如何使用 ADMTv2 排查 Inter-Forest 密码迁移问题
本文讨论与林 间 密码迁移操作相关的常见问题的依赖项和故障排除步骤。
适用于: Windows Server 2003
原始 KB 编号: 322981
摘要
如果使用 Active Directory 迁移工具 (ADMT) v2 执行林内迁移,则无需特殊配置即可在移动操作期间维护用户密码、sIDHistory 和对象全局唯一标识符 (GUID) 。
但是,如果在克隆用户帐户时使用 ADMTv2 执行林间密码迁移,此操作依赖于管理员必须配置的依赖项。 本文讨论与此操作相关的常见问题的依赖项和故障排除步骤。
配置
除了基本配置之外,ADMTv2 在用于执行林间密码迁移时需要以下依赖项:
必须在 Microsoft Windows NT 4.0 域控制器上安装 Service Pack 6a (SP6a) 或更高版本。
所有域控制器都必须使用 128 位加密。
迁移期间,目标域控制器上的 RestrictAnonymous 值应设置为 0。
Windows 2000 Pre-Windows 2000 兼容访问组的读取权限应设置为 CN=Server,CN=System,DC={targetdom},DC={tld}。
应在密码导出服务器上配置以下注册表项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
编辑注册表后,必须重启密码导出服务器。
在迁移期间,每个人组应是目标域中的 Windows 2000 Pre-Windows 2000 兼容访问组的成员。 此操作被Active Directory 用户和计算机阻止。 若要添加 Everyone 组,请运行以下命令:NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”EVERYONE /ADD
如果目标域是基于 Windows Server 2003 的,请运行以下命令,使以下组成为 Windows 2000 之前的兼容访问组的成员:NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”“ANONYMOUS LOGON”/ADD
疑难解答
下面是一些更常见的错误消息及其解决方法:
无法与密码导出服务器建立会话。 目标服务器 \SERVER 没有源域 {SRCDOM} 的加密密钥。 此错误可能是由以下配置问题之一引起的:
尚未为密码导出服务器配置密码迁移 DLL 和目标服务器的加密密钥。
- 或者 -
已创建并安装了加密密钥,但 ADMT 在与创建加密密钥的计算机不同的计算机上运行。 密码迁移加密密钥按计算机而不是每个域有效。
WRN1:7557 无法复制 {user} 的密码。 已改为生成强密码。 无法复制密码。 访问被拒绝。 如果此错误消息出现在 Migration.log 文件中,请验证以下事项:
在目标域控制器上设置以下注册表项值:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 之前的兼容访问对对象具有读取和枚举整个 SAM 域权限,如下所示:CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 无法复制 {User} 的密码。 已改为生成强密码。 无法复制密码。 RPC 服务器不可用。 此错误消息通常指示无法解析名称。 验证域名系统 (DNS) 和 NetBIOS (WINS) 名称解析是否适用于这两个域。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