本文介绍与林间密码迁移操作关联的常见问题的依赖项和故障排除步骤。
适用于: Windows Server 2003
原始 KB 数: 322981
总结
如果使用 Active Directory 迁移工具 (ADMT) v2 执行林内迁移,则无需特殊配置来维护移动操作期间的用户密码、sIDHistory 和对象全局唯一标识符(GUID)。
但是,如果在克隆用户帐户时使用 ADMTv2 执行林间密码迁移,则此操作依赖于管理员必须配置的依赖项。 本文讨论与此操作关联的常见问题的依赖项和故障排除步骤。
配置
除了基本配置之外,ADMTv2 还需要以下依赖项,用于执行林间密码迁移:
Service Pack 6a (SP6a) 或更高版本必须安装在 Microsoft Windows NT 4.0 域控制器上。
所有域控制器都必须使用 128 位加密。
目标域控制器上的 RestrictAnonymous 值应在迁移过程中设置为 0。
对预 Windows 2000 兼容访问组的读取权限应设置为 CN=Server,CN=System,DC={targetdom},DC={tld}。
应在密码导出服务器上配置以下注册表项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport = 1
编辑注册表后,必须重启密码导出服务器。
迁移期间,“每个人”组应是目标域中的 Windows 2000 兼容访问组的成员。 此操作被Active Directory 用户和计算机阻止。 若要添加“每个人”组,请运行以下命令:NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”EVERYONE /ADD
如果目标域基于 Windows Server 2003,请运行以下命令,使以下组成为预 Windows 2000 兼容访问组的成员:NET LOCALGROUP“PRE-WINDOWS 2000 COMPATIBLE ACCESS”“ANONYMOUS LOGON” /ADD
故障排除
下面是一些更常见的错误消息及其解决方法:
无法与密码导出服务器建立会话。 目标服务器 \SERVER 没有源域 {SRCDOM} 的加密密钥。 此错误可能是由以下配置问题之一引起的:
密码导出服务器尚未使用密码迁移 DLL 和目标服务器的加密密钥进行配置。
-或-
加密密钥已创建并安装,但 ADMT 在与创建加密密钥的计算机不同的计算机上运行。 密码迁移加密密钥是有效的每台计算机,而不是每个域。
WRN1:7557 无法复制 {user} 的密码。 已改为生成强密码。 无法复制密码。 拒绝访问。 如果此错误消息显示在Migration.log文件中,请验证以下内容:
目标域控制器上设置了以下注册表项值:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0
Windows 2000 兼容访问对对象具有读取和枚举整个 SAM 域权限,如下所示:CN=Server,CN=System,DC={TargetDomain},DC={tld}
W1:7557 无法复制 {User} 的密码。 已改为生成强密码。 无法复制密码。 RPC 服务器不可用。 此错误消息通常表示无法解析名称。 验证域名系统(DNS)和 NetBIOS(WINS)名称解析是否适用于这两个域。