Como solucionar problemas Inter-Forest migração de senha com a ADMTv2
Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados à operação de migração de senha entre florestas.
Aplica-se a: Windows Server 2003
Número de KB original: 322981
Resumo
Se você executar migrações intra-floresta usando a Ferramenta de Migração do Active Directory (ADMT) v2, nenhuma configuração especial será necessária para manter as senhas do usuário, o sIDHistory e os GUIDs (identificadores globalmente exclusivos) durante a operação de movimentação.
No entanto, se você usar o ADMTv2 para executar a migração de senha entre florestas ao clonar contas de usuário, essa operação depende de dependências que o administrador deve configurar. Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados a essa operação.
Configuração
Além da configuração básica, o ADMTv2 requer as seguintes dependências quando usado para executar a migração de senha entre florestas:
O Service Pack 6a (SP6a) ou posterior deve ser instalado nos controladores de domínio do Microsoft Windows NT 4.0.
Todos os controladores de domínio devem usar criptografia de 128 bits.
O valor RestrictAnonymous no controlador de domínio de destino deve ser definido como 0 durante a migração.
As permissões de leitura no grupo acesso compatível pré-Windows 2000 devem ser definidas como CN=Server,CN=System,DC={targetdom},DC={tld}.
A seguinte chave do registro deve ser configurada no Servidor de Exportação de Senha: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
O Servidor de Exportação de Senha deve ser reiniciado após a edição do registro.
O grupo Todos deve ser membro do grupo acesso compatível pré-Windows 2000 no domínio de destino durante a migração. Essa ação é bloqueada por Usuários e Computadores do Active Directory. Para adicionar o grupo Todos, execute o seguinte comando: NET LOCALGROUP "PRÉ-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
Se o domínio de destino for baseado no Windows Server 2003, execute este comando para tornar o seguinte grupo um membro do grupo de Acesso Compatível pré-Windows 2000: NET LOCALGROUP "ACESSO COMPATÍVEL PRÉ-WINDOWS 2000" "LOGON ANÔNIMO" /ADD
Solução de problemas
A seguir estão algumas das mensagens de erro mais comuns e suas resoluções:
Não é possível estabelecer uma sessão com o servidor de exportação de senha. O servidor de destino \SERVER não tem uma chave de criptografia para o domínio de origem {SRCDOM}. Esse erro pode ser causado por um dos seguintes problemas de configuração:
O Servidor de Exportação de Senha não foi configurado com a DLL de Migração de Senha e uma chave de criptografia para o servidor de destino.
-ou-
A chave de criptografia foi criada e instalada, mas o ADMT está em execução em um computador diferente do computador que criou a chave de criptografia. As chaves de criptografia de migração de senha são válidas por computador em vez de por domínio.
WRN1:7557 Falha ao copiar a senha de {user}. Em vez disso, uma senha forte foi gerada. Não é possível copiar senha. Acesso negado. Se essa mensagem de erro for exibida no arquivo Migration.log, verifique o seguinte:
O seguinte valor da chave do registro é definido nos controladores de domínio de destino: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
O Acesso Compatível pré-Windows 2000 tem permissões de domínio sam inteiras de leitura e enumeração no objeto, da seguinte maneira: CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 Falha ao copiar a senha de {User}. Em vez disso, uma senha forte foi gerada. Não é possível copiar senha. O servidor RPC não está disponível. Normalmente, essa mensagem de erro indica uma falha em resolve nomes. Verifique se a resolução de nomes DNS (Sistema de Nomes de Domínio) e NETBIOS (WINS) está funcionando corretamente para ambos os domínios.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários