ID do artigo: 325874 - Última revisão: quarta-feira, 20 de setembro de 2006 - Revisão: 10.2

Como estabelecer relações de confiança no Windows Server 2003 com um domínio em Windows NT

Exibir os produtos aos quais esse artigo se aplica.
Para obter uma versão deste artigo para o Microsoft Windows 2000, consulte 308195  (http://support.microsoft.com/kb/308195/ ) .

Nesta página

Expandir tudo | Recolher tudo

Sumário

Este artigo descreve detalhadamente como estabelecer uma relação de confiança entre um domínio no Microsoft Windows NT 4.0 e um domínio no Windows Server 2003.

A criação da relação de confiança no Windows NT usa o modelo de relação de confiança do Windows NT em um ambiente no Windows Server 2003. A relação de confiança no Windows NT é unidirecional entre um domínio "confiante" e um domínio "confiado". Por exemplo, se você tem um domínio no Windows Server 2003 no qual os usuários desejam ter acesso aos recursos armazenados em um domínio Windows NT, é necessário criar uma relação de confiança na qual o domínio no Windows NT confie nos usuários do domínio no Windows Server 2003. Neste caso, o domínio no Windows NT é o domínio confiante e o Windows Server 2003 é o domínio confiável.

Observação É necessário usar a resolução de nomes NetBIOS para habilitar a relação de confiança entre os dois domínios.
Voltar para o início

Como criar uma relação de confiança

É possível criar uma relação de confiança unidirecional entre um domínio com base em Windows NT e um domínio com base em Windows Server 2003:
  • Relação de confiança do Windows NT no Windows Server 2003
  • Relação de confiança do Windows Server 2003 no Windows NT
Ou, é possível criar uma relação de confiança bidirecional onde ambos os domínios confiam um no outro.

Para criar a relação de confiança, é necessário estar conectado com uma conta de administrador no controlador de domínio de ambos os domínios. Ao criar uma relação de confiança unidirecional, crie primeiro uma relação de confiança no domínio confiante e, então no domínio confiável.

Windows NT confia no Windows Server 2003

Para criar uma relação de confiança na qual um domínio com base em Windows NT confia em um domínio com base em Windows Server 2003:
  1. No PDC (Controlador de Domínio Primário) com base no Windows NT:
    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e clique em Gerenciador de usuários para domínios.
    2. No menu Diretivas, clique em Relações de confiança.
    3. Clique no botão Adicionar que corresponde à caixa Domínios confiáveis. A caixa de diálogo Adicionar domínios confiáveis aparece.
    4. Na caixa Domínio digite o nome do domínio no Windows Server 2003 sem a porção .com do nome do domínio. Por exemplo, se o domínio no Windows Server 2003 for Exemplo.com, digite Exemplo.
    5. Na caixa Senha, digite sua senha para confiança.

