文章編號: 322970 - 上次校閱: 2007年3月2日 - 版次: 7.4

如何疑難排解與 ADMTv2 inter-forest sIDHistory 遷移

中英文對照顯示按一下這裡顯示機器翻譯的中英文對照
機器翻譯檢視機器翻譯免責聲明
檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您,如何疑難排解與 Active Directory 移轉工具版本 2 (ADMTv2) inter-forest sIDHistory 遷移。
回此頁最上方

其他相關資訊

您使用 ADMTv2 遷移 sIDHistory 做 inter-forest 使用者或群組的遷移的一部分,組態時必須有基底移轉需求。

預設情況下,sIDHistory、 密碼和 objectGUID 會保留所有保留在樹系內移轉作業期間,但這不是真,inter-forest 複製。

因為 inter-forest 作業沒有內建的安全性內容,您必須採取步驟來保護作業的安全性跨樹系界限。
回此頁最上方

組態

inter-forest 遷移操作的基本需求如下:

精靈式基本使用者和群組帳戶遷移 sIDHistory 沒有

  • 來源網域必須信任目標網域。
  • 來源網域必須執行 Microsoft Windows NT 4.0 服務套件 4 (SP4) 或更新版本。
  • 目標網域必須在 Microsoft Windows 2000 原生模式或更新的版本。
  • 正在執行 ADMTv2 使用者帳號必須具備系統管理員權限,來源網域中。
  • ADMT 的使用者帳戶必須有委派目標容器中建立的使用者或群組物件的權限。
  • DNS (主機名稱) 和網域之間的 NetBIOS 名稱解析必須存在。

sIDHistory 遷移需要下列的額外相依性

  • 成功及失敗稽核的來源和目標網域的帳戶管理。
  • Windows NT 4.0 來源網域中呼叫此使用者和群組管理稽核。
  • 名為 {SourceNetBIOSDom} $ $ $ 來源網域中的空本機群組。
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport 登錄機碼必須被設定成 1 來源網域的網域主控制站上。
  • 登錄設定之後,您必須重新啟動來源網域的網域主控制站。
  • 如果目標網域是 Windows 2000 網域 Windows 的安全性需要具有目標網域中的系統管理員權限的使用者認證。當您開啟 sIDHistory 遷移時,您可以新增在精靈中的這些認證。

    委派擴充向右在 Microsoft Windows 伺服器的網域控制站或已安裝的 Windows Server 2003 系統管理工具套件的電腦上 MigrateSidHistory,請依照下列步驟執行:
    1. 按一下 [開始],按一下 [系統管理工具],然後再按一下 [Active Directory 使用者和電腦
    2. 以滑鼠右鍵按一下您想要委派 MigrateSidHistory 擴充直接從網域名稱,然後按一下 [委派控制],開啟 [委派控制精靈] 視窗。
    3. 按一下 [下一步],按一下 [新增],輸入使用者或要新增在 [選取使用者、 電腦或群組] 對話方塊中,按一下 [確定],然後再按一下 [下一步 的群組名稱。
    4. 按一下以選取 [建立自訂的任務委派] 選項,然後按一下 [下一步]
    5. 請確定 此的資料夾中這個資料夾及建立此資料夾中的新物件的現有物件 已經選取選項,再按 [下一步
    6. 確定已選取 [一般 選項],按一下 [權限] 清單中的 [遷移 SID 歷程記錄] 然後再按一下 [下一步]。
    7. 請確認資訊正確,然後再按一下 [完成]
  • 如果目標網域 Windows Server 2003 網域的 Windows 安全性需要使用者認證與委派 MigratesIDHistory 擴充右邊或在目標網域中的系統管理員權限。
  • 沒有要遷移 SID 可能存在到目標樹系中,為主要的 SID 或 sIDHistory 另一個物件的屬性。

移轉 sIDHistory 以命令列或指令碼介面的其他需求

  • 當您啟動的使用者或群組的遷移與 sIDHistory 遷移從命令列或指令碼時,命令或指令碼必須先執行目標網域中網域控制站上。
  • 正在執行遷移之使用者帳號必須具備來源及目標網域中的系統管理員權限。

群組對應及合併精靈的特殊需求

  • 如果 sIDHistory 遷移群組對應及合併期間,來源群組的範圍必須符合目標群組的範圍。
回此頁最上方

疑難排解

您可以使用來疑難排解 inter-forest sIDHistory 遷移的最基本步驟是使用使用者帳戶遷移精靈 」 或 「 群組帳戶遷移精靈 」 來執行測試模式移轉。

