Сбой установки PES ADMT 3.1 с ошибкой: предоставленный пароль не соответствует паролю этого ключа шифрования
Эта статья поможет устранить проблему, из-за которой при настройке службы сервера экспорта паролей (PES) в средстве миграции Active Directory версии 3.1 возникает ошибка "Предоставленный пароль не соответствует паролю ключа шифрования".
Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 2004090
Симптомы
Настройка службы сервера экспорта паролей (PES) в средстве миграции Active Directory версии 3.1 в качестве владельца роли эмулятора PDC исходного домена с помощью приведенной ADMT KEY ниже команды завершается сбоем со следующей экранной ошибкой:
Синтаксис командной строки:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT исходный домен> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
Экранная ошибка:
Текст заголовка диалогового окна: недопустимый пароль!
Текст сообщения диалогового окна:Предоставленный пароль не соответствует паролю этого ключа шифрования. Библиотека DLL фильтра миграции паролей ADMT не будет установлена без допустимого ключа шифрования.
Причина
Пароль был указан правильно, но установщику Windows (msiexec.exe) не удалось открыть дескриптор для объекта политики на контроллере домена для сохранения пароля, который будет использоваться службой PES. Сбой означает, что у учетной записи пользователя не было необходимого разрешения.
Пользователь, устанавливающий службу PES, должен быть членом встроенной группы администраторов домена.
Кроме того, если учетная запись пользователя не является членом встроенной учетной записи администраторов, а контроль учетных записей пользователей (UAC) включен на контроллере домена, пользователь запускается с минимальными привилегиями после входа. Чтобы получить доступ к объекту политики на контроллере домена для установки службы PES, пользователь должен запустить файл установкиPwdmig.msi с полными привилегиями.
Разрешение
Убедитесь, что учетная запись пользователя, устанавливающая службу PES, является членом встроенной группы администраторов домена, выполнив whoami /groups команду , а затем запустите файл установки Pwdmig.msi в окне командной строки с повышенными привилегиями, запущенном с параметром Запуск от имени администратора .
Кроме того, можно запустить окно командной строки с повышенными привилегиями, изменить каталог на тот, в который вы скачали установщик PES, а затем выполнить msiexec /i pwdmig.msi команду .
Дополнительная информация
Если вы видите, что выходные данные команды whoami /groups выглядят следующим образом, это означает, что пользователь вошел в систему с минимальными правами пользователя. Хотя они и вошли в встроенную группу администраторов, у них нет разрешений на выполнение административных задач с помощью этого маркера.
Whoami /groups Выход:
| Имя группы | Тип | SID | Атрибуты |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Все пользователи | Известная группа | S-1-1-0 | Обязательная группа, Включено по умолчанию, Включено группа |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | Группа, используемая только для запрета |
| BUILTIN\Users | Alias | S-1-5-32-545 | Обязательная группа, Включено по умолчанию, Включено группа |
| .... |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по