ADMTv2를 사용하여 Inter-Forest 암호 마이그레이션 문제를 해결하는 방법

이 문서에서는 포리스트 암호 마이그레이션 작업과 관련된 일반적인 문제에 대한 종속성 및 문제 해결 단계를 설명합니다.

적용 대상: Windows Server 2003
원래 KB 번호: 322981

요약

ADMT(Active Directory Migration Tool) v2를 사용하여 포리스트 내 마이그레이션을 수행하는 경우 이동 작업 중에 사용자 암호, sIDHistory 및 개체 GUID(Globally Unique Identifiers)를 유지하기 위해 특별한 구성이 필요하지 않습니다.

그러나 ADMTv2를 사용하여 사용자 계정을 복제할 때 포리스트 간 암호 마이그레이션을 수행하는 경우 이 작업은 관리자가 구성해야 하는 종속성을 사용합니다. 이 문서에서는 이 작업과 관련된 일반적인 문제에 대한 종속성 및 문제 해결 단계를 설명합니다.

구성

기본 구성 외에도 ADMTv2에는 포리스트 간 암호 마이그레이션을 수행하는 데 사용되는 경우 다음과 같은 종속성이 필요합니다.

  • SP6a(서비스 팩 6a) 이상은 Microsoft Windows NT 4.0 도메인 컨트롤러에 설치해야 합니다.

  • 모든 도메인 컨트롤러는 128비트 암호화를 사용해야 합니다.

  • 마이그레이션하는 동안 대상 도메인 컨트롤러의 RestrictAnonymous 값을 0으로 설정해야 합니다.

  • Windows 2000 이전 호환 액세스 그룹에 대한 읽기 권한은 CN=Server,CN=System,DC={targetdom},DC={tld}로 설정해야 합니다.

  • 암호 내보내기 서버에서 다음 레지스트리 키를 구성해야 합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • 레지스트리를 편집한 후 암호 내보내기 서버를 다시 시작해야 합니다.

  • 모든 사용자 그룹은 마이그레이션 중에 대상 도메인의 Pre-Windows 2000 호환 액세스 그룹의 구성원이어야 합니다. 이 작업은 Active Directory 사용자 및 컴퓨터 의해 차단됩니다. 모두 그룹을 추가하려면 NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD 명령을 실행합니다.

  • 대상 도메인이 Windows Server 2003 기반인 경우 이 명령을 실행하여 다음 그룹을 Windows 2000 이전 호환 액세스 그룹의 구성원으로 만듭니다. NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

문제 해결

다음은 몇 가지 일반적인 오류 메시지 및 해결 방법입니다.

  • 암호 내보내기 서버를 사용하여 세션을 설정할 수 없습니다. 대상 서버 \SERVER에는 원본 도메인 {SRCDOM}에 대한 암호화 키가 없습니다. 이 오류는 다음 구성 문제 중 하나로 인해 발생할 수 있습니다.

  • 암호 내보내기 서버가 암호 마이그레이션 DLL 및 대상 서버에 대한 암호화 키로 구성되지 않았습니다.

-또는-

  • 암호화 키가 만들어지고 설치되었지만 ADMT가 암호화 키를 만든 컴퓨터와 다른 컴퓨터에서 실행되고 있습니다. 암호 마이그레이션 암호화 키는 도메인당이 아닌 컴퓨터별로 유효합니다.

  • WRN1:7557 {user}의 암호를 복사하지 못했습니다. 대신 강력한 암호가 생성되었습니다. 암호를 복사할 수 없습니다. 액세스가 거부되었습니다. 이 오류 메시지가 Migration.log 파일에 표시되는 경우 다음을 확인합니다.

  • 다음 레지스트리 키 값은 대상 도메인 컨트롤러에서 설정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Windows 2000 이전 호환 액세스에는 CN=Server,CN=System,DC={TargetDomain},DC={tld}과 같이 개체에 대한 전체 SAM 도메인 사용 권한이 읽기 및 열거됩니다.

  • W1:7557 {User}의 암호를 복사하지 못했습니다. 대신 강력한 암호가 생성되었습니다. 암호를 복사할 수 없습니다. RPC 서버를 사용할 수 없습니다. 이 오류 메시지는 일반적으로 이름을 resolve 못했음을 나타냅니다. DNS(Domain Name System) 및 WINS(NetBIOS) 이름 확인이 두 도메인 모두에 대해 올바르게 작동하는지 확인합니다.