Risoluzione dei problemi di migrazione di password tra insiemi di strutture diversi con ADMTv2

Traduzione articoli Traduzione articoli
Identificativo articolo: 322981 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Se si esegue una migrazione all'interno dello stesso insieme di strutture utilizzando l'Utilità di migrazione ad Active Directory versione 2 (ADMTv2), non è richiesta alcuna configurazione speciale per conservare password utente, sIDHistory e GUID di oggetti nel corso dell'operazione di spostamento.

Se tuttavia si utilizza ADMTv2 per eseguire una migrazione di password tra insiemi di strutture diversi quando si clonano account utente, questa operazione si affida alle dipendenze che l'amministratore deve configurare. In questo articolo vengono descritte tali dipendenze e le procedure di risoluzione dei problemi comuni relative a questa operazione.

Per ulteriori informazioni su come installare e configurare ADMT, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260871 HOW TO: Configurare ADMT per la migrazione da Windows NT 4.0 a Windows 2000

Configurazione

Oltre alla configurazione di base, ADMTv2 richiede le seguenti dipendenze, se utilizzato per eseguire la migrazione di password tra insiemi di strutture diversi:

  • Sui controller di dominio Microsoft Windows NT 4.0 deve essere installato il Service Pack 6a (SP6a) o versione successiva.

  • Tutti i controller di dominio devono utilizzare la crittografia a 128 bit.

  • Il valore RestrictAnonymous sul controller di dominio di destinazione deve essere impostato su 0 durante la migrazione.

  • Le autorizzazioni alla lettura nel gruppo Accesso compatibile precedente a Windows 2000 devono essere impostate su CN=Server,CN=System,DC={targetdom},DC={tld}.

  • La chiave del Registro di sistema riportata di seguito deve essere configurata sul server di esportazione delle password:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Il server di esportazione delle password deve essere riavviato a seguito della modifica del Registro di sistema.

  • Il gruppo Everyone deve essere membro del gruppo Accesso compatibile precedente a Windows 2000 nel dominio di destinazione durante la migrazione. Questa azione è bloccata dallo snap-in Utenti e computer di Active Directory. Per aggiungere il gruppo Everyone, eseguire il seguente comando:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • Se il dominio di destinazione è basato su Windows Server 2003, eseguire il comando riportato di seguito per rendere il gruppo seguente membro del gruppo Accesso compatibile precedente a Windows 2000:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Risoluzione dei problemi

Di seguito sono riportati alcuni dei messaggi di errore più comuni con le relative soluzioni:
  • Impossibile stabilire una sessione con il server di esportazione password. Il server di destinazione \\SERVER non dispone di una chiave di crittografia per il dominio di origine {SRCDOM}.
    Questo errore potrebbe essere causato da uno dei seguenti problemi di configurazione:

    • Il server di esportazione delle password non è stato configurato con la DLL di migrazione delle password e con una chiave di crittografia per il server di destinazione.

      Oppure

    • La chiave di crittografia è stata creata e installata, ma ADMT viene eseguito in un computer diverso da quello utilizzato per creare la chiave. Le chiavi di crittografia per la migrazione delle password sono valide a livello di singolo computer anziché di dominio.
  • WRN1:7557 Impossibile copiare la password per {utente.} È stata generata una password complessa. Impossibile copiare la password. Accesso negato.
    Se questo errore viene registrato nel file Migration.log, verificare quanto segue:
    • Che il valore della chiave del Registro di sistema riportata di seguito sia impostato sui controller di dominio di destinazione:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Che in Accesso compatibile precedente a Windows 2000 siano state lette ed enumerate tutte le autorizzazioni di dominio SAM dell'oggetto, come riportato di seguito:
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 Impossibile copiare la password per {utente}. È stata generata una password complessa. Impossibile copiare la password. Server RPC non disponibile.
    Questo messaggio di errore indica solitamente un errore durante la risoluzione dei nomi. Verificare che la risoluzione dei nomi DNS (Domain Name System) e NetBIOS (WINS) funzionino correttamente per entrambi i domini.

Proprietà

Identificativo articolo: 322981 - Ultima modifica: lunedì 3 dicembre 2007 - Revisione: 10.4
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Chiavi: 
kberrmsg kbinfo KB322981
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com