      Observação Você deve usar a mesma senha de confiança em ambos os controladores de domínio a partir do confiante e do controlador de domínio do domínio confiável.
    6. Clique em OK. Aparece a seguinte mensagem, em que nome do domínio no Windows Server 2003 é o nome do domínio no Windows Server 2003 e onde Nome de domínio no Windows NT é o nome do domínio no Windows NT:
      A relação de confiança não pôde ser verificada desta vez. Se você perceber que não foi estabelecido, entre em contato com o administrador do nome do domínio no Windows Server 2003 e verifique se ele inclui o Nome de domínio no Windows NT na sua lista de domínios confiantes.
    7. Clique em OK. Observe que o domínio no Windows Server 2003 é relacionado na lista de Domínios confiáveis.
    8. Na caixa de diálogo Relações de confiança, clique em Fechar.
  2. No controlador de domínio com base no Windows Server 2003
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique duas vezes em Domínios e relações de confiança do Active Directory.
    2. No snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse no nome do domínio e clique em Propriedades.
    3. Clique na guia Confiança e em Sites confiáveis.
    4. O Assistente de nova relação de confiança aparece. Clique em Avançar para continuar.
    5. Digite o nome do NetBIOS no domínio do Windows NT para esta confiabilidade. Por exemplo, digite supplier01-int, e clique em Avançar.
    6. Na janela Direção da relação de confiança clique em Unidirecional: entrada
      Os usuários neste domínio podem ser autenticados no domínio, no território ou na floresta.
    7. Clique em Avançar e, na caixa Senha de confiança, digite a mesma senha de confiança usada no controlador de domínio do Windows NT. Digite a senha novamente na caixa Confirmar senha de confiança.
    8. Clique em Avançar, reveja as configurações e clique em Avançar.
    9. Aparecerá uma mensagem similar à seguinte
      A relação de confiança foi criada com êxito.
      Domínio especificado: supplier01-int
      Direção:
      Entrada: Os usuários no domínio local podem autenticar no domínio especificado.
      Tipo de confiança: Externas
      O Windows autenticará usuários do domínio especificado para todos os recursos no domínio local.
      Transitivo: Não
      Lados da relação de confiança: Confiança criada somente para este domínio.
      no qual supplier01-int é o nome do NetBIOS no domínio do Windows NT para esta confiança. Clique em Avançar e clique em Sim, confirmar a relação de confiança de entrada.
    10. Digite o nome do usuário e a senha de uma conta com privilégios administrativos para o domínio especificado e clique em Avançar. Uma mensagem semelhante à seguinte será exibida:
      Completando o Assistente de nova relação de confiança
      Você concluiu com êxito o 'Assistente de nova relação de confiança'.
      Status das alterações:
      A relação de confiança foi criada e confirmada com êxito.
    11. Clique em Concluir para concluir o assistente e clicar em OK para fechar a caixa de diálogo propriedades do domínio.
    12. Sair dos domínios e relações de confiança do Active Directory
A relação de confiança foi criada. O domínio no Windows NTconfia nas contas do domínio no Windows Server 2003. Contudo, esta relação de confiança é unidirecional. O domínio com base no Windows Server 2003 não confia nas contas de domínio com base no Windows NT.

Windows Server 2003 confia Windows NT

Para criar uma relação de confiança na qual um domínio com base no Windows Server 2003 confia em um domínio com base no Windows NT:
  1. No controlador de domínio com base no Windows Server 2003
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique duas vezes em Domínios e relações de confiança do Active Directory.
    2. No snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse no nome do domínio e clique em Propriedades.
    3. Clique na guia Confiança e em Sites confiáveis.
    4. O Assistente de nova relação de confiança aparece. Clique em Avançar para continuar.
    5. Digite o nome do NetBIOS no domínio do Windows NT para esta confiabilidade. Por exemplo, digite supplier01-int, e clique em Avançar.
    6. Na janela Direção da relação de confiança clique em Unidirecional: saída
      Os usuários do domínio especificado podem ser autenticados no domínio, no território ou na floresta.
    7. Clique em Avançar e clique em um dos itens a seguir para selecionar o escopo da autenticação para usuários no domínio Windows NT:
      • Permitir autenticação para todos os recursos no domínio local
        O Windows autentica os usuários do domínio especificado para todos os recursos no domínio local. Esta opção é preferida quando ambos os domínios pertencem à mesma organização.
      • Permitir autenticação somente para os recursos selecionados no domínio local
        O Windows não autentica automaticamente os usuários do domínio especificado para qualquer recurso no domínio local. Depois de concluir o assistente, forneça o acesso individual a cada servidor que você deseja deixar disponível para os usuários do domínio especificado. Esta opção é preferida se os domínios pertencem a organizações diferentes.
    8. Clique em Avançar e digite uma senha para esta relação de confiança na caixa Senha de confiança. Você deve usar esta mesma senha ao criar esta relação de confiança no domínio especificado. Depois de criar a relação de confiança, o Active Directory atualiza periodicamente a senha de confiança, por questões de segurança. Digite senha novamente na caixa Confirmar senha de confiança e clique em Avançar.
    9. Confira as suas configurações e clique em Avançar.
    10. Aparecerá uma mensagem similar à seguinte
      A relação de confiança foi criada com êxito.
      Domínio especificado: supplier01-int
      Direção:
      Saída: Os usuários no domínio especificado podem autenticar no domínio local.
      Tipo de confiança: Externas
      O Windows autenticará usuários do domínio especificado para todos os recursos no domínio local.
      Transitivo: Não
      Lados da relação de confiança: Confiança criada somente para este domínio.
      no qual supplier01-int é o nome do NetBIOS no domínio do Windows NT para esta confiança. Clique em Avançar e clique em Sim, confirmar a relação de confiança de entrada.
    11. Clique em Concluir para concluir o assistente e clicar em OK para fechar a caixa de diálogo propriedades do domínio.
    12. Sair dos domínios e relações de confiança do Active Directory
  2. Em um PDC no Windows NT:
    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e clique em Gerenciador de usuários para domínios.
    2. No menu Diretivas, clique em Relações de confiança.
    3. Clique no botão Adicionar que corresponde à caixa Domínios confiáveis. A caixa de diálogo Adicionar domínios confiáveis aparece.
    4. Na caixa Domínio confiante digite o nome do domínio no Windows Server 2003 sem a porção .com do nome do domínio. Por exemplo, se o domínio no Windows Server 2003 for Exemplo.com, digite Exemplo.
    5. Na caixa Senha inicial digite a mesma senha usada para a relação de confiança no controlador de domínio no Windows Server 2003.

