ADMTv2 ile Inter-Forest Sýdhistory geçiþ nasýl giderilir

Bu makalede, Active Directory Geçiþ Aracý sürüm 2 (ADMTv2) ile inter-forest Sýdhistory geçiþ nasýl giderilir.

Bir inter-forest kullanýcý veya grup geçiþi iþleminin parçasý olarak Sýdhistory geçirilecek ADMTv2 kullanýrken, temel geçiþ gereksinimleriyle yapýlandýrma gerekmez.

Varsayýlan olarak, Objectguýd Sýdhistory ve parola tüm orman içi geçiþlerde sýrasýnda korunur, ancak bu inter-forest'i klonlama için doðru deðil.

Inter-forest operasyonlar için yerleþik bir güvenlik içeriði olduðundan, ormana sýnýrlarýnda iþlemlerinin güvenliðini korumak için bazý adýmlarý tamamlamasý gerekir.

Yapýlandýrma

Inter-forest geçiþ iþlemlerinde temel olan gereksinimleri þunlardýr:

Sihirbaz-temel kullanýcý ve grup hesabý geçiþ Sýdhistory olmadan

• Kaynak etki alaný, hedef etki alanýna güvenmelidir.
• Microsoft Windows NT 4.0 kaynak etki alanýnda çalýþan Service Pack 4 (SP4) veya sonrasý.
• Microsoft Windows 2000 özgün modunda veya sonrasýnda, hedef etki alanýnda olmasý gerekir.
• ADMTv2 çalýþtýran kullanýcý hesabý, kaynak etki alanýnda yönetici haklarý olmasý gerekir.
• ADMT kullanýcý hesabýnýn hedef kapsayýcýsýnda, kullanýcý ve grup nesneleri oluþturma izinlerinin temsilci gerekir.
• <a1>DNS</a1> (ana bilgisayar adý) ve Netbýos ad çözümlemesi etki alanlarý arasýnda olmasý gerekir.

Aþaðýdaki ek baðýmlýlýklar Sýdhistory geçiþ gerektirir

• Baþarý ve baþarýsýzlýk için kaynak ve hedef etki alanlarýnýn her ikisinde de hesap yönetimi denetimi.
• Bu kullanýcý ve Grup Yönetimi denetimi, Windows NT 4.0 kaynak etki alanlarý arayýn.
• {SourceNetBIOSDom} $ $ $ adlý bir kaynak etki alanýndaki boþ bir yerel grubu.
• Kaynak etki alaný birincil etki alaný denetleyicisinde 1HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport kayýt defteri anahtarýnýn ayarlanmýþ olmasý gerekir.
• Kayýt defteri yapýlandýrmadan sonra kaynak etki alanýnýn birincil etki alaný denetleyicisini yeniden baþlatmalýsýnýz.
• Windows 2000 etki alaný (Windows hedef etki alanýnda olup hedef etki alanýnda yönetici haklarýna sahip kullanýcý kimlik bilgileri güvenlik gerektirir. Sýdhistory geçiþ açýk olduðunda sihirbazda bu kimlik bilgilerini ekleyin.
  
  Windows Server 2003 Yönetimsel Araçlar Paketi yüklü olan bir bilgisayarda veya Microsoft Windows Server etki alaný denetleyicisinde doðru bir geniþletilmiþ MigrateSidHistory temsilci seçmek için <a0></a0>, aþaðýdaki adýmlarý izleyin:
  1. Baþlat ' ý týklatýn, Yönetimsel Araçlar ' ý týklatýn ve sonra Active Directory Kullanýcýlarý ve bilgisayarlarý'ný týklatýn.
  2. Sað tarafýndan geniþletilmiþ MigrateSidHistory temsilci seçmek istediðiniz etki alanýný farenin sað düðmesiyle týklatýn ve sonra Denetim Temsilcisi Sihirbazý'ný penceresini açmak için Denetim Temsilcisi Seç ' i týklatýn.
  3. Ileri ' yi týklatýn, Ekle ' yi týklatýn, sonra da Ekle kullanýcý, bilgisayar veya Grup Seç iletiþim kutusunda, Tamam ' ý týklatýn ve sonra ileri ' yi týklatýn, istediðiniz grubun veya kullanýcýnýn adýný girin.
  4. Özel bir görev için temsilci seçme için Oluþtur seçeneðini týklatýn ve sonra ileri ' yi týklatýn.
  5. Dikkat Bu klasör, bu klasörü ve oluþturulacak yeni nesneler bu klasördeki varolan nesneler seçeneði seçili ise ve ileri ' yi týklatýn.
  6. Genel seçeneðinin seçili olduðundan emin olun, izinler listesinde Geçirme SID geçmiþi ' ni týklatýn ve sonra ileri ' yi týklatýn.
  7. Bilgilerin doðruluðundan emin olun ve sonra da <a2>son</a2>'u týklatýn.
• Hedef etki alanýnda Windows Server 2003 etki alaný ise, Windows güvenliði, kullanýcý kimlik bilgileriyle yetkilendirilen MigratesIDHistory saða veya hedef etki alanýnda yönetici haklarý geniþletilmiþ gerektirir.
• Geçirilecek hiçbir Sýd, bir birincil Sýd olarak veya baþka bir nesnenin Sýdhistory özniteliði olarak hedef ormandaki var olabilir.

