Windows Server 2008 R2 εξερχόμενων σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0 δεν επικυρώνουν ή δεν λειτουργεί σωστά

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 2021766 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Εξετάστε το ακόλουθο σενάριο δοκιμής:

  1. Να προβιβάσετε έναν ελεγκτή τομέα Windows Server 2008 R2 και ενός ελεγκτή τομέα των Windows NT 4.0 σε δύο διαφορετικούς τομείς.

    Ρύθμιση παραμέτρων ασφαλείας στον τομέα των Windows Server 2008 R2 ως εξής:

    Υπολογιστή\Πολιτικές\Ρυθμίσεις Windows Windows\Ρυθμίσεις ασφαλείας\Τοπικές Πολιτικές\επιλογές ασφαλείας

    Απαιτήσεις υπογραφής του ελεγκτή Τομέα: LDAP Server: κανένα
    Ελεγκτής Τομέα: Ψηφιακή κρυπτογράφηση ή υπογραφή δεδομένων ασφαλούς καναλιού (πάντα): απενεργοποιημένη
    Μέλος τομέα: Απαιτείται ισχυρό (w2k ή νεότερη έκδοση) κλειδιού περιόδου λειτουργίας: απενεργοποιημένη
    Πρόγραμμα-πελάτης δικτύου MS: ψηφιακή υπογραφή επικοινωνιών (πάντα): απενεργοποιημένη
    Διακομιστής δικτύου MS: ψηφιακή υπογραφή επικοινωνιών (πάντα): απενεργοποιημένη
    Πρόσβαση δικτύου: να επιτρέπεται η μετάφραση ανώνυμου SID/ονόματος: ενεργοποιημένη
    Πρόσβαση δικτύου: δεν επιτρέπεται η ανώνυμη απαρίθμηση SAM λογαριασμών: απενεργοποιημένη
    Πρόσβαση δικτύου: Αφήστε όλους τους χρήστες δικαιώματα ισχύουν για ανώνυμους χρήστες: ενεργοποιημένη
    Ασφάλεια δικτύου: Επίπεδο ελέγχου ταυτότητας Lan Manager: Αποστολή αποκρίσεων LM και NTLM
    Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου για το SSP του NTLM βασίζεται σε προγράμματα-πελάτες: χωρίς ελάχιστο
    Ασφάλεια δικτύου: Ελάχιστη ασφάλεια περιόδου για το SSP του NTLM βασίζεται σε διακομιστές: χωρίς ελάχιστο
    Απαιτήσεις υπογραφής υπολογιστή-πελάτη LDAP ασφάλεια δικτύου:: Κανένα

    Logon\ Configuration\Policies\Administrative Templates\system\net υπολογιστής

    Επιτρέπουν συμβατό με τα windows NT4 αλγόριθμους κρυπτογράφησης: ενεργοποιημένη

  2. Από την κονσόλα του Windows Server 2008 R2 DC, χρησιμοποιήστε το Domains and Trusts (domain.msc) συμπληρωματικό για να δημιουργήσετε μια σχέση αξιοπιστίας εξερχόμενων με τον τομέα NT 4.0 (Windows Server 2008 R2 χρησιμεύει ως την αξιοπιστία που / τομέα πόρων και εξυπηρετεί τομέα Windows NT 4.0 ως την αξιόπιστη / λογαριασμό τομέα).

  3. Σημειώστε ότι το συμπληρωματικό πρόγραμμα Domain.msc αποτυγχάνει για την επικύρωση Windows Server 2008 R2 τομείς εξερχόμενων αξιοπιστίας με τομέα NT 4.0 με το ακόλουθο σφάλμα στην οθόνη:

    Κείμενο τίτλου διαλόγου: Οι υπηρεσίες τομέα Active Directory

    Παράθυρο διαλόγου σφάλματος κειμένου: Επαλήθευση της σχέσης αξιοπιστίας μεταξύ του τομέα < όνομα τομέα DNS για τον τομέα των Windows Server 2008 R2 Active Directory > και < όνομα τομέα των Windows NT 4.0 NetBIOS > τομέα ήταν ανεπιτυχής επειδή: δεν επιτρέπεται η πρόσβαση.

    Για να επιδιορθώσετε μια σχέση αξιοπιστίας σε έναν τομέα πριν τα Windows 2000 πρέπει να καταργήσετε και να προσθέσετε εκ νέου τη σχέση αξιοπιστίας και στις δύο πλευρές.

    OK




  4. NETLOGON 3210 συμβάντων με κατάσταση c00000022 καταγράφεται στο αρχείο καταγραφής συμβάντων του συστήματος του υπολογιστή Windows Server 2008 R2 μετά την επικύρωση αξιόπιστων στο domain.msc.


