Vztah důvěryhodnosti mezi doménou systému Windows NT a domény služby Active Directory nelze vytvořit nebo nefunguje podle očekávání

Překlady článku Překlady článku
ID článku: 889030 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Při pokusu o nastavení vztahu důvěryhodnosti mezi Microsoft Windows NT 4.0 domény a domény služby Active Directory, může dojít k Chcete-li některou z následujících příznaků:
  • Vztah důvěryhodnosti není vytvořeno.
  • Vztah důvěryhodnosti, ale důvěryhodnost jako nefunguje. byl očekáván.
Navíc může zobrazit některá z následující chyby zprávy:
Došlo k následující chybě při pokusu o připojení k domény"Název_domény": Účet není povoleno přihlásit se z této stanice.
Přístup je odepřen.
Žádný řadič domény může být. kontaktovat.
Přihlašovací chyba: Neznámé uživatelské jméno nebo Chybné heslo.
Při použití funkce Výběr objektu služby Active Directory Uživatelé a počítače přidat uživatele z domény NT 4.0 do adresáře Active Directory doména, se může zobrazit následující chybová zpráva:
Ne současnému prohledávání neodpovídají položek. Parametry hledání a akci znovu.

Příčina

K tomuto problému dochází z důvodu problému v libovolné konfigurace jeden z následujících oblastí:
  • Překlad
  • Nastavení zabezpečení
  • Uživatelská práva
  • Členství v systému Microsoft Windows 2000 nebo Microsoft Systém Windows Server 2003
Chcete-li správně identifikovat příčinu problému, musíte Odstraňování problémů s konfigurace důvěryhodnosti.

Řešení

Pokud obdržíte "neodpovídají žádné položky aktuálního hledání" chybová zpráva při použití výběru objektů v Active Directory Users a Počítače, ujistěte se, že obsahují řadiče domény v doméně NT 4.0 Všichni uživatelé v Přístup k počítači ze sítě uživatele doprava. V této situaci se pokusí připojit výběr objektu anonymně prostřednictvím vztahu důvěryhodnosti. Chcete-li ověřit tyto ssettings, postupujte podle pokynů "Metoda 3: ověření uživatelských práv" části.

Řešení problémy s konfigurací mezi domény se systémem Windows NT 4.0 a aktivní důvěryhodnosti Adresář, je nutné ověřit správnou konfiguraci následujících oblastí:
  • Překlad
  • Nastavení zabezpečení
  • Uživatelská práva
  • Členství v systému Microsoft Windows 2000 nebo Microsoft Systém Windows Server 2003
Chcete-li to provést, použijte následující metody.

Způsob jedna: ověření správné konfigurace překladu

Krok 1: vytvoření souboru LMHOSTS

Vytvoření souboru LMHOSTS na primární řadiče domény na Zadejte název jiné domény rozlišovací schopnost. Soubor LMHOSTS je text soubor, který můžete upravit pomocí textového editoru, například programu Poznámkový blok. Soubor LMHOSTS v každé doméně řadič musí obsahovat adresu TCP/IP, název domény a Položka \0x1b ostatní řadiče domény. Další informace informace o vytvoření souboru LMHOSTS, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
180094Jak zapsat soubor LMHOSTS pro ověření domény
Po vytvoření souboru LMHOSTS, postupujte kroky:
  1. Upravit soubor obsahující text, který je podobný následující text:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Poznámka: Musí být celkem 20 znaků a mezer mezi uvozovky ("") pro položku \0x1b. Přidání mezery za názvem domény tak, aby že používá 15 znaků. Šestnáctý znak je zpětné lomítko, tj. následuje hodnota "0x1b", a tím je celkem 20 znaky.
  2. Po dokončení změn v souboru LMHOSTS, uložit soubor % SystemRoot %\System32\Drivers\Etc složky v řadičích domény.
Další informace o souboru LMHOSTS naleznete Ukázkový soubor Lmhosts.SAM, který se nachází v % SystemRoot %Složka \System32\Drivers\Etc.