Komut satýrý ile Sýdhistory geçiþ veya arabirimleri komut dosyalarý için ek gereksinimler

• Sýdhistory geçiþ komut satýrýndan veya komut dosyasýndan bir kullanýcý veya Grup Geçiþi'ý baþlattýðýnýzda, komut veya komut dosyasý hedef etki alanýndaki etki alaný denetleyicisinde çalýþtýrýlmasý gerekir.
• Geçiþ iþlemi çalýþtýran kullanýcý hesabýnýn yönetici haklarý, kaynak ve hedef etki alaný olmalýdýr.

Eþleme ve sihirbaz birleþtirme grubu için özel gereksinimleri

• Kaynak gruplarý kapsamýný, Sýdhistory eþleþtirme ve birleþtirme Grup sýrasýnda geçirilecek, hedef grup kapsamýný eþleþmesi gerekir.

SORUN GÝDERME

Inter-forest Sýdhistory geçiþ sorunlarýný gidermek için kullanabileceðiniz temel bir adým kullanýcý hesabý Geçiþ Sihirbazý veya Grup Hesabý Geçiþ Sihirbazý'ný sýnama modunda geçiþ çalýþtýrmak için kullanmaktýr.

Sýnama modunda geçiþ iþlemi sýrasýnda aþaðýdaki baðýmlýlýklar ADMTv2 doðrular:

• {SourceNetBIOSDom} $ $ $ yerel grubu oluþturulur.
• Kaynak birincil etki alaný denetleyicisi veya birincil etki alaný denetleyici öykünücüsü TcpipClientSupport açýktýr.
• Her iki etki alanýnda denetimi açýk.

Isteðe baðlý olarak, ADMT ayarlanmýþ olan bu baðýmlýlýklarý birini onarabilirsiniz. Onarabilir veya bu ayarlarý yapýlandýrmak için ADMT'YI çalýþtýrmak için kullanýlan hesabýn yeterli izinlerinizin dýþýnda bu görevleri gerçekleþtirmek için ilgili her etki alanýnda olmalýdýr.

<a1>Not</a1> yalnýzca bu sihirbaz, bu denetimi ve düzeltmeleri uygular. Komut satýrý ve komut dosyasý arabirimleri bu denetimler gerçekleþtirir ve doðru yapýlandýrma çalýþmaz.

Inter-forest Sýdhistory geçiþ yayg?n hata iletileri

Bu hata, geçiþ aracý için RPC son nokta <a0>Kaynak</a0> birincil etki alaný denetleyicisine baðlanýlamýyor bir RPC sorununu gösterir. Olasý nedenler:

• Kaynak birincil etki alaný denetleyicisi veya birincil etki alaný denetleyici öykünücüsü TcpipClientSupport etkinleþtirildi deðil.
• TcpipClientSupport yapýlandýrýldýktan sonra birincil etki alaný denetleyicisi veya birincil etki alaný denetleyici öykünücüsü yeniden baþlatýldý deðil.
• DNS veya Netbýos ad çözümlemesi çalýþmýyor.

