Установка ADMT 3.1 PES завершается ошибкой: указанный пароль не соответствует паролю этого ключа шифрования
Эта статья помогает устранить проблему, из-за которой ошибка "Указанный пароль не соответствует паролю этого ключа шифрования" возникает при настройке службы сервера экспорта паролей (PES) в средстве миграции Active Directory версии 3.1.
Исходный номер базы знаний: 2004090
Симптомы
Настройка службы сервера экспорта паролей (PES) в средстве миграции Active Directory версии 3.1 в владельце роли эмулятора PDC исходного домена с помощью ADMT KEY команды, показанной ниже, завершается сбоем со следующей ошибкой на экране:
Синтаксис командной строки:
ADMT KEY /OPTION:CREATE /SOURCEDOMAIN:<ADMT source domain> /KEYFILE:x:\<path>\<filename.pes> /PWD:*
Ошибка на экране:
Текст заголовка диалогового окна: недопустимый пароль!
Текст сообщения диалогового окна:Указанный пароль не соответствует этому паролю шифрования. Библиотека DLL фильтра миграции паролей ADMT не будет устанавливаться без допустимого ключа шифрования.
Причина
Предоставленный пароль был правильным, но установщик Windows (msiexec.exe) не смог открыть дескриптор для объекта политики на контроллере домена для сохранения пароля, который будет использоваться службой PES. Сбой указывает, что учетная запись пользователя не имеет требуемого разрешения.
Пользователь, устанавливающий службу PES, должен быть членом встроенной группы администраторов домена.
Кроме того, если учетная запись пользователя не является членом встроенной учетной записи администраторов, а управление учетными записями пользователей (UAC) включена на контроллере домена, пользователь запускается с минимальными привилегиями пользователей после входа. Чтобы получить доступ к объекту политики на контроллере домена для установки службы PES, пользователь должен запустить файл установки Pwdmig.msi с полными привилегиями.
Решение
Убедитесь, что учетная запись пользователя, которая устанавливает службу PES, является членом встроенной группы администраторов домена, выполнив whoami /groups команду, а затем запустите файл установки Pwdmig.msi в окне командной строки с повышенными привилегиями, запущенном с помощью параметра "Запуск от имени администратора ".
Кроме того, можно запустить окно командной строки с повышенными привилегиями, изменить каталог на тот, где вы скачали установщик PES, а затем запустите msiexec /i pwdmig.msi команду.
Дополнительная информация
Если вы видите, что выходные данные команды whoami /groups выглядят следующим образом, это означает, что пользователь вошел с минимальными привилегиями пользователя. Хотя они член встроенной группы администраторов, у них нет разрешений на выполнение административных задач с этим маркером.
Whoami /groups выпуск:
| Имя группы | Тип | SID | Атрибуты |
|---|---|---|---|
| ========== | ========== | ========== | ========== |
| Все | Общеизвестная группа | S-1-1-0 | Обязательная группа, включенная по умолчанию, включенная группа |
| BUILTIN\Administrators | Псевдоним | S-1-5-32-544 | Группа, используемая только для запрета |
| BUILTIN\Users | Псевдоним | S-1-5-32-545 | Обязательная группа, включенная по умолчанию, включенная группа |
| .... |