Windows Server 2008 R2 uitgaande vertrouwensrelaties met Windows NT 4.0-domeinen valideren of niet goed

Vertaalde artikelen Vertaalde artikelen
Sluiten Sluiten
Artikel ID: 2021766 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Symptomen

Het volgende scenario test:

  1. Bevordering van een domeincontroller voor Windows Server 2008 R2 en Windows NT 4.0-domeincontroller naar twee verschillende domeinen.

    Beveiligingsinstellingen in Windows Server 2008 R2-domein als volgt configureren:

    Computerconfiguratie\Beleid\Windows-instellingen\Beveiligingsinstellingen\Lokaal Beleid\beveiligingsopties

    DC: LDAP-ondertekening vereisten: geen
    DC: Digitaal coderen of ondertekenen (altijd) gegevens in beveiligd kanaal: uitgeschakeld
    Lid van domein: Sterke vereisen (w2k of hoger) sessiesleutel: uitgeschakeld
    MS-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd): uitgeschakeld
    MS-netwerkserver: servercommunicatie digitaal ondertekenen (altijd): uitgeschakeld
    Netwerktoegang: anonieme SID-/ naamomzetting toestaan: ingeschakeld
    Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan: uitgeschakeld
    Netwerktoegang: De permissies voor iedereen op anonieme gebruikers toepassen: ingeschakeld
    Netwerkbeveiliging: Lan Manager-verificatieniveau: LM en NTLM-antwoorden verzenden
    Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde clients: geen minimum
    Netwerkbeveiliging: Minimale sessiebeveiliging voor op NTLM SSP gebaseerde servers: geen minimum
    Netwerkbeveiliging: Vereisten voor ondertekenen LDAP-client: geen

    Computer Configuration\Policies\Administrative Templates\system\net logon\

    Cryptografie, algoritmen compatibel met windows NT4 toestaan: ingeschakeld

  2. Gebruiken vanuit de console van Windows Server 2008 R2 DC domeinen en vertrouwensrelaties (domain.msc)-module aan een uitgaande vertrouwensrelatie maken met NT 4.0-domein (dat Windows Server 2008 R2 als het vertrouwende fungeert / bronnendomein en Windows NT 4.0-domein fungeert als de vertrouwde / domein-account).

  3. Let op dat de module Domain.msc niet gevalideerd Windows Server 2008 R2 domeinen uitgaande vertrouwensrelatie met het NT 4.0-domein met de volgende scherm fout:

    Dialoogvenster titeltekst: Active Directory Domain Services

    Tekst in het dialoogvenster fout: Controle van de vertrouwensrelatie tussen domein < domeinnaam voor Windows Server 2008 R2 Active Directory-domein > en domain < Windows NT 4.0-NetBIOS-domeinnaam > is mislukt omdat: toegang geweigerd.

    Herstellen van een vertrouwensrelatie met een pre-Windows 2000-domein, moet u verwijderen en opnieuw de vertrouwensrelatie aan beide zijden.

    OK




  4. NETLOGON-gebeurtenis 3210 met status c00000022 vastgelegd in het systeemlogboek van de volgende vertrouwensverificatie domain.msc in Windows Server 2008 R2-computer.


