Eine Vertrauensstellung zwischen einer Windows NT-Domäne und einer Active Directory-Domäne kann nicht hergestellt werden oder funktioniert nicht wie erwartet.

  • Artikel

In diesem Artikel werden die Probleme bei der Vertrauensstellung zwischen einer Windows NT 4.0-basierten Domäne und einer Active Directory-basierten Domäne beschrieben.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 889030

Symptome

Wenn Sie versuchen, eine Vertrauensstellung zwischen einer Microsoft Windows NT 4.0-basierten Domäne und einer Active Directory-basierten Domäne einzurichten, kann eines der folgenden Symptome auftreten:

  • Die Vertrauensstellung ist nicht eingerichtet.
  • Die Vertrauensstellung ist eingerichtet, aber die Vertrauensstellung funktioniert nicht wie erwartet.

Darüber hinaus erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

Der folgende Fehler ist beim Versuch aufgetreten, der Domäne "Domain_Name" beizutreten: Das Konto ist nicht autorisiert, sich von dieser Station aus anzumelden.

Der Zugriff wurde verweigert.

Es konnte kein Domänencontroller kontaktiert werden.

Anmeldefehler: Unbekannter Benutzername oder ungültiges Kennwort.

Wenn Sie die Objektauswahl in Active Directory-Benutzer und -Computer verwenden, um Benutzer aus der NT 4.0-Domäne zur Active Directory-Domäne hinzuzufügen, wird möglicherweise die folgende Fehlermeldung angezeigt:

Keine Elemente entsprechen der aktuellen Suche. Überprüfen Sie Die Suchparameter, und versuchen Sie es erneut.

Ursache

Dieses Problem tritt aufgrund eines Konfigurationsproblems in einem der folgenden Bereiche auf:

  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003

Um die Ursache des Problems richtig zu identifizieren, müssen Sie die Problembehandlung für die Vertrauensstellungskonfiguration durchführen.

Lösung

Wenn Sie die Fehlermeldung "Keine Elemente entsprechen der aktuellen Suche" erhalten, wenn Sie die Objektauswahl in Active Directory-Benutzer und -Computer verwenden, stellen Sie sicher, dass die Domänencontroller in der NT 4.0-Domäne jeder im Zugriff auf diesen Computer über das Netzwerkbenutzerrecht enthalten. In diesem Szenario versucht die Objektauswahl, eine anonyme Verbindung über die Vertrauensstellung herzustellen. Führen Sie die Schritte im Abschnitt "Methode 3: Überprüfen der Benutzerrechte" aus, um diese Einstellungen zu überprüfen.

Um Probleme mit der Vertrauenskonfiguration zwischen einer Windows NT 4.0-basierten Domäne und Active Directory zu beheben, müssen Sie die richtige Konfiguration der folgenden Bereiche überprüfen:

  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003

Verwenden Sie dazu die folgenden Methoden.

Methode 1: Überprüfen der richtigen Konfiguration der Namensauflösung

Schritt 1: Erstellen einer LMHOSTS-Datei

Erstellen Sie eine LMHOSTS-Datei auf den primären Domänencontrollern, um eine domänenübergreifende Namensauflösung bereitzustellen. Die LMHOSTS-Datei ist eine Textdatei, die Sie mit jedem Text-Editor bearbeiten können, z. B. Editor. Die LMHOSTS-Datei auf jedem Domänencontroller muss die TCP/IP-Adresse, den Domänennamen und den Eintrag \0x1b des anderen Domänencontrollers enthalten.

Nachdem Sie die LMHOSTS-Datei erstellt haben, führen Sie die folgenden Schritte aus:

  1. Ändern Sie die Datei so, dass sie Text enthält, der dem folgenden Text ähnelt:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Hinweis

    Es müssen insgesamt 20 Zeichen und Leerzeichen zwischen den Anführungszeichen (" ") für den \0x1b Eintrag vorhanden sein. Fügen Sie Leerzeichen nach dem Domänennamen hinzu, sodass 15 Zeichen verwendet werden. Das 16. Zeichen ist der umgekehrte Schrägstrich, auf den der Wert "0x1b" folgt, und dies macht insgesamt 20 Zeichen aus.

  2. Wenn Sie die Änderungen an der LMHOSTS-Datei abgeschlossen haben, speichern Sie die Datei im Ordner %SystemRoot% \System32\Drivers\Etc auf den Domänencontrollern. Weitere Informationen zur LMHOSTS-Datei finden Sie in der Beispieldatei Lmhosts.sam, die sich im Ordner %SystemRoot% \System32\Drivers\Etc befindet.

