none
ADMT v3.2 ERR2:0080 / ERR2:0081 / WRN1:7557 RRS feed

  • Allgemeine Diskussion

  • Hallo,

    ich migriere z.Z. Benutzer und Gruppen von einer Gesamtstrucktur (Win2003) in einer neue Gesamtstrucktur (Win2008R2). Ich führe in der Zieldomäne auf dem DC das ADMT V3.2 täglich als Script aus.

    In dem Script sind mehrere ADMT USER oder GROUP aufrufe, weil ich immer nur bestimmt Gruppen und User mit einer Include Datei von einer OU in eine bestimmt neue OU kopiere. Ich verwende die SID History und kopiere die Kennwörter. In der Quelldomäne läuft auf einem DC der PES Dienst. Jetzt kann ich in den Logs bei einigen Aufrufen folgenden Fehler sehen:

    ERR2:0081 Gruppen können nicht migriert werden. Es konnte keine Sitzung mit dem Kennwortexportserver hergestellt werden. Entweder verfügt der aktuell angemeldete Benutzer nicht über die zum Aufrufen des Kennwortexportservers erforderlichen Berechtigungen, oder das Konto, unter dem der Kennwortexportserver-Dienst ausgeführt wird, verfügt nicht über die erforderlichen Berechtigungen auf dem Zieldomänencontroller. Vergewissern Sie sich, dass der angemeldete Benutzer Mitglied der Administratorengruppe in der Quelldomäne ist und dass das Kennwortexportserver-Dienstkonto in der Zieldomäne über die Berechtigung zum Ändern von Kennwörtern von Benutzerkonten verfügt. (0x80070005)


    ERR2:0080 Benutzer können nicht migriert werden. Es konnte keine Sitzung mit dem Kennwortexportserver hergestellt werden. Entweder verfügt der aktuell angemeldete Benutzer nicht über die zum Aufrufen des Kennwortexportservers erforderlichen Berechtigungen, oder das Konto, unter dem der Kennwortexportserver-Dienst ausgeführt wird, verfügt nicht über die erforderlichen Berechtigungen auf dem Zieldomänencontroller. Vergewissern Sie sich, dass der angemeldete Benutzer Mitglied der Administratorengruppe in der Quelldomäne ist und dass das Kennwortexportserver-Dienstkonto in der Zieldomäne über die Berechtigung zum Ändern von Kennwörtern von Benutzerkonten verfügt. (0x80070005)

    Die Fehler sind aber nicht immer da. Wenn ich den ADMT Befehl in einer CMD aufrufe, kommt es vor, dass ich den Fehler erhalte. Rufe ich den Befehl identisch gleich noch einmal auf, dann geht es. Voran kann das liegen, das es hin und wieder nicht geht geht und wenn ich es wiederhole, geht es dann?

    Weiterhin erhalte ich bei einigen User Accounts folgende Meldung:

    2011-12-01 01:36:56 WRN1:7557 Das Kennwort für "APU" konnte nicht kopiert werden. Ein sicheres Kennwort wurde stattdessen erstellt. Es konnte keine Sitzung mit dem Kennwortexportserver hergestellt werden. Entweder verfügt der aktuell angemeldete Benutzer nicht über die zum Aufrufen des Kennwortexportservers erforderlichen Berechtigungen, oder das Konto, unter dem der Kennwortexportserver-Dienst ausgeführt wird, verfügt nicht über die erforderlichen Berechtigungen auf dem Zieldomänencontroller. Vergewissern Sie sich, dass der angemeldete Benutzer Mitglied der Administratorengruppe in der Quelldomäne ist und dass das Kennwortexportserver-Dienstkonto in der Zieldomäne über die Berechtigung zum Ändern von Kennwörtern von Benutzerkonten verfügt..
    2011-12-01 01:36:56 Kennwörter werden stattdessen im Standardort auf "c:\Windows\ADMT\Logs\Passwords.txt" gespeichert.

    Dabei sind es nicht immer die gleichen User. Gibt es dafür ein Tip?

    Danke und Gruß

    Uwe

     


    Donnerstag, 1. Dezember 2011 07:37

Alle Antworten

  • Mir fällt dazu eine Regelmäßigkeit auf:

    • Starte ich eine CMD (oder die Aufgabe) schläg immer der erste ADMT Befehl mit ERR2:008x fehl
    • Dauert in der Abfolge der ADMT Befehle ein ADMT Befehl länger, dann schlägt der darauf folgende ADMT Befehl mit  ERR2:008x fehl

    Gibt es irgendein Timeout, wann der PES Server vielleicht schlafen geht und dann nicht schnell genug antwortet?

    Freitag, 2. Dezember 2011 07:06
  • Hallo Uwe,

    vielleicht kann es an SMB Signing liegen. Versuche mal mit folgende RegKey Änderung auf den Ziel DC:

    EnableSecuritySignature unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters zu aktivieren.

    Zusätzlich könntest Du auch versuchen die Sichercheitseinstellungen zu erleichtern, aber das würde ich nur als Testzweck machen, da es bei Dir schon funktioniert, auch wenn nicht beim ersten Versuch:

    1. Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options/Network access öffnen.

