如何解决在使用 ADMTv2 迁移 Inter-Forest(跨树系)密码时所出现的问题

文章编号: 322981 - 查看本文应用于的产品
本文讨论一种 Microsoft 产品的 Beta 版本。本文中的信息按“原样”提供,如有更改恕不另行通知。

对于该 Beta 产品,Microsoft 不提供正式的产品支持。有关获取对 Beta 版本的支持的信息,请参见 Beta 产品文件中包括的文档资料,或查看您下载此版本的 Web 位置。
展开全部 | 关闭全部

本页

概要

使用 Active Directory Migration Tool (ADMT) v2进行 Intra-Forest(树系内)迁移,迁移操作中对于维护用户密码、sIDHistory 及对象全局唯一识别符 (GUID) 无需特殊配置。

然而,如果在复制用户帐户时使用 ADMTv2 来迁移Inter-Forest(跨树系)密码,则此操作依赖于管理员必须配置的依存关系。本文讨论了该依存关系和有关此操作常见问题的解决步骤。

有关如何安装和配置 ADMT 的其他信息,请单击下列文章编号,查看 Microsoft 知识库中的文章:
260871
(http://support.microsoft.com/kb/260871/EN-US/ )
HOW TO:Set Up ADMT for Windows NT 4.0 to Windows 2000 Migration(设置 ADMT 以从 Windows NT 4.0 迁移到 Windows 2000)

配置

使用 ADMTv2 进行 Inter-Forest(跨树系)密码迁移操作时,除基本配置外,还需以下依存关系:

  • 在 Microsoft Windows NT 4.0 域控制器上必须安装 Service Pack 6a (SP6a) 或更高版本。

  • 所有域控制器必须使用 128 位加密。

  • 目标域控制器上的RestrictAnonymous 值在迁移期间应设置为0

  • Windows 2000 以前版本的兼容访问组读取权限应设置为CN=Server,CN=System,DC={targetdom},DC={tld}

  • 在密码导出服务器上应设置以下注册表项:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • 编辑注册表后密码导出服务器必须重新启动。

  • 迁移期间,“所有人”组应是目标域中 Windows 2000 以前版本兼容访问组成员。此操作被“Active Directory 用户和计算机”阻止。要添加“所有人”组,请执行以下命令:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • 如果目标域基于 Windows Server 2003,在域控制器中以下策略必须启用:
    计算机配置\Windows 设置\安全设置\本地策略\安全选项\网络访问:让“每个人”权限应用于匿名用户

疑难解答

以下是一些常见错误信息及相应解决方法:
  • 无法与密码导出服务器建立会话。目标服务器 \\SERVER 无源域 {SRCDOM} 加密密钥。
    以上错误可能由以下某个配置问题所导致:

    • 密码导出服务器没有配置密码迁移 DLL 和目标服务器的加密密钥。

      - 或 -
    • 创建并安装了加密密钥,但 ADMT 运行于其他计算机而不是创建该加密密钥的计算机。密码迁移加密密钥对于每个计算机而不是对于每个域有效。
  • WRN1:7557 复制 {user.} 密码失败。作为替代,已生成了一个增强密码。无法复制密码。访问被拒绝。
    如果以上错误信息出现于 Migration.log 文件,请确保以下问题:
    • 在目标域控制器中设置了以下注册表项值:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • 在 Windows Server 2003 目标域控制器中设置了以下注册表项值:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Everyoneincludesanonymous = 1
    • Windows 2000 以前版本兼容访问具有对象的“读取”和“列举整个 SAM 域”权限,如下:
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 复制 {User} 密码失败。作为替代,已生成了一个增强密码。无法复制密码。RPC 服务器不可用。
    以上错误信息一般表示解析名称失败。确保域名系统 (DNS) 及 NetBIOS (WINS) 名称解析在两个域中均工作正常。
回到顶端 | 提供反馈

属性

文章编号: 322981 - 最后修改: 2003年10月24日 - 修订: 3.3
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
关键字:?
kberrmsg kbinfo KB322981
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端