故事是這樣的 ADMT V3.2
目前測試遷移到子網域, 新帳號遷移都沒問題, 但拿1~2個已長期使用的帳號來測試時 都會出現
ERR2:7422 Failed to move source object
Source DC 為 2016 , Target DC 2019 ,
是否需要删掉 exchange 的屬性? 但删掉或先停用, 就不符合 遷移的需求, 因為大量帳號做這動作,風險太大了, (新帳號測試遷移時,沒有信箱)
是否還有其它的建議方式?
以下為詳細 訊息
Intra-Forest: Yes
Update Rights: Yes
Translate Roaming Profiles: No
Fix group membership: Yes
Conflict Option: Ignore
Migrate groups: Yes
Update Migrated Objects: Yes
Migrate service accounts: Yes
[Object Migration Section]
2025-08-07 09:52:33 Starting Account Replicator.
2025-08-07 09:52:38 Removing CN=test-user1 (LDAP://dc.example.com.tw/CN=test-user1,OU=users,OU=test,DC=example,DC=com,DC=tw) from the global groups it is a member of :
2025-08-07 09:52:40 ERR2:7422 Failed to move source object 'CN=test-user1'. hr=0x8007208c The operation cannot be performed because child objects exist. This operation can only be performed on a leaf object.
2025-08-07 09:52:40 Updated user rights for CN=test-user1
2025-08-07 09:52:40 Operation completed.
已邀請的邦友 {{ invite_list.length }}/5
在 Active Directory 中,理論上 user、computer 及 group 都屬於 leaf object;但如果該物件底下被某些應用程式建立了「子物件」,它就不再是 leaf,ADMT 在嘗試搬移 (Move) 時會被目錄服務阻擋而拋出 0x8007208c 錯誤。
最常見的子物件來源:
Microsoft 的官方建議相當直接:
必須先刪除子物件再行遷移,否則沒有已知替代方案。
具體執行步驟(以 Exchange ActiveSync 為例):
ExchangeActiveSyncDevices 只存放已註冊行動裝置資訊,刪除後 不會影響信箱內容;使用者僅需在手機重新配對郵件帳號。
其他應用程式(如 Citrix SSO)則必須依廠商文件評估是否會失去儲存的密鑰或授權設定。
在 正式遷移前,先用 ADMT「分析」模式或撰寫腳本掃描目錄,找出含子物件的帳號並提前清理。
若大量使用 Exchange ActiveSync,可考慮在遷移後批次推送行動裝置設定檔,降低使用者重新設定的負擔。
對第三方應用進行 AD 架構稽核,確定其是否會在使用者節點下建立子物件,並洽廠商取得安全清除或匯出/匯入流程。
iThome鐵人賽
看影片追技術