Vertrauen zwischen einer Windows NT-Domäne und eine Active Directory-Domäne kann nicht hergestellt werden oder es funktioniert nicht wie erwartet

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 889030 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie versuchen, eine Vertrauensstellung zwischen einer Windows NT 4.0-Domäne und einer Active Directory-basierten Domäne einrichten, können Sie eines der folgenden Symptome auftreten:
  • Keine ist Vertrauensstellung.
  • Die Vertrauensstellung, die Vertrauensstellung funktioniert jedoch nicht wie erwartet.
Darüber hinaus erhalten Sie eine der folgenden Fehlermeldungen angezeigt:
Folgender Fehler Versuch der Teilnahme der Domäne "Domain_Name": das Konto ist nicht berechtigt, von dieser Station aus anmelden.
Der Zugriff wurde verweigert.
Kein Domänencontroller Es konnte kontaktiert werden.
Anmeldefehler: Unbekannter Benutzername oder falsches Kennwort.
Wenn Sie die Objektauswahl in Active Directory-Benutzer und-Computer verwenden, um Benutzer aus der NT 4.0-Domäne zu Active Directory hinzuzufügen Domäne, können Sie erhalten folgende Fehlermeldung:
Die aktuelle Suche entsprechen keine Elemente. Überprüfen Sie die Suchparameter, und versuchen Sie es erneut.

Ursache

Dieses Problem tritt aufgrund eines Problems Konfiguration in einem der folgenden Bereiche:
  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerberechtigungen
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003
Um die Ursache des Problems korrekt zu ermitteln, müssen Sie die Vertrauensstellung Konfiguration behandeln.

Lösung

Wenn Sie die "keine Elemente überein die aktuelle Suche" Fehlermeldung, erhalten Wenn Sie die Objektauswahl in Active Directory-Benutzer und-Computer verwenden, stellen Sie sicher, dass die Domänencontroller in der NT 4.0-Domäne jeder das Recht auf diesen Computer vom Netzwerkbenutzer eingeschlossen. In diesem Szenario versucht die Objektauswahl anonym eine Verbindung über die Vertrauensstellung herstellen. Um diese Ssettings zu überprüfen, gehen in der "Methode 3: Überprüfen Sie die Benutzerrechte" Abschnitt.

Zur Problembehandlung bei Vertrauensstellungen Konfiguration Probleme zwischen einer Windows NT 4.0-Domäne und Active Directory, Sie müssen überprüfen, ob die korrekte Konfiguration der folgenden Bereiche:
  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerberechtigungen
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003
Verwenden Sie dazu die folgenden Methoden.

Methode 1: Überprüfen Sie die korrekte Konfiguration der Namensauflösung

Schritt 1: erstellen eine LMHOSTS-Datei

Erstellen Sie eine LMHOSTS-Datei auf den primären Domänencontrollern, Cross-Domain Name Auflösungsvermögens bereitzustellen. Die Datei LMHOSTS ist eine Textdatei, die Sie mit einem beliebigen Texteditor wie Editor bearbeiten können. Die Datei LMHOSTS auf jedem Domänencontroller muss die TCP/IP-Adresse, den Domänennamen und den Eintrag \0x1b der anderen Domänencontroller enthalten. Weitere Informationen zum Erstellen der LMHOSTS-Datei finden Sie im folgenden Artikel der Microsoft Knowledge Base:
180094Schreiben von LMHOSTS-Datei für die Domäne Validierung
Nachdem Sie die LMHOSTS-Datei erstellt haben, gehen Sie folgendermaßen vor:
  1. Ändern die Datei so, dass Sie Text enthält, die den folgenden Text ähnlich ist:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Hinweis: es muss insgesamt 20 Zeichen und Leerzeichen zwischen den Anführungszeichen ("") für den Eintrag \0x1b. Fügen Sie Leerzeichen nach dem Domänennamen der, sodass er 15 Zeichen verwendet. Das sechzehnte Zeichen ist der umgekehrte Schrägstrich, der durch den Wert "0x1b" befolgt, und dadurch, dass maximal 20 Zeichen.
  2. Wenn Sie die Änderungen an der LMHOSTS-Datei abgeschlossen haben, speichern Sie auf den Domänencontrollern die Datei in den Ordner %SystemRoot% \System32\Drivers\Etc.
Weitere Informationen über die LMHOSTS-Datei finden Sie die Lmhosts.SAM Beispiel Datei, die im Ordner %SystemRoot% \System32\Drivers\Etc gespeichert ist.

