次の方法で共有

ADMTv2 を使用してフォレスト間パスワード移行のトラブルシューティングを行う方法

この記事では、 inter -forest パスワード移行操作に関連する一般的な問題の依存関係とトラブルシューティングの手順について説明します。

適用対象: Windows Server 2003
元の KB 番号: 322981

まとめ

Active Directory 移行ツール (ADMT) v2 を使用してフォレスト内の移行を実行する場合、移動操作中にユーザー パスワード、sIDHistory、およびオブジェクトのグローバル一意識別子 (GUID) を維持するための特別な構成は必要ありません。

ただし、ADMTv2 を使用してユーザー アカウントを複製するときにフォレスト間パスワードの移行を実行する場合、この操作は管理者が構成する必要がある依存関係に依存します。 この記事では、この操作に関連する一般的な問題の依存関係とトラブルシューティングの手順について説明します。

構成

基本的な構成以外に、ADMTv2 では、フォレスト間パスワードの移行を実行するために使用する場合、次の依存関係が必要です。

  • Service Pack 6a (SP6a) 以降は、Microsoft Windows NT 4.0 ドメイン コントローラーにインストールする必要があります。

  • すべてのドメイン コントローラーで 128 ビット暗号化を使用する必要があります。

  • 移行中は、ターゲット ドメイン コントローラーの RestrictAnonymous 値を 0 に設定する必要があります。

  • Windows 2000 より前の互換性のあるアクセス グループに対する読み取りアクセス許可は、 CN=Server,CN=System,DC={targetdom},DC={tld}に設定する必要があります。

  • パスワード エクスポート サーバーで次のレジストリ キーを構成する必要があります: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1

  • レジストリを編集した後、パスワード エクスポート サーバーを再起動する必要があります。

  • Everyone グループは、移行中にターゲット ドメインの Windows 2000 互換アクセス前グループのメンバーである必要があります。 このアクションは、Active Directory ユーザーとコンピューターによってブロックされます。 Everyone グループを追加するには、次のコマンドを実行します。NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" EVERYONE /ADD

  • ターゲット ドメインが Windows Server 2003 ベースの場合は、次のコマンドを実行して、次のグループを Pre-Windows 2000 互換アクセス グループのメンバーにします。NET LOCALGROUP "PRE-WINDOWS 2000 COMPATIBLE ACCESS" "ANONYMOUS LOGON" /ADD

トラブルシューティング

一般的なエラー メッセージとその解決策を次に示します。

  • パスワード エクスポート サーバーとのセッションを確立できません。 ターゲット サーバー \SERVER には、ソース ドメイン {SRCDOM} の暗号化キーがありません。 このエラーは、次のいずれかの構成の問題が原因で発生する可能性があります。

  • パスワード エクスポート サーバーが、パスワード移行 DLL とターゲット サーバーの暗号化キーで構成されていません。

または

  • 暗号化キーが作成されてインストールされましたが、ADMT は暗号化キーを作成したコンピューターとは別のコンピューターで実行されています。 パスワード移行暗号化キーは、ドメインごとではなく、コンピューターごとに有効です。

  • WRN1:7557 {user} のパスワードをコピーできませんでした。 代わりに強力なパスワードが生成されました。 パスワードをコピーできません。 アクセスが拒否されました。 Migration.log ファイルにこのエラー メッセージが表示される場合は、次のことを確認します。

  • ターゲット ドメイン コントローラーでは、次のレジストリ キー値が設定されます: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

  • Windows 2000 より前の互換性のあるアクセスには、オブジェクトに対する SAM ドメイン全体のアクセス許可が読み取りおよび列挙されます。CN=Server、CN=System、DC={TargetDomain}、DC={tld}

  • W1:7557 {User} のパスワードをコピーできませんでした。 代わりに強力なパスワードが生成されました。 パスワードをコピーできません。 RPC サーバーが利用できません。 このエラー メッセージは、通常、名前の解決に失敗したことを示します。 ドメイン ネーム システム (DNS) と NetBIOS (WINS) の名前解決が両方のドメインで正しく動作していることを確認します。