Schritt 2: Laden der LMHOSTS-Datei in den Cache

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.

  2. Geben Sie an der Eingabeaufforderung ein NBTSTAT -R, und drücken Sie dann die EINGABETASTE. Dieser Befehl lädt die LMHOSTS-Datei in den Cache.

  3. Geben Sie an der Eingabeaufforderung ein NBTSTAT -c, und drücken Sie dann die EINGABETASTE. Dieser Befehl zeigt den Cache an. Wenn die Datei ordnungsgemäß geschrieben wird, sieht der Cache wie folgt aus:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Wenn die Datei den Cache nicht ordnungsgemäß auffüllt, fahren Sie mit dem nächsten Schritt fort.

Schritt 3: Stellen Sie sicher, dass die LMHOSTS-Suche auf dem Windows NT 4.0-basierten Computer aktiviert ist.

Wenn die Datei den Cache nicht ordnungsgemäß auffüllt, stellen Sie sicher, dass die LMHOSTS-Suche auf dem Windows NT 4.0-basierten Computer aktiviert ist. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, zeigen Sie aufEinstellungen, und klicken Sie auf Systemsteuerung.
  2. Doppelklicken Sie auf Netzwerke, klicken Sie auf die Registerkarte Protokolle , und doppelklicken Sie dann auf TCP/IP-Protokoll.
  3. Klicken Sie auf die Registerkarte WINS-Adresse , und aktivieren Sie dann das Kontrollkästchen LMHOSTS-Suche aktivieren .
  4. Starten Sie den Computer neu.
  5. Wiederholen Sie die Schritte im Abschnitt "Laden der LMHOSTS-Datei in den Cache".
  6. Wenn die Datei den Cache nicht ordnungsgemäß auffüllt, stellen Sie sicher, dass sich die LMHOSTS-Datei im Ordner %SystemRoot%\System32\Drivers\Etc befindet und dass die Datei ordnungsgemäß formatiert ist.

Beispielsweise muss die Datei ähnlich der folgenden Beispielformatierung formatiert sein:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Hinweis

Es müssen insgesamt 20 Zeichen und Leerzeichen in den Anführungszeichen (" ") für den Eintrag Domänenname und \0x1b vorhanden sein.

Schritt 4: Verwenden des Ping-Befehls zum Testen der Konnektivität

Wenn die Datei den Cache auf jedem Server ordnungsgemäß auffüllt, verwenden Sie den Ping Befehl auf jedem Server, um die Konnektivität zwischen den Servern zu testen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.

  2. Geben Sie an der Eingabeaufforderung ein Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>, und drücken Sie dann die EINGABETASTE. Wenn der Ping Befehl nicht funktioniert, stellen Sie sicher, dass die richtigen IP-Adressen in der LMHOSTS-Datei aufgeführt sind.

  3. Geben Sie an der Eingabeaufforderung ein net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>, und drücken Sie dann die EINGABETASTE. Es wird erwartet, dass Sie die folgende Fehlermeldung erhalten:

    Systemfehler 5 ist aufgetreten. Zugriff verweigert

    Wenn der Befehl net view die folgende Fehlermeldung oder eine andere zugehörige Fehlermeldung zurückgibt, stellen Sie sicher, dass die richtigen IP-Adressen in der LMHOSTS-Datei aufgeführt sind:

    Systemfehler 53 ist aufgetreten. Der Netzwerkpfad wurde nicht gefunden

Alternativ kann Windows Internet Name Service (WINS) so konfiguriert werden, dass die Namensauflösungsfunktionalität aktiviert wird, ohne eine LMHOSTS-Datei zu verwenden.

Methode 2: Anzeigen von Sicherheitseinstellungen

In der Regel verfügt die Active Directory-Seite der Vertrauensstellungskonfiguration über Sicherheitseinstellungen, die Konnektivitätsprobleme verursachen. Die Sicherheitseinstellungen müssen jedoch auf beiden Seiten der Vertrauensstellung überprüft werden.

Schritt 1: Anzeigen der Sicherheitseinstellungen unter Windows 2000 Server und Windows Server 2003

In Windows 2000 Server und Windows Server 2003 können die Sicherheitseinstellungen durch Gruppenrichtlinie, eine lokale Richtlinie oder eine angewendete Sicherheitsvorlage angewendet oder konfiguriert werden.

