Windows Server 2008 R2 исходящие доверительные отношения между доменами Windows NT 4.0 не проверять или работать неправильно

Переводы статьи Переводы статьи
Код статьи: 2021766 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

Рассмотрим следующий сценарий теста:

  1. Повысить роль контроллера домена Windows NT 4.0 для двух разных доменах и контроллере домена Windows Server 2008 R2.

    Настройка параметров безопасности в домене Windows Server 2008 R2:

    Конфигурация Windows\Параметры безопасности\Локальные Политики\параметры безопасности

    Контроллера Домена: Требования К подписи LDAP сервера: нет
    Контроллер Домена: Цифровая подпись или шифрование данных безопасного канала (всегда): отключено
    Член домена: Требует strong (w2k или более поздней версии) ключ сеанса: отключено
    Клиент сети MS: использовать цифровую подпись (всегда): отключено
    Сервер сети MS: использовать цифровую подпись (всегда): отключено
    Доступ К сети: разрешить трансляцию анонимного SID в имя: включено
    Сетевой доступ: не разрешать перечисление SAM учетных записей: отключено
    Сетевой доступ: Разрешать применение разрешений для анонимных пользователей для всех: включено
    Сетевая безопасность: Уровень проверки подлинности Lan Manager: Отправлять LM и NTLM ответы
    Сетевая безопасность: Минимальная сеансовая безопасность для NTLM SSP на базе клиентов: не менее
    Сетевая безопасность: Минимальная сеансовая безопасность для NTLM SSP на базе серверов: не менее
    Сетевая безопасность: Требования подписывания клиента LDAP: нет

    Конфигурация компьютера\Политики\Административные Templates\system\net logon\ компьютера

    Разрешить криптографические алгоритмы, совместимые с windows NT4: включено

  2. С консоли контроллера Домена Windows Server 2008 R2, используйте домены и доверие (domain.msc) оснастки для установления исходящего отношения доверия с доменом NT 4.0 (таким образом, что Windows Server 2008 R2 служит доверие / ресурсов домена и домена Windows NT 4.0, служит в качестве доверенных / учетная запись домена).

  3. Обратите внимание, что оснастка Domain.msc не на экране проверки доменов Windows Server 2008 R2 исходящего доверия с доменом NT 4.0 с помощью следующих ошибок:

    Текст заголовка диалогового окна: Служб домена Active Directory

    Диалоговое окно текст сообщения об ошибке: Не удалось выполнить проверки доверительных отношений между доменами < имя домена Windows NT 4.0 NetBIOS > и < имя домена DNS для домена Windows Server 2008 R2 Active Directory > домена так как: доступ запрещен.

    Чтобы восстановить доверие к домену пред-Windows 2000 необходимо удалить и повторно добавить отношение доверия с обеих сторон.

    ОК




  4. 3210 Событий NETLOGON с c00000022 состояние регистрируется в журнале системных событий на компьютере Windows Server 2008 R2 после проверки доверия в domain.msc.


    Регистрировать имя: система
    Источник: NETLOGON
    Дата: <date> <time>
    КОД события: 3210
    Категория задачи: нет
    Уровень: Ошибка
    Ключевые слова: классический
    Пользователь: н/Д
    Компьютер: WIN-KJNCA5BPH95.contoso.com
    Описание:
    Этот компьютер не может проверить подлинность с помощью \\NT4PDC, контроллере домена NT4DOM, и таким образом этот компьютер может отклонять запросы на вход в систему. Неспособность проверить может быть вызвана с другого компьютера в той же сети, используя то же имя и пароль учетной записи этого компьютера не распознан. Если это сообщение появится снова, обратитесь к системному администратору.
    События Xml:
    < xmlns="http://schemas.microsoft.com/win/2004/08/events/event события» >
    <System>
    < имя поставщика = «netlogon» / >
    < квалификаторы EventID = «0» > 3210 </EventID>
    <Level> 2 </Level>
    <Task> 0 </Task>
    <Keywords> 0x80000000000000 </Keywords>
    < TimeCreated SystemTime = "2010-07-20T21:40:05.000000000Z" / >
    <EventRecordID> 9221 </EventRecordID>
    <Channel> система </Channel>
    <Computer> WIN-KJNCA5BPH95.contoso.com </Computer>
    <Security/>
    </System>
    <EventData>
    <Data> NT4DOM </Data>
    <Data> \\NT4PDC </Data>
    220000C0 <Binary> </Binary>
    </EventData>
    </Event>

  5. Сбой операции прошедших проверку подлинности через доверие oubound. Например команды net use в общей папке в доверяющем домене пользователя в доверенном домене выдает следующее сообщение об ошибке:

    Текст заголовка диалогового окна: \\ < имя_сервера > \ < имя >
    Диалоговое окно текст сообщения об ошибке: Не удалось доверительных отношений между основным доменом и доверенным доменом.


  6. Не удается установить сеанс безопасный канал с доверенного домена Windows NT 4.0 со статусом Ошибка 0xc002002e попытки DC Windows Server 2008 R2 в доверяющем домене.

