Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để khắc phục sự cố việc di chuyển mật khẩu Inter-Forest với ADMTv2

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:322981
TÓM TẮT
Nếu bạn thực hiện di cư intra-rừng bằng cách sử dụng các hoạt động Thư mục di cư công cụ (ADMT) v2, không có cấu hình đặc biệt là cần thiết để duy trì định danh duy nhất toàn cầu đối tượng, sIDHistory và mật khẩu người dùng (GUIDs) trong thao tác di chuyển.

Tuy nhiên, nếu bạn sử dụng ADMTv2 để thực hiện liên-rừng di chuyển mật khẩu khi bạn sao chép tài khoản người dùng, điều này chiến dịch dựa trên quan hệ phụ thuộc mà người quản trị phải cấu hình. Điều này bài thảo luận về quan hệ phụ thuộc và bước gỡ rối cho phổ biến vấn đề liên quan đến hoạt động này.

Cho thông tin thêm về cách cài đặt và cấu hình ADMT, bấm các số bài viết dưới đây để xem bài viết trong cơ sở kiến thức Microsoft:
260871 Làm thế nào để: Thiết lập ADMT dành cho Windows NT 4.0 để Windows 2000 Migration

Cấu hình

Vượt ra ngoài cấu hình cơ bản, ADMTv2 yêu cầu sau đây phụ thuộc khi được sử dụng để thực hiện việc di chuyển inter-forest mật khẩu:

  • Service Pack 6a (SP6a) hoặc sau này phải được cài đặt trên Bộ kiểm soát miền Microsoft Windows NT 4.0.

  • Tất cả các bộ điều khiển vùng phải sử dụng 128-bit mật mã hóa.

  • Các RestrictAnonymous giá trị trên bộ điều khiển vùng mục tiêu nên được đặt thành 0 trong thời gian cuộc di cư.

  • Đọc cấp phép trên truy cập vào Pre-Windows 2000 tương thích nhóm nên được đặt thànhCN = máy chủ, CN = hệ thống, DC = {targetdom}, DC = {tld}.

  • Khóa registry sau đây nên được cấu hình trên các Password Export Server:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
  • Password Export Server phải được khởi động lại sau khi các cơ quan đăng ký chỉnh sửa.

  • Tất cả nhóm nên là một thành viên của các Pre-Windows Năm 2000 tương thích truy cập nhóm trong phạm vi mục tiêu trong thời gian cuộc di cư. Điều này hành động bị chặn bởi người dùng thư mục hoạt động và máy tính. Để thêm các tất cả mọi người nhóm, hãy chạy lệnh sau:
    NET LOCALGROUP "PRE-WINDOWS 2000 TƯƠNG THÍCH ACCESS" TẤT CẢ MỌI NGƯỜI /ADD
  • Nếu tên miền mục tiêu dựa trên Windows Server 2003, hãy chạy lệnh này để làm cho nhóm sau một thành viên của nhóm Pre-Windows 2000 tương thích truy cập:
    NET LOCALGROUP "PRE-WINDOWS 2000 TƯƠNG THÍCH TRUY CẬP" "ĐĂNG NHẬP VÔ DANH" /ADD

Khắc phục sự cố

Sau đây là một số thông báo lỗi phổ biến hơn và nghị quyết của họ:
  • Không thể thiết lập một phiên họp với hệ phục vụ xuất khẩu mật khẩu. Các máy chủ mục tiêu \\SERVER không có một khoá mật mã cho nguồn miền {SRCDOM}.
    Lỗi này có thể được gây ra bởi một trong những vấn đề cấu hình sau:

    • Password Export Server không được cấu hình với DLL di chuyển mật khẩu và một khoá mật mã cho mục tiêu hệ phục vụ.

      - hay -

    • Khoá mật mã được tạo ra và được cài đặt, nhưng ADMT đang chạy trên một máy tính khác nhau hơn so với máy tính tạo ra các khoá mật mã. Khoá mật mã di chuyển mật khẩu là hợp lệ cho mỗi-máy tính thay vì của cho mỗi tên miền.
  • WRN1:7557 không sao các mật khẩu cho {dùng.} Một mật khẩu mạnh đã được tạo ra để thay thế. Không thể bản sao mật khẩu. Truy cập bị từ chối.
    Nếu thông báo lỗi này xuất hiện trong Migration.log tập tin, xác minh sau đây:
    • Giá trị đăng ký chìa khóa sau đây được thiết lập trên mục tiêu bộ điều khiển vùng:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
    • Pre-Windows 2000 tương thích truy cập đã đọc và Liệt kê toàn bộ SAM tên miền cấp phép trên đối tượng này, như sau:
      CN = máy chủ, CN = hệ thống, DC = {TargetDomain}, DC = {tld}
  • W1:7557 không sao mật khẩu cho {User}. Một mật khẩu mạnh đã được tạo ra để thay thế. Không thể sao mật khẩu. Hệ phục vụ RPC không sẵn dùng.
    Thông báo lỗi này thường chỉ ra một sự thất bại để xử lý tên. Kiểm chứng rằng hệ thống tên miền (DNS) và độ phân giải tên NetBIOS (thắng) đang làm việc một cách chính xác cho cả hai tên miền.
kbactivedirectory

Warning: This article has been translated automatically

Thuộc tính

ID Bài viết: 322981 - Xem lại Lần cuối: 08/27/2011 16:31:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kberrmsg kbinfo kbmt KB322981 KbMtvi
Phản hồi