L'installazione di ADMT 3.1 PES ha esito negativo con errore: la password fornita non corrisponde alla password della chiave di crittografia
Questo articolo consente di risolvere un problema per cui si verifica un errore "La password fornita non corrisponde alla password della chiave di crittografia" quando si configura il servizio Server di esportazione password (PES) in Active Directory Migration Tool versione 3.1.
Si applica a: Windows Server 2012 R2
Numero KB originale: 2004090
Sintomi
La configurazione del servizio Server di esportazione password (PES) nello strumento di migrazione di Active Directory versione 3.1 nel titolare del ruolo dell'emulatore PDC del dominio di origine usando il ADMT KEY comando illustrato di seguito ha esito negativo con l'errore seguente sullo schermo:
Sintassi della riga di comando:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
Errore sullo schermo:
Testo titolo finestra di dialogo: Password non valida.
Testo del messaggio della finestra di dialogo:La password fornita non corrisponde alla password della chiave di crittografia. La DLL del filtro di migrazione delle password di ADMT non verrà installata senza una chiave di crittografia valida.
Causa
La password specificata era corretta, ma Windows Installer (msiexec.exe) non è riuscito ad aprire un handle per l'oggetto criterio nel controller di dominio per salvare la password che verrà usata dal servizio PES. L'errore indica che l'account utente non dispone dell'autorizzazione necessaria.
L'utente che installa il servizio PES deve essere membro del gruppo administrators predefinito del dominio.
Inoltre, se l'account utente non è un membro dell'account administrators predefinito e controllo dell'account utente è abilitato nel controller di dominio, l'utente viene eseguito con privilegi utente minimi dopo l'accesso. Per accedere all'oggetto criterio nel controller di dominio per l'installazione del servizio PES, l'utente deve avviare il file di installazione Pwdmig.msi con privilegi completi.
Risoluzione
Verificare che l'account utente che installa il servizio PES sia membro del gruppo Administrators predefinito del dominio eseguendo il whoami /groups comando e quindi eseguire il file di installazione Pwdmig.msi in una finestra del prompt dei comandi con privilegi elevati avviata con l'opzione Esegui come amministratore .
In alternativa, è possibile avviare una finestra del prompt dei comandi con privilegi elevati, impostare la directory su quella in cui è stato scaricato il programma di installazione di PES e quindi eseguire il msiexec /i pwdmig.msi comando .
Ulteriori informazioni
Se si nota che l'output del comando whoami /groups è simile al seguente, significa che l'utente ha eseguito l'accesso con privilegi minimi. Anche se sono membri del gruppo Administrators predefinito, non hanno le autorizzazioni per eseguire attività amministrative con questo token.
Whoami /groups Output:
| Nome gruppo | Tipo | SID | Attributi |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Tutti | Gruppo noto | S-1-1-0 | Gruppo obbligatorio, Abilitato per impostazione predefinita, Gruppo abilitato |
| Builtin\administrators | Alias | S-1-5-32-544 | Gruppo usato solo per la negazione |
| BUILTIN\Users | Alias | S-1-5-32-545 | Gruppo obbligatorio, Abilitato per impostazione predefinita, Gruppo abilitato |
| .... |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per