domínio é alterada. O marcar pós-migração do ADMT falha quando o ADMT tenta verificar a associação de domínio do computador migrado. As mensagens de erro se assemelham aos seguintes exemplos:

Erro 7711: não é possível recuperar o nome do host DNS para o computador migrado 'workstation1.contoso.com'. A propriedade ADSI não pode ser encontrada no cache da propriedade. (hr=0x8000500d) O pós-marcar será julgado novamente no computador 'workstation1'

Erro 7709: falha pós-marcar no computador 'workstation1.contoso.com'

Erro 7675: não é possível verificar se o computador migrado 'workstation1' pertence ao domínio 'tailspintoys.com'. Acesso negado. (hr=0x80070005)

Para marcar essa configuração, abra as propriedades do Sistema no computador. Para fazer isso, selecione Iniciar>Configurações>sobre>configurações avançadas>do sistema Nome>do computador Alterar>mais. Se alterar o sufixo DNS primário quando as alterações de associação de domínio não forem selecionadas, o computador será afetado por esse problema.

Solução: experimente um dos seguintes métodos:

• Configuração manual. Depois de ingressar o computador no domínio de destino, remova os SPNs da conta no domínio de origem. Como alternativa, você pode excluir a conta do computador no domínio de origem.

• Configuração de arquivo de resposta. Use SyncDomainWithMembership. Você pode definir SyncDomainWithMembership como 1. Isso é o equivalente a habilitar alterar o sufixo DNS primário quando a associação de domínio for alterada. Em seguida, durante a migração, o computador registra SPNs que correspondem ao novo domínio e não entram em conflito mais.

O ADMT 3.2 não será iniciado se o TLS 1.0 estiver desabilitado no host de banco de dados SQL Server

Problema: em um dispositivo que hospeda um banco de dados SQL Server, o ADMT 3.2 não é iniciado e exibe erros de segurança SSL se o TLS 1.0 estiver desabilitado. Isso ocorre mesmo se o ADMT estiver instalado no mesmo computador que a instância SQL Server. A mensagem de erro se assemelha ao seguinte:

O sistema não pôde encontrar o arquivo especificado.

Solução: no computador no qual o ADMT está instalado, habilite temporariamente o TLS 1.0. O ADMT funciona mesmo que o TLS 1.0 esteja desabilitado no controlador de domínio.

Importante

Consulte sua equipe de segurança antes de habilitar o TLS 1.0.

O PES (Servidor de Exportação de Senha) falhará se a Proteção LSA estiver habilitada

Problema: a migração de senha falha e gera uma mensagem de erro que se assemelha ao seguinte:

Não é possível estabelecer uma sessão com o servidor de exportação de senha. O servidor RPC não está disponível.

Solução: a migração de senha do ADMT só funcionará se a proteção LSA estiver desabilitada.

Importante

Consulte sua equipe de segurança antes de alterar a configuração de Proteção LSA. Faça backup do computador antes de fazer alterações.

Os perfis locais não são migrados

Problema: quando você executa o ADMT 3.2 e o assistente de Tradução de Segurança, o ADMT migra contas de usuário locais, mas não perfis locais.

Solução: esse comportamento é por design.

Mais informações

O ADMT está disponível para download no Active Directory Migration Tool versão 3.2.