ADMTv2를 사용하여 Inter-Forest 암호 마이그레이션 문제를 해결하는 방법
이 문서에서는 포리스트 간 암호 마이그레이션 작업과 관련된 일반적인 문제에 대한 종속성 및 문제 해결 단계를 설명합니다.
적용 대상: Windows Server 2003
원래 KB 번호: 322981
요약
ADMT(Active Directory Migration Tool) v2를 사용하여 포리스트 내 마이그레이션을 수행하는 경우 이동 작업 중에 사용자 암호, sIDHistory 및 개체 GUID(Globally Unique Identifiers)를 유지하기 위해 특별한 구성이 필요하지 않습니다.
그러나 ADMTv2를 사용하여 사용자 계정을 복제할 때 포리스트 간 암호 마이그레이션을 수행하는 경우 이 작업은 관리자가 구성해야 하는 종속성을 사용합니다. 이 문서에서는 이 작업과 관련된 일반적인 문제에 대한 종속성 및 문제 해결 단계를 설명합니다.
구성
기본 구성 외에도 ADMTv2에는 포리스트 간 암호 마이그레이션을 수행하는 데 사용되는 경우 다음과 같은 종속성이 필요합니다.
SP6a(서비스 팩 6a) 이상은 Microsoft Windows NT 4.0 도메인 컨트롤러에 설치해야 합니다.
모든 도메인 컨트롤러는 128비트 암호화를 사용해야 합니다.
마이그레이션하는 동안 대상 도메인 컨트롤러의 RestrictAnonymous 값을 0으로 설정해야 합니다.
Windows 2000 이전 호환 액세스 그룹에 대한 읽기 권한은 CN=Server,CN=System,DC={targetdom},DC={tld}로 설정해야 합니다.
암호 내보내기 서버에서 다음 레지스트리 키를 구성해야 합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
레지스트리를 편집한 후 암호 내보내기 서버를 다시 시작해야 합니다.
모든 사용자 그룹은 마이그레이션 중에 대상 도메인의 Pre-Windows 2000 호환 액세스 그룹의 구성원이어야 합니다. 이 작업은 Active Directory 사용자 및 컴퓨터 의해 차단됩니다. 모두 그룹을 추가하려면 NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD 명령을 실행합니다.
대상 도메인이 Windows Server 2003 기반인 경우 이 명령을 실행하여 다음 그룹을 Windows 2000 이전 호환 액세스 그룹의 구성원으로 만듭니다. NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD
문제 해결
다음은 몇 가지 일반적인 오류 메시지 및 해결 방법입니다.
암호 내보내기 서버를 사용하여 세션을 설정할 수 없습니다. 대상 서버 \SERVER에는 원본 도메인 {SRCDOM}에 대한 암호화 키가 없습니다. 이 오류는 다음 구성 문제 중 하나로 인해 발생할 수 있습니다.
암호 내보내기 서버가 암호 마이그레이션 DLL 및 대상 서버에 대한 암호화 키로 구성되지 않았습니다.
-또는-
암호화 키가 만들어지고 설치되었지만 ADMT가 암호화 키를 만든 컴퓨터와 다른 컴퓨터에서 실행되고 있습니다. 암호 마이그레이션 암호화 키는 도메인당이 아닌 컴퓨터별로 유효합니다.
WRN1:7557 {user}의 암호를 복사하지 못했습니다. 대신 강력한 암호가 생성되었습니다. 암호를 복사할 수 없습니다. 액세스가 거부되었습니다. 이 오류 메시지가 Migration.log 파일에 표시되는 경우 다음을 확인합니다.
다음 레지스트리 키 값은 대상 도메인 컨트롤러에서 설정됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 이전 호환 액세스에는 CN=Server,CN=System,DC={TargetDomain},DC={tld}과 같이 개체에 대한 전체 SAM 도메인 사용 권한이 읽기 및 열거됩니다.
W1:7557 {User}의 암호를 복사하지 못했습니다. 대신 강력한 암호가 생성되었습니다. 암호를 복사할 수 없습니다. RPC 서버를 사용할 수 없습니다. 이 오류 메시지는 일반적으로 이름을 resolve 못했음을 나타냅니다. DNS(Domain Name System) 및 WINS(NetBIOS) 이름 확인이 두 도메인 모두에 대해 올바르게 작동하는지 확인합니다.
피드백
https://aka.ms/ContentUserFeedback
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요.다음에 대한 사용자 의견 제출 및 보기