none
Использование ADMT 3.2

    Вопрос

  • Здравствуйте, если кто-то использовал утилиту ADMT 3.2, подскажите по следующему вопросу:

    Миграция групп и учетных записей пользователей из одного домена в другой проходит успешно, а вот компьютеров нет.

    Утилита работает, учетная запись компьютера появляется в новом домене, но как такого передоменивания машины и последующей ее перезагрузки не происходит.подскажите кто сталкивался с этим вопросом.

    17 марта 2016 г. 8:22

Все ответы

  • Здравствуйте, если кто-то использовал утилиту ADMT 3.2, подскажите по следующему вопросу:

    Миграция групп и учетных записей пользователей из одного домена в другой проходит успешно, а вот компьютеров нет.

    Утилита работает, учетная запись компьютера появляется в новом домене, но как такого передоменивания машины и последующей ее перезагрузки не происходит.подскажите кто сталкивался с этим вопросом.

    Для этого нужно использовать миграцию из командной строки:

    https://technet.microsoft.com/ru-ru/library/cc974420(v=ws.10).aspx


    scientia potentia est
    My blog

    17 марта 2016 г. 8:37
  • Здравствуйте, если кто-то использовал утилиту ADMT 3.2, подскажите по следующему вопросу:

    Миграция групп и учетных записей пользователей из одного домена в другой проходит успешно, а вот компьютеров нет.

    Утилита работает, учетная запись компьютера появляется в новом домене, но как такого передоменивания машины и последующей ее перезагрузки не происходит.подскажите кто сталкивался с этим вопросом.

    Миграция компьютеров включает в себя два процесса: миграцию учётных записей компьютеров и перевод компьютеров в новый домен путём выполнения на нём специального агента, который устанавливается с сервера ADMT (до этого руководство рекомендует выполнить ещё и этап трансляции профилей, что тоже делается путём выполнения агента).

    Второй этап запускается в окне Active Directory Migration Tool Agent Dialog  - там нужно выбрать компьютеры, действие Run pre-check and agent operation и нажать кнопку Start. После чего агенты будут установлены на компьютеры и запустятся на вполнение.

    Лог процесса установки агентов можно посмотреть через View Migration log, логи работы агента (они - на клиентских компьютерах)- по кнопке Agent Detail


    Слава России!


    • Изменено M.V.V. _ 17 марта 2016 г. 14:50
    17 марта 2016 г. 14:47
  • Спасибо большое за ответ. Из командной строки хорошая автоматизация получается.

    Но все равно не получается передоменить, процесс проходит без ошибок..

    Учетная запись компьютера появляется в новом домене в нужном OU, на клиентский компьютер успешно устанавливается агент, это видно из работающей службы, но компьютер не передоменивается и не перезагружается.

    Если возникали подобные проблемы, то подскажите пожалуйста.

    Спасибо!
    18 марта 2016 г. 7:55
  • Я посмотрел....я так же все сделал. Единственное: рабочая станция и целевой контроллер домена находятся в разных подсетях, может по портам что подскажите
    18 марта 2016 г. 9:51
  • почитайте тут, может поможет вам:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/d94f98a4-62b7-4882-b97e-14ef8d3c1766/admt-computer-migration-2-reboots?forum=winserverDS


    scientia potentia est
    My blog

    18 марта 2016 г. 9:55
  • Я посмотрел....я так же все сделал. Единственное: рабочая станция и целевой контроллер домена находятся в разных подсетях, может по портам что подскажите

    в оснастке "Сайты и Службы" перечислены все сети ?
    Какое устройство занимается маршрутизацией между сетями?

    18 марта 2016 г. 10:16
  • Спасибо большое за ответ. Из командной строки хорошая автоматизация получается.

    Но все равно не получается передоменить, процесс проходит без ошибок..

    Учетная запись компьютера появляется в новом домене в нужном OU, на клиентский компьютер успешно устанавливается агент, это видно из работающей службы, но компьютер не передоменивается и не перезагружается.