Schritt 2: Laden Sie die LMHOSTS-Datei in den Cache

  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
  2. Geben Sie an der Eingabeaufforderung NBTSTAT -R , und drücken Sie anschließend die [EINGABETASTE]. Dieser Befehl lädt die LMHOSTS-Datei in den Cache.
  3. Geben Sie an der Eingabeaufforderung NBTSTAT ? C , und drücken Sie anschließend die [EINGABETASTE]. Dieser Befehl zeigt den Cache. Wenn die Datei richtig geschrieben ist, der Cache ist ähnlich der folgenden:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    die Datei im Cache nicht korrekt aufgefüllt, fahren Sie mit der nächsten Schritt.

Schritt 3: Stellen Sie sicher, dass die LMHOSTS-Abfrage auf dem Windows NT 4.0-basierten Computer aktiviert ist

Wenn die Datei im Cache nicht ordnungsgemäß ausfüllen, stellen Sie sicher, Lmhosts auf dem Windows NT 4.0-Computer aktiviert ist. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , zeigen Sie auf Einstellungen und klicken Sie auf Systemsteuerung .
  2. Doppelklicken Sie auf Netzwerke , klicken Sie auf die Registerkarte Protokolle , und doppelklicken Sie dann auf TCP/IP .
  3. Klicken Sie auf die Registerkarte WINS , und aktivieren Sie dann das Kontrollkästchen Aktivieren .
  4. Starten Sie den Computer neu.
  5. Wiederholen Sie die Schritte im Abschnitt "Die Datei LMHOSTS in den Cache laden".
  6. Wenn die Datei im Cache nicht ordnungsgemäß ausfüllen, stellen Sie sicher, dass die LMHOSTS-Datei im Ordner %SystemRoot% \System32\Drivers\Etc ist und dass die Datei richtig formatiert wird.

    Z. B. die Datei muss formatiert sein wie das folgende Beispiel Formatierung:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Hinweis: es muss insgesamt 20 Zeichen und Leerzeichen innerhalb der Anführungszeichen ("") für den Domain-Eintrag Name und \0x1b.

Schritt 4: Verwenden des Ping-Befehls zum Testen der Konnektivität

Wenn die Datei den Cache ordnungsgemäß auf jedem Server füllt, verwenden Sie den Ping-Befehl auf jedem Server zum Testen der Konnektivität zwischen den Servern. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
  2. Geben Sie an der Eingabeaufforderung Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, und drücken Sie anschließend die [EINGABETASTE]. Wenn der Ping-Befehl nicht funktioniert, stellen Sie sicher, dass die richtigen IP-Adressen in die LMHOSTS-Datei aufgeführt sind.
  3. Geben Sie an der Eingabeaufforderung net anzeigen Name_Of_Domain_Controller_You_Want_To_Connect_To, und drücken Sie anschließend die [EINGABETASTE]. Es wird erwartet, dass Sie die folgenden Fehlermeldung erhalten:
    Systemfehler 5 ist aufgetreten. Der Zugriff wurde verweigert
    Wenn der Befehl net View folgenden Fehlermeldung oder andere verwandte Fehlermeldung zurückgegeben wird, stellen Sie sicher, dass die richtigen IP-Adressen in die LMHOSTS-Datei aufgeführt sind:
    Systemfehler 53 ist aufgetreten. Der Netzwerkpfad wurde nicht gefunden
Alternativ WINS (Windows Internet Name Service) konfiguriert werden kann Name Resolution Functionality aktivieren, ohne über eine LMHOSTS-Datei.Weitere Informationen zum für die Verwendung von WINS für die Namensauflösung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
185786Empfehlungen für WINS