Krok 2: načtení souboru LMHOSTS do mezipaměti

  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ cmda klepněte na tlačítko OK.
  2. Na příkazovém řádku zadejte následující příkaz: NBTSTAT -R, a pak stiskněte klávesu ENTER. Tento příkaz načte soubor LMHOSTS do mezipaměť.
  3. Na příkazovém řádku zadejte následující příkaz: NBTSTAT -c, a pak stiskněte klávesu ENTER. Tento příkaz zobrazí mezipaměť. Pokud soubor je zapsán správně, že mezipaměť je podobná následující:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Pokud soubor nenaplňuje mezipaměť správně, pokračujte Další krok.

Krok 3: Zkontrolujte, zda je v počítači se systémem Windows NT 4.0 povolena souboru Lmhosts

Pokud soubor není správně naplnit mezipaměť, ujistěte se, že V souboru Lmhosts je povoleno v počítači se systémem Windows NT 4.0. K tomu, postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazNastavenía klepněte na tlačítko Ovládací prvek Panel.
  2. Poklepejte na položku Sítě, klepněteProtokoly kartu a potom poklepejte na položku TCP/IP Protokol.
  3. Klepněte Adresa WINS a potom na kartu Vyberte Povolit vyhledávání v souboru LMHOSTS Zaškrtávací políčko.
  4. Restartujte počítač.
  5. Opakujte kroky "načíst soubor LMHOSTS do část mezipaměti".
  6. Pokud soubor není správně naplnit mezipaměť, Ujistěte se, že soubor LMHOSTS je v% SystemRoot %Složka \System32\Drivers\Etc a že soubor je naformátovaná.

    Například soubor musí být formátované podobný následující příklad formátování:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Poznámka: Musí být celkem 20 znaků a mezer uvnitř uvozovkách ("") pro položku název a \0x1b domény.

Krok 4: testování připojení pomocí příkazu Ping

Když soubor naplní mezipaměť správně na každém serveru, použijte příkaz Ping na každý server k testování připojení mezi servery. Postup: postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ cmda klepněte na tlačítko OK.
  2. Na příkazovém řádku zadejte následující příkaz: PingName_Of_Domain_Controller_You_Want_To_Connect_To, a potom stiskněte klávesu ENTER. Pokud příkaz Ping nefunguje, zkontrolujte, zda správné adresy IP jsou uvedeny v souboru LMHOSTS.
  3. Na příkazovém řádku zadejte následující příkaz: net viewName_Of_Domain_Controller_You_Want_To_Connect_To, a potom stiskněte klávesu ENTER. Očekává se, že se zobrazí následující chybová zpráva zpráva:
    Došlo k systémové chybě 5. Přístup je odepřen
    Pokud net view příkaz vrátí následující chybovou zprávu nebo jakékoli jiné související chybová zpráva, ujistěte se, zda jsou správné adresy IP uvedené v Soubor LMHOSTS:
    Došlo k systémové chybě 53. Síť Cesta nebyla nalezena.
Alternativně může být server WINS (Windows Internet Name Service) konfigurovat funkce překladu názvů bez použití LMHOSTS soubor. Další informace o použití služby WINS k překladu, získáte následujícím článku znalostní báze v článku znalostní báze Microsoft Knowledge Base:
185786Doporučené postupy pro službu WINS

Metoda 2: zobrazení nastavení zabezpečení

Obvykle se služby Active Directory straně konfigurace důvěryhodnosti má nastavení zabezpečení, které mohou způsobit potíže s připojením. Však zabezpečení nastavení musí být kontrolována na obou stranách vztahu důvěryhodnosti.

Krok 1: zobrazení nastavení zabezpečení v systému Windows 2000 Server a Windows Server 2003

V systému Windows 2000 Server a Windows Server 2003, zabezpečení nastavení mohou být použity nebo konfigurovat Zásady skupiny, místní zásady, nebo Šablona použito zabezpečení.

Je nutné použít správné nástroje Určuje aktuální hodnoty nastavení zabezpečení, aby se zabránilo nepřesné měřené hodnoty.