Bu hata, genellikle bir kullanýcý veya {SourceNetBIOSDom} $ $ $ adlý genel veya evrensel bir grup zaten olduðunu gösterir. ADMT, genellikle bu adda bir yerel grup oluþturur, ancak bir güvenlik sorumlusu adýyla zaten varsa, bunu yapamazsýnýz. ADMT'YI çalýþtýrmak için kullanýlan kullanýcý hesabýnýn birinde veya her iki etki alaný geçiþ iþlemi gerçekleþtirmek için yeterli izinlerinizin olduðundan, bu hata genellikle gösterir. Sonra geçiþ Sýdhistory ile <a1>Migration.log</a1> dosyasýnda bu hata, genellikle kaynak etki alanýnýn hedef etki alanýnda varolan güvenleri yapýlandýrmýþ gösterir. Bu sorunu gidermek için <a0></a0>, kaynak etki alanýndaki güvenleri eþlemek için Güven Geçiþ Sihirbazý'ný çalýþtýrýn ve sonra iliþkilerini hedef etki alanýnda çoðaltma.

Ek Sýdhistory bilgileri

Sýdhistory, Active Directory'de, en çok 850 deðerleri tutabileceðini güvenlik sorumlusunu çok deðerli bir özniteliktir. Windows'un önceki sürümlerini çalýþtýran etki alaný denetleyicileri ile geriye dönük uyumluluk saðlamak için <a0></a0>, Sýdhistory özniteliðini yalnýzca iþlevsel düzeyinde Windows 2000 yerel mod veya sonraki sürümlerde çalýþan etki alanlarýnda kullanýlabilir.

Bazý üçüncü taraf satýcý ürünleri, karma mod etki alanlarýnda Sýdhistory açmak olanaklý kýlar. Bu hak talepleri, genel Apý meþru kullanýmýný temsil etmeyen. Desteklenmeyen bir durumda, Active Directory daðýtýmý geçirmek gibi araçlarý kullanan bir etki alaný yöneticileri risk.

Orman içi geçiþlerde sýrasýnda nesne taþýma için LDAP_Rename sorumludur. Bu nedenle, geçirilmiþ nesneler objectguýd deðerini ve parola gibi önemli kimlik verileri korur. Bu, hedef etki alanýndaki özniteliðini doldurmak için DSAddSidHistory çaðýran inter-forest geçiþleri için küçük/büyük deðil. Parola geçiþi inter-forest'i klonlama için etkinleþtirilmiþ olabilir, ancak objectguýd deðerini her zaman bu tür bir geçiþ sýrasýnda kaybolur.

Her iki durumda da, geçirilmiþ nesneler, yeni bir Sýd hedef etki alaný tarafýndan atanýr. Özgün Sýd'si, yeni etki alanýndaki geçirilmiþ nesnesinin Sýdhistory özniteliðine eklenir. Böyle sonra Sýdhistory özniteliði deðil deðiþtirilmiþ veya standart Active Directory Yönetim Araçlarý'ný kullanarak silinmiþ. Sýdhistory özniteliði tarafýndan SAM ait olduðundan bu izin verilmiyor. Bir komut dosyasý veya genel olmayan Microsoft iç aracýný kullanarak Sýdhistory temizlemek olasýdýr.

Sýdhistory geçici bir araçtýr ve mevcut deðildir, belirsiz bir süre için güvenlik sorumlularýný baðlý dikkat edin. Sýdhistory geçiþ önemli ölçüde kolaylaþtýrýr ve etki alaný geçiþ iþlemini basitleþtirmek için de, bir üretim kurumda Sýdhistory uygulamadan önce düþünülecek, önemli güvenlik sonuçlarý vardýr.

Bir <a0>Windows</a0> 2000 güvenlik belirteci 1,023 en fazla tutabileceði sIDs, Sýdhistory dahil olmak üzere ve sIDs gruplandýrýn. Windows 2000 Kerberos 73 Sýd arabellek içerdiðinden de sýnýrlý Kerberos'tur. Windows 2000 Service Pack 2 (SP2) yükledikten sonra bu boyuttaki bir kuruluþ çapýnda kayýt defteri deðiþikliði çift. Bu sýnýrlarý aþma MaxTokenSize kýsýtlamayý ihlal eder ve Kerberos kimlik doðrulamasý baþarýsýzlýðý ve hatalý veya varolmayan bir uygulama ilkeleri, öngörülemeyen sonuçlara yol açabilir. Bu sorunlarý önlemek için <a0></a0>, güvenlik çevirisi Sýdhistory yerine bir etki alanýna Taþýnmanýn ardýndan kaynak eriþimi korumak için uzun vadeli bir çözüm kullanýn.