      Observação Você deve usar a mesma senha de confiança em ambos os controladores de domínio a partir do confiante e do controlador de domínio do domínio confiável.
    6. Digite a senha novamente na caixa Confirmar senha, verifique se está conectado atualmente como administrador tanto no controlador de domínio do NT como no do Windows Server 2003 e clique em OK. O domínio com o Windows Server 2003 está na lista Domínios confiantes.
    7. Na caixa de diálogo Relações de confiança, clique em Fechar.
A relação de confiança foi criada. O domínio com base no Windows Server 2003 confia em contas do domínio com base no Windows NT.
Voltar para o início

Criar uma relação de confiança bidirecional

Para criar uma relação de confiança bidirecional para que os domínios confiem um no outro:
  1. No controlador de domínio com base no Windows Server 2003
    1. Clique em Iniciar, aponte para Ferramentas administrativas e clique duas vezes em Domínios e relações de confiança do Active Directory.
    2. No snap-in Usuários e Computadores do Active Directory, clique com o botão direito do mouse no nome do domínio e clique em Propriedades.
    3. Clique na guia Confiança e em Sites confiáveis.
    4. O Assistente de nova relação de confiança aparece. Clique em Avançar para continuar.
    5. Digite o nome do NetBIOS no domínio do Windows NT para esta confiabilidade. Por exemplo, digite supplier01-int, e clique em Avançar.
    6. Na janela Direção da relação de confiança clique em Bidirecional
      Usuários deste domínio podem ser autenticados no domínio, território ou floresta especificado e os usuários do domínio, território ou floresta especificado podem ser autenticados neste domínio.
    7. Clique em Avançar e clique em um dos itens a seguir para selecionar o escopo da autenticação para usuários no domínio Windows NT:
      • Permitir autenticação para todos os recursos no domínio local
        O Windows autentica os usuários do domínio especificado para todos os recursos no domínio local. Esta opção é preferida quando ambos os domínios pertencem à mesma organização.
      • Permitir autenticação somente para os recursos selecionados no domínio local
        O Windows não autentica automaticamente os usuários do domínio especificado para qualquer recurso no domínio local. Depois de concluir o assistente, forneça o acesso individual a cada servidor que você deseja deixar disponível para os usuários do domínio especificado. Esta opção é preferida se os domínios pertencem a organizações diferentes.
    8. Clique em Avançar e na caixa Senha de confiança digite uma senha para esta relação de confiança . Você deve usar esta mesma senha ao criar esta relação de confiança no domínio especificado. Depois que a relação de confiança foi criada, o Active Directory atualiza periodicamente a senha de confiança, por questões de segurança. Digite senha novamente na caixa Confirmar senha de confiança e clique em Avançar.
    9. Confira as suas configurações e clique em Avançar.
    10. Aparecerá uma mensagem similar à seguinte
      A relação de confiança foi criada com êxito.
      Domínio especificado: supplier01-int
      Direção:
      Bidirecional: Os usuários do domínio local podem autenticar no domínio especificado e os usuários do domínio especificado podem autenticar no domínio local.
      Tipo de confiança: Externas
      O Windows autenticará usuários do domínio especificado para todos os recursos no domínio local.
      Transitivo: Não
      Lados da relação de confiança: Confiança criada somente para este domínio.
      no qual supplier01-int é o nome do NetBIOS no domínio do Windows NT para esta confiança.
    11. Clique em Avançar e clique em Sim, confirmar a relação de confiança de saída.
    12. Clique em Sim, confirmar a confiança de entrada, digite o nome do usuário e a senha de uma conta com privilégios administrativos para o domínio especificado e clique em Avançar. Aparecerá uma mensagem similar à seguinte
      Completando o Assistente de nova relação de confiança
      Você concluiu com êxito o Assistente de nova relação de confiança, mas a nova relação de confiança criada não pôde ser confirmada pelas seguintes razões:

