Como solucionar migração de senha Inter-Forest com ADMTv2

Traduções deste artigo Traduções deste artigo
ID do artigo: 322981 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Se você executar migrações entre florestas usando a ferramenta de migração do Active Directory (ADMT) v2, nenhuma configuração especial é necessária para manter senhas de usuário, sIDHistory e objeto identificadores globalmente exclusivos (GUIDs) durante a operação de movimentação.

No entanto, se você usar ADMTv2 para executar inter -migração de senha de floresta quando você clonar contas de usuário, essa operação se baseia em dependências que o administrador deve configurar. Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados a esta operação.

Para obter informações adicionais sobre como instalar e configurar a ADMT, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260871COMO: Configurar o ADMT para Windows NT 4.0 para migração do Windows 2000

Configuração

Além da configuração básica, ADMTv2 requer as seguintes dependências quando usado para executar a migração de senha entre florestas:

  • Service Pack 6a (SP6a) ou posterior deve ser instalado em controladores de domínio Microsoft Windows NT 4.0.

  • Todos os controladores de domínio devem usar criptografia de 128 bits.

  • O valor RestrictAnonymous no controlador de domínio de destino deve ser definido como 0 durante a migração.

  • Permissões de leitura no Pre-Windows 2000 Compatible Access grupo deve ser definido como CN = servidor, CN = System, DC = {targetdom}, DC = {tld} .

  • A seguinte chave do registro deve ser configurada no servidor de exportação de senha:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • O servidor de exportação de senha deve ser reiniciado após o registro é editado.

  • O grupo Todos deve ser um membro do grupo Acesso compatível anterior ao Windows 2000 no domínio de destino durante a migração. Esta ação está bloqueada pelo Active Directory Users and Computers. Para adicionar todos grupo, execute o seguinte comando:
    NET LOCALGROUP "PRE-WINDOWS 2000 compatível com o ACCESS" EVERYONE /Add
  • Se o domínio de destino for baseado em Windows Server 2003, execute este comando para fazer o seguinte grupo de um membro do grupo Acesso compatível anterior ao Windows 2000:
    NET LOCALGROUP "PRE-WINDOWS 2000 compatível com o ACCESS" "ANONYMOUS LOGON" /Add

Solução de problemas

A seguir estão algumas das mensagens de erro mais comuns e suas soluções:
  • Não é possível estabelecer uma sessão com o servidor de exportação de senha. O servidor de destino \\SERVER não tem uma chave de criptografia para domínio de origem {SRCDOM}.
    Este erro pode ser causado por um dos seguintes problemas de configuração:

    • O servidor de exportação de senha não foi configurado com a DLL de migração de senha e uma chave de criptografia para o servidor de destino.

      - ou -

    • A chave de criptografia foi criada e instalada, mas o ADMT está sendo executado em um computador diferente do computador que criou a chave de criptografia. Chaves de criptografia de migração de senha são válidos por-computador em vez de por domínio.
  • WRN1:7557 Falha ao copiar a senha de {usuário}. Uma senha forte foi gerada. Não é possível copiar senha. O acesso foi negado.
    Se essa mensagem de erro aparece no arquivo Migration.log, verifique o seguinte:
    • O seguinte valor de chave do Registro está definido nos controladores de domínio de destino:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Compatíveis com versões anteriores ao Windows 2000 tem permissões de leitura e enumerar todo domínio SAM no objeto, da seguinte maneira:
      CN = servidor, CN = System, DC = {TargetDomain}, DC = {tld}
  • W1:7557 Falha ao copiar a senha para {usuário}. Uma senha forte foi gerada. Não é possível copiar senha. O servidor RPC não está disponível.
    Essa mensagem de erro geralmente indica uma falha ao resolver nomes. Verifique se esse Domain Name System (DNS) e resolução de nomes NetBIOS (WINS) está funcionando corretamente para ambos os domínios.

Propriedades

ID do artigo: 322981 - Última revisão: segunda-feira, 3 de dezembro de 2007 - Revisão: 10.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kberrmsg kbinfo KB322981 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 322981

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com