| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| admt [2025/01/14 13:24] – jp | admt [2025/09/01 13:23] (current) – jp |
|---|
| ===== ADMT ===== | ===== ADMT ===== |
| |
| Если нам требуется выполнить миграцию пользователей из одного домена в другой домен - нам может помочь утилита, выпущенная Microsoft с нехитрым названием: //Active Directory Migration Tool//. | Если нам требуется выполнить миграцию пользователей из одного домена в другой домен - нам может помочь утилита, выпущенная //Microsoft// с нехитрым названием: //Active Directory Migration Tool//. |
| |
| ADMT имеет командный и графический интерфейс. Рабочая директория располагается обычно в следующем месте: | //ADMT// имеет командный и графический интерфейс. Рабочая директория располагается обычно в следующем месте: |
| |
| C:\WINDOWS\ADMT | C:\WINDOWS\ADMT |
| === Не удаётся выполнить миграцию с включенной опцией переноса SID === | === Не удаётся выполнить миграцию с включенной опцией переноса SID === |
| |
| В //ADMT// существует опция переноса учётной записи с сохранением исходного SID. Она может потребоваться нам, если мы хотим сохранить секьюрити дескрипторы для переносимой записи - к примеру у неё заданы какие-либо права в файловой системе или //SMB//. В GUI-интерфейсе она представлена так: | В //ADMT// существует опция переноса учётной записи с сохранением исходного //SID//. Она может потребоваться нам, если мы хотим сохранить секьюрити дескрипторы для переносимой записи - к примеру у неё заданы какие-либо права в файловой системе или //SMB//. В GUI-интерфейсе она представлена так: |
| |
| ;#; | ;#; |
| ;#; | ;#; |
| |
| В статье //Microsoft// о траблшутинге проблем, связанных с трансляцией //SID// - хорошо описаны предварительные условия, необходимые для работы //ADMT//, такие как наличие включенного параметра //TcpipClientSupport//. С данными параметрами можно ознакомиться по ссылке: | В статье //Microsoft// о траблшутинге проблем, связанных с трансляцией //SID// - хорошо описаны предварительные условия, необходимые для работы //ADMT//, такие как наличие включенного параметра //TcpipClientSupport//. С данными условиями можно ознакомиться по ссылке: |
| |
| https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/inter-forest-sidhistory-migration-with-admt | https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/inter-forest-sidhistory-migration-with-admt |
| ;#; | ;#; |
| |
| При этом, домен доступен, DNS работает и следующие тесты проходят нормально: | При этом, домен доступен, //DNS// работает и следующие тесты проходят нормально: |
| |
| netdom query /d:contoso.com trust /verify | netdom query /d:contoso.com trust /verify |
| nltest /dsgetdc:contoso.com | nltest /dsgetdc:contoso.com |
| А миграция без опции трансляции SID выполняется успешно - вероятно, имеет место запрет трансляии анонимных SID в имя. Это распространенный параметр безопасности, который обычно задаётся через GPO. Искать необходимо в следующем месте: | А миграция без опции трансляции //SID// выполняется успешно - вероятно, имеет место запрет трансляии анонимных //SID //в имя. Это распространенный параметр безопасности, который обычно задаётся через //GPO//. Искать необходимо в следующем месте: |
| |
| <WRAP prewrap> | <WRAP prewrap> |
| </WRAP> | </WRAP> |
| |
| Для работы ADMT он должен быть ВКЛЮЧЕН (т.е. трансляция разрешена). После задания нужного значения выполняем: | Для работы //ADMT// указанный выше параметр - должен быть ВКЛЮЧЕН (т.е. трансляция разрешена). После задания нужного значения выполняем: |
| |
| gpupdate /force | gpupdate /force |