Chcete-li získat přesné čtení aktuální zabezpečení nastavení, použijte následující metody:
  • V systému Windows 2000 Server pomocí konfigurace zabezpečení a Modul snap-in analýzy. Další informace o určit aktuální zásady zabezpečení v počítači se systémem Windows 2000 Klepnutím na následující číslo článku Microsoft Znalostní báze Knowledge Base:
    258595Gpresult neprovede výčet výsledné zásady zabezpečení
  • V systému Windows Server 2003 použijte buď zabezpečení Konfigurace a analýza modulu snap-in nebo Výsledná sada zásad (RSoP) modul snap-in. Další informace o použití Výsledná sada zásad modulu snap-in klepněte následující článek znalostní báze článek znalostní báze Microsoft Knowledge Base:
    323276Jak nainstalovat a používat RSoP v systému Windows Server 2003
Po určení aktuální nastavení, je nutné určit zásada, která je použití nastavení. Například je třeba určit skupinu Zásady služby Active Directory nebo místní nastavení, které nastavení zabezpečení zásady.

V systému Windows Server 2003, zásad, který nastaví zabezpečení hodnoty jsou identifikována pomocí nástroje Výsledná sada zásad. Však v systému Windows 2000 je nutné zobrazovat Zásady skupiny a místní zásady stanovit zásady, která obsahuje nastavení zabezpečení:
  • Chcete-li zobrazit nastavení Zásady skupiny, je nutné povolit protokolování Microsoft Windows 2000 Security konfigurace klienta během výstupu Zpracování Zásady skupiny. Další informace informace o povolení protokolování výstupu pro systém Windows 2000 Zabezpečení konfigurace klienta během zpracování Zásady skupiny, klepněte následující článek znalostní báze Microsoft Knowledge Base:
    245422Jak povolit protokolování pro klienta Konfigurace zabezpečení zpracování v systému Windows 2000
  • Zobrazení protokolu aplikace v prohlížeči událostí a najít ID události 1000 a ID 1202. Další informace o ID události 1000 a událost ID 1202, klepnutím na následující číslo článku v následujícím článku databáze Microsoft Knowledge Base:
    319352Událost s ID 1000 a událost s ID 1202 jsou zaznamenány do protokolu událostí každých pět minut v systému Windows 2000 Server
Následující tři oddíly vymezují operačního systému a nastavení zabezpečení, které je nutné ověřit pro operační systém v seznamu informace, které jste shromáždili:
Systém Windows 2000
Ujistěte se, že následující nastavení jsou nakonfigurovány jako zobrazen.

RestrictAnonymous:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Další omezení anonymních připojení "Žádný. Používat výchozí oprávnění"
LM Compatibility:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Úroveň ověřování systému LAN Manager"Odesílat odpovědi NTLM pouze"
Podepisování paketů SMB, SMB šifrování nebo oba:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Digitálně podepsat komunikaci klienta (vždy)ZAKÁZÁNO
Digitálně podepsat komunikaci klienta (Pokud je možné)POVOLENO
Digitálně podepsat komunikaci serveru (vždy)ZAKÁZÁNO
(Když je, digitálně podepsat komunikaci serveru možné)POVOLENO
Zabezpečený kanál: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)ZAKÁZÁNO
Zabezpečený kanál: digitálně zašifrovat data zabezpečeného kanálu (při je to možné)ZAKÁZÁNO
Zabezpečený kanál: digitálně podepsat data zabezpečeného kanálu (pokud ji je možné)ZAKÁZÁNO
Zabezpečený kanál: Vyžadovat silný (Windows 2000 nebo vyšší) klíč relaceZAKÁZÁNO
Systém Windows Server 2003
Ujistěte se, že uvedené konfigurována následující nastavení.

