Cómo solucionar problemas de la migración de contraseñas entre bosques con ADMTv2

Seleccione idioma Seleccione idioma
Id. de artículo: 322981 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E322981


No hay soporte técnico disponible para la versión Beta de este producto. Si desea información acerca de cómo obtener soporte técnico para una versión Beta, consulte la documentación incluida con los archivos del producto o busque en el sitio Web desde el que descargó la versión.
Expandir todo | Contraer todo

En esta página

Resumen

Si efectúa migraciones dentro del bosque mediante la herramienta de migración de Active Directory (ADMT, Active Directory Migration Tool) versión 2, no se requiere ninguna configuración especial para mantener contraseñas de usuario, un historial de identificadores e identificadores únicos globales (GUID) de objeto durante la operación.

No obstante, si utiliza ADMTv2 para efectuar migración de contraseñas entre bosques al clonar cuentas de usuario, esta operación se basa en dependencias que el administrador debe configurar. En este artículo se explican las dependencias y los pasos para solucionar problemas comunes asociados a esta operación.

Para obtener información adicional acerca de cómo instalar y configurar ADMT, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
E260871 CÓMO: Configurar ADMT para la migración de Windows NT 4.0 a Windows 2000

Configuración

Además de la configuración básica, ADMTv2 requiere las siguientes dependencias al utilizarse para realizar la migración de contraseñas entre bosques:

  • En el caso de controladores de dominio de Microsoft Windows NT 4.0, debe estar instalado el Service Pack 6a (SP6a) o posterior.

  • Todos los controladores de dominio deben utilizar cifrado de 128 bits.

  • El valor RestrictAnonymous del controlador de dominio de destino debe estar configurado como 0 durante la migración.

  • Los permisos de lectura del grupo Acceso compatible anterior a Windows 2000 deben estar configurados como CN=Server,CN=System,DC={targetdom},DC={tld}.

  • En el servidor de exportación de contraseñas debe configurarse la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Después de modificar el Registro, debe reiniciarse el servidor de exportación de contraseñas.

  • Durante la migración, el grupo Todos debe ser miembro del grupo Acceso compatible anterior a Windows 2000 del dominio de destino. Usuarios y equipos de Active Directory bloquea esta acción. Para agregar el grupo Todos, ejecute el siguiente comando:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • Si el dominio de destino está basado en Windows Server 2003, debe habilitarse la siguiente directiva en los controladores de dominio:
    Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad\Acceso a la red: deja que los permisos de Todos se apliquen a los usuarios anónimos

Solucionar problemas

A continuación se muestran algunos de los mensajes de error más comunes y su resolución:
  • No se pudo establecer sesión con el servidor de exportación de contraseñas. El servidor de destino \\SERVIDOR no tiene clave de cifrado para el dominio de origen {SRCDOM}.
    Este error puede deberse a uno de los siguientes problemas de configuración:

    • El servidor de exportación de contraseñas no se ha configurado con la DDL de migración de contraseñas y una clave de cifrado para el servidor de destino.

      O bien

    • Se creó e instaló la clave de cifrado, pero ADMT se está ejecutando en otro equipo diferente a aquel con el que se creó la clave de cifrado. Las claves de cifrado de migración de contraseñas son válidas para cada equipo en lugar de para cada dominio.
  • WRN1:7557 No se pudo copiar la contraseña para {usuario}. En su lugar se ha generado una contraseña segura. No se pudo copiar la contraseña. Acceso denegado.
    Si este mensaje de error aparece en el archivo Migration.log, compruebe lo siguiente:
    • Se ha configurado el siguiente valor de clave del Registro en los controladores de dominio de destino:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Se ha configurado el siguiente valor de clave del Registro para los controladores de dominio de destino de Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Everyoneincludesanonymous = 1
    • Acceso compatible anterior a Windows 2000 tiene permisos de Leer y Enumerar dominio SAM completo en el objeto, de la siguiente manera:
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 No se pudo copiar la contraseña para {Usuario}. En su lugar se ha generado una contraseña segura. No se pudo copiar la contraseña. El servidor RPC no está disponible.
    Este mensaje de error suele indicar que no se pueden resolver nombres. Compruebe que el Sistema de nombres de dominio (DNS) y la resolución de nombres de NetBIOS (WINS) funcionan correctamente en ambos dominios.

Propiedades

Id. de artículo: 322981 - Última revisión: lunes, 7 de julio de 2003 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Palabras clave: 
kberrmsg kbinfo KB322981

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com