Sie müssen die richtigen Tools verwenden, um die aktuellen Werte der Sicherheitseinstellungen zu ermitteln, um ungenaue Messwerte zu vermeiden.

Verwenden Sie die folgenden Methoden, um eine genaue Lesart der aktuellen Sicherheitseinstellungen zu erhalten:

  • Verwenden Sie in Windows 2000 Server das Snap-In Sicherheitskonfiguration und -analyse.

  • Verwenden Sie in Windows Server 2003 entweder das Snap-In Sicherheitskonfiguration und -analyse oder das Snap-In Resultant Set of Policy (RSoP).

Nachdem Sie die aktuellen Einstellungen ermittelt haben, müssen Sie die Richtlinie identifizieren, die die Einstellungen anwendet. Beispielsweise müssen Sie die Gruppenrichtlinie in Active Directory oder die lokalen Einstellungen bestimmen, die die Sicherheitsrichtlinie festlegen.

In Windows Server 2003 wird die Richtlinie, die die Sicherheitswerte festlegt, vom RSoP-Tool identifiziert. In Windows 2000 müssen Sie jedoch die Gruppenrichtlinie und die lokale Richtlinie anzeigen, um die Richtlinie zu bestimmen, die die Sicherheitseinstellungen enthält:

  • Um die Gruppenrichtlinie Einstellungen anzuzeigen, müssen Sie die Protokollierungsausgabe für den Microsoft Windows 2000-Sicherheitskonfigurationsclient während Gruppenrichtlinie Verarbeitung aktivieren.

  • Zeigen Sie die Ereignisanzeige Anwendungsanmeldung an, und suchen Sie nach Ereignis-ID 1000 und Ereignis-ID 1202.

In den folgenden drei Abschnitten wird das Betriebssystem identifiziert und die Sicherheitseinstellungen aufgeführt, die Sie für das Betriebssystem in den gesammelten Informationen überprüfen müssen:

Windows 2000

Stellen Sie sicher, dass die folgenden Einstellungen wie gezeigt konfiguriert sind.

Restrictanonymous:

Zusätzliche Einschränkungen für anonyme Verbindungen
 "Keine. Verlassen Sie sich auf Standardberechtigungen"

LM-Kompatibilität:

LAN-Manager-Authentifizierungsebene "Nur NTLM-Antwort senden"

SMB-Signatur, SMB-Verschlüsselung oder beides:

Digitales Signieren der Clientkommunikation (immer) DEAKTIVIERT
Digitales Signieren der Clientkommunikation (sofern möglich) AKTIVIERT
Digitales Signieren der Serverkommunikation (immer) DEAKTIVIERT
Digitales Signieren der Serverkommunikation (sofern möglich) AKTIVIERT
Sicherer Kanal: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer) DEAKTIVIERT
Sicherer Kanal: Sichere Kanaldaten digital verschlüsseln (sofern möglich) DEAKTIVIERT
Sicherer Kanal: Digitales Signieren sicherer Kanaldaten (sofern möglich) DEAKTIVIERT
Sicherer Kanal: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich DEAKTIVIERT
Windows Server 2003

Stellen Sie sicher, dass die folgenden Einstellungen wie gezeigt konfiguriert sind.

RestrictAnonymous und RestrictAnonymousSam:

Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen AKTIVIERT
Netzwerkzugriff: Anonyme Enumeration von SAM-Konten nicht zulassen DEAKTIVIERT
Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen DEAKTIVIERT
Netzwerkzugriff: Lassen Sie alle Berechtigungen für anonyme Benutzer gelten. AKTIVIERT
Netzwerkzugriff: Auf Named Pipes kann anonym zugegriffen werden AKTIVIERT
Netzwerkzugriff: Einschränken des anonymen Zugriffs auf Named Pipes und Freigaben DEAKTIVIERT

Hinweis

Standardmäßig ist der Wert der Einstellung Netzwerkzugriff: Anonyme SID/Name-Übersetzung zulassen in Windows Server 2008 DEAKTIVIERT.

LM-Kompatibilität:

Netzwerksicherheit: LAN Manager-Authentifizierungsebene "Nur NTLM-Antwort senden"

SMB-Signatur, SMB-Verschlüsselung oder beides:

Microsoft-Netzwerkclient: Kommunikation digital signieren (immer) DEAKTIVIERT
Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt) AKTIVIERT
Microsoft-Netzwerkserver: Kommunikation digital signieren (immer) DEAKTIVIERT
Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt) AKTIVIERT
Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer) DEAKTIVIERT
Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (sofern möglich) AKTIVIERT
Domänenmitglied: Sichere Kanaldaten digital signieren (sofern möglich) AKTIVIERT
Domänenmitglied: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich DEAKTIVIERT

Nachdem die Einstellungen ordnungsgemäß konfiguriert wurden, müssen Sie den Computer neu starten. Die Sicherheitseinstellungen werden erst erzwungen, wenn der Computer neu gestartet wird.