RestrictAnonymous a RestrictAnonymousSam:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Přístup k síti: Povolit anonymní identifikátor SID/názvu překladPOVOLENO
Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účty ZAKÁZÁNO
Přístup k síti: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položekZAKÁZÁNO
Přístup k síti: oprávnění použít Everyone pro anonymní UživateléPOVOLENO
Přístup k síti: pojmenované kanály lze získat přístup anonymněPOVOLENO
Přístup k síti: Omezit anonymní přístup k pojmenovaným kanálům a akcieZAKÁZÁNO
Poznámka: Výchozí hodnota Přístup k síti: Povolit anonymní překlad SID/názvu je zakázáno v systému Windows Server 2008. Další informace Klepnutím na následující číslo článku Microsoft Znalostní báze Knowledge Base:
942428Řadiče domény systému Windows Server 2003 umožňují anonymní uživatelé vyřešit identifikátor zabezpečení (SID) pro uživatelské jméno
LM Compatibility:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Zabezpečení sítě: ověřování LAN Manager úroveň"Odesílat pouze odpovědi NTLM"
Podepisování paketů SMB, SMB šifrování nebo oba:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Klient sítě Microsoft: digitálně podepsat komunikaci (vždy)ZAKÁZÁNO
Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí)POVOLENO
Server sítě Microsoft: digitálně podepsat komunikaci (vždy)ZAKÁZÁNO
Server sítě Microsoft: digitálně podepsat komunikaci (Pokud Klient souhlasí)POVOLENO
Člen domény: digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy) ZAKÁZÁNO
Člen domény: digitálně zašifrovat data zabezpečeného kanálu (pokud ji je možné) POVOLENO
Člen domény: digitálně podepsat data zabezpečeného kanálu (Pokud je možné)POVOLENO
Člen domény: Vyžadovat silný relace (Windows 2000 nebo vyšší) klíčZAKÁZÁNO
Po nastavení správně konfigurováno, bude třeba restartovat v počítači. Nastavení zabezpečení nejsou vynucena, dokud nebude počítač Po restartování.

Po restartování počítače, počkejte 10 minut a ujistěte se že jsou použity všechny zásady zabezpečení a platné nastavení. konfigurovat. Doporučujeme počkat 10 minut, protože služba Active Directory aktualizace zásad dojít na řadiči domény každých 5 minut a může aktualizace Změna hodnoty nastavení zabezpečení. Po 10 minutách použít zabezpečení Konfigurace a analýzy nebo jiného nástroje zkontrolujte nastavení zabezpečení v Systém Windows 2000 a Windows Server 2003.

Systém Windows NT 4.0

Důležité Tento oddíl, metoda nebo úkol obsahuje kroky, které můžete zjistit, jak na úpravou registru. Však mohou nastat závažné problémy při úpravě registr nesprávně. Proto se ujistěte, postupujte podle těchto kroků: opatrně. Pro zvýšení ochrany před úpravami je nutné zálohujte registr. Můžete pak obnovení registru v případě, že dojde k potížím. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Aktuální nastavení zabezpečení systému Windows NT 4.0 musí být ověřena pomocí zobrazení registru nástroj Regedt32. K tomu, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ Regedt32a klepněte na tlačítkoOK.
  2. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena položka RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena položka LM Compatibility:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Rozbalte následující podklíče registru a potom zobrazit hodnotu přiřazenou položce EnableSecuritySignature (server):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena k položce RequireSecuritySignature (server):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Rozbalte následující podklíče registru a potom zobrazit hodnotu přiřazenou položce RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena položka SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena položka SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Rozbalte následující podklíče registru a potom zobrazit hodnota, která je přiřazena položka RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metoda 3: ověření uživatelských práv

