Устранение неполадок Inter-Forest миграции паролей с помощью ADMTv2

  • Статья

В этой статье рассматриваются зависимости и действия по устранению распространенных проблем, связанных с операцией миграции паролей между лесами.

Применяется к: Windows Server 2003
Исходный номер базы знаний: 322981

Сводка

При выполнении миграции внутри леса с помощью средства миграции Active Directory (ADMT) версии 2 специальная настройка не требуется для хранения паролей пользователей, sIDHistory и идентификаторов GUID объектов во время операции перемещения.

Однако при использовании ADMTv2 для переноса паролей между лесами при клонировании учетных записей пользователей эта операция зависит от зависимостей, которые должен настроить администратор. В этой статье рассматриваются зависимости и действия по устранению распространенных проблем, связанных с этой операцией.

Конфигурация

Помимо базовой конфигурации, ADMTv2 требует следующих зависимостей при использовании для миграции паролей между лесами:

  • На контроллерах домена Microsoft Windows NT 4.0 необходимо установить пакет обновления 6a (SP6a) или более позднюю версию.

  • Все контроллеры домена должны использовать 128-разрядное шифрование.

  • Во время миграции значение RestrictAnonymous на целевом контроллере домена должно иметь значение 0.

  • Разрешения на чтение в группе совместимого доступа до Windows 2000 должны иметь значение CN=Server,CN=System,DC={targetdom},DC={tld}.

  • На сервере экспорта паролей необходимо настроить следующий раздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • После изменения реестра необходимо перезапустить сервер экспорта паролей.

  • Во время миграции группа Все должна быть членом группы совместимого доступа до Windows 2000 в целевом домене. Это действие блокируется Пользователи и компьютеры Active Directory. Чтобы добавить группу Все, выполните следующую команду: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

  • Если целевой домен основан на Windows Server 2003, выполните следующую команду, чтобы сделать следующую группу членом группы совместимого доступа до Windows 2000: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Устранение неполадок

Ниже приведены некоторые из наиболее распространенных сообщений об ошибках и способы их устранения.

  • Не удается установить сеанс с сервером экспорта паролей. Целевой сервер \SERVER не имеет ключа шифрования для исходного домена {SRCDOM}. Эта ошибка может быть вызвана одной из следующих проблем с конфигурацией:

  • На сервере экспорта паролей не настроена библиотека DLL миграции паролей и ключ шифрования для целевого сервера.

-или-

  • Ключ шифрования был создан и установлен, но ADMT работает на компьютере, отличном от компьютера, на котором был создан ключ шифрования. Ключи шифрования миграции паролей действительны для каждого компьютера, а не для каждого домена.

  • WRN1:7557 Не удалось скопировать пароль для {user}. Вместо этого был создан надежный пароль. Не удается скопировать пароль. Отказ в доступе. Если это сообщение об ошибке отображается в файле Migration.log, проверьте следующее:

  • Для целевых контроллеров домена задается следующее значение раздела реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Совместимый доступ до Windows 2000 имеет разрешения на чтение и перечисление всего домена SAM для объекта следующим образом: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 Не удалось скопировать пароль для {User}. Вместо этого был создан надежный пароль. Не удается скопировать пароль. Сервер RPC недоступен. Это сообщение об ошибке обычно указывает на сбой при разрешении имен. Убедитесь, что разрешение имен в системе доменных имен (DNS) и NetBIOS (WINS) работает правильно для обоих доменов.