Warten Sie nach dem Neustart des Computers 10 Minuten, um sicherzustellen, dass alle Sicherheitsrichtlinien angewendet und die effektiven Einstellungen konfiguriert sind. Es wird empfohlen, 10 Minuten zu warten, da Active Directory-Richtlinienaktualisierungen alle 5 Minuten auf einem Domänencontroller erfolgen und das Update die Sicherheitseinstellungswerte ändern kann. Verwenden Sie nach 10 Minuten Sicherheitskonfiguration und -analyse oder ein anderes Tool, um die Sicherheitseinstellungen in Windows 2000 und Windows Server 2003 zu untersuchen.

Windows NT 4.0

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base: 322756 Sichern und Wiederherstellen der Registrierung unter Windows.

In Windows NT 4.0 müssen die aktuellen Sicherheitseinstellungen mithilfe des Regedt32-Tools überprüft werden, um die Registrierung anzuzeigen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedt32 ein, und klicken Sie dann auf OK.

  2. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem RestrictAnonymous-Eintrag zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag LM-Kompatibilität zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag EnableSecuritySignature (Server) zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag RequireSecuritySignature (Server) zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag RequireSignOrSeal zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag SealSecureChannel zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag SignSecureChannel zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag RequireStrongKey zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Methode 3: Überprüfen der Benutzerrechte

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows 2000-basierten Computer zu überprüfen:

  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.
  3. Doppelklicken Sie im rechten Bereich auf Diesen Computer über das Netzwerk zugreifen.
  4. Aktivieren Sie das Kontrollkästchen Lokale Richtlinieneinstellung neben der Gruppe Jeder in der Liste Zugewiesen an , und klicken Sie dann auf OK.
  5. Doppelklicken Sie auf Zugriff auf diesen Computer über das Netzwerk verweigern.
  6. Vergewissern Sie sich, dass in der Liste Zugewiesen an keine Prinzipalgruppen vorhanden sind, und klicken Sie dann auf OK. Stellen Sie beispielsweise sicher, dass jeder, authentifizierte Benutzer und andere Gruppen nicht aufgeführt sind.
  7. Klicken Sie auf OK, und beenden Sie dann Lokale Sicherheitsrichtlinie.

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows Server 2003-basierten Computer zu überprüfen:

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Sicherheitsrichtlinie für Domänencontroller.

  2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf Zuweisung von Benutzerrechten.

  3. Doppelklicken Sie im rechten Bereich auf Diesen Computer über das Netzwerk zugreifen.

  4. Stellen Sie sicher, dass sich die Gruppe Jeder in der Liste Zugriff auf diesen Computer aus dem Netzwerk befindet.

    Wenn die Gruppe Jeder nicht aufgeführt ist, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    2. Geben Sie im Feld Benutzer- und Gruppennamenden Namen Jeder ein, und klicken Sie dann auf OK.

  5. Doppelklicken Sie auf Zugriff auf diesen Computer über das Netzwerk verweigern.

  6. Vergewissern Sie sich, dass in der Liste Zugriff auf diesen Computer verweigern aus der Netzwerkliste keine Prinzipgruppen enthalten sind, und klicken Sie dann auf OK. Stellen Sie beispielsweise sicher, dass jeder, authentifizierte Benutzer und andere Gruppen nicht aufgeführt sind.

  7. Klicken Sie auf OK, und schließen Sie dann die Domänencontroller-Sicherheitsrichtlinie.

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows NT Server 4.0-basierten Computer zu überprüfen:

  1. Klicken Sie auf Start, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Benutzer-Manager für Domänen.

  2. Klicken Sie im Menü Richtlinien auf Benutzerrechte.

  3. Klicken Sie in der Liste Rechts auf Zugriff auf diesen Computer über das Netzwerk.

  4. Stellen Sie im Feld Gewähren an sicher, dass die Gruppe Jeder hinzugefügt wird.

    Wenn die Gruppe Jeder nicht hinzugefügt wird, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Hinzufügen.
    2. Klicken Sie in der Liste Namen auf Jeder, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.