Ověřte uživatelská práva v systému Windows 2000 systémem počítače, postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazProgramy, přejděte na příkaz Nástroje pro správu, a Klepněte na tlačítko Místní zásady zabezpečení.
  2. Rozbalit Místní zásadya klepněte na tlačítkoPřiřazení uživatelských práv.
  3. V pravém podokně poklepejte na položku Přístup k této počítači ze sítě.
  4. Klepnutím vyberte Nastavení místních zásadzaškrtnutí políčka vedle Všichni uživatelé skupiny v Přiřazeno k seznam a potom klepněte na tlačítko OK.
  5. Poklepejte na položku Odepřít přístup k tomuto počítači z sítě.
  6. Ověřte, že neexistují žádné zásady skupiny vPřiřazeno seznam a potom klepněte na tlačítko OK. Pro například se ujistěte, že Everyone, Authenticated Users a jiné skupiny, jsou nejsou uvedeny.
  7. Klepněte na tlačítko OKa pak ukončete místního zabezpečení Zásady.
Ověřte uživatelská práva v systému Windows Server počítače, postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazNástroje pro správua klepněte na tlačítko Řadič domény Zásady zabezpečení.
  2. Rozbalit Místní zásadya klepněte na tlačítkoPřiřazení uživatelských práv.
  3. V pravém podokně poklepejte na položku Přístup k této počítači ze sítě.
  4. Ujistěte se, že skupina Everyone je v Přístup Tento počítač ze sítě seznam. Pokud je skupina Everyone v seznamu uveden, postupujte takto:
    1. Klepněte na tlačítko Přidat uživatele nebo skupinu.
    2. V Jména uživatelů a skupin Typ pole Všichni uživateléa klepněte na tlačítko OK.
  5. Poklepejte na položku Odepřít přístup k tomuto počítači z sítě.
  6. Ověřte, že neexistují žádné zásady skupiny vOdepřít přístup k tomuto počítači ze sítě seznam a pak Klepněte na tlačítko OK. Například se ujistěte, že Everyone, Authenticated Uživatelé a další skupiny nejsou uvedeny.
  7. Klepněte na tlačítko OKa pak zavřete domény Zásady zabezpečení řadiče.
Ověřte uživatelská práva v systému Windows NT Server počítač 4.0, postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazProgramy, přejděte na příkaz Nástroje pro správu, a Klepněte na tlačítko Správce uživatelů pro domény.
  2. V Zásady nabídky, klepněte na tlačítko Uživatel Práva.
  3. V Vpravo Klepněte na položku Přístup Tento počítač ze sítě.
  4. V Udělit pole, ujistěte se, že Skupiny Everyone přidána. Pokud není přidán do skupiny Everyone, postupujte kroky:
    1. Klepněte na tlačítko Přidat.
    2. V Názvy Klepněte na položku Všichni uživatelé, klepněte na tlačítko Přidata klepněte na tlačítko OK.
  5. Klepněte na tlačítko OKa pak ukončete uživatele Správce.

Metoda 4: ověření členství ve skupině

Pokud je nastaven vztah důvěryhodnosti mezi doménami, ale nemůžete přidat zásady uživatele z jedné domény skupiny do druhé, protože nemá v dialogovém okně najít jiné domény objekty "Pre-Windows 2000 compatible access" skupina nesmí mít správné členství.

V systému Windows 2000 řadiče domény a řadiče domény se systémem Windows Server 2003, všechny požadované členství nakonfigurovány.

Postup v řadičích domény se systémem Windows 2000 postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazProgramy, přejděte na příkaz Nástroje pro správu, a Klepněte na tlačítko Active Directory Users and Computers.
  2. Klepněte na tlačítko Součástía potom poklepejte naSkupiny pre-Windows 2000 compatible access.
  3. Klepněte Členové kartu a ujistěte se, že Skupina Everyone je v Členové seznam.
  4. Pokud skupina Everyone není vČlenové seznam, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmda klepněte na tlačítko OK.
    2. Na příkazovém řádku zadejte následující příkaz: net localgroup "Pre-Windows 2000 Compatible Access" everyone / adda pak stiskněte klávesu. ZADEJTE.
A ujistěte se, zda jsou nastaveny požadované členství v řadičích domény se systémem Windows Server 2003, musíte vědět, pokud "Přístup k síti: udělení oprávnění skupiny Everyone pro anonymní uživatele" zásady je zakázáno. Pokud neznáte, použijte Editor Zásady skupiny objekt určení stavu "přístup k síti: skupiny Everyone oprávnění se vztahují na nastavení zásad pro anonymní uživatele". Chcete-li to provést, postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, Typ gpedit.msca klepněte na tlačítkoOK.
  2. Rozbalte následující složky:
    Zásady místního počítače
    Konfigurace počítače
    Nastavení systému Windows
    Nastavení zabezpečení
    Místní zásady
  3. Klepněte na tlačítko Možnosti zabezpečenía klepněte na tlačítkoPřístup k síti: oprávnění použít Everyone pro anonymní Uživatelé v pravém podokně.
  4. Poznámka: Pokud hodnota v Nastavení zabezpečenísloupec Zakázáno nebo Povoleno.
A ujistěte se, zda jsou nastaveny požadované členství v řadičích domény se systémem Windows Server 2003 postupujte takto:
  1. Klepněte na tlačítko Spustit, přejděte na příkazProgramy, přejděte na příkaz Nástroje pro správu, a Klepněte na tlačítko Active Directory Users and Computers.
  2. Klepněte na tlačítko Součástía potom poklepejte naSkupiny pre-Windows 2000 compatible access.
  3. Klepněte Členové na kartě.
  4. Pokud Přístup k síti: skupiny Everyone oprávnění anonymním uživatelům nastavení zásad zakázáno, ujistěte se, že Everyone, je skupina Anonymous Logon v Členové seznam. Pokud "přístup k síti: udělení oprávnění skupiny Everyone pro anonymní uživatele" zásady je nastavení povoleno, ujistěte se, že skupina Everyone je vČlenové seznam.
  5. Pokud skupina Everyone není vČlenové seznam, postupujte takto:
    1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmda klepněte na tlačítko OK.
    2. Na příkazovém řádku zadejte následující příkaz: net localgroup "Pre-Windows 2000 Compatible Access" everyone / adda pak stiskněte klávesu. ZADEJTE.

