Como resolver problemas de migração de palavra-passe Inter-Forest com ADMTv2

Traduções de Artigos Traduções de Artigos
Artigo: 322981 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Se efectuar migrações dentro da floresta utilizando a ferramenta de migração do Active Directory (ADMT) v2, nenhuma configuração especial é necessária para manter as palavras-passe de utilizador, sIDHistory e objecto identificadores exclusivos globais (GUID) durante a operação de mover.

No entanto, se utilizar ADMTv2 para efectuar a inter -floresta migração de palavra-passe quando clonar contas de utilizador, esta operação depende dependências que o administrador tem de configurar. Este artigo descreve as dependências e passos de resolução de problemas para problemas comuns relacionados com esta operação.

Para obter informações adicionais sobre como instalar e configurar a ADMT, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
260871COMO: Configurar ADMT para Windows NT 4.0 para Windows 2000 migração

Configuração

Para além de configuração básica, ADMTv2 requer as seguintes dependências quando utilizado para efectuar a migração de palavra-passe inter-forest:

  • Service Pack 6a (SP6a) ou posterior tem de ser instalado em controladores de domínio do Microsoft Windows NT 4.0.

  • Todos os controladores de domínio tem de utilizar encriptação de 128 bits.

  • O valor de RestrictAnonymous no controlador de domínio de destino deve ser definido como 0 durante a migração.

  • Permissões de leitura no Pre-Windows 2000 Compatible Access grupo deve ser definido como CN = servidor, CN = System, DC = {targetdom}, DC = {tld} .

  • A seguinte chave de registo deve ser configurada no servidor de exportação de palavras-passe:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • O servidor de exportação de palavras-passe deve ser reiniciado após o registo é editado.

  • O grupo Todos (Everyone) deve ser um membro do grupo Acesso compatível com anterior ao Windows 2000 no domínio de destino durante a migração. Esta acção está bloqueada por computadores e utilizadores do Active Directory. Para adicionar todos grupo, execute o seguinte comando:
    NET LOCALGROUP "PRE-WINDOWS 2000 compatível com o ACCESS" EVERYONE /Add
  • Se o domínio de destino for baseado no Windows Server 2003, execute este comando para efectuar o seguinte grupo de um membro do grupo Pre-Windows 2000 Compatible Access:
    NET LOCALGROUP "PRE-WINDOWS 2000 compatível com o ACCESS" "ANONYMOUS LOGON" /Add

Resolução de problemas

Seguem-se algumas das mensagens de erro mais comuns e as resoluções:
  • Não é possível estabelecer uma sessão com o servidor de exportação de palavras-passe. O servidor de destino \\SERVER não tem uma chave de encriptação para o domínio de origem {SRCDOM}.
    Este erro pode ser causado por um dos seguintes problemas de configuração:

    • O servidor de exportação de palavras-passe não foi configurado com a DLL de migração de palavra-passe e uma chave de encriptação para o servidor de destino.

      - ou -

    • A chave de encriptação foi criada e instalada, mas a ADMT está em execução num computador diferente do que o computador que criou a chave de encriptação. As chaves de encriptação de migração palavra-passe são válida por computador em vez de por domínio.
  • WRN1:7557 não foi possível copiar a palavra-passe {.} Em vez disso, foi gerada uma palavra-passe segura. Não é possível copiar a palavra-passe. O acesso é negado.
    Se for apresentada esta mensagem de erro no ficheiro Migration.log, verifique o seguinte:
    • O seguinte valor de chave de registo está definido nos controladores de domínio de destino:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Acesso compatível com anterior ao Windows 2000 tem as permissões Ler e enumerar domínio SAM, Security Accounts Manager inteiro no objecto, da seguinte forma:
      CN = servidor, CN = System, DC = {TargetDomain}, DC = {tld}
  • Não foi possível copiar a palavra-passe para {User} W1:7557. Em vez disso, foi gerada uma palavra-passe segura. Não é possível copiar a palavra-passe. O servidor RPC não está disponível.
    Esta mensagem de erro normalmente indica uma falha para resolver nomes. Certifique-se de que Domain Name System (DNS) e resolução de nomes NetBIOS (WINS) está a funcionar correctamente para ambos os domínios.

Propriedades

Artigo: 322981 - Última revisão: 3 de dezembro de 2007 - Revisão: 10.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kberrmsg kbinfo KB322981 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 322981

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com