| :!: //Перезапуск целевого контроллера домена не нужен.// | :!: //Перезапуск целевого контроллера домена не нужен.// |
| |
| ==== Пример запуска миграции из консоли ==== | ==== Работа с ADMT из консоли ==== |
| |
| В данном примере мы //скопируем// пользователей из исходного домена (SD:"contoso.com"), используя контроллер домена //dc.contoso.com// - в домен назначения (TD:destdom.local), используя контроллер в целевом домене //dc.destdom.local//, в OU //Migrated Objects/Users// из CSV-файла (файл содержит только //username//), смёрджив конфликты. | :!: //ВАЖНО. Если мы производим диагностику какой-либо проблемы и нам требуется поэтапная проверка работы ADMT - лучше использовать MMC-версию утилиты, т.к. командная версия - в отличие от GUI - никакие проверки НЕ ПРОИЗВОДИТ и сообщит в лог об итогах переноса, в то же время GUI-версия может сообщить о проблеме на конкретном шаге.// |
| | |
| | В данном примере мы //скопируем// пользователей из исходного домена (SD://"contoso.com"//), используя контроллер домена //dc.contoso.com// - в домен назначения (//TD:destdom.local//), используя контроллер в целевом домене //dc.destdom.local//, в OU //Migrated Objects/Users// из CSV-файла (файл содержит только //username// и расположен на SMB-сервере), смёрджив конфликты. Пароли будут синхронизированы при помощи расположенной на сервере //passwords.contoso.com// службы //Password Export Server Service//. |
| |
| <WRAP prewrap> | <WRAP prewrap> |
| <code> | <code> |
| ADMT USER /F "\\docserver\migration$\admt\Pwd\users.new.csv" /IF:NO /SD:"contoso.com" /SDC:"dc.contoso.com" /TD:"destdom.local" /TDC:"dc.destdom.local" /TO:"Migrated Objects/Users" /PO:COPY /PS:"DCSRV03.pcr.int" /MSS:YES /TRP:NO /UUR:YES /MGS:YES /DOT:ENABLETARGET /MSA:YES /UMO:YES /FGM:YES /CO:MERGE | ADMT USER /F "\\server\migration$\admt\Pwd\users.new.csv" /IF:NO /SD:"contoso.com" /SDC:"dc.contoso.com" /TD:"destdom.local" /TDC:"dc.destdom.local" /TO:"Migrated Objects/Users" /PO:COPY /PS:"passwords.contoso.com" /MSS:YES /TRP:NO /UUR:YES /MGS:YES /DOT:ENABLETARGET /MSA:YES /UMO:YES /FGM:YES /CO:MERGE |
| </code> | </code> |
| </WRAP> | </WRAP> |
| |
| {{tag>ActiveDirectory ADMT}} | === Выгрузить логи ADMT в папку === |
| | |
| | А вот так можно выгрузить текстовые логи //ADMT// в нужную нам папку: |
| | |
| | ADMT TASK /LAST:900 /STATUS:ALL /GETLOG:YES /FOLDER:"C:\ADMT_LOGS2" |
| | В данном случае будут выгружены записи для 900 последних попыток миграции. |
| | |
| | ---- |
| | ==== Особенности установки SQL-сервера для ADMT ==== |
| | |
| | Несмотря на то, что в требованиях //ADMT// фигурируют старые версии SQL-сервера (2005, 2008), //ADMT// вполне нормально работает с //SQL-express 2022//. Для корректной работы при установке SQL-Express можно выбрать опцию //named instance// и ооставить название инстанса по умолчанию. При установке на том же хосте - можно ввести следующую строку подключения: |
| | |
| | .\SQLEXPRESS |
| | :!: Править какие-либо настройки протоколов SQL-сервера не требуется, всё работает сразу после инсталляции. |
| | |
| | ---- |
| | ==== Password Export Server ==== |
| | |
| | Для установки //Password Export Server// потребуется сначала сгенерировать пароль и файл ключа в //ADMT//. Делается это следующей командой: |
| | |
| | <WRAP prewrap> |
| | <code> |
| | Admt key /option:create /sourcedomain:arasaka.local /keyfile:"c:\temp\key.pes" /keypassword:Passw0rd |
| | </code> |
| | </WRAP> |
| |
| | Пароль, который мы указываем здесь, как и файл ключа - потребуется при установке //PES//. |
| | {{tag>ActiveDirectory ADMT GPO}} |