Methode 2: Anzeigen der Sicherheitseinstellungen

Normalerweise muss die Active Directory-Seite der Vertrauensstellung Konfiguration Sicherheitseinstellungen, die Verbindungsprobleme verursachen. Allerdings müssen die Sicherheitseinstellungen auf beiden Seiten der Vertrauensstellung überprüft werden.

Schritt 1: Anzeigen von Sicherheitseinstellungen unter Windows 2000 Server und Windows Server 2003

In Windows 2000 Server und Windows Server 2003 möglicherweise die Sicherheitseinstellungen angewendet oder durch die Gruppenrichtlinie, eine lokale Richtlinie oder einer Vorlage angewendeten Sicherheit konfiguriert.

Sie müssen die richtigen Tools verwenden, um die aktuellen Werte der Sicherheitseinstellungen zu vermeiden, falsche Messwerte zu bestimmen.

Um eine genaue Größe des aktuellen Sicherheitseinstellungen zu erhalten, verwenden Sie die folgenden Methoden:
  • Verwenden Sie in Windows 2000 Server die Sicherheitskonfiguration und Analyse-Snap-in.Weitere Informationen zum Bestimmen, der aktuelle Sicherheitsrichtlinie auf einem Windows 2000-Computer finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    258595Gpresult wird die resultierende Computer-Sicherheitsrichtlinie nicht aufgelistet.
  • In Windows Server 2003 Snap-in Verwenden des Sicherheitskonfiguration und Analyse-Snap-Ins oder der Richtlinienergebnissatz (RSoP). Informationen der Richtlinienergebnissatz-Snap-in verwenden finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    323276Zum Installieren und Verwenden von RSoP in Windows Server 2003
Nachdem Sie die aktuellen Einstellungen festgestellt haben, müssen Sie die Richtlinie identifizieren, die die Einstellungen übernommen wird. Beispielsweise müssen Sie bestimmen die Gruppenrichtlinie in Active Directory oder lokalen Einstellungen, die die Sicherheitsrichtlinie festgelegt.

In Windows Server 2003 wird die Richtlinie, die die Sicherheit Werte festgelegt durch die RSoP-Tool identifiziert. Allerdings müssen in Windows 2000 Sie Anzeigen der und die lokale Richtlinie, um die Richtlinie zu bestimmen, die Sicherheitseinstellungen enthält:
  • Um die Gruppenrichtlinien-Einstellungen anzuzeigen, müssen Sie die Protokollierungsausgabe für Windows 2000 Security Configuration Client während der Verarbeitung der Gruppenrichtlinie aktivieren. Weitere Informationen zum Aktivieren der Protokollierungsausgabe für Windows 2000 Security Configuration Client während der Verarbeitung von Gruppenrichtlinien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    245422Aktivieren der Protokollierung für Sicherheit Konfiguration Client Verarbeitung in Windows 2000
  • Das Anwendungsprotokoll in der Ereignisanzeige anzeigen und suchen EREIGNISKENNUNG 1000 und Ereignis-ID 1202. Weitere Informationen zu Ereignis-IDs 1000 und Ereignis-ID 1202 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    319352Ereignis-IDs 1000 und Ereignis-ID 1202 werden in das Ereignisprotokoll alle fünf Minuten in Windows 2000 Server protokolliert
In den folgenden drei Abschnitten des Betriebssystems zu identifizieren und Listen Sie die Sicherheitseinstellungen, die Sie für das Betriebssystem die Informationen überprüfen müssen, die Sie gesammelt haben:
Windows 2000
Stellen Sie sicher, dass die folgenden Einstellungen konfiguriert sind, wie dargestellt.

