Résolution des problèmes de migration de mot de passe Inter-Forest avec ADMTv2

Cet article décrit les dépendances et les étapes de résolution des problèmes courants associés à l’opération de migration de mot de passe entre forêts.

Produit concerné : Windows Server 2003
Numéro de la base de connaissances d’origine : 322981

Résumé

Si vous effectuez des migrations intra-forêt à l’aide de l’outil de migration Active Directory (ADMT) v2, aucune configuration spéciale n’est nécessaire pour gérer les mots de passe utilisateur, sIDHistory et les identificateurs globaux uniques (GUID) d’objet pendant l’opération de déplacement.

Toutefois, si vous utilisez ADMTv2 pour effectuer une migration de mot de passe entre forêts lorsque vous clonez des comptes d’utilisateur, cette opération s’appuie sur les dépendances que l’administrateur doit configurer. Cet article décrit les dépendances et les étapes de résolution des problèmes courants associés à cette opération.

Configuration

Au-delà de la configuration de base, ADMTv2 nécessite les dépendances suivantes lorsqu’il est utilisé pour effectuer une migration de mot de passe entre forêts :

  • Le Service Pack 6a (SP6a) ou version ultérieure doit être installé sur les contrôleurs de domaine Microsoft Windows NT 4.0.

  • Tous les contrôleurs de domaine doivent utiliser le chiffrement 128 bits.

  • La valeur RestrictAnonymous sur le contrôleur de domaine cible doit être définie sur 0 pendant la migration.

  • Les autorisations de lecture sur le groupe Accès compatible pré Windows 2000 doivent être définies sur CN=Server,CN=System,DC={targetdom},DC={tld}.

  • La clé de Registre suivante doit être configurée sur le serveur d’exportation de mot de passe : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • Le serveur d’exportation de mot de passe doit être redémarré après la modification du Registre.

  • Le groupe Tout le monde doit être membre du groupe Accès compatible pré-Windows 2000 dans le domaine cible pendant la migration. Cette action est bloquée par Utilisateurs et ordinateurs Active Directory. Pour ajouter le groupe Tout le monde, exécutez la commande suivante : NET LOCALGROUP « PRE-WINDOWS 2000 COMPATIBLE ACCESS » EVERYONE /ADD

  • Si le domaine cible est basé sur Windows Server 2003, exécutez cette commande pour faire du groupe suivant un membre du groupe Accès compatible pré-Windows 2000 : NET LOCALGROUP « PRE-WINDOWS 2000 COMPATIBLE ACCESS » « ANONYMOUS LOGON » /ADD

Résolution des problèmes

Voici quelques-uns des messages d’erreur les plus courants et leurs résolutions :

  • Impossible d’établir une session avec le serveur d’exportation de mot de passe. Le serveur cible \SERVER n’a pas de clé de chiffrement pour le domaine source {SRCDOM}. Cette erreur peut être due à l’un des problèmes de configuration suivants :

  • Le serveur d’exportation de mot de passe n’a pas été configuré avec la DLL de migration de mot de passe et une clé de chiffrement pour le serveur cible.

- ou -

  • La clé de chiffrement a été créée et installée, mais ADMT s’exécute sur un autre ordinateur que l’ordinateur qui a créé la clé de chiffrement. Les clés de chiffrement de migration de mot de passe sont valides par ordinateur plutôt que par domaine.

  • WRN1 :7557 Impossible de copier le mot de passe pour {user}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. L’accès est refusé. Si ce message d’erreur s’affiche dans le fichier Migration.log, vérifiez les points suivants :

  • La valeur de clé de Registre suivante est définie sur les contrôleurs de domaine cibles : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • L’accès compatible pré-Windows 2000 dispose des autorisations lire et énumérer l’intégralité du domaine SAM sur l’objet, comme suit : CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1 :7557 Impossible de copier le mot de passe pour {Utilisateur}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. Le serveur RPC n’est pas disponible. Ce message d’erreur indique généralement un échec de résolution des noms. Vérifiez que la résolution de noms DNS (Domain Name System) et NetBIOS (WINS) fonctionne correctement pour les deux domaines.