    Если возникали подобные проблемы, то подскажите пожалуйста.

    Спасибо!

    В журнале операций агента (по кнопке Agent Details) что пишется по этому поводу?

    Слава России!

    18 марта 2016 г. 12:57
  • Немного поколдовав, я получил хотя бы внятный лог файл, а то процесс висел и в лог файле по сути не было какой бы то ни было адекватной информации.

    Вот последние строки этого лог файла.....:

    -ERR3:7075 Failed to change domain affiliation, hr=8007054a   This operation is only allowed for the Primary Domain Controller of the domain.
    -Wrote result file C:\Windows\OnePointDomainAgent\000054_***.result
    -Operation completed.

    21 марта 2016 г. 10:11
  • Есть подозрение, что последняя ошибка - наведённая, следствие предыдущей ошибки. Выложите, пожалуйста, кусок лога побольше, хотя бы 20 записей.


    Слава России!

    21 марта 2016 г. 11:49
  • 2016-03-21 10:42:17 Starting Security Translator.
    2016-03-21 10:42:17 Agent is running in local mode.
    2016-03-21 10:42:17 Read 3 accounts from C:\Windows\OnePointDomainAgent\Accounts000054.txt
    2016-03-21 10:42:18 SecurityTranslation Files:Yes Shares:Yes LGroups:Yes UserRights:Yes Printers:Yes Profiles:Yes RecycleBin:Yes TranslationMode:Replace almaz.org npo.lan
    2016-03-21 10:42:18 Starting
    2016-03-21 10:42:18 Translating local machine.
    2016-03-21 10:42:18 Processing C:\
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{0661e081-e9b8-11e5-b506-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{08ce3522-e9cc-11e5-b7b0-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{5d1de929-e9bd-11e5-a2ab-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{6913a59c-e9d1-11e5-a6df-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{9579f294-e9ce-11e5-9434-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{a9b221dc-eb81-11e5-9aa4-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:42:27 Could not open file 'C:\System Volume Information\{d40dadf5-e9ca-11e5-b5e4-305a3a03e1a9}{3808876b-c176-4e48-b7ae-04046e6cc752}' (5)  Access is denied.
    2016-03-21 10:43:18 Processing recycle bin files and folders on C:\.
    2016-03-21 10:43:18 Examining: S-1-5-21-1446559545-2504174657-4062294248-500
    2016-03-21 10:43:18 Examining: S-1-5-21-1470194196-3885015666-655375535-3698
    2016-03-21 10:43:18 Examining: S-1-5-21-3635234751-907524865-1269701614-500
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-500
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-8979
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-8996
    2016-03-21 10:43:18 Processing D:\
    2016-03-21 10:43:18 Processing recycle bin files and folders on D:\.
    2016-03-21 10:43:18 Examining: S-1-5-21-1446559545-2504174657-4062294248-500
    2016-03-21 10:43:18 Examining: S-1-5-21-1470194196-3885015666-655375535-3698
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-500
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-8979
    2016-03-21 10:43:18 Examining: S-1-5-21-3991700692-1713214627-2237403917-8996
    2016-03-21 10:43:18 Skipping E:\.  E:\ is a CD-ROM drive.
    2016-03-21 10:43:18 Processing shares on local machine.
    2016-03-21 10:43:18 Processing printer security...
    2016-03-21 10:43:18 Translating local groups.
    2016-03-21 10:43:18 Translating user rights.
    2016-03-21 10:43:18 ADMT only performs user rights translation in Append mode.
    2016-03-21 10:43:18 Translating security on registry keys.
    2016-03-21 10:43:56 This profile translation automatically switches from replace mode to add mode if the user is currently logged on or if the profile is in use for other reasons.  In order to disable the switching, you need to set the registry HKLM\Software\Microsoft\ADMT\DisallowFallbackToAddInProfileTranslation (REG_DWORD) to 1 on the ADMT machine.
    2016-03-21 10:43:56 ------Account Detail---------
    2016-03-21 10:43:56 The account detail section uses the following format: AccountName(OwnerChanges, GroupChanges, DaclChanges, SaclChanges).
    2016-03-21 10:43:56 -----------------------------
    2016-03-21 10:43:56 1 users, 2 groups, 0 msas
    2016-03-21 10:43:56 3 accounts selected.  3 resolved, 0 unresolved.
    2016-03-21 10:43:56            Examined        Changed     Unchanged
    2016-03-21 10:43:56 Files         120125              0        120125
    2016-03-21 10:43:56 Dirs           24818              0         24818
    2016-03-21 10:43:56 Shares             0              0             0
    2016-03-21 10:43:56 Members           11              0            11
    2016-03-21 10:43:56 User Rights       68              0            68
    2016-03-21 10:43:56 Exchange Objects          0              0             0
    2016-03-21 10:43:56 Containers         0              0             0
    2016-03-21 10:43:56 DACLs         802817              0        802817
    2016-03-21 10:43:56 SACLs          37243              0         37243
    2016-03-21 10:43:56            Examined        Changed     No Target   Not Selected     Unknown
    2016-03-21 10:43:56 Owners       802819              0        802819              0           0
    2016-03-21 10:43:56 Groups       802819              0        802819              0           0
    2016-03-21 10:43:56 DACEs       5330553              0       5330553        5330553           0
    2016-03-21 10:43:56 SACEs         37029              0         37029          37029           0
    2016-03-21 10:43:57 ERR3:7075 Failed to change domain affiliation, hr=8007054a   This operation is only allowed for the Primary Domain Controller of the domain.
    2016-03-21 10:43:58 Wrote result file C:\Windows\OnePointDomainAgent\000054_NAME.result
    2016-03-21 10:43:58 Operation completed.
    21 марта 2016 г. 12:23
  • К сожалению, в предыдущей части ничего дополнительного  интересного.

    Код ошибки (ERROR_INVALID_DOMAIN_ROLE) означает, что при поиске на компьютере агентом контроллера домена AD с возможностью чтения/записи возвращается имя, не того контроллера домена, которое ожидалось. Одно из возможных предположений о причинах - наличие RODC в новом домене, который оказывается найденным первым на предыдущих этапах работы агента. Другое - проблема с разрешением имён DNS приводящая к возвращению адреса не того контроллера домена.


    Слава России!

    21 марта 2016 г. 13:30
  • Я не могу понять почему появляется вот эта вот строчка в логе: ERR3:7075 Failed to change domain affiliation, hr=8007054a   This operation is only allowed for the Primary Domain Controller of the domain.

    Я запускаю все от доменного админа и все необходимые права есть

    28 марта 2016 г. 10:06
  • Кроме ваших прав - кто выполняет операцию - необходимо ещё и соблюдение другого условия - где она выполняется.

    Я вам сообщил точную причину этой ошибки - поиск DC с требуемыми параметрами (доступный для чтения/записи контроллер домена Active Directory с указанным именем) возвращает имя не того контроллера, который ожидался агентом ADMT (и с которым он прежде работал). Источник информации - описание протокола добавления компьютера в домен в MSDN Library (точную ссылку сейчас уже не помню, потому что смотрел неделю назад).  То есть, контролер домена, используемый агентом, не годится для того, чтобы добавить компьютер в домен. Почему - это я вам без дополнительной информации о том, как там у вас всё устроено, не скажу.

    А текст ошибки (он берётся из системы по её коду), похоже, сохранился со времён Windows NT, когда единственным доступным для чтения/записи контроллером в домене был PDC. Поэтому он сейчас вводит в заблуждение.


    Слава России!

    28 марта 2016 г. 12:17
  • Посредством запроса в PowerShell я получил информацию о всех контроллерах домена в организации.У нас нет ни одного контроллера с ролью RODC. И выполняю я операцию миграции учетных записей компьютера с контроллера домена, который несет на себе все роли FSMO
    28 марта 2016 г. 12:26