RestrictAnonymous:
Tabelle minimierenTabelle vergrößern
Zusätzliche Einschränkungen für anonyme Verbindungen "Keine. Standard-Berechtigungen abhängig"
LM-Kompatibilität:
Tabelle minimierenTabelle vergrößern
LAN Manager-Authentifizierungsebene"Senden Sie nur NTLM-Antworten"
SMB-Signierung, SMB verschlüsseln oder beides:
Tabelle minimierenTabelle vergrößern
(Immer) Clientkommunikation digital signierenDEAKTIVIERT
Signieren Sie Clientkommunikation digital (wenn möglich)AKTIVIERT
(Immer) Serverkommunikation digital signierenDEAKTIVIERT
Signieren Sie Serverkommunikation digital (wenn möglich)AKTIVIERT
Sicherer Kanal: digital verschlüsseln oder signieren (immer) Daten des sicheren KanalsDEAKTIVIERT
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)DEAKTIVIERT
Sicherer Kanal: Kanaldaten des sicheren digital signieren (wenn möglich)DEAKTIVIERT
Sicherer Kanal: starken (Windows 2000 oder höher) erforderlich SitzungsschlüsselDEAKTIVIERT
Windows Server 2003
Stellen Sie sicher, dass die folgenden Einstellungen konfiguriert sind, wie dargestellt.

RestrictAnonymous und RestrictAnonymousSam:
Tabelle minimierenTabelle vergrößern
Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassenAKTIVIERT
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben DEAKTIVIERT
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlaubenDEAKTIVIERT
Netzwerkzugriff: Let jeder Berechtigungen für anonyme Benutzer ermöglichenAKTIVIERT
Netzwerkzugriff: Named Pipes anonym zugegriffen werden könnenAKTIVIERT
Netzwerkzugriff: anonymen Zugriff auf Named Pipes und Freigaben einschränkenDEAKTIVIERT
Hinweis: Standardmäßig der Wert der Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen Einstellung ist in Windows Server 2008 DISABLED.Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
942428Windows Server 2003-Domänencontroller können anonyme Benutzer eine Sicherheitskennung (SID) in einen Benutzernamen aufgelöst werden
LM-Kompatibilität:
Tabelle minimierenTabelle vergrößern
Netzwerksicherheit: LAN Manager-Authentifizierungsebene"Senden Sie nur NTLM-Antworten"
SMB-Signierung, SMB verschlüsseln oder beides:
Tabelle minimierenTabelle vergrößern
Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer)DEAKTIVIERT
Microsoft-Netzwerk (Client): Kommunikation digital signieren (Wenn Server zustimmt)AKTIVIERT
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer)DEAKTIVIERT
Microsoft-Netzwerk (Server): Kommunikation digital signieren (Wenn Client zustimmt)AKTIVIERT
Domänenmitglied: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals DEAKTIVIERT
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich) AKTIVIERT
Domänenmitglied: Kanaldaten des sicheren digital signieren (wenn möglich)AKTIVIERT
Domänenmitglied: Starker Sitzungsschlüssel für (Windows 2000 oder höher) erforderlichDEAKTIVIERT
Nachdem die Einstellungen richtig konfiguriert sind, müssen Sie Ihren Computer neu starten. Die Sicherheitseinstellungen werden nicht bis zum Neustart des Computers erzwungen.

Nach dem Neustart des Computers, warten Sie 10 Minuten überzeugen Sie sich, dass alle Sicherheitsrichtlinien angewendet werden und die effektiven Einstellungen konfiguriert sind. Es wird empfohlen, 10 Minuten zu warten, da Active Directory-Richtlinie Updates auf einem Domänencontroller und die Aktualisierung alle 5 Minuten erfolgen die Einstellungswerte Sicherheit ändern kann. Verwenden Sie nach 10 Minuten Sicherheitskonfiguration und-Analyse oder ein anderes Tool, um die Sicherheitseinstellungen in Windows 2000 und Windows Server 2003 zu untersuchen.