    2. Die Policy "Let Everyone permissions apply to anonymous users" aktivieren.

    Folgende Keys ändern:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymous = 0

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\RestrictAnonymoussam = 0

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\Everyoneincludesanonymous=1

    4. Gpupdate /force

    Auf der Ziel Domäne:

    1. Den PES ordner von alte Domäne auf Ziel Domäne kopieren.

    2. Die aktuellste PES MSI installieren.

    3. Folgende RegKey ändern:

    Unter HKLM/System/CurrentControlSet/Control/Lsa den Wert für Password Export Server auf 1 setzen.

    4. Den Password Export Server Dienst starten.

    5. Den DC neustarten.

    Gruss,
    Raul

    Mittwoch, 7. Dezember 2011 14:54
    Moderator
  • Hallo Raul,

    danke für die Info. Auf welches Problem bezieht sich dein Vorschlag? Die Fehler ERR2:0080/ERR2:0081 umgehe ich mittlerweile, indem ich vor jedem "richtigen" ADMT Task ein "Dummy" ADMT Task laufen lassen. Der "Dummy" ADMT Task soll einfach ein Test Account/Gruppe migrieren. Dieser Task schlägt dann zwar fehl, öffnet aber wohl die Verbindung und der folgende richtige ADMT Task läuft dann fehlerfrei. Da dieser doch etwas ungewöhnliche Workaround aber funktioniert, will ich an den DC's so wenig wie möglich ändern.

    Oder betrifft dein Vorschlag das vereinzelte Problem mit der Kennwortmigration WRN1:7557?

    Danke und Gruß

    Uwe

    Donnerstag, 8. Dezember 2011 07:24
  • Hallo Uwe,

    auf die ersten 2 Errors bezieht sich mein Vorschlag. Da Du schon diesen Workaround hast und nicht viel am DC rumtreiben willst, dann macht es nicht viel Sinn die Änderungen zu machen.

    Ich Tippe allerdings auf ein Zusammenhang zwischen diesen 2 Problemen, da es im beiden Fällen am PES hängt. Du könntest die erste Key als Test Zweck ändern um zu überprüfen, ob es dann funktioniert.

    Gruss,
    Raul

    Donnerstag, 8. Dezember 2011 16:28
    Moderator
  • Hallo Raul,

    Unter HKLM/System/CurrentControlSet/Control/Lsa den Wert für Password Export Server auf 1 setzen?

    Der Key "Password Export Server" existiert nicht, muss der angelegt werden? Es gibt nur den Key "AllowPasswordExport".

    Gruß

    Uwe

    Freitag, 9. Dezember 2011 06:45
  • Hallo Uwe,

    Ist der Wert für "AllowPasswordExport" auf 1 gesetzt?

    Übeprüfe bitte auch folgenden Artikel:

    Wenn Du die Passwort Migration durchführst und Du die Fehlermeldung WRN1:7557 bekommst, funktioniert es eigentlich gar nicht für alle User? ( die nicht immer dieselben sind ). Oder einige funktionieren und einige nicht.
    Überprüfe auch ob die Berechtigungen für den PES Service Account stimmen:
    Auf den Source DC sollte dieser Domain Admin sein
    Auf den Ziel DC sollte dieser Administrator sein
    Ansonsten kannst Du auch ein Trace erstellen und für ein bestimmten Benutzer bei den Du den Fehler WRN1:7557 bekommst in den Trace schauen und sehen was für ein Rechte Fehler dort auftaucht:
    netsh trace start capture=yes maxsize=300 filemode=circular persistent=yes traceFile=c:\%computername%_cap.etl
    Die Migration ausführen
    netsh trace stop
    Gruss,
    Raul

     


    Freitag, 9. Dezember 2011 09:48
    Moderator
  • Hallo Raul,

    ich habe nun erst einmal alle Einstellungen vorgenommen und will den nächsten ADMT Lauf heute Abend abwarten.

    Die Meldung WRN1:7557 bekomme ich nur bei einigen wenigen User Accounts. Davon sind ein paar immer dabei und andere wechseln.

    Gruß

    Uwe

    Freitag, 9. Dezember 2011 11:29
  • Hallo Raul,

    alle Fehler sind trotz vorgenommener Einstellungen aus deinem ersten Beitrag weiterhin vorhanden. Die Fehler ERR2:0080/ERR2:0081 kann ich weiterhin erfolgreich umgehen. Die Meldung WRN1:7557 bekomme ich allerdings nicht weg.

    Wenn ich die Accounts aus der durch die Meldung WRN1:7557 erzeugten Password.txt manuell noch einmal in der CMD migriere, wird der Fehler nicht wieder erzeugt, obwohl ich die gleichen Optionen etc. verwende.

    Da am kommenden Freitag der finale ADMT Lauf durchgeführt wird, werde ich es nun dabei belassen und die paar User manuell nachmigrieren.

    Danke und Gruß

    Uwe

     

    Montag, 12. Dezember 2011 11:38