ADMTv2 を使用 Inter-Forest パスワード移行のトラブルシューティングを行う方法

  • [アーティクル]

この記事では、フォレスト パスワード移行操作に関連する一般的な問題の依存関係とトラブルシューティング手順について説明します。

適用対象: Windows Server 2003
元の KB 番号: 322981

概要

Active Directory 移行ツール (ADMT) v2 を使用してフォレスト内の移行を実行する場合、移動操作中にユーザー パスワード、sIDHistory、およびオブジェクトのグローバル一意識別子 (GUID) を維持するために特別な構成は必要ありません。

ただし、ADMTv2 を使用してユーザー アカウントを複製するときにフォレスト間パスワードの移行を実行する場合、この操作は管理者が構成する必要がある依存関係に依存します。 この記事では、この操作に関連する一般的な問題の依存関係とトラブルシューティング手順について説明します。

構成

基本的な構成以外に、ADMTv2 ではフォレスト間パスワードの移行を実行するために使用する場合、次の依存関係が必要です。

  • Service Pack 6a (SP6a) 以降は、Microsoft Windows NT 4.0 ドメイン コントローラーにインストールする必要があります。

  • すべてのドメイン コントローラーで 128 ビット暗号化を使用する必要があります。

  • 移行中は、ターゲット ドメイン コントローラーの RestrictAnonymous 値を 0 に設定する必要があります。

  • Windows 2000 以前の互換性のあるアクセス グループに対する読み取りアクセス許可は 、CN=Server、CN=System、DC={targetdom}、DC={tld}に設定する必要があります。

  • パスワード エクスポート サーバーでは、次のレジストリ キーを構成する必要があります: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • レジストリを編集した後、パスワード エクスポート サーバーを再起動する必要があります。

  • Everyone グループは、移行中にターゲット ドメイン内の Windows 2000 以前の互換性のあるアクセス グループのメンバーである必要があります。 このアクションは、Active Directory ユーザーとコンピューターによってブロックされます。 Everyone グループを追加するには、次のコマンドを実行します。NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

  • ターゲット ドメインが Windows Server 2003 ベースの場合は、次のコマンドを実行して、次のグループを Windows 2000 以前の互換性のあるアクセス グループのメンバーにします。NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

トラブルシューティング

一般的なエラー メッセージとその解決方法を次に示します。

  • パスワード エクスポート サーバーとのセッションを確立できません。 ターゲット サーバー \SERVER には、ソース ドメイン {SRCDOM} の暗号化キーがありません。 このエラーは、次のいずれかの構成の問題が原因で発生する可能性があります。

  • パスワード エクスポート サーバーは、パスワード移行 DLL とターゲット サーバーの暗号化キーで構成されていません。

または

  • 暗号化キーが作成されてインストールされましたが、ADMT は暗号化キーを作成したコンピューターとは異なるコンピューターで実行されています。 パスワード移行暗号化キーは、ドメインごとではなく、コンピューターごとに有効です。

  • WRN1:7557 {user} のパスワードのコピーに失敗しました。 代わりに強力なパスワードが生成されました。 パスワードをコピーできません。 アクセスが拒否されました。 このエラー メッセージが Migration.log ファイルに表示される場合は、次のことを確認します。

  • ターゲット ドメイン コントローラーでは、次のレジストリ キーの値が設定されます: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Windows 2000 以前の互換性のあるアクセスには、オブジェクトに対する SAM ドメイン全体の読み取りアクセス許可と列挙アクセス許可があります。CN=Server、CN=System、DC={TargetDomain}、DC={tld}

  • W1:7557 {User} のパスワードのコピーに失敗しました。 代わりに強力なパスワードが生成されました。 パスワードをコピーできません。 RPC サーバーは使用できません。 このエラー メッセージは、通常、名前の解決に失敗したことを示します。 ドメイン ネーム システム (DNS) と NetBIOS (WINS) の名前解決が両方のドメインで正しく動作していることを確認します。