Ошибка 0x8007208c при миграции пользователя в Active Directory

Ошибка 0x8007208cДобрый день! Уважаемые читатели и гости, крупного IT блога pyatilistnik.org. В большинстве организаций России, рабочее окружение реализовано с помощью функционала активного каталога Active Directory, и это понятно, он прост и удобен. Его структура и иерархия может быть весьма интересной и представлять несколько доменов или деревьев в рамках одного леса. Когда в лесу несколько организаций и пользователи могут переводиться из одной в другую, может возникать ситуация, при которой их учетные записи нужно мигрировать в другой домен. В некоторых случаях при миграции пользовательской учетной записи средствами ADMT, между доменами у вас может появляться ошибка миграции 0x8007208c, ее мы и рассмотрим, точнее ее причины и метод ее устранения.

Причина ошибки 0x8007208c

Как я и писал выше, есть задача мигрировать учетную запись пользователя между доменами одного леса Active Directory. Миграция осуществляется средствами ADMT (Active Directory Migration Tool), оно же средство миграции Active Directory. На последнем шаге задание заканчивается с ошибкой:

ERR2:7422 Failed to move source object. hr=0x8007208c The operation cannot be performed because child objects exist. This operation can only be performed on a leaf object.

ошибка 0x8007208c-00

Короче говоря, в лесу с несколькими доменами Windows Server 2012 R2 или выше, вы столкнетесь с проблемой во время перемещения пользователя с помощью ADMT или Movetree, если у пользователя есть связанный объект LEAF (cn = msExchangeActiveSync \ cn = iPhonedvexxxxxx ).

ошибка 0x8007208c-001

Потому, что мы можем перемещать только листовой объект между доменами, а не контейнерный. Пользовательский объект является объектом LEAF для домена AD, поэтому мы должны легко перемещать их с помощью usig movetree или admt. Тем не менее, он превратится в контейнер, если он связывается с таким объектом, как cn=msExchageActiveSynch, поэтому вы не можете переместить пользователя между доменами. Выход из этой ситуации, это удаление привязки пользователя к cn=msExchangeActiveSync. Для пользователя, это будет безболезненно, его мобильное устройство просто заново произведет синхронизацию с его почтой Microsoft Exchange. MS Exchange заново воссоздаст cn=msExchangeActiveSync.

Устраняем ошибку 0x8007208c

И так, если вы испытываете трудности с переносом учетной записи юзера в другой домен, то попробуйте у него удалить объект cn=msExchangeActiveSync. Чтобы его найти мы с вами можем воспользоваться тремя инструментами:

  • Оснасткой ADUC
  • Оснасткой ADSIEdit.msc
  • Утилита LDP

Пойдем классическим путем. Открываем оснастку Active Directory - Пользователи и компьютеры. Откройте пункт меню "Вид" и отметьте в нем два пункта:

  • Пользователи, контейнеры, группы и компьютеры как контейнеры
  • Дополнительные компоненты

ошибка 0x8007208c-01

Теперь найдите вашего пользователя в вашей структуре, в левой части окна у вас будет структура вашего дерева, после включения дополнительных функций, у вас объект пользователя, который имеет дополнительный вложенный объект cn=msExchangeActiveSync, будет в виде контейнера, это означает, что в нем будет вложенный объект cn=msExchangeActiveSync.

cn=msExchangeActiveSync

Щелкаем по контейнеру cn=msExchangeActiveSync правым кликом из контекстного меню выбираем пункт "Удалить." После этого у вас миграция учетной записи пользователя пройдет успешно и вы не получите ошибку 0x8007208c.

Удалить объект cn=msExchangeActiveSync вы можете и через ADSIEdit, для этого вы должны зайти в контекст именования имен. Так же находите в структуре ваш объект пользователя и удаляете cn=msExchangeActiveSync.

Adsiedit cn=msExchangeActiveSync

В утилите LDP, все аналогично, подключаетесь к вашему корню, и находите в структуре нужный объект и удаляете cn=msExchangeActiveSync.

LDP cn=msExchangeActiveSync

С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org. Остались вопросы, то пишите их в комментариях.

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Bublon

    Топчик! Спасибо!