Comment faire pour résoudre les problèmes de migration de mots de passe entre forêts avec ADMTv2

Traductions disponibles Traductions disponibles
Numéro d'article: 322981 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

Lorsque vous effectuez des migrations intra-forêt à l'aide de l'outil de migration Active Directory (ADMT) v2, aucune configuration spéciale n'est nécessaire pour assurer la maintenance des mots de passe des utilisateurs, de SIDHistory et des identificateurs uniques globaux (GUID) d'objets durant l'opération de déplacement.

Toutefois, si vous utilisez ADMTv2 pour effectuer une migration de mots de passe entre forêts lorsque vous clonez des comptes d'utilisateurs, cette opération repose sur des dépendances que l'administrateur doit configurer. Cet article traite des dépendances et des procédures de résolution de problèmes courants associés à cette opération.

Pour plus d'informations sur la façon d'installer et de configurer ADMT, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260871 COMMENT FAIRE : Configurer ADMT pour une migration de Windows NT 4.0 vers Windows 2000

Configuration

Au-delà de la configuration de base, ADMTv2 requiert les dépendances suivantes lorsqu'il est utilisé pour procéder à la migration de mots de passe entre forêts :

  • Le Service Pack 6a (SP6a) ou ultérieur doit être installé sur les contrôleurs de domaine Microsoft Windows NT 4.0.

  • Tous les contrôleurs de domaine doivent utiliser le chiffrement 128 bits.

  • La valeur RestrictAnonymous du contrôleur de domaine cible doit être définie sur 0 durant la migration.

  • Les autorisations en lecture sur le groupe Accès compatible pré-Windows 2000 doivent être définies avec la valeur CN=Server,CN=System,DC={targetdom},DC={tld}.

  • La clé de Registre suivante doit être configurée sur le serveur d'export de mot de passe :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Le serveur d'export de mot de passe doit être redémarré après la modification du Registre.

  • Le groupe Tout le monde doit être membre du groupe Accès compatible pré-Windows 2000 dans le domaine cible durant la migration. Cette action est bloquée par Utilisateurs et ordinateurs Active Directory. Pour ajouter le groupe Tout le monde, exécutez la commande suivante :
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • Si le domaine cible est basé sur Windows Server 2003, exécutez cette commande pour faire du groupe suivant un membre du groupe Accès compatible pré-Windows 2000 :
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Résolution des problèmes

Voici quelques-uns des messages d'erreur les plus courants, ainsi que les procédures de résolution appropriées :
  • Impossible d'établir une session avec le serveur d'export de mot de passe. Le serveur cible \\SERVEUR ne possède pas de clé de chiffrement pour le domaine source {SRCDOM}.
    Cette erreur peut être due à l'un des problèmes de configuration suivants :

    • La DLL de migration des mots de passe et une clé de chiffrement pour le serveur cible n'ont pas été configurées sur le serveur d'export de mot de passe.

      - ou -

    • La clé de chiffrement a été créée et installée, mais ADMT s'exécute sur un ordinateur différent de celui qui a créé la clé de chiffrement. Les clés de chiffrement de migration de mots de passe sont valides pour un ordinateur et non pour un domaine.
  • WRN1:7557 Impossible de copier le mot de passe pour {utilisateur}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. Accès refusé.
    Si ce message d'erreur apparaît dans le fichier Migration.log, vérifiez les points suivants :
    • La valeur de clé de Registre suivante est définie sur les contrôleurs de domaine cibles :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Le groupe Accès compatible pré-Windows 2000 possède des autorisations Lecture et Enumérer le domaine SAM en entier sur l'objet, comme suit :
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 Impossible de copier le mot de passe pour {utilisateur}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. Le serveur RPC n'est pas disponible.
    Ce message d'erreur signifie généralement un échec de résolution de noms. Vérifiez que la résolution de noms DNS (Domain Name System) et NetBIOS (WINS) fonctionne correctement pour les deux domaines.

Propriétés

Numéro d'article: 322981 - Dernière mise à jour: jeudi 22 décembre 2005 - Version: 10.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kberrmsg kbinfo KB322981
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com