如果启用了 NoLMHash 策略,则群集服务帐户的密码必须设置为 15 个或多个字符

文章翻译 文章翻译
文章编号: 828861 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

当试图加入第二个群集节点安装向导将返回以下消息:
<csa>没有管理群集的权限。
此外,如果在群集上或从远程服务器,您可以启动群集管理器 (CluAdmin.exe),您可能会收到以下错误消息:
拒绝访问

原因

而不是存储您的用户帐户密码在明文中的 Microsoft Windows 生成,并将用户帐户密码存储通过使用两种不同的密码,表示法通常称为"哈希。当您设置或用户帐户的密码更改为包含少于 15 个字符的密码时,Windows 将生成 LAN Manager 哈希 (LMHash) 和密码的 Microsoft Windows NT 哈希 (NT 哈希)。这些哈希存储在本地安全帐户管理器 (SAM) 数据库中或在 Active Directory 中。

如果该 网络安全性: 不在下次更改密码存储 LAN 管理器哈希值 策略设置,没有 lm 哈希是群集中服务在 ds 中的帐户 (CSA)。

当您加入第二个节点时要使用 CSA,少于 15 个字符的密码,则在安装过程将生成 lm 哈希来生成会话密钥进行身份验证。 因为没有 lm 哈希存储在 Active Directory 中,在域控制器不能生成一个匹配的会话密钥。此访问被拒绝。您在使用用于该 CSA 有 15 个或多个字符的密码时不能在安装过程生成了 lm 哈希。而是,Windows NT 密码哈希将用于派生会话密钥。在域控制器将能够生成一个匹配的会话密钥。身份验证将会成功。有关如何避免您的密码存储为 LAN Manager 哈希值的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
299656如何防止 Windows 在 Active Directory 和本地 SAM 数据库中存储 LAN 管理器哈希密码的

解决方案

若要解决该问题,选择最适合您的具体情况的方法。

方法 1: 使用长度至少 15 个字符的密码

当 NoLMHash 策略在 Active Directory 中设置,并且不能禁用由于的安全考虑事项时,使用至少 15 个字符的密码以防止群集安装向导进行身份验证使用一个 lm 哈希长度。

方法 2: 启用在 Active Directory 中的 LMHash 的存储

通过使用组启用的 lm 哈希的用户密码存储在 Active Directory 中的策略。若要这样做,请按照下列步骤操作:
  1. 在默认域控制器组策略中,展开 计算机配置、 展开 Windows 设置、 展开 安全设置,展开 本地策略,然后单击 安全选项
  2. 在可用策略列表,双击 网络安全性: 不在下次更改密码存储 LAN 管理器的哈希值
  3. 单击 禁用,然后单击 确定
  4. 请确保该策略将被复制,并应用。
  5. 重置该 CSA 的密码 (长度可能会少于 15 个字符) 以确保 lm 哈希被写入 SAM/AD。

方法 3: 安装一个修补程序

若要解决此问题,以便当 NoLMHash 策略设置在 Active Directory 中时,15 个字符的密码不需要的 Microsoft 提供了修补程序。 有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890761当您添加或加入群集的节点,如果使用 NTLM 版本 2 在 Windows Server 2003 中,您会收到一个"错误 0x8007042b"错误消息

属性

文章编号: 828861 - 最后修改: 2006年10月30日 - 修订: 5.2
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kbmt kbprb KB828861 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 828861
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com