Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les dépendances et les étapes de résolution des problèmes courants associés à l’opération de migration de mot de passe inter-forêts .
S’applique à : Windows Server 2003
Numéro de base de connaissances d’origine : 322981
Résumé
Si vous effectuez des migrations intra-forêts à l’aide de l’outil de migration Active Directory (ADMT) v2, aucune configuration spéciale n’est nécessaire pour gérer les mots de passe utilisateur, sIDHistory et identificateurs globaux uniques (GUID) au cours de l’opération de déplacement.
Toutefois, si vous utilisez ADMTv2 pour effectuer une migration entre forêts de mot de passe lorsque vous clonez des comptes d’utilisateur, cette opération s’appuie sur les dépendances que l’administrateur doit configurer. Cet article décrit les dépendances et les étapes de résolution des problèmes courants associés à cette opération.
Configuration
Au-delà de la configuration de base, ADMTv2 nécessite les dépendances suivantes lorsqu’elles sont utilisées pour effectuer une migration de mot de passe entre forêts :
Service Pack 6a (SP6a) ou version ultérieure doit être installé sur les contrôleurs de domaine Microsoft Windows NT 4.0.
Tous les contrôleurs de domaine doivent utiliser le chiffrement 128 bits.
La valeur RestrictAnonymous sur le contrôleur de domaine cible doit être définie sur 0 pendant la migration.
Les autorisations de lecture sur le groupe d’accès compatible Pré-Windows 2000 doivent être définies sur CN=Server,CN=System,DC={targetdom},DC={tld}.
La clé de Registre suivante doit être configurée sur le serveur d’exportation de mot de passe : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
Le serveur d’exportation de mot de passe doit être redémarré une fois le Registre modifié.
Le groupe Tout le monde doit être membre du groupe d’accès compatible Pré-Windows 2000 dans le domaine cible pendant la migration. Cette action est bloquée par Utilisateurs et ordinateurs Active Directory. Pour ajouter le groupe Tout le monde, exécutez la commande suivante : NET LOCALGROUP « ACCÈS COMPATIBLE PRE-WINDOWS 2000 » TOUT LE MONDE /ADD
Si le domaine cible est basé sur Windows Server 2003, exécutez cette commande pour faire du groupe suivant un membre du groupe d’accès compatible Pré-Windows 2000 : NET LOCALGROUP « ACCÈS COMPATIBLE PRE-WINDOWS 2000 » « ANONYMOUS LOGON » /ADD
Dépannage
Voici quelques-uns des messages d’erreur les plus courants et leurs résolutions :
Impossible d’établir une session avec le serveur d’exportation de mot de passe. Le serveur cible \SERVER n’a pas de clé de chiffrement pour le domaine source {SRCDOM}. Cette erreur peut être due à l’un des problèmes de configuration suivants :
Le serveur d’exportation de mot de passe n’a pas été configuré avec la DLL de migration de mot de passe et une clé de chiffrement pour le serveur cible.
-ou-
La clé de chiffrement a été créée et installée, mais ADMT s’exécute sur un ordinateur différent de l’ordinateur qui a créé la clé de chiffrement. Les clés de chiffrement de migration de mot de passe sont valides par ordinateur au lieu de chaque domaine.
WRN1:7557 n’a pas pu copier le mot de passe pour {user}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. L’accès est refusé. Si ce message d’erreur s’affiche dans le fichier Migration.log, vérifiez ce qui suit :
La valeur de clé de Registre suivante est définie sur les contrôleurs de domaine cibles : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
L’accès compatible pré-Windows 2000 dispose d’autorisations de domaine SAM entières en lecture et énumération sur l’objet, comme suit : CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 N’a pas pu copier le mot de passe pour {User}. Un mot de passe fort a été généré à la place. Impossible de copier le mot de passe. Le serveur RPC est indisponible. Ce message d’erreur indique généralement un échec de résolution des noms. Vérifiez que la résolution de noms DNS (Domain Name System) et NetBIOS (WINS) fonctionne correctement pour les deux domaines.