在測試模式] 遷移期間 ADMTv2 驗證下列的相依性:
  • 建立 {SourceNetBIOSDom} $ $ $ 本機群組。
  • 在來源網域主控制站或網域主控制站模擬器上的 TcpipClientSupport 處於開啟狀態。
  • 兩個網域中的稽核被開啟的。
選擇性地,ADMT 可以修復任何未設定這些相依性。修復,或設定這些設定用來執行 ADMT 的帳號必須執行任務的每個個別網域具備足夠的權限。

請注意只有精靈執行這些檢查和校正。命令列和指令碼的介面並不會執行這些檢查,而執行不正確的組態無效。

常見的錯誤訊息與 inter-forest sIDHistory 遷移

"控制代碼不正確 (錯誤碼 = 6)"
這個錯誤指出何處移轉工具無法繫結至來源網域主控制站上的 RPC 結束點是 RPC 問題。可能的原因包括:
  • 在來源網域主控制站或網域主控制站模擬器上的 TcpipClientSupport 未開啟。
  • 網域主控制站或網域主控制站模擬器已不重新啟動之後設定 TcpipClientSupport。
  • DNS 或 NetBIOS 名稱解析無法運作。
無法驗證的稽核和 TcpipClientSupport 在網域上的。將無法移轉 Sid 的。指定的本機群組不存在。
這個錯誤通常指出一個使用者或通用或萬用群組具有 {SourceNetBIOSDom} $ $ $ 名稱已經存在。ADMT 通常會建立該名稱的本機群組,但它不能這麼如果安全性原則已經存在具有名稱。
無法驗證的稽核和 TcpipClientSupport 在網域上的。將無法移轉 Sid 的。存取被拒。
這個錯誤通常指出用來執行 ADMT 使用者帳戶沒有足夠的權限可以在一或多個網域中執行遷移。
網域名稱查閱失敗,rc = 1332年。帳戶名稱與安全識別碼之間沒有建立對應。
與 sIDHistory 移轉後 Migration.log 檔中的此錯誤通常表示來源網域已設定不存在於目標網域的信任。解決這個問題、 執行對應來源] 網域中的信任 「 信任遷移精靈 」 和複寫在目標網域中的關係。
回此頁最上方

其他 sIDHistory 資訊

sIDHistory 是多重值的屬性的可能保存最多 850 值 [動態目錄] 中的安全性原則。為了提供回溯相容性執行舊版的 Windows 網域控制站,sIDHistory 屬性會只可用在功能的層級的 Windows 2000 原生模式或更新版本中操作的網域中。

某些協力廠商產品可讓打開 sIDHistory 混合的模式網域中。這些宣告並不是合法的公用 API 使用。使用這類工具的網域系統管理員可能會將其 Active Directory 部署放在不支援的狀態。

在樹系內移轉期間 LDAP_Rename 會負責移動物件。有鑑於此,遷移的物件會保留重要的識別資料包括 objectGUID 和密碼。這不是呼叫 DSAddSidHistory 來填入目標網域中的屬性的 inter-forest 遷移大小寫。密碼遷移可能被開啟為 inter-forest 複製,但 objectGUID 會永遠遺失此類遷移類型的期間。

在這兩種情況下遷移的物件會指派新的 SID 的目標網域。原始的 SID 會新增至之 sIDHistory] 屬性的新網域中已遷移的物件。就會發生這個問題之後 sIDHistory 屬性可能不會修改或刪除藉由使用標準的 Active Directory 管理工具。這不是允許的因為 sIDHistory 屬性由 SAM 所擁有。很可能使用指令碼或非公用 Microsoft 內部工具中清除 sIDHistory。

請注意 sIDHistory 是過渡時期的工具,而不是用來存在無限期地附加至安全性原則。雖然遷移 sIDHistory,可以大幅簡化並簡化網域遷移程序,有在實際執行企業中實作該 sIDHistory 之前必須考量的重要的安全性細節。

Windows 2000 安全性語彙基元可保留最多 1,023 個 sIDs,包含 sIDHistory 和群組 sIDs。Kerberos 也是有限的因為 Windows 2000 Kerberos 有 73 sID 緩衝區。套用 Windows 2000 Service Pack 2 (SP2) 之後這個大小可以加倍被全企業的登錄變更。超過這些限制違反 MaxTokenSize 限制,並可能導致無法預期包括 Kerberos 驗證失敗和異常或不存在的原則的應用程式的結果。若要避免這些問題,使用安全性轉譯來代替 sIDHistory 作為維護存取資源網域移轉後長期的解決方案。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
回此頁最上方
關鍵字:?
kbmt kbactivedirectory kbhowto kbtshoot KB322970 KbMtzh
回此頁最上方
機器翻譯機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:322970? (http://support.microsoft.com/kb/322970/en-us/ )
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。