      A verificação da relação de confiança de entrada falhou por causa do(s) seguinte(s) erro(s):
      O sistema de destino supplier01-int não suporta a verificação de senha de confiança NetLogon.
      A redefinição de canal seguro será tentada.
      A redefinição do canal seguro falhou com o erro 1355: O domínio especificado não existe ou não pôde ser contatado.
      A verificação da relação de confiança de saída falhou por causa do(s) seguinte(s) erro(s):
      A verificação da senha de confiança falhou com o erro 1787: O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.
      A redefinição de canal seguro será tentada.
      A redefinição do canal seguro falhou com o erro 1787: O banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho.

      Antes dessa relação de confiança poder funcionar, ela deve ser criada também no outro domínio. Certifique-se de que a mesma senha é usada em ambos os domínios.
      no qual supplier01-int é o nome do NetBIOS no domínio do Windows NT para esta confiança.
    13. Clique em Concluir para concluir o assistente e clicar em OK para fechar a caixa de diálogo propriedades do domínio.
    14. Sair dos domínios e relações de confiança do Active Directory
  2. Em um PDC no Windows NT:
    1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas administrativas e clique em Gerenciador de usuários para domínios.
    2. No menu Diretivas, clique em Relações de confiança.
    3. Clique no botão Adicionar que corresponde à caixa Domínios confiáveis. A caixa de diálogo Adicionar domínios confiáveis aparece.
    4. Na caixa Domínio digite o nome do domínio no Windows Server 2003 sem a porção .com do nome do domínio. Por exemplo, se o domínio no Windows Server 2003 for Exemplo.com, digite Exemplo.
    5. Na caixa Senha, digite sua senha para confiança.

      Observação É necessário usar a mesma senha de confiança nos controladores de domínio do domínio confiante.
    6. Clique em OK. Observe que o domínio no Windows Server 2003 é relacionado na lista de Domínios confiáveis.
    7. Clique no botão Adicionar que corresponde à caixa Domínios confiáveis. A caixa de diálogo Adicionar domínios confiáveis aparece.
    8. Na caixa Domínios confiante digite o nome do domínio no Windows Server 2003 sem a porção .com do nome do domínio.
    9. Na caixa Senha digite a mesma senha usada para a relação de confiança no controlador de domínio no Windows Server 2003 e clique em OK. O domínio com o Windows Server 2003 está na lista Domínios confiantes.
    10. Na caixa de diálogo Relações de confiança, clique em Fechar.
    A relação de confiança bidirecional foi criada. O domínio com base no Windows NT confia em contas do domínio com base no Windows Server 2003 e o domínio com base no Windows Server 2003 confia nas contas de domínio com base no Windows NT.
    Voltar para o início