Windows NT 4.0

wichtig In diesem Abschnitt, Methode oder Aufgabe enthält Hinweise zum Ändern der Registrierung. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie der Registrierung, bevor Sie ihn ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows
In Windows NT 4.0 müssen die aktuellen Sicherheitseinstellungen mithilfe von Regedt32 Tool an die Registrierung überprüft werden. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie Regedt32 ein und klicken Sie dann auf OK .
  2. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag RestrictAnonymous zugewiesen wird:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der mit dem LM-Kompatibilität-Eintrag zugewiesen wird:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag EnableSecuritySignature (Server) zugewiesen wird:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag RequireSecuritySignature (Server) zugewiesen wird:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag RequireSignOrSeal zugewiesen wird:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag SealSecureChannel zugewiesen wird:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag SignSecureChannel zugewiesen wird:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert, der auf den Eintrag RequireStrongKey zugewiesen wird:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Methode 3: Überprüfen Sie die Benutzerrechte

Gehen Sie folgendermaßen vor um die erforderlichen Benutzerrechte auf einem Windows 2000-basierten Computer zu überprüfen:
  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie dann auf Lokale Sicherheitsrichtlinie .
  2. Erweitern Sie Lokale Richtlinien , und klicken Sie dann auf Zuweisen von Benutzerrechten .
  3. Doppelklicken Sie im rechten-auf auf diesen Computer vom Netzwerk aus .
  4. Klicken Sie auf die Lokale Richtlinieneinstellung das Kontrollkästchen neben jeder Gruppe in der Liste zugewiesen an , und klicken Sie dann auf OK .
  5. Doppelklicken Sie auf Zugriff auf diesen Computer vom Netzwerk aus verweigern .
  6. Überprüfen Sie, dass in der Liste zugewiesen an keine Prinzip Gruppen vorhanden sind, und klicken Sie dann auf OK . Beispielsweise stellen Sie sicher, dass jeder, authentifizierte Benutzer und andere Gruppen nicht aufgelistet werden.
  7. Klicken Sie auf OK und beenden Sie lokale Security Policy.
Gehen Sie folgendermaßen vor um die erforderlichen Benutzerrechte auf einem Windows Server 2003-basierten Computer zu überprüfen:
  1. Klicken Sie auf Start , zeigen Sie auf Verwaltung , und klicken Sie die Sicherheitsrichtlinie für Domänencontroller .
  2. Erweitern Sie Lokale Richtlinien , und klicken Sie dann auf Zuweisen von Benutzerrechten .
  3. Doppelklicken Sie im rechten-auf auf diesen Computer vom Netzwerk aus .
  4. Stellen Sie sicher, dass die Gruppe "Jeder" in der Liste auf diesen Computer vom Netzwerk aus zugreifen ist . Wenn der Gruppe nicht aufgeführt ist, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Benutzer oder Gruppe hinzufügen .
    2. Geben Sie jeder im Benutzer- und Gruppennamen , und klicken Sie dann auf OK .
  5. Doppelklicken Sie auf Zugriff auf diesen Computer vom Netzwerk aus verweigern .
  6. Überprüfen Sie, dass sich in der Liste Zugriff auf diesen Computer vom Netzwerk aus verweigern keine Prinzip Gruppen befinden, und klicken Sie dann auf OK . Beispielsweise muss sicherstellen, dass jeder, authentifizierte Benutzer und andere Gruppen sind nicht aufgeführt.
  7. Klicken Sie auf OK und schließen Sie die Domäne Sicherheitsrichtlinie für Domänencontroller.
Überprüfen Sie die erforderlichen Benutzerrechte auf einem Windows NT Server 4.0-basierten Computer folgendermaßen vor:
  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie dann auf Benutzer-Manager für Domänen .
  2. Klicken Sie im Menü Richtlinien auf User Rights .
  3. Klicken Sie in der Liste rechts auf auf diesen Computer vom Netzwerk aus zugreifen .
  4. Stellen Sie im Feld erteilen sicher, dass der Gruppe hinzugefügt wird. Wenn der Gruppe nicht hinzugefügt wird, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Hinzufügen .
    2. Klicken Sie in der Liste Namen auf jeder , klicken Sie auf Hinzufügen, und klicken Sie dann auf OK .
  5. Klicken Sie auf OK , und beenden Sie den Benutzer-Manager.

