如何使用ADMTv2針對 Inter-Forest 密碼移轉進行疑難解答

本文討論與樹系間密碼移轉作業相關聯之常見問題的相依性和疑難解答步驟。

適用於：Windows Server 2003
原始 KB 編號： 322981

摘要

如果您使用 Active Directory 移轉工具 (ADMT) v2 來執行樹系內移轉，則不需要任何特殊設定，即可在移動作業期間維護使用者密碼、sIDHistory 和物件全域唯一標識符 (GUID) 。

不過，如果您在複製使用者帳戶時使用ADMTv2來執行樹系間密碼移轉，這項作業會依賴系統管理員必須設定的相依性。本文討論與此作業相關聯之常見問題的相依性和疑難解答步驟。

除了基本設定之外，ADMTv2 在用來執行樹系間密碼移轉時需要下列相依性：

Service Pack 6a (SP6a) 或更新版本必須安裝在 Microsoft Windows NT 4.0 域控制器上。
所有域控制器都必須使用128位加密。
在移轉期間，目標域控制器上的 RestrictAnonymous 值應該設定為 0。
Pre-Windows 2000 Compatible Access 群組的讀取許可權應設定為 CN=Server，CN=System，DC={targetdom}，DC={tld}。
您應該在密碼匯出伺服器上設定下列登錄機碼：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
編輯登錄之後，必須重新啟動密碼匯出伺服器。
在移轉期間，Everyone 群組應該是目標網域中 Pre-Windows 2000 Compatible Access 群組的成員。此動作遭到 Active Directory 使用者和電腦封鎖。若要新增 Everyone 群組，請執行下列命令：NET LOCALGROUP “PRE-WINDOWS 2000 COMPATIBLE ACCESS” EVERYONE /ADD
如果目標網域是以 Windows Server 2003 為基礎，請執行此命令，讓下列群組成為 Pre-Windows 2000 Compatible Access 群組的成員：NET LOCALGROUP “PRE-WINDOWS 2000 COMPATIBLE ACCESS” “ANONYMOUS LOGON” /ADD

以下是一些較常見的錯誤訊息及其解決方式：

-或-

已建立並安裝加密金鑰，但 ADMT 正在與建立加密金鑰的電腦不同的電腦上執行。密碼移轉加密金鑰是每部計算機的有效金鑰，而不是每個網域的有效密鑰。
WRN1：7557 無法複製 {user} 的密碼。反之，已產生強密碼。無法複製密碼。拒絕存取。如果此錯誤訊息出現在Migration.log檔案中，請確認下列事項：
下列登錄機碼值是在目標域控制器上設定的：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 之前兼容存取具有對象的讀取和列舉整個 SAM 網域許可權，如下所示：CN=Server，CN=System，DC={TargetDomain}，DC={tld}
W1：7557 無法複製 {User} 的密碼。反之，已產生強密碼。無法複製密碼。 RPC 伺服器無法使用。此錯誤訊息通常表示無法解析名稱。確認功能變數名稱系統 (DNS) 和 NetBIOS (WINS) 名稱解析是否適用於這兩個網域。