  5. Klicken Sie auf OK, und beenden Sie den Benutzer-Manager.

Methode 4: Überprüfen der Gruppenmitgliedschaft

Wenn eine Vertrauensstellung zwischen den Domänen eingerichtet ist, Sie aber keine prinzipalbasierten Benutzergruppen aus einer Domäne zur anderen hinzufügen können, weil das Dialogfeld die anderen Domänenobjekte nicht findet, verfügt die Gruppe "Pre-Windows 2000-kompatibler Zugriff" möglicherweise nicht über die richtige Mitgliedschaft.

Stellen Sie auf den Windows 2000-basierten Domänencontrollern und den Windows Server 2003-basierten Domänencontrollern sicher, dass die erforderlichen Gruppenmitgliedschaften konfiguriert sind.

Führen Sie die folgenden Schritte aus, um dies auf den Windows 2000-basierten Domänencontrollern zu tun:

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie auf Integriert, und doppelklicken Sie dann auf Pre-Windows 2000-kompatible Zugriffsgruppe.

  3. Klicken Sie auf die Registerkarte Mitglieder , und stellen Sie dann sicher, dass die Gruppe Jeder in der Liste Mitglieder enthalten ist.

  4. Wenn die Gruppe Jeder nicht in der Liste Mitglieder enthalten ist, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.
    2. Geben Sie an der Eingabeaufforderung ein net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, und drücken Sie dann die EINGABETASTE.

Um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows Server 2003-basierten Domänencontrollern konfiguriert sind, müssen Sie wissen, ob die Richtlinieneinstellung "Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer gelten lassen" deaktiviert ist. Wenn Sie dies nicht wissen, verwenden Sie die Gruppenrichtlinie Object Editor, um den Status der Richtlinieneinstellung "Netzwerkzugriff: Alle Berechtigungen auf anonyme Benutzer anwenden" zu bestimmen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie im Startmenü auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK.

  2. Erweitern Sie die folgenden Ordner:

    Richtlinie für lokale Computer
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien

  3. Klicken Sie auf Sicherheitsoptionen, und klicken Sie dann im rechten Bereich auf Netzwerkzugriff: Berechtigungen Für anonyme Benutzer anwenden lassen .

  4. Beachten Sie, wenn der Wert in der Spalte Sicherheitseinstellungdeaktiviert oder Aktiviert ist.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows Server 2003-basierten Domänencontrollern konfiguriert sind:

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie auf Integriert, und doppelklicken Sie dann auf Pre-Windows 2000-kompatible Zugriffsgruppe.

  3. Klicken Sie auf die Registerkarte Mitglieder.

  4. Wenn die Richtlinieneinstellung Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer gelten lassen deaktiviert ist, stellen Sie sicher, dass die Gruppe Jeder, anonyme Anmeldung in der Liste Mitglieder enthalten ist. Wenn die Richtlinieneinstellung "Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer gelten lassen" aktiviert ist, stellen Sie sicher, dass die Gruppe Jeder in der Liste Mitglieder enthalten ist.

  5. Wenn die Gruppe Jeder nicht in der Liste Mitglieder enthalten ist, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie dann auf OK.
    2. Geben Sie an der Eingabeaufforderung ein net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, und drücken Sie dann die EINGABETASTE.

Methode fünf: Überprüfen der Konnektivität über Netzwerkgeräte wie Firewalls, Switches oder Router

Wenn Sie Fehlermeldungen erhalten haben, die der folgenden Fehlermeldung ähneln, und Sie überprüft haben, ob die LMHOST-Dateien korrekt sind, kann das Problem durch eine Firewall, einen Router oder einen Switch verursacht werden, der Ports zwischen den Domänencontrollern blockiert hat:

Es konnte kein Domänencontroller kontaktiert werden.

Um Probleme mit Netzwerkgeräten zu beheben, verwenden Sie PortQry Command Line Port Scanner Version 2.0, um die Ports zwischen Ihren Domänencontrollern zu testen.

Weitere Informationen zu PortQry Version 2 finden Sie in der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

832919 Neue Features und Funktionen in PortQry Version 2.0

Weitere Informationen dazu, wie die Ports konfiguriert werden müssen, finden Sie im folgenden Artikel der Microsoft Knowledge Base:

179442 Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

Methode sechs: Sammeln zusätzlicher Informationen zur Problembehandlung

Wenn die vorherigen Methoden ihnen nicht bei der Behebung des Problems helfen, sammeln Sie die folgenden zusätzlichen Informationen, um die Ursache des Problems zu beheben:

  • Aktivieren Sie die Netlogon-Protokollierung auf beiden Domänencontrollern. Weitere Informationen zum Abschließen der Netlogon-Protokollierung finden Sie im folgenden Artikel der Microsoft Knowledge Base: 109626 Aktivieren der Debugprotokollierung für den Net Logon-Dienst.