    Verificar uma relação de confiança

    Para verificar se uma relação de confiança está funcionando, execute as seguintes etapas no controlador de domínio com base no Windows Server 2003:
    1. Clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Domínios e relações de confiança do Active Directory.
    2. Na árvore do console, clique com botão direito do mouse no domínio que contém a relação de confiança que você deseja verificar e clique em Propriedades.
    3. Clique na guia Relações de confiança e em Domínios em que este domínio confia (relações de confiança de saída) ou Domínios em que este domínio confia (relações de confiança de entrada), clique na relação de confiança a ser verificada e clique em Propriedades.
    4. Clique em Validar.
Voltar para o início

Solução de problemas

Ao tentar criar uma relação de confiança entre domínios, você pode receber a seguinte mensagem de erro:
Não foi possível encontrar o controlador deste domínio.
Essa mensagem de erro pode ocorrer devido às seguintes razões:
  • Problemas na rede

    Verifique se ambos os computadores estão usando o TCP/IP e que é possível conectar ao outro computador usando um utilitário de rede, como o Ping.exe.
  • Problemas de resolução de nome

    Certifique-se de que o controlador de domínio no Windows NT possa resolver o nome do host do controlador de domínio no Windows Server 2003 e que o controlador de domínio no Windows Server 2003 possa resolver o nome NetBIOS do controlador de domínio do Windows NT. Se não puder resolver o NetBIOS e os nomes de host crie uma entrada no arquivo Lmhosts em cada controlador de domínio que especifica o local do outro controlador. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    102725  (http://support.microsoft.com/kb/102725/ ) Informações sobre o arquivo Lmhosts e palavras-chave pré-definidas
  • Problemas de confiança

    Em um computador executando uma versão original lançada do Windows Server 2003, é possível precisar definir o valor da subchave do Registro RestrictAnonymous para 0, para estabelecer a relação de confiança. Para obter mais informações, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
    246261  (http://support.microsoft.com/kb/246261/ ) Como usar o valor do Registro RestrictAnonymous no Windows 2000
    Em um computador executando Windows Server 2003 Service Pack 1 (SP1), talvez seja necessário definir o valor da subchave do Registro RestrictAnonymous para 0 e definir o valor da subchave do Registro RestrictNullSessAccess para FALSO, para estabelecer a relação de confiança.

    Para definir o valor da subchave do Registro RestrictNullSessAccess para FALSO, execute as seguintes etapas:
    1. Clique em Iniciar, em Executar, digite regedit e clique em OK para abrir o Editor do Registro.
    2. Localize a seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
    3. Clique com o botão direito do mouse na subchave do Registro, aponte para Novo e clique em Valor DWORD.
    4. Digite RestrictNullSessAccess e pressione ENTER.
    5. Clique duas vezes em RestrictNullSessAccess, digite 0 na caixa Dados do valor e clique em OK.
    6. Feche o Editor do Registro.
    7. Reinicie o computador.
Voltar para o início

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
139410  (http://support.microsoft.com/kb/139410/ ) Mensagem de erro: Não há servidores de logon disponíveis...
175025  (http://support.microsoft.com/kb/175025/ ) Como construir e redefinir uma relação de confiança a partir de uma linha de comando
255551  (http://support.microsoft.com/kb/255551/ ) Não é possível estabelecer uma relação de confiança no domínio do Windows 2000 a partir do domínio no Windows NT 4.0
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Voltar para o início
Palavras-chave: 
kbhowtomaster kbactivedirectory kbnetwork KB325874
Voltar para o início
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Traduções deste artigo

 

Related Support Centers