Устранение неполадок миграции sIDHistory между лесами с помощью ADMTv2

  • Статья

В этой статье описывается, как устранять неполадки с миграцией sIDHistory между лесами с помощью средства миграции Active Directory версии 2 (ADMTv2).

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 322970

Дополнительная информация

При использовании ADMTv2 для миграции sIDHistory в рамках миграции пользователя или группы между лесом необходимо настроить базовые требования к миграции.

По умолчанию sIDHistory, password и objectGUID сохраняются во время миграции внутри леса, но это не верно для клонирования между лесами.

Так как для межлесовых операций нет встроенного контекста безопасности, необходимо принять меры для защиты операций через границы леса.

Конфигурация

Основные требования к операциям миграции между лесами:

Базовая миграция учетных записей пользователей и групп на основе мастера без sIDHistory

  • Исходный домен должен доверять целевому домену.
  • Учетная запись пользователя под управлением ADMTv2 должна иметь права администратора в исходном домене.
  • Учетная запись пользователя ADMT должна иметь делегированные разрешения на создание объектов пользователей или групп в целевом контейнере.
  • Dns (имя узла) и разрешение имен NetBIOS между доменами должно существовать.

Для миграции sIDHistory требуются следующие дополнительные зависимости.

  • Аудит успешного и неудачного управления учетными записями как для исходного, так и для целевого доменов.
  • Исходные домены вызывают аудит управления пользователями и группами.
  • Пустая локальная группа в исходном домене с именем {SourceNetBIOSDom}:..
  • Раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupportреестра должен иметь значение 1 на основном контроллере домена исходного домена.
  • После настройки реестра необходимо перезапустить основной контроллер домена исходного домена.
  • Для обеспечения безопасности Windows требуются учетные данные пользователя с делегированным расширенным правом migratesIDHistory или правами администратора в целевом домене. Эти учетные данные добавляются в мастер, когда включена миграция sIDHistory.

Чтобы делегировать расширенную миграцию MigrateSidHistory на контроллере домена или на компьютере с установленным пакетом средств администрирования Windows Server, выполните следующие действия.

  1. Нажмите кнопку Пуск, перейдите в пункт Администрирование и выберите пункт Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши имя домена, с которого вы хотите делегировать расширенный объект MigrateSidHistory, а затем выберите пункт Делегировать управление , чтобы открыть окно Мастер делегирования управления .
  3. Нажмите кнопку Далее, нажмите кнопку Добавить, введите имя пользователя или группы, которые вы хотите добавить в диалоговом окне Выбор пользователей, компьютеров или групп , нажмите кнопку ОК, а затем нажмите кнопку Далее.
  4. Щелкните, чтобы выбрать параметр Создать настраиваемую задачу для делегирования , а затем нажмите кнопку Далее.
  5. Убедитесь, что выбран параметр Эта папка, существующие объекты в этой папке и создание новых объектов в этой папке , а затем нажмите кнопку Далее.
  6. Убедитесь, что выбран параметр Общие, в списке Разрешений выберите Пункт Перенос журнала идентификаторов безопасности, а затем нажмите кнопку Далее.
  7. Убедитесь в правильности сведений, а затем нажмите кнопку Готово.
    • В целевом лесу не может существовать SID для миграции в качестве основного sID или атрибута sIDHistory другого объекта.

Дополнительные требования для миграции sIDHistory с помощью командной строки или интерфейсов сценариев

  • При запуске миграции пользователей или групп с помощью миграции sIDHistory из командной строки или скрипта команда или скрипт должны выполняться на контроллере домена в целевом домене.
  • Учетная запись пользователя, выполняющая миграцию, должна иметь права администратора как в исходном, так и в целевом доменах.

Особые требования к мастеру сопоставления групп и объединения

  • Если sIDHistory требуется перенести во время сопоставления и слияния групп, область исходных групп должны соответствовать область целевой группы.

Устранение неполадок

Самый простой шаг, который можно использовать для устранения неполадок миграции между лесами sIDHistory, заключается в использовании мастера миграции учетных записей пользователей или мастера миграции групповых учетных записей для выполнения миграции в тестовом режиме.

Во время миграции в тестовом режиме ADMTv2 проверяет следующие зависимости:

  • Создается локальная группа {SourceNetBIOSDom}}
  • TcpipClientSupport для исходного основного контроллера домена или основного эмулятора контроллера домена включен.
  • Аудит в обоих доменах включен.

