Bagaimana cara mengatasi masalah migrasi inter-forest sIDHistory dengan ADMTv2

Artikel ini menjelaskan bagaimana memecahkan masalah inter-forest sIDHistory migrasi dengan Active Directory migrasi alat versi 2 (ADMTv2).

Ketika Anda menggunakan ADMTv2 untuk bermigrasi sIDHistory sebagai bagian dari inter-forest pengguna atau grup migrasi, konfigurasi diperlukan dengan dasar persyaratan migrasi.

Oleh default, sIDHistory, sandi, dan objectGUID semua dipertahankan selama migrasi intra-hutan, tapi hal ini tidak benar untuk inter-forest kloning.

Karena tidak ada built-in keamanan konteks untuk inter-forest operasi, Anda harus mengambil langkah-langkah untuk melindungi keamanan operasi melintasi batas-batas hutan.

Konfigurasi

Persyaratan dasar untuk migrasi inter-forest operasi adalah:

Wizard dasar pengguna dan grup account migrasi tanpa sIDHistory

• Domain sumber harus percaya target domain.
• Domain sumber harus menjalankan Microsoft Windows NT 4.0 Paket Layanan 4 (SP4) atau yang lebih baru.
• Target domain harus dalam Microsoft Windows 2000 asli modus atau kemudian.
• Harus memiliki account pengguna yang menjalankan ADMTv2 Hak administrator domain sumber.
• ADMT account pengguna harus mendapatkan izin untuk membuat pengguna atau grup objek dalam wadah target.
• DNS (nama host) dan NetBIOS nama resolusi antara domain harus ada.

sIDHistory migrasi memerlukan tambahan ketergantungan

• Keberhasilan dan kegagalan audit manajemen account untuk kedua sumber dan target domain.
• Windows NT 4.0 sumber domain panggilan ini pengguna dan grup manajemen audit.
• Grup lokal kosong di domain sumber yang bernama {SourceNetBIOSDom}$ $$.
• The HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport kunci registri harus diatur ke 1 pada kontroler domain utama domain sumber.
• Anda harus me-restart sumber domain domain utama controller setelah konfigurasi registri.
• Jika target domain adalah domain Windows 2000, Windows Keamanan memerlukan kredensial pengguna dengan hak administrator di target domain. Anda menambahkan surat-surat ini di wizard ketika sIDHistory migrasi dihidupkan.
  
  Untuk mendelegasikan MigrateSidHistory diperpanjang tepat Microsoft Windows Server domain controller atau pada komputer yang telah Alat administrasi Windows Server 2003 Paket yang diinstal, ikuti langkah berikut:
  1. Klik Mulai, klik Alat administratif, lalu klikDirektori Aktif Pengguna dan komputer.
  2. Klik kanan nama domain yang ingin Anda mendelegasikan MigrateSidHistory diperpanjang dari, dan kemudian klik Mendelegasikan kontrol untuk membuka Delegasi dari kontrol Wizard jendela.
  3. Klik Berikutnya, klik Tambahkan, masukkan nama pengguna atau grup yang ingin Anda tambahkan dalam Pilih Pengguna, Komputer, atau Grup kotak dialog, klik Oke, lalu klik Berikutnya.
  4. Klik untuk memilihMembuat tugas kustom untuk mendelegasikanpilihan, dan kemudian klik Berikutnya.
  5. Pastikan bahwa Folder ini, ada objek dalam folder ini, dan penciptaan objek baru dalam folder inipilihan adalah dipilih, dan kemudian klik Berikutnya.
  6. Pastikan bahwa Generalpilihan dipilih, klik Bermigrasi SID History dalam Izin Daftar, dan kemudian klik Berikutnya.
  7. Memverifikasi bahwa informasi benar, dan kemudian klik Menyelesaikan.
• Jika target domain adalah domain Windows Server 2003, Windows keamanan memerlukan kredensial pengguna dengan MigratesIDHistory didelegasikan memperluas hak atau hak administrator domain target.
• SID tidak bermigrasi mungkin ada di hutan target, baik sebagai sID utama atau sebagai atribut sIDHistory lain objek.

Persyaratan tambahan untuk bermigrasi sIDHistory dengan baris perintah atau skrip antarmuka

• Ketika Anda mulai pengguna atau grup migrasi dengan sIDHistory migrasi dari baris perintah atau script, perintah atau skrip harus Jalankan pada kontroler domain di target domain.
• Harus memiliki account pengguna yang menjalankan migrasi hak administrator di kedua sumber dan target domain.

Persyaratan khusus untuk kelompok pemetaan dan penggabungan wizard

• Jika sIDHistory dipindahkan selama kelompok pemetaan dan penggabungan, lingkup kelompok sumber harus sesuai lingkup target kelompok.

Pemecahan Masalah

Langkah paling dasar yang dapat Anda gunakan untuk memecahkan masalah inter-forest sIDHistory migrasi adalah dengan menggunakan Wizard Migrasi Account pengguna atau grup Account Wizard Migrasi untuk menjalankan tes-modus migrasi.

Selama tes-modus migrasi, ADMTv2 memvalidasi dependensi berikut:

• Kelompok lokal $$$ {SourceNetBIOSDom} adalah dibuat.
• TcpipClientSupport pada kontroler domain utama sumber atau kontroler domain utama emulator diaktifkan.
• Audit dalam kedua ranah diaktifkan.

