現在オフラインです。再接続するためにインターネットの接続を待っています

ADMTv2 を使用してフォレスト間のパスワード移行のトラブルシューティングを行う方法

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています

Windows Server 2003 のサポートは 2015 年 7 月 14 日で終了しています。この変更は、ソフトウェアの更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

概要
Active Directory 移行ツール (ADMT) v2 を使用してフォレスト内の移行を実行する場合は、移動操作時にユーザー パスワード、sIDHistory、およびオブジェクトのグローバル一意識別子 (GUID) を保持するための特別な構成を行う必要はありません。

ただし、ADMTv2 を使用して、ユーザー アカウントを複製する際にフォレスト間のパスワード移行を実行する場合、この操作は管理者が構成する依存関係に依存します。この資料では、依存関係と、この操作に関連する一般的な問題のトラブルシューティング手順について説明します。

ADMT のインストール方法および構成方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260871 Windows NT 4.0 から Windows 2000 へ移行するために ADMT をセットアップする方法

構成

フォレスト間のパスワード移行を実行する場合、ADMTv2 には、基本的な構成以外に以下の依存関係が必要です。

  • Microsoft Windows NT 4.0 ドメイン コントローラに Service Pack 6a (SP6a) 以降がインストールされている必要があります。

  • すべてのドメイン コントローラで 128 ビット暗号化を使用している必要があります。

  • 移行時には、移行先ドメイン コントローラの [RestrictAnonymous] 値を [0] に設定する必要があります。

  • Pre-Windows 2000 Compatible Access グループの読み取りアクセス許可を [CN=Server,CN=System,DC={TargetDomain},DC={tld}] に設定する必要があります。

  • パスワード エクスポート サーバーで、次のレジストリ キーを設定する必要があります。
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • レジストリを編集した後に、パスワード エクスポート サーバーを再起動する必要があります。

  • 移行時には、Everyone グループを移行先ドメインの Pre-Windows 2000 Compatible Access グループのメンバにする必要があります。この操作は、Active Directory ユーザーとコンピュータでブロックされます。Everyone グループを追加するには、次のコマンドを実行します。
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
  • 移行先のドメインが Windows Server 2003 ベースである場合は、このコマンドを実行して、以下のグループを Pre-Windows 2000 Compatible Access グループのメンバにします。
    NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

トラブルシューティング

以下は、一般的ないくつかのエラー メッセージとそれらの解決方法です。
  • パスワード エクスポート サーバーでセッションを確立できません。\\SERVER に移行元ドメイン {SRCDOM} の暗号化キーがありません。
    このエラーは、以下のいずれかの構成に関する問題によって発生する可能性があります。

    • パスワード エクスポート サーバーがパスワード移行 DLL と移行先サーバーの暗号化キーで構成されていません。

      または

    • 暗号化キーが作成され、インストールされていますが、ADMT が暗号化キーを作成したものとは異なるコンピュータで実行されています。パスワード移行の暗号化キーは、ドメインごとにではなく、コンピュータごとに有効です。
  • WRN1:7557 {user.} のパスワードをコピーできませんでした。代わりに強力なパスワードが作成されました。パスワードをコピーできません。アクセスが拒否されました。
    Migration.log ファイルにこのエラー メッセージが表示された場合は、以下のことを確認します。
    • 移行先ドメイン コントローラで、次のレジストリ キーの値が設定されていること
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • 次のように、Pre-Windows 2000 Compatible Access がオブジェクトで読み取りアクセス許可および SAM ドメイン全体の列挙のアクセス許可を持っていること
      CN=Server,CN=System,DC={TargetDomain},DC={tld}
  • W1:7557 {User} のパスワードをコピーできませんでした。代わりに強力なパスワードが作成されました。パスワードをコピーできません。RPC サーバーを利用できません。
    一般的に、このエラー メッセージは、名前の解決に失敗したことを示しています。両方のドメインで、ドメイン ネーム システム (DNS) および NetBIOS (WINS) 名前解決が適切に動作していることを確認します。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 322981 (最終更新日 2003-10-13) を基に作成したものです。
kbactivedirectory
プロパティ

文書番号:322981 - 最終更新日: 12/03/2007 07:53:00 - リビジョン: 10.2

  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • kberrmsg kbinfo KB322981
フィードバック