Если нам требуется выполнить миграцию пользователей из одного домена в другой домен - нам может помочь утилита, выпущенная Microsoft с нехитрым названием: Active Directory Migration Tool.

ADMT имеет командный и графический интерфейс. Рабочая директория располагается обычно в следующем месте:

 C:\WINDOWS\ADMT

Там можно найти графическую консоль migrator (MMC-style) и бинарный файл admt.exe.

В ADMT существует опция переноса учётной записи с сохранением исходного SID. Она может потребоваться нам, если мы хотим сохранить секьюрити дескрипторы для переносимой записи - к примеру у неё заданы какие-либо права в файловой системе или SMB. В GUI-интерфейсе она представлена так:

В статье Microsoft о траблшутинге проблем, связанных с трансляцией SID - хорошо описаны предварительные условия, необходимые для работы ADMT, такие как наличие включенного параметра TcpipClientSupport. С данными условиями можно ознакомиться по ссылке:

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/inter-forest-sidhistory-migration-with-admt

Если все описанные выше условия корректной работы ADMT - соблюдены и выполнены, а в процессе переноса учётной записи пользователя с заданной опцией миграции SID мы получаем ошибку консольного вывода:

ERR2:0080 Unable to migrate users. Unable to verify configuration required for SID history. Указанный домен не существует или к нему невозможно подключиться. (0x8007054B)

Та же ошибка в графическом интерфейсе выглядит следующим образом:

При этом, домен доступен, DNS работает и следующие тесты проходят нормально:

 netdom query /d:contoso.com trust /verify
 nltest /dsgetdc:contoso.com

А миграция без опции трансляции SID выполняется успешно - вероятно, имеет место запрет трансляии анонимных SID в имя. Это распространенный параметр безопасности, который обычно задаётся через GPO. Искать необходимо в следующем месте:

GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation

Для работы ADMT указанный выше параметр - должен быть ВКЛЮЧЕН (т.е. трансляция разрешена). После задания нужного значения выполняем:

 gpupdate /force

Перезапуск целевого контроллера домена не нужен.

ВАЖНО. Если мы производим диагностику какой-либо проблемы и нам требуется поэтапная проверка работы ADMT - лучше использовать MMC-версию утилиты, т.к. командная версия - в отличие от GUI - никакие проверки НЕ ПРОИЗВОДИТ и сообщит в лог об итогах переноса, в то же время GUI-версия может сообщить о проблеме на конкретном шаге.

В данном примере мы скопируем пользователей из исходного домена (SD:“contoso.com”), используя контроллер домена dc.contoso.com - в домен назначения (TD:destdom.local), используя контроллер в целевом домене dc.destdom.local, в OU Migrated Objects/Users из CSV-файла (файл содержит только username и расположен на SMB-сервере), смёрджив конфликты. Пароли будут синхронизированы при помощи расположенной на сервере passwords.contoso.com службы Password Export Server Service.

ADMT USER /F "\\server\migration$\admt\Pwd\users.new.csv" /IF:NO /SD:"contoso.com" /SDC:"dc.contoso.com" /TD:"destdom.local" /TDC:"dc.destdom.local" /TO:"Migrated Objects/Users" /PO:COPY /PS:"passwords.contoso.com" /MSS:YES /TRP:NO /UUR:YES /MGS:YES /DOT:ENABLETARGET /MSA:YES /UMO:YES /FGM:YES /CO:MERGE

А вот так можно выгрузить текстовые логи ADMT в нужную нам папку:

 ADMT TASK /LAST:900 /STATUS:ALL /GETLOG:YES /FOLDER:"C:\ADMT_LOGS2"

В данном случае будут выгружены записи для 900 последних попыток миграции.