При необходимости ADMT может исправить любые из этих зависимостей, которые не заданы. Чтобы исправить или настроить эти параметры, учетная запись, используемая для запуска ADMT, должна иметь достаточно разрешений в каждом соответствующем домене для выполнения задач.

Только мастер выполняет эти проверки и исправления. Интерфейсы командной строки и сценариев не выполняют эти проверки и не работают без правильной настройки.

Распространенные сообщения об ошибках при миграции sIDhistory между лесами

"Дескриптор недопустим (код ошибки = 6)".

Эта ошибка указывает на проблему RPC, из-за которой средство миграции не может привязаться к конечной точке RPC на исходном основном контроллере домена. Некоторые причины описаны ниже.

  • TcpipClientSupport для исходного основного контроллера домена или основного эмулятора контроллера домена не включен.
  • Основной контроллер домена или основной эмулятор контроллера домена не перезапускался после настройки TcpipClientSupport.
  • Разрешение имен DNS или NetBIOS не работает.

Не удалось проверить аудит и tcpipClientSupport в доменах. Не сможет перенести идентификаторы sid. Указанная локальная группа не существует.

Эта ошибка обычно указывает на то, что пользователь или глобальная или универсальная группа с именем {SourceNetBIOSDom}} уже существует. ADMT обычно создает локальную группу с этим именем, но не может сделать это, если субъект безопасности уже существует с именем.

Не удалось проверить аудит и tcpipClientSupport в доменах. Не сможет перенести идентификаторы sid. Доступ запрещен.

Эта ошибка обычно указывает на то, что учетная запись пользователя, используемая для запуска ADMT, не имеет достаточных разрешений для выполнения миграции в одном или обоих доменах. Сбой поиска доменного имени, rc=1332. Именам пользователей не сопоставлены идентификаторы безопасности (SID). Эта ошибка в файле Migration.log после миграции с помощью sIDHistory обычно указывает на то, что исходный домен настроил отношения доверия, которые не существуют в целевом домене. Чтобы устранить эту проблему, запустите мастер миграции доверия, чтобы сопоставить отношения доверия в исходном домене, а затем реплицировать связи в целевом домене.

Дополнительные сведения о sIDHistory

SIDHistory — это многозначный атрибут субъектов безопасности в Active Directory, который может содержать до 850 значений. Чтобы обеспечить обратную совместимость с контроллерами домена под управлением более ранних версий Windows, атрибут sIDHistory доступен только в доменах, работающих на функциональном уровне Windows.

Некоторые продукты сторонних поставщиков позволяют включить sIDHistory в доменах смешанного режима. Эти утверждения не представляют собой законное использование общедоступных API. Администраторы домена, использующие такие средства, рискуют поставить развертывание Active Directory в неподдерживаемое состояние.

Во время миграции внутри леса LDAP_Rename отвечает за перемещение объектов. По этой причине перенесенные объекты сохраняют важные идентификационные данные, включая objectGUID и пароль. Это не относится к миграциям между лесами, которые вызывают DSAddSidHistory для заполнения атрибута в целевом домене. Миграция паролей может быть включена для клонирования между лесами, но objectGUID всегда теряется во время миграции этого типа.

В обоих случаях перенесенным объектам назначается новый идентификатор sID целевого домена. Исходный sID добавляется в атрибут sIDHistory перенесенного объекта в новом домене. После этого атрибут sIDHistory нельзя изменить или удалить с помощью стандартных средств администрирования Active Directory. Это запрещено, так как атрибут sIDHistory принадлежит SAM. SIDHistory можно очистить с помощью скрипта или не общедоступного внутреннего средства Майкрософт.

Обратите внимание, что sIDHistory — это переходное средство, которое не предназначено для неограниченного присоединения к субъектам безопасности. Хотя миграция sIDHistory может значительно упростить и упростить процесс миграции домена, перед реализацией sIDHistory в производственном предприятии необходимо учитывать важные последствия безопасности.

Маркер безопасности Windows может содержать не более 1023 идентификаторов sID, включая идентификаторы sIDHistory и групповые идентификаторы. Kerberos также ограничен, так как Windows Kerberos имеет буфер 73 sID. Этот размер можно удвоить путем изменения реестра на уровне предприятия. Превышение этих ограничений нарушает ограничение MaxTokenSize и может привести к непредсказуемым результатам, включая сбой проверки подлинности Kerberos и неустойчивое или несуществующее применение политик. Чтобы избежать этих проблем, используйте преобразование безопасности вместо sIDHistory в качестве долгосрочного решения для поддержания доступа к ресурсам после миграции домена.