Cómo solucionar problemas de migración de contraseñas entre bosques con ADMTv2

Resumen

Si efectúa migraciones dentro del bosque mediante el uso de la versión 2 de la herramienta de migración de Active Directory (ADMT), se requiere ninguna configuración especial para mantener contraseñas de usuario, sIDHistory e identificadores únicos (globales GUID) de objeto durante la operación.

Sin embargo, si utiliza ADMTv2 para realizar inter-migración de contraseña bosques al clonar cuentas de usuario, esta operación se basa en dependencias que el administrador debe configurar. Este artículo analiza las dependencias y los pasos para solucionar problemas para los problemas comunes asociados a esta operación.

Para obtener información adicional acerca de cómo instalar y configurar ADMT, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260871 Cómo: configurar ADMT para Windows NT 4.0 a Windows 2000 migración

Configuración

Más allá de la configuración básica, ADMTv2 requiere las siguientes dependencias al utilizarse para realizar la migración de contraseñas entre bosques:

  • Service Pack 6a (SP6a) o posterior debe estar instalado en controladores de dominio de Microsoft Windows NT 4.0.

  • Todos los controladores de dominio deben utilizar el cifrado de 128 bits.

  • El valor RestrictAnonymous en el controlador de dominio de destino debe establecerse en 0 durante la migración.

  • Permisos de lectura en el grupo de Pre-Windows 2000 Compatible Access deben establecerse en
    CN = Server, CN = System, DC = {targetdom}, DC = {tld}.

  • Debe configurarse la siguiente clave del registro en el servidor de exportación de contraseñas:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Después de modificar el registro, debe reiniciarse el servidor de exportación de contraseñas.

  • El grupo todos debe ser miembro del grupo acceso Compatible de versiones anteriores de Windows 2000 en el dominio de destino durante la migración. Esta acción está bloqueada por Active Directory Users and Computers. Para agregar el todos grupo, ejecute el siguiente comando:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • Si el dominio de destino está basado en Windows Server 2003, ejecute este comando para crear al siguiente grupo de un miembro del grupo de Pre-Windows 2000 Compatible Access:
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "INICIO DE SESIÓN ANÓNIMO" /ADD

Solución de problemas

Los siguientes son algunos de los mensajes de error más comunes y sus soluciones:
  • No se puede establecer una sesión con el servidor de exportación de contraseñas. El servidor de destino \\SERVER no tiene una clave de cifrado para el dominio de origen {SRCDOM}.
    Este error puede deberse a uno de los siguientes problemas de configuración:

    • No se configuró el servidor de exportación de contraseñas con el archivo DLL de migración de contraseñas y una clave de cifrado para el servidor de destino.

      - o -

    • Se creó e instaló la clave de cifrado, pero ADMT se está ejecutando en un equipo distinto del equipo que creó la clave de cifrado. Claves de cifrado de migración de contraseñas son válidas para cada equipo en lugar de por dominio.
  • WRN1: 7557 No se pudo copiar la contraseña para {usuario}. En su lugar se ha generado una contraseña segura. No se puede copiar la contraseña. Acceso denegado.
    Si aparece este mensaje de error en el archivo Migration.log, compruebe lo siguiente:
    • En los controladores de dominio de destino, se establece el valor de clave del registro siguiente:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Pre-Windows 2000 Compatible Access tiene permisos leer y enumerar Domain SAM completo en el objeto, como sigue:
      CN = Server, CN = System, DC = {TargetDomain}, DC = {tld}
  • No se pudo copiar la contraseña para {usuario} W1:7557. En su lugar se ha generado una contraseña segura. No se puede copiar la contraseña. El servidor RPC no está disponible.
    Este mensaje de error suele indica un error al resolver nombres. Compruebe que la resolución de nombres sistema de nombres de dominio (DNS) y NetBIOS (WINS) está funcionando correctamente para ambos dominios.
Propiedades

Id. de artículo: 322981 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios