Vahel Windows NT domeenis usaldada ja Active Directory domeenis ei õnnestu või ei tööta ootuspäraselt

Artiklite tõlked Artiklite tõlked
Artikli ID: 889030 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

Sümptomid

Kui proovite luua usaldust vahel Microsoft Windows NT 4.0 põhises domeeni ja Active Directory põhinev domeeni, võite kokku puutuda üks järgmistest sümptomitest:
  • Usaldus ei ole registreeritud.
  • Usaldus on loodud, aga usaldust ei tööta oodata.
Lisaks võidakse kuvada mõni järgmine tõrge sõnumid:
Liitumise katsel ilmnes järgmine tõrge domeeni"Domain_Name": Konto ei ole sellest jaamast sisselogimine lubatud.
Juurdepääs on keelatud.
Ühtegi domeenikontrollerit võiks olla ühendust.
Sisselogimistõrge: Tundmatu kasutajanimi või vale parool.
Kui kasutate object valija Active Directorys Kasutajate ja arvutite kasutajate NT 4.0 domeeni lisamiseks Active Directory domeeni, võidakse kuvada järgmine tõrketeade:
Ei praeguse otsinguga ei sobi üksusi. Kontrollige oma otsinguparameetreid ja proovige uuesti.

Põhjus

See probleem tekib, sest konfiguratsiooni küsimus mis tahes üks järgmistest valdkondadest:
  • Nime teisendamine
  • Turvasätete muutmine
  • Kasutaja õigused
  • Microsoft Windows 2000 või Microsoft kuuluvust rühma Windows Server 2003
Õigesti tuvastada probleemi põhjus, peate usalduse konfiguratsiooni tõrkeotsingut.

Lahendus

Kui te saate, et "üksusi pole praeguse otsinguga ei sobi" tõrketeade, kui kasutate object valija Active Directory suvandis Kasutajad ja Arvutid, veenduge, et NT 4.0 domeeni domeenikontrollerid lisada kõigilejuurdepääs selle arvuti võrgu kasutaja õigust. Selle stsenaariumi puhul object valija proovib ühendust luua anonüümselt kogu usalduse. Veendumaks, et need ssettings, järgige juhiseid selle "kolme meetodit: kontrollida kasutaja õigusi" jagu.

Tõrkeotsing usalduse konfiguratsiooniprobleemide vahel Windows NT 4.0 põhises domeeni ja aktiivne Kataloog, peate kontrollima õige konfiguratsiooni järgmistes valdkondades:
  • Nime teisendamine
  • Turvasätete muutmine
  • Kasutaja õigused
  • Microsoft Windows 2000 või Microsoft kuuluvust rühma Windows Server 2003
Selleks, kasutage järgmisi meetodeid.

Meetodit: nimeteisendust õige konfiguratsiooni

Esimene samm: Loo LMHOSTS-faili

Esmane domeenikontrolleritesse et LMHOSTS-i faili loomine domeenidevaheline nime lahendamise võime pakkuda. LMHOSTS-faili on teksti faili, mida saate redigeerida suvalise tekstiredaktoriga nagu Notepad. LMHOSTS-faili iga domeeni kontrolleri peab sisaldama TCP/IP aadress, domeeni nimi ja \0x1b kandmine muu domeenikontroller. Rohkem Lisateavet LMHOSTS-faili loomiseks klõpsake nuppu Järgmine artikkel numbri Microsoft teabebaasi (Knowledge Base) artikli kuvamiseks:
180094Kuidas kirjutada LMHOSTS-faili domeeni valideerimise
Pärast seda, kui LMHOSTS-i faili loomiseks järgige järgmisi sammud:
  1. Muutke faili nii, et see sisaldab teksti, mis on sarnane järgmine tekst:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Märkus Peab olema kokku 20 märki ja vahele tühikuid ning jutumärgid ("") kandmiseks \0x1b. Lisada on eraruumides domeeni nime järele nii et ta kasutab 15 tähemärki. 16. Märk on kurakriips, mis on järgneb "0x1b" väärtus ja see teeb kokku 20 märki.
  2. Kui olete lõpetanud muutuste LMHOSTS-faili, salvestada selle fail on % SystemRoot %\System32\Drivers\Etc kaust domeenikontrolleritesse.
LMHOSTS faili kohta lisateabe saamiseks vaata Euroopa LMHOSTS.Sam proovi faili, mis asub selle % SystemRoot %\System32\Drivers\Etc kausta.