    Σύνδεση όνομα: σύστημα
    Πηγή: NETLOGON
    Ημερομηνία: <date> <time>
    Το Αναγνωριστικό συμβάντος: 3210
    Εργασία κατηγορία: κανένα
    Επίπεδο: σφάλμα
    Λέξεις-κλειδιά: κλασικό
    Χρήστης: δ/Υ
    Υπολογιστή: ΝΊΚΗ-KJNCA5BPH95.contoso.com
    Περιγραφή:
    Αυτός ο υπολογιστής θα μπορούσε να μην γίνεται έλεγχος ταυτότητας με \\NT4PDC, έναν ελεγκτή τομέα των Windows για τον τομέα NT4DOM και, επομένως, αυτός ο υπολογιστής ενδέχεται να απορρίψουν αιτήσεις σύνδεσης. Αυτή η αδυναμία ελέγχου ταυτότητας μπορεί να οφείλεται σε έναν άλλον υπολογιστή στο ίδιο δίκτυο με το ίδιο όνομα ή τον κωδικό πρόσβασης για αυτόν το λογαριασμό υπολογιστή δεν αναγνωρίζεται. Εάν εμφανιστεί ξανά αυτό το μήνυμα, επικοινωνήστε με το διαχειριστή του συστήματός σας.
    Xml συμβάντος:
    < συμβάντος xmlns="http://schemas.microsoft.com/win/2004/08/events/event" >
    <System>
    < όνομα υπηρεσίας παροχής = "netlogon" / >
    < προσδιοριστικά Αναγνωριστικό_συμβάντος = "0" > 3210 </EventID>
    <Level> 2 </Level>
    <Task> 0 </Task>
    <Keywords> 0x80000000000000 </Keywords>
    < TimeCreated SystemTime = "2010-07-20T21:40:05.000000000Z" / >
    <EventRecordID> 9221 </EventRecordID>
    <Channel> σύστημα </Channel>
    ΝΊΚΗ-KJNCA5BPH95.contoso.com <Computer> </Computer>
    <Security/>
    </System>
    <EventData>
    <Data> NT4DOM </Data>
    <Data> \\NT4PDC </Data>
    220000C0 <Binary> </Binary>
    </EventData>
    </Event>

  5. Οι λειτουργίες με έλεγχο ταυτότητας μέσω της αξιοπιστίας oubound αποτύχουν. Για παράδειγμα, μια εντολή net use με έναν κοινόχρηστο φάκελο του αξιόπιστου τομέα από ένα χρήστη αξιόπιστου τομέα αποτυγχάνει με το ακόλουθο μήνυμα λάθους:

    Παράθυρο διαλόγου κείμενο τίτλου: \\ < όνομα διακομιστή > \ < όνομα κοινόχρηστου στοιχείου >
    Παράθυρο διαλόγου σφάλματος κειμένου: Απέτυχε Η σχέση εμπιστοσύνης μεταξύ του πρωτεύοντος τομέα και του αξιόπιστου τομέα.


  6. Δεν είναι δυνατή η δημιουργία περιόδου λειτουργίας ασφαλούς καναλιού με αξιόπιστο τομέα των Windows NT 4.0 με κατάσταση σφάλματος 0xc002002e προσπάθειες από τον Windows Server 2008 R2 DC του αξιόπιστου τομέα.

    Το NETLOGN.Αρχείο ΚΑΤΑΓΡΑΦΉΣ του Windows Server 2008 R2 DC με καταγραφή Netlogon ενεργοποιημένη (nltest /debug:2080ffff) εμφανίζει τα ακόλουθα:

<date> <time> NlPrintRpcDebug [ΚΡΊΣΙΜΗ]: ντάμπινγκ εκτεταμένο σφάλμα για I_NetLogonGetCapabilities με 0xc002002e
<date> <time> [ΚΡΊΣΙΜΗ] [0] Αναγνωριστικό διεργασίας είναι 488
<date> <time> [ΚΡΊΣΙΜΗ] [0] είναι η ώρα συστήματος: 21:40:5:754 20/7/2010
<date> <time> [ΚΡΊΣΙΜΗ] [0] Δημιουργία στοιχείου είναι 2
<date> <time> [ΚΡΊΣΙΜΗ] [0] η κατάσταση είναι 1745
<date> <time> [ΚΡΊΣΙΜΗ] [0] θέση εντοπισμού είναι 1750
Σημαίες <date> <time> [ΚΡΊΣΙΜΗ] [0] είναι 0
<date> <time> [ΚΡΊΣΙΜΗ] [0] το πλήθος παραμέτρων είναι 1
<date> <time> [ΚΡΊΣΙΜΗ] μεγάλη τιμή: 469827586
<date> <time> [ΚΡΊΣΙΜΗ] CONTOSO ΤΟΜΈΩΝ: NT4DOM: NlConfirmCapabilities: άρνηση πρόσβασης μετά την κατάσταση: 0xc002002e
<date> <time> [περιόδου ΛΕΙΤΟΥΡΓΊΑΣ] CONTOSO ΤΟΜΈΑ: NT4DOM: NlSessionSetup: άρνηση πρόσβασης εξαιτίας των δυνατοτήτων unmatching
<date> <time> [MISC] αρχείο καταγραφής συμβάντων: 3210 (1) "nt4dom" "\\NT4PDC" 2f8270f1 5bc8d5e7 34c3e164 6665df64. p. /...[δ..4d.EF

Ο κωδικός σφάλματος 0xc002002e που αντιστοιχεί σε "είναι Ο αριθμός διαδικασία εκτός της περιοχής" (RPC_NT_PROCNUM_OUT_OF_RANGE).

Για πληροφορίες σχετικά με την καταγραφή Netlogon, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft:

109626 Ενεργοποίηση ο εντοπισμός σφαλμάτων του αρχείου καταγραφής για την υπηρεσία σύνδεσης δικτύου

Αιτία

Γενικά, δεν υποστηρίζονται Netlogon ασφαλών καναλιών που χρησιμοποιούνται για τη δημιουργία σχέσεων αξιοπιστίας και συμμετάσχετε σε υπολογιστές-μέλη με τομείς των Windows ή της υπηρεσίας καταλόγου Active Directory ανάμεσα σε υπολογιστές Windows NT 4.0 και Windows Server 2008 / Windows Server 2008 R2 υπολογιστές προς οποιαδήποτε κατεύθυνση επειδή δεν έχουν δοκιμαστεί.

Επιπλέον, ασφαλή προεπιλογή δεν οικογένεια λειτουργικών συστημάτων Windows Server 2008 και Windows Server 2008 R2 θα δέκτη (αλλά όχι ο ιδρυτής) μιας σχέσης αξιοπιστίας με έναν τομέα NT 4.0 μέχρι ότι με μη αυτόματο τρόπο είναι ασφαλές προεπιλεγμένη AllowNT4Crypto χαλαρό και δίπλα χρησιμοποιώντας μία από τις μεθόδους που περιγράφονται στο άρθρο MSKB 942564.

Ως μέρος της μια συνεχή προσπάθεια για τη βελτίωση της ασφάλειας, τα Windows 7 και Windows Server 2008 R2 χρήση υπολογιστών το API NetrLogonGetCapabilities για να εξασφαλίσετε το λειτουργικό σύστημα του συνεργάτη που υποστηρίζει πιο ασφαλείς δυνατότητες κρυπτογράφησης μετά τη δημιουργία μιας περιόδου λειτουργίας ασφαλούς καναλιού.

ΤοNetrLogonGetCapabilities API υποστηρίζεται από τα Windows 2000 και οι νεότερες εκδόσεις των Windows, αλλά δεν από τα Windows NT4. Ως αποτέλεσμα, από ένα DC R2 Windows Server 2008 για να δημιουργήσετε μια σχέση αξιοπιστίας εξερχόμενων με έναν υπολογιστή με NT 4.0 (όπου Windows Server 2008 R2 χρησιμεύει ως την αξιόπιστη / λογαριασμός τομέα και τα Windows NT 4.0 εξυπηρετεί ως την αξιόπιστη ή λογαριασμό τομέα) αποτυγχάνει με κατάσταση c002002e (RPC_NT_PROCNUM_OUT_OF_RANGE), προκαλεί την αξιοπιστία του προγράμματος εγκατάστασης για να αποτύχει.

Το API NlConfirmCapabilities καλείται από υπολογιστές Windows 7 και Windows Server 2008 R2Όταν ορίζετε ένα ασφαλές κανάλι, και συγκεκριμένα από τους υπολογιστές του Windows Server 2008 R2 κατά την επικύρωση μιας σχέσης αξιοπιστίας εξερχόμενων

Την κλήση του NetrLogonGetCapabilities API που εμποδίζει τη δημιουργία ασφαλών καναλιών και ως εκ τούτου εξερχόμενων σχέσεις αξιοπιστίας με υπολογιστές με Windows NT 4.0 υπολογιστές Windows 7 και Windows Server 2008 R2 δεν είναι δυνατό να απενεργοποιηθεί ή να απενεργοποιηθεί με οποιαδήποτε μέθοδο, συμπεριλαμβανομένων των ρυθμίσεων πολιτικής των Windows ή στο μητρώο των Windows.