  • Erfassen Sie eine Ablaufverfolgung auf beiden Domänencontrollern zur gleichen Zeit, zu der das Problem auftritt.

Weitere Informationen

Die folgende Liste der Gruppenrichtlinie-Objekte (GPOs) enthält den Speicherort des entsprechenden Registrierungseintrags und die Gruppenrichtlinie in den anwendbaren Betriebssystemen:

  • Das RestrictAnonymous GPO:

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\ Sicherheitsoptionen Zusätzliche Einschränkungen für anonyme Verbindungen
    • Windows Server 2003 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen

  • Das RestrictAnonymousSAM-GPO:

    • Windows Server 2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen Sicherheitseinstellungen Netzwerkzugriff: Anonyme Enumeration von SAM-Konten und -Freigaben nicht zulassen

  • Das Gruppenrichtlinienobjekt EveryoneIncludesAnonymous:

    • Windows Server 2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer gelten lassen

  • Das LM-Kompatibilitäts-GPO:

    • Registrierungsspeicherort für Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen: LAN-Manager-Authentifizierungsebene

    • Windows Server 2003 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Netzwerksicherheit: LAN Manager-Authentifizierungsebene

  • Das EnableSecuritySignature(Client)-GPO:

    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen \Sicherheitsoptionen: Clientkommunikation digital signieren (sofern möglich)
    • Windows Server 2003 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Microsoft-Netzwerkclient: Digitales Signieren der Kommunikation (wenn der Server zustimmt)

  • Das RequireSecuritySignature(Client)-GPO:

    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen: Clientkommunikation digital signieren (immer)
    • Windows Server 2003: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)

  • Das EnableSecuritySignature(Server)-GPO:

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 Gruppenrichtlinie: Serverkommunikation digital signieren (wenn möglich)
    • Windows Server 2003 Gruppenrichtlinie: Microsoft-Netzwerkserver: Digitales Signieren der Kommunikation (wenn client zustimmt)

  • Das RequireSecuritySignature(Server)-GPO:

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 Gruppenrichtlinie: Serverkommunikation digital signieren (immer)
    • Windows Server 2003 Gruppenrichtlinie: Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)

  • Das RequireSignOrSeal-GPO:

    • Registrierungsspeicherort für Windows NT, Windows 2000 und Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Gruppenrichtlinie: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer)
    • Windows Server2003 Gruppenrichtlinie: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln oder signieren (immer)

  • Das SealSecureChannel-GPO:

    • Registrierungsspeicherort für Windows NT, Windows 2000 und Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Gruppenrichtlinie: Sicherer Kanal: Sichere Kanaldaten digital verschlüsseln (sofern möglich)
    • Windows Server 2003 Gruppenrichtlinie: Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (sofern möglich)

  • Das SignSecureChannel-GPO:

    • Registrierungsspeicherort für Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Gruppenrichtlinie: Sicherer Kanal: Digitales Signieren sicherer Kanaldaten (sofern möglich)
    • Windows Server 2003 Gruppenrichtlinie: Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich)

  • Das RequireStrongKey-GPO:

    • Registrierungsspeicherort für Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Gruppenrichtlinie: Sicherer Kanal: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich
    • Windows Server 2003 Gruppenrichtlinie: Domänenmitglied: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich

Windows Server 2008

Auf einem Domänencontroller, auf dem Windows Server 2008 ausgeführt wird, kann das Standardverhalten der Richtlinieneinstellung Kryptografiealgorithmen zulassen, die mit Windows NT 4.0 kompatibel sind, ein Problem verursachen. Diese Einstellung verhindert, dass sowohl Windows-Betriebssysteme als auch Clients von Drittanbietern schwache Kryptografiealgorithmen verwenden, um NETLOGON-Sicherheitskanäle für Windows Server 2008-basierte Domänencontroller einzurichten.

References

Weitere Informationen finden Sie, indem Sie auf die folgenden Artikelnummern klicken, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

823659 Client-, Dienst- und Programminkompatibilitäten, die auftreten können, wenn Sie Sicherheitseinstellungen und Zuweisungen von Benutzerrechten ändern