Methode 4: Überprüfen der Gruppenmitgliedschaft

Wenn eine Vertrauensstellung zwischen den Domänen eingerichtet ist, aber kann nicht hinzugefügt Prinzip Benutzergruppen aus einer Domäne zum anderen werden, da das Dialogfeld keine der anderen Domänenobjekte finden, verfügen die Gruppe "Prä-Windows 2000 kompatibler Zugriff" nicht die richtige Mitgliedschaft.

Stellen Sie sicher, dass die erforderlichen Gruppenmitgliedschaften konfiguriert sind auf den Windows 2000-Domänencontrollern und Windows Server 2003-basierten Domänencontrollern.

Gehen Sie folgendermaßen vor dazu auf den Windows 2000-Domänencontrollern
  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie dann auf Active Directory-Benutzer und-Computer .
  2. Klicken Sie auf integrierte , und doppelklicken Sie dann auf Prä-Windows 2000 kompatiblen Zugriffsgruppe .
  3. Klicken Sie auf die Registerkarte Mitglieder und dann sicherstellen Sie, dass die Gruppe "Jeder" in der Liste Elemente ist.
  4. Wenn die Gruppe "Jeder" nicht in der Liste Elemente ist, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
    2. Geben Sie an der Eingabeaufforderung net Localgroup "Prä-Windows 2000 kompatibler Zugriff" everyone / add , und drücken Sie anschließend die [EINGABETASTE].
Um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows 2003-Domänencontrollern konfiguriert sind, müssen Sie kennen, wenn die "Netzwerkzugriff: Jeder Berechtigungen für anonyme Benutzer ermöglichen Let" Richtlinieneinstellung deaktiviert. Wenn Sie nicht kennen, verwenden Sie den Gruppenrichtlinienobjekt-Editor, ermitteln den Zustand der der "Netzwerkzugriff: Jeder Berechtigungen für anonyme Benutzer ermöglichen Let" Richtlinieneinstellung. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie gpedit.msc ein und klicken Sie dann auf OK .
  2. Erweitern Sie die folgenden Ordner:
    lokale Richtlinie
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheitseinstellungen
    Lokale Richtlinien
  3. Klicken Sie auf Sicherheitsoptionen , und dann auf Netzwerkzugriff: Let Everyone Berechtigungen gelten für anonyme Benutzer im rechten Fensterbereich.
  4. Hinweis Wenn der Wert der Sicherheitseinstellung Spalte ist deaktiviert oder aktiviert .
Um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows 2003-Domänencontrollern konfiguriert sind, gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start , zeigen Sie auf Programme , zeigen Sie auf Verwaltung und klicken Sie dann auf Active Directory-Benutzer und-Computer .
  2. Klicken Sie auf integrierte , und doppelklicken Sie dann auf Prä-Windows 2000 kompatiblen Zugriffsgruppe .
  3. Klicken Sie auf die Registerkarte Mitglieder .
  4. Wenn die Netzwerkzugriff: Let Everyone Berechtigungen gelten für anonyme Benutzer Richtlinieneinstellung deaktiviert ist, sicherstellen, dass jeder, die Gruppe Anonymous-Anmeldung in der Liste Elemente ist. Wenn die "Netzwerkzugriff: Jeder Berechtigungen für anonyme Benutzer ermöglichen Let" Richtlinieneinstellung aktiviert ist, sicher, dass die Gruppe "Jeder" in der Liste Elemente .
  5. Wenn die Gruppe "Jeder" nicht in der Liste Elemente ist, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie cmd ein und klicken Sie dann auf OK .
    2. Geben Sie an der Eingabeaufforderung net Localgroup "Prä-Windows 2000 kompatibler Zugriff" everyone / add , und drücken Sie anschließend die [EINGABETASTE].