Opsional, ADMT dapat memperbaiki segala masalah ini dependensi yang tidak diatur. Untuk memperbaiki atau mengkonfigurasi pengaturan ini, account yang digunakan untuk menjalankan ADMT harus memiliki izin memadai di setiap domain yang masing-masing untuk melaksanakan tugas-tugas.

Catatan bahwa hanya Wisaya melakukan pemeriksaan dan koreksi. Baris perintah dan scripting antarmuka tidak melakukan ini cek, dan tidak bekerja tanpa konfigurasi yang benar.

Pesan kesalahan umum dengan migrasi inter-forest sIDHistory

Galat ini menunjukkan masalah RPC di mana alat migrasi tidak mengikat RPC endpoint pada kontroler domain utama sumber. Mungkin penyebab meliputi:

• TcpipClientSupport pada kontroler domain utama sumber atau emulator kontroler domain utama tidak telah diaktifkan.
• Kontroler domain utama atau kontroler domain utama Emulator tidak ulang setelah TcpipClientSupport yang dikonfigurasi.
• Resolusi nama DNS atau NetBIOS tidak bekerja.

Kesalahan ini biasanya menunjukkan bahwa pengguna atau grup universal atau global dengan nama $$$ {SourceNetBIOSDom} sudah ada. ADMT biasanya menciptakan kelompok lokal nama itu, tapi itu tidak Jadi jika a keamanan utama sudah ada dengan nama. Kesalahan ini biasanya menunjukkan account pengguna yang digunakan untuk menjalankan ADMT tidak memiliki izin memadai melakukan migrasi pada salah satu atau kedua domain. Kesalahan ini di file Migration.log setelah migrasi dengan sIDHistory biasanya menunjukkan bahwa domain sumber memiliki dikonfigurasi Trust yang tidak ada di target domain. Untuk memecahkan masalah ini masalah, menjalankan Wizard Migrasi percaya untuk memetakan Trust di domain sumber, dan kemudian mereplikasi hubungan dalam target domain.

Informasi tambahan sIDHistory

SIDHistory adalah multi-nilai atribut keamanan pelaku dalam Active Directory yang dapat memegang nilai-nilai hingga 850. Untuk memberikan kompatibilitas ke belakang dengan kontroler domain yang menjalankan sebelumnya Versi Windows, atribut sIDHistory ini hanya tersedia dalam domain yang operasi pada tingkatan fungsional Windows 2000 asli mode atau kemudian.

Beberapa vendor pihak ketiga produk membuatnya mungkin untuk mengaktifkan sIDHistory dalam modus campuran domain. Klaim ini tidak mewakili sah penggunaan api publik. Administrator domain yang menggunakan alat-alat seperti risiko menempatkan penggunaan direktori aktif mereka dalam keadaan yang tidak didukung.

Selama intra-hutan migrasi, LDAP_Rename bertanggung jawab untuk benda bergerak. Karena dari ini, bermigrasi obyek mempertahankan data identifikasi penting, termasuk objectGUID dan sandi. Hal ini tidak terjadi untuk migrasi inter-forest, yang panggilan DSAddSidHistory untuk mengisi atribut dalam target domain. Sandi migrasi dapat diaktifkan untuk inter-forest kloning, tapi objectGUID adalah selalu hilang selama migrasi jenis ini.

Dalam kedua kasus, bermigrasi obyek ditugaskan sID baru oleh target domain. SID asli ditambahkan sIDHistory atribut objek bermigrasi dalam domain baru. Setelah Hal ini terjadi, atribut sIDHistory tidak dapat diubah atau dihapus dengan menggunakan alat administrasi Active Directory standar. Ini tidak diperbolehkan karena atribut sIDHistory dimiliki oleh SAM. Mungkin untuk menghapus sIDHistory dengan menggunakan script atau alat internal Microsoft non-publik.

Perhatikan bahwa sIDHistory adalah alat transisi dan tidak dimaksudkan untuk ada tanpa batas melekat keamanan pelaku. Meskipun migrasi sIDHistory dapat secara signifikan mengurangi dan menyederhanakan proses migrasi domain, ada konsekuensi keamanan penting yang harus dipertimbangkan sebelum Anda menerapkan sIDHistory dalam perusahaan produksi.

Windows 2000 token keamanan dapat menampung hingga 1,023 sIDs, termasuk sIDHistory dan kelompok sIDs. Kerberos juga terbatas karena Windows 2000 Kerberos memiliki 73-sID buffer. Setelah Anda menerapkan Windows 2000 Paket Layanan 2 (SP2), ukuran ini dapat dua kali lipat oleh perubahan registri perusahaan-lebar. Melebihi batas-batas ini melanggar The MaxTokenSize pembatasan dan dapat mengakibatkan hasil yang tak terduga, termasuk kegagalan otentikasi Kerberos dan tidak menentu atau tidak ada aplikasi kebijakan. Untuk mencegah masalah ini, gunakan keamanan terjemahan bukan sIDHistory sebagai solusi jangka panjang untuk menjaga sumber daya akses setelah domain migrasi.