Metoda 5: ověřit dostupnost připojení prostřednictvím síťového zařízení, jako jsou například brány firewall, přepínače nebo směrovače

Pokud jste obdrželi chybové zprávy, které jsou podobné chybě zpráva a ověřili jste, že jsou soubory soubor LMHOST správná, problém může být způsoben bránu firewall, směrovač nebo přepínač, který má Blokované porty mezi řadiči domény:
Bez domény Nelze kontaktovat řadič
Odstraňování problémů se síťovými zařízeními, použijte PortQry příkazového řádku Port Scanner verze 2.0 test portů mezi vaší řadiče domény. Další informace informace o PortQry verze 2, získáte následujícím článku znalostní báze v článku znalostní báze Microsoft Knowledge Base:
) pod číslem 832919Nové funkce a funkce nástroje PortQry verze 2.0
Další informace o tom musí být porty nakonfigurován, klepněte na následující číslo článku v následujícím článku Znalostní báze Microsoft Knowledge Base:
179442Jak nakonfigurovat bránu firewall pro domény a vztahy důvěryhodnosti

Metoda šest: shromáždit další informace k řešení problémů

Pokud vám předchozí metody nepomohly vyřešení problému, Shromážděte následující doplňkové informace, které vám pomohou vyřešit příčinu vydání:
  • Povolte protokolování na oba řadiče domény služby Netlogon. Další informace informace o úplné protokolování Netlogon, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    109626Povolení protokolování ladění pro službu přihlašování k síti
  • Zachycení trasování na oba řadiče domény ve stejné době že k problému dochází. Další informace informace o digitalizace zatížení sítě získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    812953Použití programu Sledování sítě zachytit provoz sítě