Teine samm: laadida LMHOSTS-i faili vahemälu

  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp cmd, ja seejärel klõpsake nuppu Ok.
  2. Tippige käsureale käsk NBTSTAT -R, ja seejärel vajutage sisestusklahvi ENTER. See käsk laadib LMHOSTS-i faili vahemälu.
  3. Tippige käsureale käsk NBTSTAT -c, ja seejärel vajutage sisestusklahvi ENTER. See käsk kuvab vahemälu. Kui ka fail on kirjutatud õigesti, vahemälu sarnaneb järgmisega:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Kui faili asustada vahemälu õigesti, jätkake Järgmine samm.

Kolmas samm: Veenduge, et LMHOSTS-i otsing on lubatud, Windows NT 4.0 põhises arvutis

Kui faili asustada vahemälu õigesti, siis veenduge, et LMHOSTS-i otsing on sisse lülitatud Windows NT 4.0 põhises arvutis. Et seda teha, järgige neid samme:
  1. Klõpsake nuppu Algus, osutage käsuleSeaded, ja seejärel klõpsake nuppu Kontrolli Paneel.
  2. Topeltklõpsake Võrgustikud, klõpsake selleProtokollid sakk ja seejärel topeltklõpsake TCP/IP Protokoll.
  3. Klõpsake selle VÕIDAB aadress vahekaarti ja seejärel klõpsake nuppu Saate valida selle Luba LMHOSTS- Märkige ruut.
  4. Taaskäivitage arvuti.
  5. Korrake samme selle "LMHOSTS-i faili laadimine ning jaotises,, cache.
  6. Kui faili asustada vahemälu õigesti, siis Veenduge, et LMHOSTS-faili on ka% SystemRoot %\System32\Drivers\Etc kausta ja et fail on õigesti vormindatud.

    Näiteks fail peab olema vormindatud sarnaneb järgmise näite vormingut:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Märkus Seal peab olema kokku 20 märki ja ruumid sees on noteeringute märgid ("") domeeni nimi ja \0x1b kandmiseks.

Neljas samm: Ping käsu abil saate testida Ühenduvus

Kui faili asustab vahemälu igas serveris õigesti, kasutage Ping käsu iga server serverite vahelise ühenduvuse testimiseks. Teha järgige neid samme:
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp cmd, ja seejärel klõpsake nuppu Ok.
  2. Tippige käsureale käsk PingName_Of_Domain_Controller_You_Want_To_Connect_To, ja vajutage seejärel sisestusklahvi ENTER. Kui Ping käsk ei tööta, siis veenduge, et selle õige IP-aadressid on loetletud LMHOSTS-faili.
  3. Tippige käsureale käsk neto vaadeName_Of_Domain_Controller_You_Want_To_Connect_To, ja vajutage seejärel sisestusklahvi ENTER. On tõenäoline, et te saate järgmise tõrke tõttu sõnum:
    Ilmnes süsteemi tõrge 5. On juurdepääs keelatud
    Kui neto vaade käsk hangib järgmise tõrketeate või mis tahes muu seotud Tõrge sõnumi, veenduge, et õige IP-aadressid on loetletud selle LMHOSTS-faili:
    Ilmnes süsteemi tõrge 53. Võrk teed ei leitud
Teise võimalusena võib olla Windows Internet Internetinime teenus (WINS) Kui LMHOSTS kasutamata nimi resolutsioon funktsiooni lubamiseks konfigureeritud faili. Rohkem infot Kuidas kasutada WINS-i nimeteisendust, klõpsake järgmisel artikli numbril, et vaadata Microsoft teabebaasi (Knowledge Base) artikkel:
185786Soovituslikud tavad võidab

2. Meetod: Vaata turvasätete muutmine

Tavaliselt Active Directory pool usalduse konfiguratsiooni turvasätted põhjustada probleeme ühenduvusega. Siiski tagatis seaded tuleb kontrollida usaldust mõlemal küljel.

Esimene samm: vaadata turvasätted serverites Windows 2000 Server ja Windows Server 2003

Windows 2000 Server ja Windows Server 2003, turvalisus seaded võib kohaldada või konfigureerida Rühmapoliitikaga kohaliku poliitika, või rakendati turvalisus malli.

Kasutage õiget tööriistad määrata turvalisuse seaded, et vältida ebaõigeid praegused väärtused näidud.

