如何使用 ADMTv2 排查 Inter-Forest 密码迁移问题

本文讨论与林间密码迁移操作相关的常见问题的依赖项和故障排除步骤。

适用于： Windows Server 2003
原始 KB 编号： 322981

摘要

如果使用 Active Directory 迁移工具 (ADMT) v2 执行林内迁移，则无需特殊配置即可在移动操作期间维护用户密码、sIDHistory 和对象全局唯一标识符 (GUID) 。

但是，如果在克隆用户帐户时使用 ADMTv2 执行林间密码迁移，此操作依赖于管理员必须配置的依赖项。本文讨论与此操作相关的常见问题的依赖项和故障排除步骤。

除了基本配置之外，ADMTv2 在用于执行林间密码迁移时需要以下依赖项：

必须在 Microsoft Windows NT 4.0 域控制器上安装 Service Pack 6a (SP6a) 或更高版本。
所有域控制器都必须使用 128 位加密。
迁移期间，目标域控制器上的 RestrictAnonymous 值应设置为 0。
Windows 2000 Pre-Windows 2000 兼容访问组的读取权限应设置为 CN=Server，CN=System，DC={targetdom}，DC={tld}。
应在密码导出服务器上配置以下注册表项：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
编辑注册表后，必须重启密码导出服务器。
在迁移期间，每个人组应是目标域中的 Windows 2000 Pre-Windows 2000 兼容访问组的成员。此操作被Active Directory 用户和计算机阻止。若要添加 Everyone 组，请运行以下命令：NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”EVERYONE /ADD
如果目标域是基于 Windows Server 2003 的，请运行以下命令，使以下组成为 Windows 2000 之前的兼容访问组的成员：NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”“ANONYMOUS LOGON”/ADD

下面是一些更常见的错误消息及其解决方法：

- 或者 -

已创建并安装了加密密钥，但 ADMT 在与创建加密密钥的计算机不同的计算机上运行。密码迁移加密密钥按计算机而不是每个域有效。
WRN1：7557 无法复制 {user} 的密码。已改为生成强密码。无法复制密码。访问被拒绝。如果此错误消息出现在 Migration.log 文件中，请验证以下事项：
在目标域控制器上设置以下注册表项值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 之前的兼容访问对对象具有读取和枚举整个 SAM 域权限，如下所示：CN=Server，CN=System，DC={TargetDomain}，DC={tld}
W1：7557 无法复制 {User} 的密码。已改为生成强密码。无法复制密码。 RPC 服务器不可用。此错误消息通常指示无法解析名称。验证域名系统 (DNS) 和 NetBIOS (WINS) 名称解析是否适用于这两个域。