ADMTv2 ile parola geçişi Inter-Forest sorunlarını giderme

  • Makale

Bu makalede, ormanlar arası parola geçişi işlemiyle ilgili yaygın sorunlar için bağımlılıklar ve sorun giderme adımları açıklanmıştır.

Şunlar için geçerlidir: Windows Server 2003
Özgün KB numarası: 322981

Özet

Active Directory Geçiş Aracı (ADMT) v2'yi kullanarak orman içi geçişler gerçekleştirirseniz, taşıma işlemi sırasında kullanıcı parolalarını, sIDHistory'yi ve nesne genel olarak benzersiz tanımlayıcıları (GUID) korumak için özel bir yapılandırma gerekmez.

Ancak, kullanıcı hesaplarını kopyaladığınızda ormanlar arası parola geçişi gerçekleştirmek için ADMTv2 kullanırsanız, bu işlem yöneticinin yapılandırması gereken bağımlılıklara dayanır. Bu makalede, bu işlemle ilişkili yaygın sorunlar için bağımlılıklar ve sorun giderme adımları açıklanır.

Yapılandırma

Temel yapılandırmanın ötesinde ADMTv2, ormanlar arası parola geçişi gerçekleştirmek için kullanıldığında aşağıdaki bağımlılıkları gerektirir:

  • Service Pack 6a (SP6a) veya üzeri, Microsoft Windows NT 4.0 etki alanı denetleyicilerine yüklenmelidir.

  • Tüm etki alanı denetleyicileri 128 bit şifreleme kullanmalıdır.

  • Geçiş sırasında hedef etki alanı denetleyicisindeki RestrictAnonymous değeri 0 olarak ayarlanmalıdır.

  • Windows 2000 Öncesi Uyumlu Erişim grubundaki okuma izinleri CN=Server,CN=System,DC={targetdom},DC={tld} olarak ayarlanmalıdır.

  • Parola Dışarı Aktarma Sunucusu'nda aşağıdaki kayıt defteri anahtarı yapılandırılmalıdır: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • Kayıt defteri düzenlendikten sonra Parola Dışarı Aktarma Sunucusu yeniden başlatılmalıdır.

  • Herkes grubu, geçiş sırasında hedef etki alanındaki Windows 2000 Öncesi Uyumlu Erişim grubunun üyesi olmalıdır. Bu eylem Active Directory Kullanıcıları ve Bilgisayarları tarafından engellenir. Herkes grubunu eklemek için şu komutu çalıştırın: NET LOCALGROUP "WINDOWS 2000 ÖNCESİ UYUMLU ERİşİm" EVERYONE /ADD

  • Hedef etki alanı Windows Server 2003 tabanlıysa, aşağıdaki grubu Windows 2000 Öncesi Uyumlu Erişim grubunun üyesi yapmak için bu komutu çalıştırın: NET LOCALGROUP "WINDOWS 2000 ÖNCESİ UYUMLU ERİşİm" "ANONIM OTURUM AÇMA" /ADD

Sorun giderme

Daha yaygın hata iletilerinden ve bunların çözümlerinden bazıları şunlardır:

  • Parola dışarı aktarma sunucusuyla oturum oluşturulamıyor. \SERVER hedef sunucusunun {SRCDOM} kaynak etki alanı için şifreleme anahtarı yok. Bu hatanın nedeni aşağıdaki yapılandırma sorunlarından biri olabilir:

  • Parola Dışarı Aktarma Sunucusu, Parola Geçişi DLL'siyle ve hedef sunucu için bir şifreleme anahtarıyla yapılandırılmadı.

-veya-

  • Şifreleme anahtarı oluşturuldu ve yüklendi, ancak ADMT şifreleme anahtarını oluşturan bilgisayardan farklı bir bilgisayarda çalışıyor. Parola Geçişi şifreleme anahtarları etki alanı başına yerine bilgisayar başına geçerlidir.

  • WRN1:7557 {user} için parola kopyalanamadı. Bunun yerine güçlü bir parola oluşturuldu. Parola kopyalanamıyor. Erişim reddedildi. Bu hata iletisi Migration.log dosyasında görünüyorsa aşağıdakileri doğrulayın:

  • Hedef etki alanı denetleyicilerinde aşağıdaki kayıt defteri anahtarı değeri ayarlanır: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Windows 2000 Öncesi Uyumlu Erişim, nesne üzerinde şu şekilde Tüm SAM Etki Alanını Okuma ve Listeleme izinlerine sahiptir: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 {User} için parola kopyalanamadı. Bunun yerine güçlü bir parola oluşturuldu. Parola kopyalanamıyor. RPC sunucusu kullanılamıyor. Bu hata iletisi genellikle adların çözümlenememesine işaret eder. Etki Alanı Adı Sistemi (DNS) ve NetBIOS (WINS) ad çözümlemelerinin her iki etki alanı için de düzgün çalıştığını doğrulayın.