Methode 5: Überprüfen von Verbindungen durch Netzwerkgeräte wie Firewalls, Switches oder Routern

Wenn Sie Fehlermeldungen, die ähnlich der folgenden Fehlermeldung sind erhalten haben, und Sie sichergestellt haben, dass die LMHOST-Dateien korrekt sind, kann das Problem verursacht durch einen Firewall, Router oder Switch, die Anschlüsse zwischen den Domänencontrollern blockiert hat:
Kein Domänencontroller Es konnte kontaktiert werden
Um Netzwerkgeräte zu beheben, verwenden Sie PortQry Command Line Port Scanner Version 2.0, um die Anschlüsse zwischen den Domänencontrollern zu testen. Weitere Informationen zu PortQry Version 2 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
832919Neue Features und Funktionen in PortQry Version 2.0
Informationen dazu, wie die Ports konfiguriert werden müssen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
179442Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

Methode 6: Sammeln Sie weitere Informationen zur Behebung des Problems

Wenn die vorhergehenden Methoden das Problem zu beheben Hilfe, sammeln Sie die folgende zusätzliche Informationen können Sie die Ursache für das Problem zu beheben:
  • Aktivieren Sie die Netlogon-Protokollierung auf beiden Domänencontrollern. Weitere Informationen zum vollständigen Netlogon-Protokollierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    109626Debugprotokollierung für den Netlogon-Dienst aktivieren
  • Erfassen Sie eine Ablaufverfolgung auf beiden Domänencontrollern zur gleichen Zeit, die das Problem auftritt. Weitere Informationen zum Aufzeichnen des Netzwerkdatenverkehrs finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    812953Verwendung von Netzwerkmonitor zum Aufzeichnen des Netzwerkdatenverkehrs

