วิธีการแก้ไขการโยกย้ายรหัสผ่าน Inter-Forest ด้วย ADMTv2

หมายเลขบทความ (Article ID): 322981 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
แปลโดยคอมพิวเตอร์คลิกที่นี่เพื่อดูข้อจำกัดความรับผิดชอบของ KB ที่แปลโดยคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

ถ้าคุณทำการ migrations ฟอเรสต์ intra โดยใช้ v2 Active Directory โยกย้ายเครื่องมือ (ADMT) ไม่มีการตั้งค่าคอนฟิกพิเศษไม่จำเป็นสำหรับการรักษารหัสผ่านของผู้ใช้ sIDHistory และตัวระบุวัตถุที่ไม่ซ้ำกัน (guid ของ) ในระหว่างการดำเนินการย้าย

อย่างไรก็ตาม ถ้าคุณใช้ ADMTv2 เพื่อดำเนินการระหว่าง-ฟอเรสต์รหัสผ่านโยกย้ายเมื่อคุณลอกแบบบัญชีผู้ใช้ การดำเนินการนี้ใช้ในการอ้างอิงที่ต้องการกำหนดค่าผู้ดูแล บทความนี้กล่าวถึงการอ้างอิงและขั้นตอนการแก้ไขปัญหาสำหรับปัญหาทั่วไปที่เกี่ยวข้องกับการดำเนินการนี้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการติดตั้ง และการตั้งค่าคอนฟิก ADMT คลิกหมายเลขบทความด้านล่างนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
260871
(http://support.microsoft.com/kb/260871/EN-US/ )
HOW TO: มีเซ็ตอัพ ADMT สำหรับ Windows NT 4.0 กับ Windows 2000 การโยกย้าย

configuration

เกินกว่าการตั้งค่าคอนฟิกพื้นฐาน ADMTv2 ต้องอ้างอิงต่อไปนี้เมื่อใช้การดำเนินการโยกย้ายรหัสผ่าน inter-forest:

  • Service Pack 6a (SP6a) หรือหลังจากนั้นต้องถูกติดตั้งตัวควบคุมโดเมนของ Microsoft Windows NT 4.0

  • ตัวควบคุมโดเมนทั้งหมดต้องใช้การเข้ารหัสแบบ 128 บิต

  • กระบวนการrestrictanonymousควรมีตั้งค่าบนตัวควบคุมโดเมนปลายทางการ0ในระหว่างการโยกย้าย

  • อ่านสิทธิ์ในการเข้าถึง 2000 เข้ากันได้กับ Pre-Windows กลุ่มจะถูกกำหนดCN =เซิร์ฟเวอร์ CN =ระบบ DC = {targetdom }, DC = {tld }.

  • รีจิสทรีคีย์ต่อไปนี้ควรมีการกำหนดค่าบนเซิร์ฟเวอร์ส่งออกรหัสผ่าน:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport =% 1
  • เซิร์ฟเวอร์ส่งออกรหัสผ่านต้องเริ่มต้นใหม่หลังจากที่มีแก้ไขรีจิสทรี

  • กลุ่ม Everyone ควรเป็นสมาชิกของกลุ่ม Pre-Windows 2000 เข้ากันได้กับการเข้าถึงที่อยู่ในโดเมนปลายทางในระหว่างการโยกย้าย การกระทำนี้ถูกบล็อค โดยผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ เมื่อต้องการเพิ่มทุกคน กลุ่ม รันคำสั่งต่อไปนี้:
    net localgroup "pre-windows 2000 เข้ากันได้กับเข้า" ทุกคน /add
  • หากโดเมนปลายทางเป็นเซิร์ฟเวอร์ที่ใช้ Windows server 2003 เรียกใช้คำสั่งนี้เพื่อสร้างกลุ่มต่อไปนี้เป็นสมาชิกของกลุ่ม Pre-Windows 2000 เข้ากันได้กับการเข้าถึง:
    /add "การเข้าสู่ระบบแบบไม่ระบุชื่อ" "pre-windows 2000 เข้ากันได้กับเข้า" localgroup สุทธิ

การแก้ไขปัญหา

ต่อไปนี้คือบางข้อความแสดงข้อผิดพลาดทั่วไปมากขึ้นและวิธีแก้ปัญหาของตนเอง:
  • ไม่สามารถสร้างเซสชันกับเซิร์ฟเวอร์การส่งออกของรหัสผ่าน เซิร์ฟเวอร์เป้าหมาย \\SERVER ไม่มีคีย์การเข้ารหัสลับสำหรับโดเมนต้นทาง {SRCDOM }
    ข้อผิดพลาดนี้อาจเกิดจากปัญหาเกี่ยวกับการตั้งค่าคอนฟิกต่อไปนี้อย่างใดอย่างหนึ่ง:

    • เซิร์ฟเวอร์ส่งออกรหัสผ่านไม่ได้ถูกกำหนดค่า ด้วยการโยกย้าย DLL รหัสผ่านและคีย์การเข้ารหัสลับสำหรับเซิร์ฟเวอร์เป้าหมาย

      หรือ

    • คีย์การเข้ารหัสลับถูกสร้างขึ้น และติดตั้ง แต่ ADMT กำลังเรียกใช้บนคอมพิวเตอร์เครื่องอื่นนอกเหนือจากคอมพิวเตอร์ที่สร้างคีย์การเข้ารหัสลับ คีย์การเข้ารหัสลับรหัสผ่านการโยกย้ายไม่ถูกต้องต่อคอมพิวเตอร์แทนการสำหรับแต่ละโดเมน
  • ไม่สามารถคัดลอกรหัสผ่านสำหรับ {ผู้ใช้} WRN1:7557 รหัสผ่านที่รัดกุมได้สร้างขึ้นแทน ไม่สามารถคัดลอกรหัสผ่าน ปฏิเสธการเข้าใช้งาน
    ถ้าข้อความแสดงข้อผิดพลาดนี้ปรากฏในแฟ้ม Migration.log ตรวจสอบต่อไปนี้:
    • ตั้งค่าคีย์รีจิสทรีต่อไปนี้ในตัวควบคุมโดเมนปลายทาง:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • รุ่นก่อน windows 2000 เข้ากันได้กับการเข้าถึงมีสิทธิ์อ่านและการระบุ Domain SAM ทั้งบนวัตถุ เป็นดังนี้:
      CN =เซิร์ฟเวอร์ CN =ระบบ DC = {TargetDomain }, DC = {tld }
  • ไม่สามารถคัดลอกรหัสผ่านสำหรับ {User } W1:7557 รหัสผ่านที่รัดกุมได้สร้างขึ้นแทน ไม่สามารถคัดลอกรหัสผ่าน เซิร์ฟเวอร์ RPC ไม่พร้อมใช้งาน
    ข้อความแสดงข้อผิดพลาดนี้มักจะบ่งชี้ความล้มเหลวในการแก้ไขชื่อ ตรวจสอบว่า ระบบของชื่อโดเมน (DNS) และการแก้ปัญหาชื่อ NetBIOS (WINS) จะทำงานอย่างถูกต้องสำหรับโดเมนทั้งสอง
กลับไปด้านบน | ให้ข้อเสนอแนะ

คุณสมบัติ

หมายเลขบทความ (Article ID): 322981 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kberrmsg kbinfo kbmt KB322981 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:322981
(http://support.microsoft.com/kb/322981/en-us/ )
กลับไปด้านบน | ให้ข้อเสนอแนะ

ให้ข้อเสนอแนะ

 
กลับไปด้านบนกลับไปด้านบน