    Naam zich: systeem
    Bron: NETLOGON
    Datum: <date> <time>
    Gebeurtenis-ID: 3210
    Taak categorie: geen
    Niveau: fout
    Trefwoorden: klassiek
    Gebruiker: N.v.t.
    Computer: WIN-KJNCA5BPH95.contoso.com
    Beschrijving:
    Deze computer niet kan verifiëren met \\NT4PDC, een Windows-domeincontroller voor domein NT4DOM en deze computer kan daarom aanmeldingsaanvragen weigeren. Dit onvermogen geverifieerd kan worden veroorzaakt door een andere computer in hetzelfde netwerk dezelfde naam of het wachtwoord voor de computeraccount van deze niet wordt herkend. Als dit bericht opnieuw verschijnt, neem dan contact op met uw systeembeheerder.
    Gebeurtenis Xml:
    < gebeurtenis xmlns="http://schemas.microsoft.com/win/2004/08/events/event" >
    <System>
    < naam van provider = "netlogon" / >
    < kwalificaties EventID = "0" > 3210 </EventID>
    <Level> 2 </Level>
    <Task> 0 </Task>
    <Keywords> 0x80000000000000 </Keywords>
    < TimeCreated SystemTime = "2010-07-20T21:40:05.000000000Z" / >
    <EventRecordID> 9221 </EventRecordID>
    <Channel> systeem </Channel>
    WIN KJNCA5BPH95.contoso.com <Computer> </Computer>
    <Security/>
    </System>
    <EventData>
    <Data> NT4DOM </Data>
    <Data> \\NT4PDC </Data>
    <Binary> 220000C0 </Binary>
    </EventData>
    </Event>

  5. Via de vertrouwensrelatie oubound geverifieerde bewerkingen mislukken. Bijvoorbeeld mislukt een opdracht net use een gedeelde map in het vertrouwende domein door een gebruiker in het vertrouwde domein met de volgende fout:

    Dialoogvenster titeltekst: \\ < servernaam > \ < sharenaam >
    Tekst in het dialoogvenster fout: Kan de vertrouwensrelatie tussen het primaire domein en het vertrouwde domein.


  6. Pogingen van de Windows Server 2008 R2-domeincontroller in het vertrouwende domein kan een beveiligd kanaal sessie met de vertrouwde Windows NT 4.0-domein met foutstatus 0xc002002e.

    NETLOGN.LOGBOEK van Windows Server 2008 R2 DC Netlogon logboekregistratie ingeschakeld (nltest /debug:2080ffff) geeft het volgende:

<date> <time> NlPrintRpcDebug [kritieke]: uitgebreide fout Dumping voor I_NetLogonGetCapabilities met 0xc002002e
<date> <time> [kritiek] [0] ProcessID is 488
<date> <time> [kritiek] [0] systeemtijd is: 20-7-2010 21:40:5:754
<date> <time> [kritiek] [0] genereren onderdeel is 2
<date> <time> [kritiek] [0] Status is 1745
<date> <time> [kritiek] [0] detectie locatie is 1750
<date> <time> [kritiek] [0] vlaggen is 0
<date> <time> [kritiek] [0] is 1 NumberOfParameters
<date> <time> Long val [kritieke]: 469827586
<date> <time> [kritieke] CONTOSO domein: NT4DOM: NlConfirmCapabilities: toegang weigeren na status: 0xc002002e
<date> <time> [sessie] domein CONTOSO: NT4DOM: NlSessionSetup: toegang weigeren vanwege factureringstaken mogelijkheden
<date> <time> [Diversen] Eventlog: 3210 (1) "nt4dom" "\\NT4PDC" 2f8270f1 5bc8d5e7 34c3e164 6665df64. p. /...[d..4d.EF

Fout code 0xc002002e toegewezen aan 'buiten bereik is het procedurenummer van de ' (RPC_NT_PROCNUM_OUT_OF_RANGE).

Zie voor informatie over het inschakelen van logboekregistratie Netlogon de volgende Microsoft Knowledge Base:

109626 Logboekregistratie voor de Net Logon-service inschakelen voor foutopsporing

Oorzaak

In het algemeen niet Netlogon veilige kanalen vertrouwensrelaties maken en lidcomputers toevoegen aan Windows of Active Directory-domeinen worden ondersteund tussen computers met Windows NT 4.0 en Windows Server 2008 / Windows Server 2008 R2-computers in een willekeurige richting omdat ze niet zijn getest.

AllowNT4Crypto beveiligde standaard Windows Server 2008 en Windows Server 2008 R2-besturingssystemen wordt voorkomen de ontvanger (maar niet de initiator) van een vertrouwensrelatie met NT 4.0-domein tot beveiligde standaardwaarde handmatig is versoepeld bovendien met een van de methoden beschreven in artikel MSKB 942564.

