Устранение неполадок Inter-Forest миграции паролей с помощью ADMTv2
В этой статье рассматриваются зависимости и действия по устранению распространенных проблем, связанных с операцией миграции паролей между лесами.
Применяется к: Windows Server 2003
Исходный номер базы знаний: 322981
Сводка
При выполнении миграции внутри леса с помощью средства миграции Active Directory (ADMT) версии 2 специальная настройка не требуется для хранения паролей пользователей, sIDHistory и идентификаторов GUID объектов во время операции перемещения.
Однако при использовании ADMTv2 для переноса паролей между лесами при клонировании учетных записей пользователей эта операция зависит от зависимостей, которые должен настроить администратор. В этой статье рассматриваются зависимости и действия по устранению распространенных проблем, связанных с этой операцией.
Конфигурация
Помимо базовой конфигурации, ADMTv2 требует следующих зависимостей при использовании для миграции паролей между лесами:
На контроллерах домена Microsoft Windows NT 4.0 необходимо установить пакет обновления 6a (SP6a) или более позднюю версию.
Все контроллеры домена должны использовать 128-разрядное шифрование.
Во время миграции значение RestrictAnonymous на целевом контроллере домена должно иметь значение 0.
Разрешения на чтение в группе совместимого доступа до Windows 2000 должны иметь значение CN=Server,CN=System,DC={targetdom},DC={tld}.
На сервере экспорта паролей необходимо настроить следующий раздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
После изменения реестра необходимо перезапустить сервер экспорта паролей.
Во время миграции группа Все должна быть членом группы совместимого доступа до Windows 2000 в целевом домене. Это действие блокируется Пользователи и компьютеры Active Directory. Чтобы добавить группу Все, выполните следующую команду: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
Если целевой домен основан на Windows Server 2003, выполните следующую команду, чтобы сделать следующую группу членом группы совместимого доступа до Windows 2000: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD
Устранение неполадок
Ниже приведены некоторые из наиболее распространенных сообщений об ошибках и способы их устранения.
Не удается установить сеанс с сервером экспорта паролей. Целевой сервер \SERVER не имеет ключа шифрования для исходного домена {SRCDOM}. Эта ошибка может быть вызвана одной из следующих проблем с конфигурацией:
На сервере экспорта паролей не настроена библиотека DLL миграции паролей и ключ шифрования для целевого сервера.
-или-
Ключ шифрования был создан и установлен, но ADMT работает на компьютере, отличном от компьютера, на котором был создан ключ шифрования. Ключи шифрования миграции паролей действительны для каждого компьютера, а не для каждого домена.
WRN1:7557 Не удалось скопировать пароль для {user}. Вместо этого был создан надежный пароль. Не удается скопировать пароль. Отказ в доступе. Если это сообщение об ошибке отображается в файле Migration.log, проверьте следующее:
Для целевых контроллеров домена задается следующее значение раздела реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Совместимый доступ до Windows 2000 имеет разрешения на чтение и перечисление всего домена SAM для объекта следующим образом: CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 Не удалось скопировать пароль для {User}. Вместо этого был создан надежный пароль. Не удается скопировать пароль. Сервер RPC недоступен. Это сообщение об ошибке обычно указывает на сбой при разрешении имен. Убедитесь, что разрешение имен в системе доменных имен (DNS) и NetBIOS (WINS) работает правильно для обоих доменов.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по