Weitere Informationen

Die folgende Liste von Gruppenrichtlinienobjekten (GPOs) enthält den Speicherort für den entsprechenden Registrierungseintrag und der Gruppenrichtlinie in den entsprechenden Betriebssystemen:
  • Das GRUPPENRICHTLINIENOBJEKT RestrictAnonymous:
    • Speicherort der Windows NT-Registrierung:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000-Gruppenrichtlinien: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Optionen weitere Einschränkungen für anonyme Verbindungen
    • Windows Server 2003-Gruppenrichtlinien: Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Options Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
  • Die RestrictAnonymousSAM GRUPPENRICHTLINIENOBJEKT:
    • Speicherort der Windows Server 2003-Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinien: Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Options Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
  • Die EveryoneIncludesAnonymous GRUPPENRICHTLINIENOBJEKT:
    • Speicherort der Windows Server 2003-Registrierung:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinien: Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Options Netzwerkzugriff: Let Everyone Berechtigungen gelten für anonyme Benutzer
  • Der LM-Kompatibilität GRUPPENRICHTLINIENOBJEKT:
    • Windows NT, Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000-Gruppenrichtlinien: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Sicherheitsoptionen: LAN Manager-Authentifizierungsebene
    • Windows Server 2003-Gruppenrichtlinien: Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Options\Network Sicherheit: LAN Manager-Authentifizierungsebene
  • Die EnableSecuritySignature (Client) GRUPPENRICHTLINIENOBJEKT:
    • Windows 2000 und Windows Server 2003 Registrierungspfad: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000-Gruppenrichtlinien: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Sicherheitsoptionen: (wenn möglich) Clientkommunikation digital signieren
    • Windows Server 2003-Gruppenrichtlinien: Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Sicherheitsoptionen \ Microsoft-Netzwerk (Client): Kommunikation digital signieren (Wenn Server zustimmt)
  • Die RequireSecuritySignature (Client) GRUPPENRICHTLINIENOBJEKT:
    • Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000-Gruppenrichtlinien: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Sicherheitsoptionen: digital signieren (immer) Clientkommunikation
    • Windows Server 2003: Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Security Options\ Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)
  • Die EnableSecuritySignature (Server) GRUPPENRICHTLINIENOBJEKT:
    • Speicherort der Windows NT-Registrierung:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000-Gruppenrichtlinien: (wenn möglich) Serverkommunikation digital signieren
    • Windows Server 2003-Gruppenrichtlinien: Microsoft Netzwerk-Server: Kommunikation digital signieren (Wenn Client zustimmt)
  • Die RequireSecuritySignature (Server) GRUPPENRICHTLINIENOBJEKT:
    • Speicherort der Windows NT-Registrierung:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000-Gruppenrichtlinien: digital signieren (immer) Server-Kommunikation
    • Windows Server 2003-Gruppenrichtlinien: Microsoft Netzwerk-Server: Kommunikation digital signieren (immer)
  • Die RequireSignOrSeal GRUPPENRICHTLINIENOBJEKT:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinien: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals
    • Windows Server 2003-Gruppenrichtlinien: Domänenmitglied: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals
  • Die SealSecureChannel GRUPPENRICHTLINIENOBJEKT:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungspfad:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinien: sicherer Kanal: Daten (wenn möglich) des sicheren Kanals digital verschlüsseln
    • Windows Server 2003-Gruppenrichtlinien: Domäne Mitglied: Daten (wenn möglich) des sicheren Kanals digital verschlüsseln
  • Die SignSecureChannel GRUPPENRICHTLINIENOBJEKT:
    • Windows NT, Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinien: sicherer Kanal: digital signieren Daten des sicheren Kanals (wenn möglich)
    • Windows Server 2003-Gruppenrichtlinien: Domäne Mitglied: digital signieren Daten des sicheren Kanals (wenn möglich)
  • Die RequireStrongKey GRUPPENRICHTLINIENOBJEKT:
    • Windows NT, Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinien: sicherer Kanal: Starker Sitzungsschlüssel für (Windows 2000 oder höher) erforderlich
    • Windows Server 2003-Gruppenrichtlinien: Domäne Mitglied: Starker Sitzungsschlüssel für (Windows 2000 oder höher) erforderlich

Windows Server 2008

Auf einem Domänencontroller, auf dem Windows Server 2008 ausgeführt wird, kann das Standardverhalten des zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 -Richtlinieneinstellung ein Problem verursachen. Diese Einstellung verhindert, dass Windows-Betriebssysteme und Clients von Drittanbietern über die schwache Kryptografiealgorithmen NETLOGON Sicherheit Kanäle zu Windows Server 2008-basierten Domänencontrollern herstellen. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
942564Wenn einem Windows NT 4.0-Computer versucht, den NETLOGON-Dienst verwenden, um einen Sicherheitskanal zu einem Windows Server 2008-basierten Domänencontroller den Vorgang einzurichten fehlschlagen

Informationsquellen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
257942Fehlermeldung: Kann nicht die ausgewählte Domäne durchsuchen, da der folgende Fehler ist aufgetreten...
246261Wie Sie den Registrierungswert "RestrictAnonymous" in Windows 2000 verwenden
258595Gpresult wird die Richtlinienergebnissatz-Computer-Sicherheitsrichtlinie nicht aufgelistet.
823659Nach dem Ändern von Sicherheitseinstellungen und Benutzerrechten können Inkompatibilitäten mit Clients, Diensten und Programmen auftreten
278259Gruppe "Jeder" enthält keinen anonymen Sicherheitsbezeichner

Eigenschaften

Artikel-ID: 889030 - Geändert am: Samstag, 21. Februar 2009 - Version: 8.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Keywords: 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 889030
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com