Další informace

Následuje seznam objektů Zásady skupiny (GPO) umístění odpovídající položky registru a Zásady skupiny v příslušné operační systémy:
  • RestrictAnonymous GPO:
    • Umístění v registru systému Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Umístění registru systému Windows 2000 a Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Systém Windows 2000 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ možnosti zabezpečení Další omezení anonymních připojení
    • Windows Server 2003 Zásady skupiny: počítače Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ sítě možnosti zabezpečení přístup: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek
  • RestrictAnonymousSAM objekt zásad skupiny:
    • Umístění v registru systému Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ sítě možnosti zabezpečení přístup: Nepovolit anonymní tvorbu výčtu SAM účtů a sdílených položek
  • EveryoneIncludesAnonymous objekt zásad skupiny:
    • Umístění v registru systému Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ sítě možnosti zabezpečení přístup: udělení oprávnění skupiny Everyone pro anonymní uživatele
  • LM Compatibility GPO:
    • Systém Windows NT, Windows 2000 a Windows Server 2003 umístění v registru:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Systém Windows 2000 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ možnosti zabezpečení: LAN Úroveň ověřování Manager
    • Windows Server 2003 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ zabezpečení\Přístup zabezpečení zabezpečení: úroveň ověřování pro systém LAN Manager
  • EnableSecuritySignature (klient) objektu zásad skupiny:
    • Umístění registru systému Windows 2000 a Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Systém Windows 2000 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ možnosti zabezpečení: Digitálně podepsat komunikaci s klientem (při možné)
    • Windows Server 2003 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ možnosti zabezpečení \ Klient sítě Microsoft: digitálně podepsat komunikaci (Pokud server souhlasí)
  • RequireSecuritySignature (klient) objektu zásad skupiny:
    • Umístění registru systému Windows 2000 a Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Systém Windows 2000 Zásady skupiny: Počítač Konfigurace \ nastavení systému Windows \ nastavení zabezpečení \ možnosti zabezpečení: Digitálně podepsat komunikaci s klientem (vždy)
    • Systém Windows Server 2003: Konfigurace počítače \ Nastavení systému Windows \ nastavení zabezpečení \ Microsoft Options\ zabezpečení sítě Klient: digitálně podepsat komunikaci (vždy)
  • EnableSecuritySignature (server) objektu zásad skupiny:
    • Umístění v registru systému Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Umístění registru systému Windows 2000 a Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Systém Windows 2000 Zásady skupiny: Digitálně podepsat komunikace se serverem (Pokud je to možné)
    • Windows Server 2003 Zásady skupiny: Microsoft server sítě: digitálně podepsat komunikaci (Pokud klient souhlasí)
  • RequireSecuritySignature (server) objektu zásad skupiny:
    • Umístění v registru systému Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Umístění registru systému Windows 2000 a Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Systém Windows 2000 Zásady skupiny: Digitálně podepsat komunikace se serverem (vždy)
    • Windows Server 2003 Zásady skupiny: Microsoft server sítě: digitálně podepsat komunikaci (vždy)
  • RequireSignOrSeal objekt zásad skupiny:
    • Systém Windows NT, Windows 2000 a Windows Server 2003 umístění v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Systém Windows 2000 Zásady skupiny: Digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)
    • Zásady skupiny systému Windows Server 2003: Člen domény: Digitálně zašifrovat nebo podepsat data zabezpečeného kanálu (vždy)
  • SealSecureChannel objekt zásad skupiny:
    • Systém Windows NT, Windows 2000 a Windows Server 2003 umístění v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Systém Windows 2000 Zásady skupiny: Zabezpečený kanál: Digitálně zašifrovat data zabezpečeného kanálu (Pokud je to možné)
    • Windows Server 2003 Zásady skupiny: Domény člen: digitálně zašifrovat data zabezpečeného kanálu (Pokud je to možné)
  • SignSecureChannel objekt zásad skupiny:
    • Systém Windows NT, Windows 2000 a Windows Server 2003 umístění v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Systém Windows 2000 Zásady skupiny: Zabezpečený kanál: Digitálně podepsat data zabezpečeného kanálu (Pokud je to možné)
    • Windows Server 2003 Zásady skupiny: Domény člen: digitálně podepsat data zabezpečeného kanálu (Pokud je to možné)
  • RequireStrongKey objekt zásad skupiny:
    • Systém Windows NT, Windows 2000 a Windows Server 2003 umístění v registru:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Systém Windows 2000 Zásady skupiny: Zabezpečený kanál: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší)
    • Windows Server 2003 Zásady skupiny: Domény člen: Vyžadovat silný klíč relace (Windows 2000 nebo vyšší)

Systém Windows Server 2008

V řadiči domény se systémem Windows Server 2008 výchozí chování Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 nastavení zásad mohou způsobit potíže. Toto nastavení zabrání i Operační systémy Windows a klienti třetích stran pomocí kryptografie slabé algoritmů NETLOGON zabezpečení kanály se systémem Windows Server 2008 řadiče domény. Další informace klepněte na následující číslo článku v následujícím článku Microsoft Knowledge Base:
942564Při pokusí použít přihlašovací služba NETLOGON vytvořit kanál zabezpečení na řadiči domény se systémem Windows Server 2008, operace v počítači se systémem Windows NT 4.0 může selhat.

Odkazy

Další informace získáte naleznete v následujících článcích báze Microsoft Knowledge Base:
257942Chybová zpráva: Nelze procházet vybrané domény, protože došlo k následující chybě...
246261 Použití hodnoty registru RestrictAnonymous v systému Windows 2000
258595 Gpresult neprovede výčet výsledné zásady zabezpečení
823659 Klienta, služby a program nekompatibility, které mohou nastat při úpravě nastavení zabezpečení a přiřazení uživatelských práv
278259 Skupina Everyone nezahrnuje anonymní bezpečnostní identifikátor

Vlastnosti

ID článku: 889030 - Poslední aktualizace: 22. května 2011 - Revize: 10.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Klíčová slova: 
kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:889030

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com