Problembehandlung bei Inter-Forest Kennwortmigration mit ADMTv2

  • Artikel

In diesem Artikel werden die Abhängigkeiten und Schritte zur Problembehandlung für häufige Probleme im Zusammenhang mit der Migration von Kennwörtern zwischen der Gesamtstruktur erläutert.

Gilt für: Windows Server 2003
Ursprüngliche KB-Nummer: 322981

Zusammenfassung

Wenn Sie gesamtstrukturinterne Migrationen mithilfe des Active Directory-Migrationstools (ADMT) v2 durchführen, ist keine spezielle Konfiguration erforderlich, um Benutzerkennwörter, sIDHistory und GUIDs (Globally Unique Identifier) von Objekten während des Verschiebungsvorgangs zu verwalten.

Wenn Sie jedoch ADMTv2 verwenden, um die Kennwortmigration zwischen der Gesamtstruktur durchzuführen, wenn Sie Benutzerkonten klonen, basiert dieser Vorgang auf Abhängigkeiten, die der Administrator konfigurieren muss. In diesem Artikel werden die Abhängigkeiten und Problembehandlungsschritte für häufige Probleme im Zusammenhang mit diesem Vorgang erläutert.

Konfiguration

Über die grundlegende Konfiguration hinaus erfordert ADMTv2 die folgenden Abhängigkeiten, wenn es für die Migration von Kennwörtern zwischen Gesamtstrukturen verwendet wird:

  • Service Pack 6a (SP6a) oder höher muss auf Microsoft Windows NT 4.0-Domänencontrollern installiert sein.

  • Alle Domänencontroller müssen eine 128-Bit-Verschlüsselung verwenden.

  • Der RestrictAnonymous-Wert auf dem Zieldomänencontroller sollte während der Migration auf 0 festgelegt werden.

  • Leseberechtigungen für die Gruppe Pre-Windows 2000 Compatible Access sollten auf CN=Server,CN=System,DC={targetdom},DC={tld} festgelegt werden.

  • Der folgende Registrierungsschlüssel sollte auf dem Kennwortexportserver konfiguriert werden: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • Der Kennwortexportserver muss neu gestartet werden, nachdem die Registrierung bearbeitet wurde.

  • Die Gruppe Jeder sollte während der Migration Mitglied der Gruppe Pre-Windows 2000 Compatible Access in der Zieldomäne sein. Diese Aktion wird von Active Directory-Benutzer und -Computer blockiert. Führen Sie zum Hinzufügen der Gruppe Jeder den folgenden Befehl aus: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

  • Wenn die Zieldomäne Windows Server 2003-basiert ist, führen Sie diesen Befehl aus, um die folgende Gruppe zu einem Mitglied der Gruppe Pre-Windows 2000 Compatible Access zu machen: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Problembehandlung

Im Folgenden finden Sie einige der häufigeren Fehlermeldungen und deren Lösungen:

  • Es kann keine Sitzung mit dem Kennwortexportserver hergestellt werden. Der Zielserver \SERVER verfügt nicht über einen Verschlüsselungsschlüssel für die Quelldomäne {SRCDOM}. Dieser Fehler kann durch eines der folgenden Konfigurationsprobleme verursacht werden:

  • Der Kennwortexportserver wurde nicht mit der Kennwortmigrations-DLL und einem Verschlüsselungsschlüssel für den Zielserver konfiguriert.

-oder-

  • Der Verschlüsselungsschlüssel wurde erstellt und installiert, aber ADMT wird auf einem anderen Computer als dem Computer ausgeführt, auf dem der Verschlüsselungsschlüssel erstellt wurde. Verschlüsselungsschlüssel für die Kennwortmigration sind pro Computer und nicht pro Domäne gültig.

  • WRN1:7557 Fehler beim Kopieren des Kennworts für {user}. Stattdessen wurde ein sicheres Kennwort generiert. Kennwort kann nicht kopiert werden. Der Zugriff wurde verweigert. Wenn diese Fehlermeldung in der Migration.log-Datei angezeigt wird, überprüfen Sie Folgendes:

  • Der folgende Registrierungsschlüsselwert wird auf den Zieldomänencontrollern festgelegt: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Vor Windows 2000 kompatibler Zugriff verfügt wie folgt über Lese- und Aufzählungsberechtigungen für die gesamte SAM-Domäne für das Objekt: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 Fehler beim Kopieren des Kennworts für {User}. Stattdessen wurde ein sicheres Kennwort generiert. Kennwort kann nicht kopiert werden. Der RPC-Server ist nicht verfügbar. Diese Fehlermeldung weist in der Regel auf einen Fehler beim Auflösen von Namen hin. Vergewissern Sie sich, dass die DNS-Namensauflösung (Domain Name System) und die NETBIOS-Namensauflösung (WINS) für beide Domänen ordnungsgemäß funktionieren.