Problemen met Inter-Forest wachtwoordmigratie met ADMTv2 oplossen

In dit artikel worden de afhankelijkheden en probleemoplossingsstappen besproken voor veelvoorkomende problemen met betrekking tot de migratie van het wachtwoord tussen forests.

Van toepassing op: Windows Server 2003
Origineel KB-nummer: 322981

Samenvatting

Als u migraties binnen forests uitvoert met behulp van het Active Directory Migration Tool (ADMT) v2, is er geen speciale configuratie nodig om gebruikerswachtwoorden, sIDHistory en GUID's (Global Unique Identifiers) te onderhouden tijdens de verplaatsingsbewerking.

Als u echter ADMTv2 gebruikt om wachtwoordmigratie tussen forests uit te voeren wanneer u gebruikersaccounts kloont, is deze bewerking afhankelijk van afhankelijkheden die de beheerder moet configureren. In dit artikel worden de afhankelijkheden en probleemoplossingsstappen voor veelvoorkomende problemen in verband met deze bewerking besproken.

Configuratie

Naast de basisconfiguratie vereist ADMTv2 de volgende afhankelijkheden wanneer deze worden gebruikt om wachtwoordmigratie tussen forests uit te voeren:

  • Service Pack 6a (SP6a) of hoger moet worden geïnstalleerd op Microsoft Windows NT 4.0-domeincontrollers.

  • Alle domeincontrollers moeten 128-bits versleuteling gebruiken.

  • De waarde RestrictAnonymous op de doeldomeincontroller moet tijdens de migratie worden ingesteld op 0.

  • Leesmachtigingen voor de groep Pre-Windows 2000 Compatibele toegang moeten worden ingesteld op CN=Server,CN=System,DC={targetdom},DC={tld}.

  • De volgende registersleutel moet worden geconfigureerd op de server voor wachtwoordexport: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • De wachtwoordexportserver moet opnieuw worden gestart nadat het register is bewerkt.

  • De groep Iedereen moet tijdens de migratie lid zijn van de groep Pre-Windows 2000 Compatibele toegang in het doeldomein. Deze actie wordt geblokkeerd door Active Directory: gebruikers en computers. Als u de groep Iedereen wilt toevoegen, voert u de volgende opdracht uit: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" IEDEREEN /ADD

  • Als het doeldomein Windows Server 2003 is gebaseerd, voert u deze opdracht uit om de volgende groep lid te maken van de groep Pre-Windows 2000 Compatible Access: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

Probleemoplossing

Hier volgen enkele van de meest voorkomende foutberichten en hun oplossingen:

  • Kan geen sessie tot stand brengen met de wachtwoordexportserver. De doelserver \SERVER heeft geen versleutelingssleutel voor het brondomein {SRCDOM}. Deze fout kan worden veroorzaakt door een van de volgende configuratieproblemen:

  • De wachtwoordexportserver is niet geconfigureerd met het DLL-bestand voor wachtwoordmigratie en een versleutelingssleutel voor de doelserver.

-of-

  • De versleutelingssleutel is gemaakt en geïnstalleerd, maar ADMT wordt uitgevoerd op een andere computer dan de computer waarop de versleutelingssleutel is gemaakt. Versleutelingssleutels voor wachtwoordmigratie zijn per computer geldig in plaats van per domein.

  • WRN1:7557 Kan het wachtwoord voor {user} niet kopiëren. In plaats hiervan is een sterk wachtwoord gegenereerd. Kan wachtwoord niet kopiëren. De toegang wordt geweigerd. Als dit foutbericht wordt weergegeven in het Migration.log-bestand, controleert u het volgende:

  • De volgende registersleutelwaarde is ingesteld op de doeldomeincontrollers: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Pre-Windows 2000 Compatible Access heeft lees- en opsommingsmachtigingen voor het hele SAM-domein voor het object, als volgt: CN=Server,CN=System,DC={TargetDomain},DC={tld}

  • W1:7557 Kan het wachtwoord voor {Gebruiker} niet kopiëren. In plaats hiervan is een sterk wachtwoord gegenereerd. Kan wachtwoord niet kopiëren. De RPC-server is niet beschikbaar. Dit foutbericht geeft meestal een fout aan bij het omzetten van namen. Controleer of DNS(Domain Name System) en NETBIOS-naamomzetting (WINS) correct werken voor beide domeinen.