Solución de problemas de Inter-Forest migración de contraseñas con ADMTv2

  • Artículo

En este artículo se describen las dependencias y los pasos para solucionar problemas comunes asociados a la operación de migración de contraseñas entre bosques.

Se aplica a: Windows Server 2003
Número de KB original: 322981

Resumen

Si realiza migraciones entre bosques mediante la herramienta de migración de Active Directory (ADMT) v2, no se necesita ninguna configuración especial para mantener las contraseñas de usuario, sIDHistory y los identificadores únicos globales de objetos (GUID) durante la operación de movimiento.

Sin embargo, si usa ADMTv2 para realizar la migración de contraseñas entre bosques al clonar cuentas de usuario, esta operación se basa en las dependencias que el administrador debe configurar. En este artículo se describen las dependencias y los pasos para solucionar problemas comunes asociados a esta operación.

Configuración

Más allá de la configuración básica, ADMTv2 requiere las siguientes dependencias cuando se usa para realizar la migración de contraseñas entre bosques:

  • Service Pack 6a (SP6a) o posterior debe instalarse en controladores de dominio de Microsoft Windows NT 4.0.

  • Todos los controladores de dominio deben usar el cifrado de 128 bits.

  • El valor RestrictAnonymous del controlador de dominio de destino debe establecerse en 0 durante la migración.

  • Los permisos de lectura en el grupo Acceso compatible anterior a Windows 2000 deben establecerse en CN=Server,CN=System,DC={targetdom},DC={tld}.

  • La siguiente clave del Registro debe configurarse en el servidor de exportación de contraseñas: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • El servidor de exportación de contraseñas debe reiniciarse después de editar el registro.

  • El grupo Todos deben ser miembros del grupo Acceso compatible anterior a Windows 2000 en el dominio de destino durante la migración. Esta acción está bloqueada por Usuarios y equipos de Active Directory. Para agregar el grupo Todos, ejecute el siguiente comando: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

  • Si el dominio de destino está basado en Windows Server 2003, ejecute este comando para que el siguiente grupo sea miembro del grupo Acceso compatible anterior a Windows 2000: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Solución de problemas

Estos son algunos de los mensajes de error más comunes y sus resoluciones:

  • No se puede establecer una sesión con el servidor de exportación de contraseñas. El servidor de destino \SERVER no tiene una clave de cifrado para el dominio de origen {SRCDOM}. Este error puede deberse a uno de los siguientes problemas de configuración:

  • El servidor de exportación de contraseñas no se ha configurado con el archivo DLL de migración de contraseñas y una clave de cifrado para el servidor de destino.

o:

  • La clave de cifrado se creó e instaló, pero ADMT se ejecuta en un equipo diferente al equipo que creó la clave de cifrado. Las claves de cifrado de migración de contraseñas son válidas por equipo en lugar de por dominio.

  • WRN1:7557 No se pudo copiar la contraseña de {user}. En su lugar, se ha generado una contraseña segura. No se puede copiar la contraseña. Acceso denegado. Si este mensaje de error aparece en el archivo Migration.log, compruebe lo siguiente:

  • El siguiente valor de clave del Registro se establece en los controladores de dominio de destino: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • El acceso compatible anterior a Windows 2000 tiene permisos de lectura y enumeración de dominio SAM completo en el objeto, como se indica a continuación: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 No se pudo copiar la contraseña de {User}. En su lugar, se ha generado una contraseña segura. No se puede copiar la contraseña. El servidor RPC no está disponible. Este mensaje de error suele indicar un error al resolver los nombres. Compruebe que la resolución de nombres del Sistema de nombres de dominio (DNS) y NetBIOS (WINS) funciona correctamente para ambos dominios.