Fehler bei der ADMT 3.1 PES-Installation: Das angegebene Passwort stimmt nicht mit dem Passwort dieses Verschlüsselungsschlüssels überein
In diesem Artikel wird ein Problem behoben, bei dem ein Fehler "Das angegebene Kennwort stimmt nicht mit dem Kennwort dieses Verschlüsselungsschlüssels überein", wenn Sie den Pes-Dienst (Password Export Server) für Active Directory Migration Tool, Version 3.1, konfigurieren.
Ursprüngliche KB-Nummer: 2004090
Symptome
Das Konfigurieren des Kennwortexportserverdiensts (PES) im Active Directory-Migrationstool, Version 3.1, auf dem Rollenhalter für den PDC-Emulator der Quelldomäne mithilfe des ADMT KEY unten gezeigten Befehls schlägt mit dem folgenden Fehler auf dem Bildschirm fehl:
Befehlszeilensyntax:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\path>\<<filename.pes> /PWD:*
On-Screen-Fehler:
Titeltext des Dialogfelds: Ungültiges Kennwort!
Text der Dialogfeldnachricht:Das angegebene Kennwort stimmt nicht mit dem Kennwort dieses Verschlüsselungsschlüssels überein. Die KENNWORTmigrationsfilter-DLL von ADMT wird nicht ohne einen gültigen Verschlüsselungsschlüssel installiert.
Ursache
Das angegebene Kennwort war korrekt, aber Windows Installer (msiexec.exe) konnte ein Handle für das Richtlinienobjekt auf dem Domänencontroller nicht öffnen, um das Kennwort zu speichern, das vom PES-Dienst verwendet wird. Der Fehler gibt an, dass das Benutzerkonto nicht über die erforderliche Berechtigung verfügte.
Der Benutzer, der den PES-Dienst installiert, muss Mitglied der integrierten Administratorgruppe der Domäne sein.
Wenn das Benutzerkonto kein Mitglied des integrierten Administratorkontos ist und die Benutzerkontensteuerung (User Account Control, UAC) auf dem Domänencontroller aktiviert ist, wird der Benutzer nach der Anmeldung mit den geringsten Benutzerberechtigungen ausgeführt. Um auf das Richtlinienobjekt auf dem Domänencontroller für die Installation des PES-Diensts zuzugreifen, muss der Benutzer die Pwdmig.msi Setupdatei mit vollständigen Berechtigungen starten.
Lösung
Stellen Sie sicher, dass das Benutzerkonto, das den PES-Dienst installiert, mitglied der integrierten Administratorgruppe der Domäne ist, indem Sie den whoami /groups Befehl ausführen, und führen Sie dann die Pwdmig.msi Setupdatei in einem Eingabeaufforderungsfenster mit erhöhten Rechten aus, das mit der Option "Als Administrator ausführen" gestartet wurde.
Alternativ können Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten starten, das Verzeichnis in das Verzeichnis ändern, in das Sie das PES-Installationsprogramm heruntergeladen haben, und dann den msiexec /i pwdmig.msi Befehl ausführen.
Weitere Informationen
Wenn sie sehen, dass die Ausgabe des Befehls whoami /groups wie folgt aussieht, bedeutet dies, dass der Benutzer mit den geringsten Benutzerberechtigungen angemeldet ist. Obwohl sie Mitglied der integrierten Gruppe "Administratoren" sind, verfügen sie nicht über die Berechtigung zum Ausführen von Administrativen Aufgaben mit diesem Token.
Whoami /groups Ausgabe:
| Gruppenname | Typ | SID | Attribute |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Jeder | Bekannte Gruppe | S-1-1-0 | Obligatorische Gruppe, standardmäßig aktiviert, Gruppe "Aktiviert" |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | Nur für Verweigerung verwendete Gruppe |
| BUILTIN\Users | Alias | S-1-5-32-545 | Obligatorische Gruppe, standardmäßig aktiviert, Gruppe "Aktiviert" |
| .... |