Устранение неполадок при переносе паролей между лесами с помощью ADMTv2

Код статьи: 322981 - Список продуктов, к которым относится данная статья.
Переведено с помощью машинного переводаПРЕДУПРЕЖДЕНИЕ: СТАТЬЯ ПЕРЕВЕДЕНА С ПОМОЩЬЮ МАШИННОГО ПЕРЕВОДА
Развернуть все | Свернуть все

На этой странице

Аннотация

При выполнении миграции в пределах леса с помощью активного V2 каталог мастер миграции (ADMT), специальная настройка не требуется для сохранить пароли пользователей, sIDHistory и глобально уникальные идентификаторы объектов (Идентификаторы GUID) во время операции перемещения.

Однако если используется средство ADMTv2 для выполнение между-леса миграция паролей при клонировать учетные записи пользователей, это Операция основывается на зависимости, администратор должен настроить. Это в статье рассмотрены зависимостей и предпринять для решения распространенных проблемы, связанные с данной операцией.

Для Дополнительные сведения о том, как установить и настроить средство ADMT, нажмите кнопку ниже номер статьи базы знаний Майкрософт:
260871
(http://support.microsoft.com/kb/260871/EN-US/ )
ПРАКТИЧЕСКОЕ руководство: Настройка ADMT для Windows NT 4.0 до Windows 2000 миграции

Конфигурация

Помимо базовой конфигурации ADMTv2 необходимо следующее зависимости, когда используется, чтобы выполнить миграцию паролей между лесами.

  • Пакет обновления 6a (SP6a) или более поздней версии должен быть установлен на Контроллеры домена Microsoft Windows NT 4.0.

  • Все контроллеры домена должны использовать 128-разрядное шифрование.

  • В Параметр RestrictAnonymous должно быть присвоено значение на конечный контроллер домена 0 во время миграции.

  • Разрешения на пред-Windows 2000 доступ на чтение следует указать группуCN = Server, CN = System, DC = {targetdom}, DC = {tld}.

  • Следующий раздел реестра должен быть настроен на Сервер экспорта паролей:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Необходимо перезапустить сервер экспорта паролей после редактировать реестр.

  • Группа «все» должна быть членом пред-Windows 2000 Доступ группе в конечном домене во время миграции. Это оно будет заблокировано, Active Directory-пользователи и компьютеры. Чтобы добавить всех пользователей Группа, выполните следующую команду:
    NET LOCALGROUP «ПРЕД-WINDOWS 2000 ДОСТУП» ВСЕ/ADD
  • Если конечный домен под управлением Windows Server 2003, выполните следующую команду, чтобы следующая группа является членом группы доступа пред-Windows 2000:
    / ADD NET LOCALGROUP «ПРЕД-WINDOWS 2000 ДОСТУП» «АНОНИМНЫЙ ВХОД»

Устранение неполадок

Ниже представлены некоторые из наиболее распространенных сообщений об ошибках и способы их решения.
  • Не удается установить сеанс с сервер экспорта паролей. Целевой сервер не имеет \\Сервер ключ шифрования для исходного домена {SRCDOM}.
    Эта ошибка может быть вызвана одним из указанных ниже проблем конфигурации:

    • Сервер экспорта паролей не был настроен с DLL миграции паролей и ключ шифрования для конечного объекта сервер.

      -ИЛИ-

    • Ключ шифрования был создан и установлен, но ADMT на компьютере, отличном от компьютера, на котором создан ключ шифрования. Ключи шифрования для миграции паролей являются допустимыми компьютера вместо одного домена.
  • Не удалось скопировать WRN1:7557 пароль для {user}. Вместо этого сгенерирован надежный пароль. Не удалось Копировать пароль. Отказано в доступе.
    Если это сообщение об ошибке появляется в Migration.log помещается файл, проверьте следующие параметры:
    • Установите следующее значение раздела на конечном контроллеры домена:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Чтение пред-Windows 2000 доступ и Перечисление всего SAM домена разрешения объекта, следующим образом:
      CN = Server, CN = System, DC = {TargetDomain}, DC = {tld}
  • Не удается скопировать пароль w1:7557 для {User}. Вместо этого сгенерирован надежный пароль. Не удается скопировать пароль. Сервер RPC недоступен.
    Это сообщение об ошибке обычно указывает на сбой разрешения имен. Убедитесь, что служба доменных имен (DNS) и разрешение имен NetBIOS (WINS) работает правильно для обоих доменов.
Перейти к началу страницы | Отправить отзыв

Свойства

Код статьи: 322981 - Последнее изменение :: 8 июня 2011 г. - Редакция: 4.0
Информация в данной статье относится к следующим продуктам.
Ключевые слова: 
kberrmsg kbinfo kbmt KB322981 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:322981
(http://support.microsoft.com/kb/322981/en-us/ )
Перейти к началу страницы | Отправить отзыв

Отправить отзыв

 
Перейти к началу страницыПерейти к началу страницы