This is an old revision of the document!
ADMT
Если нам требуется выполнить миграцию пользователей из одного домена в другой домен - нам может помочь утилита, выпущенная Microsoft с нехитрым названием: Active Directory Migration Tool.
ADMT имеет командный и графический интерфейс. Рабочая директория располагается обычно в следующем месте:
c:\WINDOWS\ADMT
Там можно найти графическую консоль migrator (MMC-style) и бинарный файл admt.exe.
Проблемы и решения
Не удаётся выполнить миграцию с включенной опцией переноса SID
В ADMT существует опция переноса учётной записи с сохранением исходного SID. Она может потребоваться нам, если мы хотим сохранить секьюрити дескрипторы для переносимой записи - к примеру у неё заданы какие-либо права в файловой системе или SMB. В GUI-интерфейсе она представлена так:
В статье Microsoft о траблшутинге проблем, связанных с трансляцией SID - хорошо описаны предварительные условия, необходимые для работы ADMT, такие как наличие включенного параметра TcpipClientSupport. С данными параметрами можно ознакомиться по ссылке:
Если все описанные выше условия корректной работы ADMT - соблюдены и выполнены, а в процессе переноса учётной записи пользователя с заданной опцией миграции SID мы получаем ошибку консольного вывода:
ERR2:0080 Unable to migrate users. Unable to verify configuration required for SID history. Указанный домен не существует или к нему невозможно подключиться. (0x8007054B)
Та же ошибка в графическом интерфейсе выглядит следующим образом:
При этом, домен доступен, DNS работает и следующие тесты проходят нормально:
netdom query /d:contoso.com trust /verify nltest /dsgetdc:contoso.com
А миграция без опции трансляции SID выполняется успешно - вероятно, имеет место запрет трансляии анонимных SID в имя. Это распространенный параметр безопасности, который обычно задаётся через GPO. Искать необходимо в следующем месте:
GPO_name\Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network access: Allow anonymous SID/Name translation
Для работы ADMT он должен быть ВКЛЮЧЕН (т.е. трансляция разрешена). После задания нужного значения выполняем:
gpupdate /force
Перезапуск целевого контроллера домена не нужен.