如何使用ADMTv2針對 Inter-Forest 密碼移轉進行疑難解答
本文討論與樹系 間 密碼移轉作業相關聯之常見問題的相依性和疑難解答步驟。
適用於:Windows Server 2003
原始 KB 編號: 322981
摘要
如果您使用 Active Directory 移轉工具 (ADMT) v2 來執行樹系內移轉,則不需要任何特殊設定,即可在移動作業期間維護使用者密碼、sIDHistory 和物件全域唯一標識符 (GUID) 。
不過,如果您在複製使用者帳戶時使用ADMTv2來執行樹系間密碼移轉,這項作業會依賴系統管理員必須設定的相依性。 本文討論與此作業相關聯之常見問題的相依性和疑難解答步驟。
組態
除了基本設定之外,ADMTv2 在用來執行樹系間密碼移轉時需要下列相依性:
Service Pack 6a (SP6a) 或更新版本必須安裝在 Microsoft Windows NT 4.0 域控制器上。
所有域控制器都必須使用128位加密。
在移轉期間,目標域控制器上的 RestrictAnonymous 值應該設定為 0。
Pre-Windows 2000 Compatible Access 群組的讀取許可權應設定為 CN=Server,CN=System,DC={targetdom},DC={tld}。
您應該在密碼匯出伺服器上設定下列登錄機碼:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
編輯登錄之後,必須重新啟動密碼匯出伺服器。
在移轉期間,Everyone 群組應該是目標網域中 Pre-Windows 2000 Compatible Access 群組的成員。 此動作遭到 Active Directory 使用者和電腦 封鎖。 若要新增 Everyone 群組,請執行下列命令:NET LOCALGROUP “PRE-WINDOWS 2000 COMPATIBLE ACCESS” EVERYONE /ADD
如果目標網域是以 Windows Server 2003 為基礎,請執行此命令,讓下列群組成為 Pre-Windows 2000 Compatible Access 群組的成員:NET LOCALGROUP “PRE-WINDOWS 2000 COMPATIBLE ACCESS” “ANONYMOUS LOGON” /ADD
疑難排解
以下是一些較常見的錯誤訊息及其解決方式:
無法與密碼匯出伺服器建立會話。 目標伺服器 \SERVER 沒有來源網域 {SRCDOM} 的加密密鑰。 此錯誤可能是下列其中一個設定問題所造成:
密碼匯出伺服器尚未設定密碼移轉 DLL 和目標伺服器的加密金鑰。
-或-
已建立並安裝加密金鑰,但 ADMT 正在與建立加密金鑰的電腦不同的電腦上執行。 密碼移轉加密金鑰是每部計算機的有效金鑰,而不是每個網域的有效密鑰。
WRN1:7557 無法複製 {user} 的密碼。 反之,已產生強密碼。 無法複製密碼。 拒絕存取。 如果此錯誤訊息出現在Migration.log檔案中,請確認下列事項:
下列登錄機碼值是在目標域控制器上設定的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 之前兼容存取具有對象的讀取和列舉整個 SAM 網域許可權,如下所示:CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 無法複製 {User} 的密碼。 反之,已產生強密碼。 無法複製密碼。 RPC 伺服器無法使用。 此錯誤訊息通常表示無法解析名稱。 確認功能變數名稱系統 (DNS) 和 NetBIOS (WINS) 名稱解析是否適用於這兩個網域。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應