Como solucionar problemas Inter-Forest migração de senha com a ADMTv2

Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados à operação de migração de senha entre florestas.

Aplica-se a: Windows Server 2003
Número de KB original: 322981

Resumo

Se você executar migrações intra-floresta usando a Ferramenta de Migração do Active Directory (ADMT) v2, nenhuma configuração especial será necessária para manter as senhas do usuário, o sIDHistory e os GUIDs (identificadores globalmente exclusivos) durante a operação de movimentação.

No entanto, se você usar o ADMTv2 para executar a migração de senha entre florestas ao clonar contas de usuário, essa operação depende de dependências que o administrador deve configurar. Este artigo discute as dependências e as etapas de solução de problemas para problemas comuns associados a essa operação.

Configuração

Além da configuração básica, o ADMTv2 requer as seguintes dependências quando usado para executar a migração de senha entre florestas:

• O Service Pack 6a (SP6a) ou posterior deve ser instalado nos controladores de domínio do Microsoft Windows NT 4.0.

• Todos os controladores de domínio devem usar criptografia de 128 bits.

• O valor RestrictAnonymous no controlador de domínio de destino deve ser definido como 0 durante a migração.

• As permissões de leitura no grupo acesso compatível pré-Windows 2000 devem ser definidas como CN=Server,CN=System,DC={targetdom},DC={tld}.

• A seguinte chave do registro deve ser configurada no Servidor de Exportação de Senha: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

• O Servidor de Exportação de Senha deve ser reiniciado após a edição do registro.

• O grupo Todos deve ser membro do grupo acesso compatível pré-Windows 2000 no domínio de destino durante a migração. Essa ação é bloqueada por Usuários e Computadores do Active Directory. Para adicionar o grupo Todos, execute o seguinte comando: NET LOCALGROUP "PRÉ-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

• Se o domínio de destino for baseado no Windows Server 2003, execute este comando para tornar o seguinte grupo um membro do grupo de Acesso Compatível pré-Windows 2000: NET LOCALGROUP "ACESSO COMPATÍVEL PRÉ-WINDOWS 2000" "LOGON ANÔNIMO" /ADD

Solução de problemas

A seguir estão algumas das mensagens de erro mais comuns e suas resoluções:

• Não é possível estabelecer uma sessão com o servidor de exportação de senha. O servidor de destino \SERVER não tem uma chave de criptografia para o domínio de origem {SRCDOM}. Esse erro pode ser causado por um dos seguintes problemas de configuração:

• O Servidor de Exportação de Senha não foi configurado com a DLL de Migração de Senha e uma chave de criptografia para o servidor de destino.

-ou-

• A chave de criptografia foi criada e instalada, mas o ADMT está em execução em um computador diferente do computador que criou a chave de criptografia. As chaves de criptografia de migração de senha são válidas por computador em vez de por domínio.

• WRN1:7557 Falha ao copiar a senha de {user}. Em vez disso, uma senha forte foi gerada. Não é possível copiar senha. Acesso negado. Se essa mensagem de erro for exibida no arquivo Migration.log, verifique o seguinte:

• O seguinte valor da chave do registro é definido nos controladores de domínio de destino: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

• O Acesso Compatível pré-Windows 2000 tem permissões de domínio sam inteiras de leitura e enumeração no objeto, da seguinte maneira: CN=Server,CN=System,DC={TargetDomain},DC={tld}

• W1:7557 Falha ao copiar a senha de {User}. Em vez disso, uma senha forte foi gerada. Não é possível copiar senha. O servidor RPC não está disponível. Normalmente, essa mensagem de erro indica uma falha em resolve nomes. Verifique se a resolução de nomes DNS (Sistema de Nomes de Domínio) e NETBIOS (WINS) está funcionando corretamente para ambos os domínios.