Saada täpne lugemine praeguse turvalisuse seaded, kasutage järgmisi meetodeid:
  • Windows 2000 server, turvalisuse konfiguratsiooni kasutamist ja Analüüs lisandmooduli. Rohkem teavet Windows 2000 põhises arvutis, praegune turvapoliitika määramiseks klõpsake järgmisel artikli numbril, et vaadata Microsoft Teadmusbaasi:
    258595Gpresult loetleda tulemuseks oleva arvuti turvapoliitika
  • Windows Server 2003, kasutada kas tagatise Konfiguratsiooni ja analüüs lisandmooduli või selle resulteeruva poliitikahulga (RSoP) lisandmoodul. Lisateabe saamiseks, kuidas kasutada ning Resulteeruva poliitikahulga lisandmoodul, klõpsake järgmist artikli numbril, et vaadata selle Microsoft teabebaasi (Knowledge Base) artikkel:
    323276Kuidas paigaldada ja kasutada RSoP Windows Server 2003
Pärast seda, kui olete kindlaks praegused sätted, tuleb kindlaks teha ning poliitika, mis on kohaldatavad sätted. Näiteks, peate kindlaks kontserni Poliitika ja Active Directory või kohalikud sätted, et seatud tagatisest poliitika.

Windows Server 2003, poliitika, mis seab turvalisuse väärtused on tähistatud RSoP vahend. Siiski, Windows 2000 peab silmas Rühmapoliitika ja kohalik poliitika kindlaks poliitika, mis sisaldab ka turvalisuse seaded:
  • Rühmapoliitika sätete vaatamiseks peate lubama metsaraie Microsoft Windows 2000 turvalisuse konfiguratsiooni kliendile ajal väljund Rühmapoliitika töötlemine. Rohkem Kuidas võimaldada metsaraie väljund Microsoft Windows 2000 jaoks Turvalisuse konfiguratsiooni klient rühmapoliitika töötlemise ajal klõpsake selle Microsoft teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
    245422Turvalisuse konfiguratsiooni klient Windows 2000 töötlemise logimise lubamine
  • Event Vieweris Rakenduse logi vaatamine ja leida sündmuse ID 1000 ja event ID 1202. Lisateabe saamiseks sündmuse ID 1000 ja sündmuse ID 1202, klõpsake järgmisel artikli numbril, et vaadata aastal Microsofti teabebaasi:
    319352Sündmuse ID 1000 ja event ID 1202 logitakse event Logi iga viie minuti järel Windows 2000 server
Kolme järgmist jaotist tuvastamiseks operatsioonisüsteemi ja nimekiri turvasätteid, et pead kontrollima operatsioonisüsteem on teave, mis on kogutud:
Windows 2000
Veenduge, et järgmised sätted on konfigureeritud kui programmi.

RestrictAnonymous:
Ahenda see tabelLaienda see tabel
Täiendavad piirangud anonüümseid ühendusi "Ei ole. Tugineda vaikimisi õigused"
LM ühilduvus:
Ahenda see tabelLaienda see tabel
LAN-i halduri autentimise tase"Saada NTLM-vastuse ainult"
SMB allkirjastamine, SMB krüptofailisüsteemi või mõlemat:
Ahenda see tabelLaienda see tabel
Digitaalselt allkirjastada klient side (alati)ERIVAJADUSTEGA
Digitaalselt allkirjastada klient side (kui see on võimalik)LUBATUD
Digitaalselt allkirjastada ja serveri side (alati)ERIVAJADUSTEGA
Digitaalselt allkirjastada ja serveri side (kui see on võimalik)LUBATUD
Turvalise kanali: digitaalselt krüptida või logige turvalise kanali andmed (alati)ERIVAJADUSTEGA
Turvalise kanali: digitaalselt Turvakanali andmete krüptimine (Kuna See on võimalik)ERIVAJADUSTEGA
Turvalise kanali: digitaalselt märk turvalise kanali andmed (kui see on võimalik)ERIVAJADUSTEGA
Turvalise kanali: nõuavad tugevat (Windows 2000 või uuem versioon) sessiooni võtmeERIVAJADUSTEGA
Windows Server 2003
Veenduge, et järgmised sätted on konfigureeritud nagu näidatud.

