ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法

文書翻訳 文書翻訳
文書番号: 322981 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

Active Directory 移行ツール (ADMT) v2 を使用してフォレスト内の移行を実行する場合は、移動操作時にユーザー パスワード、sIDHistory、およびオブジェクトのグローバル一意識別子 (GUID) を保持するための特別な構成を行う必要はありません。

ただし、ADMTv2 を使用して、ユーザー アカウントを複製する際にフォレスト間のパスワード移行を実行する場合、この操作は管理者が構成する依存関係に依存します。この資料では、依存関係と、この操作に関連する一般的な問題のトラブルシューティング手順について説明します。

ADMT のインストール方法および構成方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260871 Windows NT 4.0 から Windows 2000 へ移行するために ADMT をセットアップする方法

構成

フォレスト間のパスワード移行を実行する場合、ADMTv2 には、基本的な構成以外に以下の依存関係が必要です。

  • Microsoft Windows NT 4.0 ドメイン コントローラに Service Pack 6a (SP6a) 以降がインストールされている必要があります。

  • すべてのドメイン コントローラで 128 ビット暗号化を使用している必要があります。

  • 移行時には、移行先ドメイン コントローラの [RestrictAnonymous] 値を [0] に設定する必要があります。

  • Pre-Windows 2000 Compatible Access グループの読み取りアクセス許可を [CN=Server,CN=System,DC={TargetDomain},DC={tld}] に設定する必要があります。

  • パスワード エクスポート サーバーで、次のレジストリ キーを設定する必要があります。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • レジストリを編集した後に、パスワード エクスポート サーバーを再起動する必要があります。

  • 移行時には、Everyone グループを移行先ドメインの Pre-Windows 2000 Compatible Access グループのメンバにする必要があります。この操作は、Active Directory ユーザーとコンピュータでブロックされます。Everyone グループを追加するには、次のコマンドを実行します。
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • 移行先のドメインが Windows Server 2003 ベースである場合は、このコマンドを実行して、以下のグループを Pre-Windows 2000 Compatible Access グループのメンバにします。
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

トラブルシューティング

以下は、一般的ないくつかのエラー メッセージとそれらの解決方法です。
  • パスワード エクスポート サーバーでセッションを確立できません。\\SERVER に移行元ドメイン {SRCDOM} の暗号化キーがありません。
    このエラーは、以下のいずれかの構成に関する問題によって発生する可能性があります。

    • パスワード エクスポート サーバーがパスワード移行 DLL と移行先サーバーの暗号化キーで構成されていません。

      または

    • 暗号化キーが作成され、インストールされていますが、ADMT が暗号化キーを作成したものとは異なるコンピュータで実行されています。パスワード移行の暗号化キーは、ドメインごとにではなく、コンピュータごとに有効です。
  • WRN1:7557 {user.} のパスワードをコピーできませんでした。代わりに強力なパスワードが作成されました。パスワードをコピーできません。アクセスが拒否されました。
    Migration.log ファイルにこのエラー メッセージが表示された場合は、以下のことを確認します。
    • 移行先ドメイン コントローラで、次のレジストリ キーの値が設定されていること
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • 次のように、Pre-Windows 2000 Compatible Access がオブジェクトで読み取りアクセス許可および SAM ドメイン全体の列挙のアクセス許可を持っていること
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 {User} のパスワードをコピーできませんでした。代わりに強力なパスワードが作成されました。パスワードをコピーできません。RPC サーバーを利用できません。
    一般的に、このエラー メッセージは、名前の解決に失敗したことを示しています。両方のドメインで、ドメイン ネーム システム (DNS) および NetBIOS (WINS) 名前解決が適切に動作していることを確認します。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 322981 (最終更新日 2003-10-13) を基に作成したものです。

プロパティ

文書番号: 322981 - 最終更新日: 2007年12月3日 - リビジョン: 10.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
キーワード:?
kberrmsg kbinfo KB322981
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com