Come risolvere i problemi di migrazione delle password Inter-Forest con ADMTv2

Questo articolo illustra le dipendenze e i passaggi per la risoluzione dei problemi comuni associati all'operazione di migrazione delle password tra foreste.

Si applica a: Windows Server 2003
Numero KB originale: 322981

Riepilogo

Se si eseguono migrazioni all'interno della foresta tramite Active Directory Migration Tool (ADMT) v2, non è necessaria alcuna configurazione speciale per gestire password utente, sIDHistory e identificatori univoci globali (GUID) degli oggetti durante l'operazione di spostamento.

Tuttavia, se si usa ADMTv2 per eseguire la migrazione delle password tra foreste quando si clonano gli account utente, questa operazione si basa sulle dipendenze che l'amministratore deve configurare. Questo articolo illustra le dipendenze e la procedura di risoluzione dei problemi comuni associati a questa operazione.

Configurazione

Oltre alla configurazione di base, ADMTv2 richiede le dipendenze seguenti quando viene usata per eseguire la migrazione delle password tra foreste:

  • Il Service Pack 6a (SP6a) o versione successiva deve essere installato nei controller di dominio di Microsoft Windows NT 4.0.

  • Tutti i controller di dominio devono usare la crittografia a 128 bit.

  • Il valore RestrictAnonymous nel controller di dominio di destinazione deve essere impostato su 0 durante la migrazione.

  • Le autorizzazioni di lettura per il gruppo Accesso compatibile pre-Windows 2000 devono essere impostate su CN=Server,CN=System,DC={targetdom},DC={tld}.

  • La chiave del Registro di sistema seguente deve essere configurata nel server di esportazione password: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • Il server di esportazione password deve essere riavviato dopo la modifica del Registro di sistema.

  • Il gruppo Everyone deve essere un membro del gruppo Accesso compatibile pre-Windows 2000 nel dominio di destinazione durante la migrazione. Questa azione è bloccata da Utenti e computer di Active Directory. Per aggiungere il gruppo Everyone, eseguire il comando seguente: NET LOCALGROUP "ACCESSO COMPATIBILE PRE-WINDOWS 2000" EVERYONE /ADD

  • Se il dominio di destinazione è basato su Windows Server 2003, eseguire questo comando per fare in modo che il gruppo seguente sia un membro del gruppo Accesso compatibile pre-Windows 2000: NET LOCALGROUP "ACCESSO COMPATIBILe PRE-WINDOWS 2000" "ACCESSO ANONIMO" /ADD

Risoluzione dei problemi

Di seguito sono riportati alcuni dei messaggi di errore più comuni e le relative risoluzioni:

  • Impossibile stabilire una sessione con il server di esportazione delle password. Il server di destinazione \SERVER non dispone di una chiave di crittografia per il dominio di origine {SRCDOM}. Questo errore può essere causato da uno dei problemi di configurazione seguenti:

  • Il server di esportazione password non è stato configurato con la DLL di migrazione delle password e una chiave di crittografia per il server di destinazione.

-oppure-

  • La chiave di crittografia è stata creata e installata, ma ADMT è in esecuzione in un computer diverso rispetto al computer che ha creato la chiave di crittografia. Le chiavi di crittografia della migrazione delle password sono valide per ogni computer anziché per dominio.

  • WRN1:7557 Impossibile copiare la password per {user}. È stata invece generata una password complessa. Impossibile copiare la password. Accesso negato. Se questo messaggio di errore viene visualizzato nel file Migration.log, verificare quanto segue:

  • Nei controller di dominio di destinazione viene impostato il valore della chiave del Registro di sistema seguente: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • L'accesso compatibile con Windows 2000 precedente dispone delle autorizzazioni lettura ed enumerazione dell'intero dominio SAM per l'oggetto, come indicato di seguito: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 Impossibile copiare la password per {User}. È stata invece generata una password complessa. Impossibile copiare la password. Il server RPC non è disponibile. Questo messaggio di errore indica in genere un errore di risoluzione dei nomi. Verificare che la risoluzione dei nomi DNS (Domain Name System) e NetBIOS (WINS) funzioni correttamente per entrambi i domini.