    NETLOGN.ЖУРНАЛ DC Windows Server 2008 R2 с помощью службы входа в сеть включены (nltest /debug:2080ffff) показано ниже:

<date> <time> NlPrintRpcDebug [КРИТИЧЕСКИХ]: копирование расширенных ошибки для I_NetLogonGetCapabilities с 0xc002002e
<date> <time> [критический] [0] является ProcessID 488
<date> <time> [критический] [0] является системное время: 20-7-2010 21:40:5:754
Создание компонента <date> <time> [критический] [0]-2
<date> <time> [критический] [0] имеет статус 1745
место обнаружения <date> <time> [критический] [0] является 1750
Флаги <date> <time> [критический] [0]-0
<date> <time> [критический] [0] является число параметров: 1
<date> <time> [КРИТИЧЕСКИХ] длинное значение: 469827586
<date> <time> [КРИТИЧЕСКИХ] домен CONTOSO: NT4DOM: NlConfirmCapabilities: отказ в доступе после состояния: 0xc002002e
<date> <time> [СЕАНСА] домен CONTOSO: NT4DOM: NlSessionSetup: отказ в доступе из-за unmatching возможности
<date> <time> [MISC] Eventlog: 3210 (1) «nt4dom» «\\NT4PDC» 2f8270f1 5bc8d5e7 34c3e164 6665df64. p. /...[d..4D.EF

Код ошибки 0xc002002e сопоставляет "номер процедуры находится вне диапазона" (RPC_NT_PROCNUM_OUT_OF_RANGE).

Для получения сведений о включении ведения журнала Netlogon обратитесь к следующей статье Microsoft Knowledge Base:

109626 Включение отладки ведения журнала для службы сетевого входа в систему

Причина

В общем случае Netlogon безопасные каналы используются для создания доверительных отношений и присоединиться к рядовые компьютеры к доменам Windows или службы каталогов Active Directory не поддерживается между компьютерами с Windows NT 4.0 и Windows Server 2008 / компьютеров Windows Server 2008 R2 в любом направлении, так как они не были проверены.

Кроме того, AllowNT4Crypto , безопасного по умолчанию запрещает операционных систем семейства Windows Server 2008 и Windows Server 2008 R2 приемника (но не инициатора) отношения доверия с доменом NT 4.0 до вручную является безопасное поведение по умолчанию устанавливается с помощью одного из методов, описанных в статье MSKB 942564.

В рамках продолжающихся усилий для улучшения безопасности Windows 7 и Windows Server 2008 R2 использование компьютеров NetrLogonGetCapabilities API для обеспечения этой операционной системы партнера поддерживают более безопасные возможности шифрования после установления защищенного канала сеанса.

В NetrLogonGetCapabilities API-Интерфейс поддерживается в Windows 2000 и более поздних версиях Windows, но не при помощи Windows NT4. В результате сбоя попытки DC Windows Server 2008 R2 установить исходящее доверительное отношение с компьютера с NT 4.0 (Windows Server 2008 R2 служит доверие и место учетной записи домена и Windows NT 4.0 служит в качестве доверенных или учетную запись домена) со статусом c002002e (RPC_NT_PROCNUM_OUT_OF_RANGE), вызывающих доверие установки с ошибкой.

Вызов API NlConfirmCapabilities, Windows 7 и Windows Server 2008 R2 компьютеров при задании безопасный канал и специально для компьютеров Windows Server 2008 R2 при проверке исходящие доверительные отношения.

Телефонная NetrLogonGetCapabilities API , установления безопасных каналов и следовательно исходящее доверие с компьютерами Windows NT 4.0 не позволяет компьютерам с Windows 7 и Windows Server 2008 R2 не отключена или запрещена любым способом, включая параметры политики Windows или в реестр Windows.

Решение

В то время как Windows Server 2008 R2 не сможет установить исходящие доверительные отношения между доменами Windows NT 4.0, такие исходящие доверительные отношения могут быть установлены с Windows 2000, Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2 доменов.

Компьютеры с Windows 2000, Windows Server 2003 и Windows Server 2008 можно создать исходящего доверия с доменами Windows NT 4.0 несмотря на то, что эта функция не была протестирована в Windows Server 2008 и потребуют изменения параметра AllowNT4Crypto на контроллерах домена Windows Server 2008, участвующих в отношении доверия.

Допустимые решения для разрешения этого условия включают:

  1. Обновление контроллеров домена Windows NT 4.0 до Windows 2003 или более поздней версии операционной системы.

    Несмотря на то, что Windows 2000 находится на уровне минимальной операционной системы, необходимые для решения этой проблемы, Windows 2000 больше не поддерживается после 13 июля 2010 г., поэтому следует развернуть Windows Server 2003 или более поздних версиях Windows. Дополнительные сведения о политике жизненный цикл Windows 2000 содержатся в разделе Центр решений Windows 2000-технической поддержки.

    OR

  2. Понизить развертывания компьютеров Windows Server 2008 R2 с компьютерами Windows Server 2008

    При условии, что развертывание имеет зависимость от Windows Server 2008 R2 возможности (то есть прямой доступ, DNSSEC или зависимость версии операционной системы, серверных приложений) Развертывание контроллеров домена Windows Server 2008 R2 замените контроллеры домена Windows Server 2008.

    Хотя безопасные каналы Netlogon не тестировались между Windows NT 4.0 и Windows Server 2008, Windows Server 2008 не использовать более безопасный метод для установления безопасных каналов. Для получения дополнительных сведений о правах на возврат к предыдущей увидеть Возврата к предыдущей версии Windows Server.


Дополнительные сведения о направлении доверия, содержатся в разделе приложение: страницы мастера нового доверия

Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 2021766 - Последний отзыв: 30 мая 2011 г. - Revision: 11.0
Информация в данной статье относится к следующим продуктам.
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Standard
Ключевые слова: 
kbmt KB2021766 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:2021766

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com