iT邦幫忙

2

ADMT 遷移問題

  • 分享至 

  • xImage

故事是這樣的 ADMT V3.2

目前測試遷移到子網域, 新帳號遷移都沒問題, 但拿1~2個已長期使用的帳號來測試時 都會出現
ERR2:7422 Failed to move source object
Source DC 為 2016 , Target DC 2019 ,
是否需要删掉 exchange 的屬性? 但删掉或先停用, 就不符合 遷移的需求, 因為大量帳號做這動作,風險太大了, (新帳號測試遷移時,沒有信箱)
是否還有其它的建議方式?

以下為詳細 訊息

Intra-Forest: Yes
Update Rights: Yes
Translate Roaming Profiles: No
Fix group membership: Yes
Conflict Option: Ignore
Migrate groups: Yes
Update Migrated Objects: Yes
Migrate service accounts: Yes


[Object Migration Section]
2025-08-07 09:52:33 Starting Account Replicator.
2025-08-07 09:52:38 Removing CN=test-user1 (LDAP://dc.example.com.tw/CN=test-user1,OU=users,OU=test,DC=example,DC=com,DC=tw) from the global groups it is a member of :
2025-08-07 09:52:40 ERR2:7422 Failed to move source object 'CN=test-user1'. hr=0x8007208c  The operation cannot be performed because child objects exist. This operation can only be performed on a leaf object.
2025-08-07 09:52:40 Updated user rights for CN=test-user1
2025-08-07 09:52:40 Operation completed.
ming9900 iT邦新手 3 級 ‧ 2025-08-07 12:37:56 檢舉
錯誤訊息已經寫了為什麼不能 move,針對子物件再查是卡到什麼。

The operation cannot be performed because child objects exist. This operation can only be performed on a leaf object.
Kailis iT邦研究生 1 級 ‧ 2025-08-07 16:29:46 檢舉
就是查了.. 也問了AI , 提示的東西我都查了, 大致只剩exchange 的欄位我不能删, 畢竟信箱要能移轉也是很重要的 , 所以還在苦惱中
zero iT邦好手 1 級 ‧ 2025-08-08 14:42:04 檢舉
年代久遠並且沒有更新的微軟工具,拿來用在新系統上本來就很賭,能過是運氣好,不能過有問題也是正常。
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

4
Ray
iT邦大神 1 級 ‧ 2025-08-07 23:29:20

為什麼 ADMT 會視「使用者」不是 leaf object?

在 Active Directory 中,理論上 user、computer 及 group 都屬於 leaf object;但如果該物件底下被某些應用程式建立了「子物件」,它就不再是 leaf,ADMT 在嘗試搬移 (Move) 時會被目錄服務阻擋而拋出 0x8007208c 錯誤。
最常見的子物件來源:

  • Exchange ActiveSync 裝置記錄:CN=ExchangeActiveSyncDevices (屬性類型 msExchActiveSyncDevices)
  • Terminal Services 授權快取:CN=TermSrvLicensing
  • Microsoft Dynamics GP、Citrix SSOSecret/SSOConfig 等軟體所建立的保護或加密資訊物件

可能場景

  • 使用者曾在手機或平板設定 行動版 Outlook/原生郵件 App,Exchange 伺服器會在該帳號下建置 ExchangeActiveSyncDevices 子物件。
  • 伺服器/VDI 用戶開啟 RDS 授權功能,於帳號下產生 TermSrvLicensing 子物件。
  • 部署第三方安全或 SSO 產品,於帳號節點下寫入其專屬設定子物件。

解決方式

Microsoft 的官方建議相當直接:
必須先刪除子物件再行遷移,否則沒有已知替代方案。

具體執行步驟(以 Exchange ActiveSync 為例):

  1. 於來源網域 DC 上開啟 ADSI Edit → Default Naming Context。
  2. 展開問題帳號,確認存在 CN=ExchangeActiveSyncDevices 子容器。
  3. 右鍵刪除該容器;若其下仍有裝置節點,需一併刪除。
  4. 執行 repadmin /syncall /APed 促使複寫。
  5. 重跑 ADMT 遷移精靈,即可成功搬移帳號。

影響評估

ExchangeActiveSyncDevices 只存放已註冊行動裝置資訊,刪除後 不會影響信箱內容;使用者僅需在手機重新配對郵件帳號。

其他應用程式(如 Citrix SSO)則必須依廠商文件評估是否會失去儲存的密鑰或授權設定。

預防建議

在 正式遷移前,先用 ADMT「分析」模式或撰寫腳本掃描目錄,找出含子物件的帳號並提前清理。

大量使用 Exchange ActiveSync,可考慮在遷移後批次推送行動裝置設定檔,降低使用者重新設定的負擔。

對第三方應用進行 AD 架構稽核,確定其是否會在使用者節點下建立子物件,並洽廠商取得安全清除或匯出/匯入流程。

dylantsao iT邦研究生 4 級 ‧ 2025-08-08 08:56:49 檢舉

大神的回答,果然不不一樣

我要發表回答

立即登入回答