===== ADMT =====
Если нам требуется выполнить миграцию пользователей из одного домена в другой домен - нам может помочь утилита, выпущенная //Microsoft// с нехитрым названием: //Active Directory Migration Tool//.
//ADMT// имеет командный и графический интерфейс. Рабочая директория располагается обычно в следующем месте:
C:\WINDOWS\ADMT
Там можно найти графическую консоль //migrator// (MMC-style) и бинарный файл //admt.exe//.
==== Проблемы и решения ====
=== Не удаётся выполнить миграцию с включенной опцией переноса SID ===
В //ADMT// существует опция переноса учётной записи с сохранением исходного //SID//. Она может потребоваться нам, если мы хотим сохранить секьюрити дескрипторы для переносимой записи - к примеру у неё заданы какие-либо права в файловой системе или //SMB//. В GUI-интерфейсе она представлена так:
;#;
{{:wiki:admt_migrate_sids.jpg?600|}}
;#;
В статье //Microsoft// о траблшутинге проблем, связанных с трансляцией //SID// - хорошо описаны предварительные условия, необходимые для работы //ADMT//, такие как наличие включенного параметра //TcpipClientSupport//. С данными условиями можно ознакомиться по ссылке:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/inter-forest-sidhistory-migration-with-admt
Если все описанные выше условия корректной работы //ADMT// - соблюдены и выполнены, а в процессе переноса учётной записи пользователя с заданной опцией миграции //SID// мы получаем ошибку консольного вывода:
ERR2:0080 Unable to migrate users. Unable to verify configuration required for SID history. Указанный домен не существует или к нему невозможно подключиться. (0x8007054B)
Та же ошибка в графическом интерфейсе выглядит следующим образом:
;#;
{{:wiki:admt_error_gui_sid.jpg?400|}}
;#;
При этом, домен доступен, //DNS// работает и следующие тесты проходят нормально:
netdom query /d:contoso.com trust /verify
nltest /dsgetdc:contoso.com
А миграция без опции трансляции //SID// выполняется успешно - вероятно, имеет место запрет трансляии анонимных //SID //в имя. Это распространенный параметр безопасности, который обычно задаётся через //GPO//. Искать необходимо в следующем месте:
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation
Для работы //ADMT// указанный выше параметр - должен быть ВКЛЮЧЕН (т.е. трансляция разрешена). После задания нужного значения выполняем:
gpupdate /force
:!: //Перезапуск целевого контроллера домена не нужен.//
==== Работа с ADMT из консоли ====
:!: //ВАЖНО. Если мы производим диагностику какой-либо проблемы и нам требуется поэтапная проверка работы ADMT - лучше использовать MMC-версию утилиты, т.к. командная версия - в отличие от GUI - никакие проверки НЕ ПРОИЗВОДИТ и сообщит в лог об итогах переноса, в то же время GUI-версия может сообщить о проблеме на конкретном шаге.//
В данном примере мы //скопируем// пользователей из исходного домена (SD://"contoso.com"//), используя контроллер домена //dc.contoso.com// - в домен назначения (//TD:destdom.local//), используя контроллер в целевом домене //dc.destdom.local//, в OU //Migrated Objects/Users// из CSV-файла (файл содержит только //username// и расположен на SMB-сервере), смёрджив конфликты. Пароли будут синхронизированы при помощи расположенной на сервере //passwords.contoso.com// службы //Password Export Server Service//.
ADMT USER /F "\\server\migration$\admt\Pwd\users.new.csv" /IF:NO /SD:"contoso.com" /SDC:"dc.contoso.com" /TD:"destdom.local" /TDC:"dc.destdom.local" /TO:"Migrated Objects/Users" /PO:COPY /PS:"passwords.contoso.com" /MSS:YES /TRP:NO /UUR:YES /MGS:YES /DOT:ENABLETARGET /MSA:YES /UMO:YES /FGM:YES /CO:MERGE
=== Выгрузить логи ADMT в папку ===
А вот так можно выгрузить текстовые логи //ADMT// в нужную нам папку:
ADMT TASK /LAST:900 /STATUS:ALL /GETLOG:YES /FOLDER:"C:\ADMT_LOGS2"
В данном случае будут выгружены записи для 900 последних попыток миграции.
{{tag>ActiveDirectory ADMT GPO}}