Προτεινόμενη αντιμετώπιση

Ενώ οι υπολογιστές του Windows Server 2008 R2 δεν μπορούν να δημιουργήσουν εξερχόμενα σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0, οι εξερχόμενες σχέσεις αξιοπιστίας μπορεί να δημιουργηθεί με τα Windows 2000, Windows Server 2003, Windows Server 2008 και Windows Server 2008 R2 τομείς.

Υπολογιστές Windows 2000, Windows Server2003 και Windows Server 2008 να δημιουργήσετε εξερχόμενων σχέσεις αξιοπιστίας με τομείς των Windows NT 4.0, παρόλο που αυτή η δυνατότητα δεν έχει δοκιμαστεί στα Windows Server 2008 και θα απαιτούσε μια αλλαγή στη ρύθμιση AllowNT4Crypto σε ελεγκτές τομέα Windows Server 2008 που συμμετέχουν σε τη σχέση αξιοπιστίας.

Έγκυρες λύσεις για την επίλυση ο όρος αυτός περιλαμβάνει:

  1. Αναβάθμιση των ελεγκτών τομέα των Windows NT 4.0 σε Windows 2003 ή μεταγενέστερο λειτουργικό σύστημα αναθεώρηση.

    Παρόλο που τα Windows 2000 είναι το ελάχιστο λειτουργικό σύστημα επίπεδο που απαιτείται για να επιλύσετε αυτό το ζήτημα, τα Windows 2000 δεν υποστηρίζεται πλέον μετά τις 13 Ιουλίου 2010, έτσι θα πρέπει να αναπτύξετε τα Windows Server 2003 ή νεότερες εκδόσεις των Windows. Για περισσότερες πληροφορίες σχετικά με την πολιτική κύκλου ζωής των Windows 2000, ανατρέξτε στο Κέντρο λύσεων του Windows 2000-ενισχύσεων.

    OR

  2. Υποχαρακτηρίζουν ανάπτυξη του Windows Server 2008 R2 υπολογιστές με υπολογιστές Windows Server 2008

    Με την προϋπόθεση ότι την ανάπτυξή σας δεν διαθέτει μια εξάρτηση στο Windows Server 2008 R2 μόνο δυνατότητα (δηλαδή άμεση πρόσβαση, DNSSEC ή μια εξάρτηση έκδοση λειτουργικού Συστήματος από μια εφαρμογή που βασίζεται σε διακομιστή), αντικαταστήστε την ανάπτυξη των ελεγκτών τομέα του Windows Server 2008 R2 με ελεγκτές τομέα του Windows Server 2008.

    Ενώ δεν δοκιμάστηκαν Netlogon ασφαλή κανάλια μεταξύ των Windows NT 4.0 και των υπολογιστών με Windows Server 2008, Windows Server 2008 δεν χρησιμοποιεί την πιο ασφαλή μέθοδο για τη δημιουργία ασφαλών καναλιών. Για περισσότερες πληροφορίες σχετικά με τα δικαιώματα υποβάθμιση, δείτε Υποχαρακτηρίζουν διακομιστή των Windows.


Για περισσότερες πληροφορίες σχετικά με την κατεύθυνση αξιοπιστίας, ανατρέξτε στην ενότητα προσάρτημα: νέες σελίδες του οδηγού αξιοπιστίας

Σημείωση Αυτό είναι ένα άρθρο «ΤΑΧΕΙΑΣ ΔΗΜΟΣΙΕΥΣΗΣ» που δημιουργήθηκε απευθείας από τον οργανισμό υποστήριξης της Microsoft. Οι πληροφορίες που περιλαμβάνονται σε αυτό το άρθρο, παρέχονται ως απόκριση σε θέματα που προκύπτουν. Ως αποτέλεσμα της ταχύτητας διάθεσής του, το υλικό ενδέχεται να έχει τυπογραφικά λάθη και να αναθεωρηθεί ανά πάσα στιγμή χωρίς ειδοποίηση. Ανατρέξτε στους Όρους χρήσης για άλλα ζητήματα.

Ιδιότητες

Αναγν. άρθρου: 2021766 - Τελευταία αναθεώρηση: Τετάρτη, 25 Μαΐου 2011 - Αναθεώρηση: 4.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
Λέξεις-κλειδιά: 
kbmt KB2021766 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:2021766

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com