Så här felsöker du Inter-Forest lösenordsmigrering med ADMTv2
I den här artikeln beskrivs beroenden och felsökningssteg för vanliga problem som är kopplade till migrering av lösenord mellan skogar.
Gäller för: Windows Server 2003
Ursprungligt KB-nummer: 322981
Sammanfattning
Om du utför migreringar inom skogen med hjälp av Active Directory Migration Tool (ADMT) v2 behövs ingen särskild konfiguration för att underhålla användarlösenord, sIDHistory och objekt globalt unika identifierare (GUID) under flyttåtgärden.
Men om du använder ADMTv2 för att utföra migrering av lösenord mellan skogar när du klonar användarkonton, förlitar sig den här åtgärden på beroenden som administratören måste konfigurera. Den här artikeln beskriver beroenden och felsökningssteg för vanliga problem som är associerade med den här åtgärden.
Konfiguration
Utöver grundläggande konfiguration kräver ADMTv2 följande beroenden när de används för att utföra migrering av lösenord mellan skogar:
Service Pack 6a (SP6a) eller senare måste installeras på Microsoft Windows NT 4.0-domänkontrollanter.
Alla domänkontrollanter måste använda 128-bitars kryptering.
Värdet RestrictAnonymous på måldomänkontrollanten ska anges till 0 under migreringen.
Läsbehörigheter för den kompatibla åtkomstgruppen Pre-Windows 2000 ska anges till CN=Server,CN=System,DC={targetdom},DC={tld}.
Följande registernyckel ska konfigureras på servern för lösenordsexport: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
Servern för lösenordsexport måste startas om när registret har redigerats.
Gruppen Alla bör vara medlem i gruppen För Windows 2000-kompatibel åtkomst i måldomänen under migreringen. Den här åtgärden blockeras av Active Directory - användare och datorer. Lägg till gruppen Alla genom att köra följande kommando: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD
Om måldomänen är Windows Server 2003-baserad kör du det här kommandot för att göra följande grupp till medlem i gruppen För Windows 2000-kompatibel åtkomst: NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD
Felsökning
Följande är några av de vanligaste felmeddelandena och deras lösningar:
Det går inte att upprätta en session med lösenordsexportservern. Målservern \SERVER har ingen krypteringsnyckel för källdomänen {SRCDOM}. Det här felet kan orsakas av något av följande konfigurationsproblem:
Servern för lösenordsexport har inte konfigurerats med DLL för lösenordsmigrering och en krypteringsnyckel för målservern.
eller
Krypteringsnyckeln skapades och installerades, men ADMT körs på en annan dator än den dator som skapade krypteringsnyckeln. Krypteringsnycklar för lösenordsmigrering är giltiga per dator i stället för per domän.
WRN1:7557 Det gick inte att kopiera lösenordet för {user}. Ett starkt lösenord har genererats i stället. Det går inte att kopiera lösenordet. Åtkomst nekas. Om det här felmeddelandet visas i Migration.log-filen kontrollerar du följande:
Följande registernyckelvärde anges på måldomänkontrollanterna: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Pre-Windows 2000 Kompatibel åtkomst har läs- och uppräkningsbehörigheter för hela SAM-domänen för objektet, enligt följande: CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 Det gick inte att kopiera lösenordet för {User}. Ett starkt lösenord har genererats i stället. Det går inte att kopiera lösenordet. RPC-servern är inte tillgänglig. Det här felmeddelandet anger vanligtvis att det inte går att matcha namn. Kontrollera att DNS-namnsystemet (Domain Name System) och NetBIOS-namnmatchningen (WINS) fungerar korrekt för båda domänerna.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för