Als onderdeel van een blijvende inspanning om beveiliging te verbeteren, ondersteuning voor Windows 7 en Windows Server 2008 R2 computers gebruiken de API NetrLogonGetCapabilities om ervoor te zorgen dat besturingssysteem partner veiliger crypto mogelijkheden na de sessie van een beveiligd kanaal.

De NetrLogonGetCapabilities API wordt ondersteund door Windows 2000 en latere versies van Windows, maar niet door Windows NT4. Daardoor pogingen van een Windows Server 2008 R2-domeincontroller een uitgaande vertrouwensrelatie maken met NT 4.0-computer (Windows Server 2008 R2 worden waar rekening domein en fungeert als de vertrouwde Windows NT 4.0 of domein / fungeert als het vertrouwende) mislukt met status c002002e (RPC_NT_PROCNUM_OUT_OF_RANGE), waardoor de vertrouwensrelatie setup mislukt.

De NlConfirmCapabilities-API wordt aangeroepen door Windows 7 en Windows Server 2008 R2-computers Als u een beveiligd kanaal en speciaal door Windows Server 2008 R2 computers bij het valideren van uitgaande vertrouwensrelatie relatie.

De aanroep NetrLogonGetCapabilities API voorkomt dat computers Windows 7 en Windows Server 2008 R2 vaststelling van veilige kanalen en vandaar uitgaande vertrouwensrelaties met Windows NT 4.0-computers niet uitgeschakeld of uitgeschakeld door elke methode, waaronder de instellingen in Groepsbeleid voor Windows of het Windows-register.

Oplossing

Hoewel computers met Windows Server 2008 R2 geen uitgaande vertrouwensrelaties met Windows NT 4.0-domeinen maken, kunnen dergelijke uitgaande vertrouwensrelaties met Windows 2000, Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2-domeinen worden vastgesteld.

Computers met Windows 2000, Windows Server 2003 en Windows Server 2008 kunnen uitgaande vertrouwensrelaties met Windows NT 4.0-domeinen maken Hoewel deze functie niet is getest in Windows Server 2008 en een wijziging in de instelling AllowNT4Crypto op domeincontrollers Windows Server 2008 deelnemen aan de vertrouwensrelatie vereist.

Geldige oplossingen voor het oplossen van dit probleem zijn:

  1. Windows NT 4.0-domeincontrollers bijwerken naar Windows 2003 of een later besturingssysteem herziening.

    Hoewel Windows 2000 nodig om dit probleem oplossen door het niveau van de minimale besturingssysteem, wordt Windows 2000 niet meer ondersteund na 13 juli 2010, zodat u Windows Server 2003 of nieuwere versies van Windows moet implementeren. Zie Windows 2000 End ondersteuning Solution Centervoor meer informatie over het beleid van de levenscyclus van Windows 2000.

    OF

  2. Downgrade van uw implementatie van Windows Server 2008 R2-computers met Windows Server 2008-computers

    Ervan uitgaande dat uw implementatie geen afhankelijkheid van een Windows Server 2008 R2 alleen functie (directe toegang, DNSSEC of een afhankelijkheid OS versie door een toepassing op de server) vervangen door de implementatie van Windows Server 2008 R2-domeincontrollers met Windows Server 2008 DCs.

    Terwijl Netlogon veilige kanalen niet tussen Windows NT 4.0 en Windows Server 2008-computers getest zijn, Windows Server 2008 gebruikt geen veiliger methode vast te stellen van veilige kanalen. Zie voor meer informatie over downgraderechten Downgrade van Windows Server.


Zie voor meer informatie over vertrouwensrelaties aanhangsel: pagina van de Wizard Nieuwe vertrouwensrelatie

Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst voor overige aandachtspunten.

Eigenschappen

Artikel ID: 2021766 - Laatste beoordeling: dinsdag 22 maart 2011 - Wijziging: 2.0
De informatie in dit artikel is van toepassing op:
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
Trefwoorden: 
kbmt KB2021766 KbMtnl
Automatisch vertaald artikel
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:2021766

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com