L'installazione di ADMT 3.1 PES non riesce con l'errore: la password fornita non corrisponde alla password di questa chiave di crittografia
Questo articolo consente di risolvere un problema a causa del quale si verifica un errore "La password fornita non corrisponde alla password di questa chiave di crittografia" quando si configura il servizio Server di esportazione password (PES) nello strumento di migrazione di Active Directory versione 3.1.
Numero KB originale: 2004090
Sintomi
La configurazione del servizio Server di esportazione password (PES) nello strumento di migrazione di Active Directory versione 3.1 nel titolare del ruolo pdc emulatore di dominio di origine usando il ADMT KEY comando riportato di seguito ha esito negativo con l'errore seguente sullo schermo:
Sintassi della riga di comando:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
Errore sullo schermo:
Testo del titolo della finestra di dialogo: Password non valida!
Testo del messaggio di dialogo:La password specificata non corrisponde alla password della chiave di crittografia. La DLL del filtro di migrazione delle password di ADMT non verrà installata senza una chiave di crittografia valida.
Causa
La password specificata è corretta, ma Windows Installer (msiexec.exe) non è riuscito ad aprire un handle per l'oggetto criteri nel controller di dominio per salvare la password che verrà usata dal servizio PES. L'errore indica che l'account utente non dispone dell'autorizzazione richiesta.
L'utente che installa il servizio PES deve essere membro del gruppo Administrators predefinito del dominio.
Inoltre, se l'account utente non è membro dell'account Administrators predefinito e Controllo account utente (UAC) è abilitato nel controller di dominio, l'utente viene eseguito con privilegi utente minimi dopo l'accesso. Per accedere all'oggetto criteri nel controller di dominio per l'installazione del servizio PES, l'utente deve avviare il file di installazione Pwdmig.msi con privilegi completi.
Risoluzione
Verificare che l'account utente che installa il servizio PES sia membro del gruppo Administrators predefinito del dominio eseguendo il whoami /groups comando e quindi eseguire il file di installazione Pwdmig.msi in una finestra del prompt dei comandi con privilegi elevati avviata con l'opzione Esegui come amministratore .
In alternativa, è possibile avviare una finestra del prompt dei comandi con privilegi elevati, modificare la directory in quella in cui è stato scaricato il programma di installazione di PES e quindi eseguire il msiexec /i pwdmig.msi comando.
Ulteriori informazioni
Se si noterà che l'output del comando whoami /groups è simile al seguente, significa che l'utente ha eseguito l'accesso con privilegi minimi utente. Anche se sono membri del gruppo Administrators predefinito, non hanno le autorizzazioni per eseguire attività amministrative con questo token.
Output Whoami /groups:
| Nome gruppo | Type | SID | Attributi |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Tutti | Gruppo noto | S-1-1-0 | Gruppo obbligatorio, Abilitato per impostazione predefinita, Gruppo abilitato |
| BUILTIN\Administrators | Alias | S-1-5-32-544 | Gruppo usato solo per deny |
| BUILTIN\Users | Alias | S-1-5-32-545 | Gruppo obbligatorio, Abilitato per impostazione predefinita, Gruppo abilitato |
| .... |