RestrictAnonymous ja RestrictAnonymousSam:
Ahenda see tabelLaienda see tabel
Võrgu kasutamine: luba anonüümne SID/nimi tõlgeLUBATUD
Võrgu kasutamine: ei luba anonüümseid loendamine SAM kontod ERIVAJADUSTEGA
Võrgu kasutamine: ei luba anonüümseid loendamine SAM kontod ja aktsiateERIVAJADUSTEGA
Võrgu kasutamine: lasta kõik õigused rakenduvad anonüümne kasutajateleLUBATUD
Võrgu kasutamine: nimega torud pääseb anonüümseltLUBATUD
Võrgu kasutamine: Named Pipesi anonüümse juurdepääsu piiramiseks ja aktsiadERIVAJADUSTEGA
Märkus Vaikimisi väärtus on võrgu kasutamine: lubab anonüümsetel SID/nime tõlkimine säte on keelatud operatsioonisüsteemis Windows Server 2008. Lisateabe saamiseks klõpsake järgmisel artikli numbril, et vaadata Microsoft Teadmusbaasi:
942428Windows Server 2003 domeenikontrolleritesse lase anonüümsetel kasutajatel lahendada turvalisuse ID (SID) kasutaja nimi
LM ühilduvus:
Ahenda see tabelLaienda see tabel
Võrgu turvalisus: LAN Manageri autentimist tase"Saada ainult NTLM-vastuse"
SMB allkirjastamine, SMB krüptofailisüsteemi või mõlemat:
Ahenda see tabelLaienda see tabel
Microsoft network client: digitaalselt allkirjastada side (alati)ERIVAJADUSTEGA
Microsoft network client: digitaalselt allkirjastada side (kui server on nõus)LUBATUD
Microsoft network server: digitaalselt allkirjastada side (alati)ERIVAJADUSTEGA
Microsoft network server: digitaalselt allkirjastada side (kui klient nõustub)LUBATUD
Domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati) ERIVAJADUSTEGA
Domeeni liige: digitaalselt krüptida turvalise kanali andmed (kui see on võimalik) LUBATUD
Domeeni liige: digitaalselt märk turvalise kanali andmed (kui see on võimalik)LUBATUD
Domeeni liige: nõuavad tugevat (Windows 2000 või uuem versioon) istungil võtiERIVAJADUSTEGA
Kui seaded on õigesti konfigureeritud, tuleb taaskäivitada arvuti. Turvasätted on ellu viidud, kuni arvuti on taaskäivitada.

Pärast arvuti taaskäivitamist, oodake 10 minutit veendumaks, et et kõik julgeoleku poliitika rakendamist ja tõhus seaded on konfigureeritud. Me soovitame, et te ootama 10 minutit, sest Active Directory poliitika uuendused toimuvad iga 5 minuti järel domeenikontrolleril ja uuendamine võib turvalisuse seadmine väärtusi muuta. 10 Minuti pärast, kasutage turvalisus Konfiguratsiooni ja analüüsi või teise tööriista uurida turbesätted Windows 2000 ja Windows Server 2003.

Windows NT 4.0

Oluline See osa, meetod või ülesanne sisaldab juhiseid, et öelda teile, kuidas seda Muutke registrit. Siiski võib põhjustada tõsiseid probleeme, kui muudate selle registri valesti. Seega veenduge, et te järgite neid samme hoolikalt. Täiendavaks kaitseks varundage register enne selle muutmist. Seejärel saate registri taastada mõne probleemi ilmnemisel. Lisateabe saamiseks kuidas varundada ja taastada registri, klõpsake nuppu Järgmine artikkel numbri Microsoft teabebaasi (Knowledge Base) artikli kuvamiseks:
322756 Varundamine ja taastamine Windows registry
Windows NT 4.0, praegused turvasätted registri kuvamise Regedt32 tööriista abil kontrollida. Et seda teha, järgige neid samme:
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp Regedt32, ja seejärel klõpsake nuppuOk.
  2. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis määratakse RestrictAnonymous kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis on määratud LM ühilduvuse kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis on määratud EnableSecuritySignature (server) kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis on määratud RequireSecuritySignature (server) kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis määratakse RequireSignOrSeal kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis määratakse SealSecureChannel kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis määratakse SignSecureChannel kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Laiendage järgmine registri alamvõtmete ja siis vaata ka väärtus, mis määratakse RequireStrongKey kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Meetod 3: kontrollida kasutaja õigusi

Kontrollimiseks vajalikke kasutajaõigusi kohta Windows 2000-ga arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Algus, osutage käsuleProgrammid, osutage käsule Haldusriistad, ja Klõpsake nuppu Kohalik turvapoliitika.
  2. Laienda Kohalikud poliitikad, ja seejärel klõpsake nuppuKasutajate õiguste määramine.
  3. Topeltklõpsake paremal paanil Sellele juurdepääs arvuti võrgust.
  4. Märkige selle Kohaliku poliitika säteMärkige ruut kõrval on Kõigile kontserni ning Määratud et ja seejärel soovitud Ok.
  5. Topeltklõpsake Keelata juurdepääsu sellele arvutile, on võrgu.
  6. Veenduge, et ükski põhimõte rühmi ningMääratud ja seejärel soovitud Ok. Jaoks Näiteks, veenduge, et kõik autenditud kasutajate ja teiste rühmade, on ei ole loetletud.
  7. Klõpsake nuppu Ok, ja seejärel sulgege kohaliku turvalisuse Poliitika.
Kontrollimiseks vajalikke kasutajaõigusi Windows Server 2003 põhises arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Algus, osutage käsuleHaldusriistad, ja seejärel klõpsake nuppu Domeenikontrolleri Julgeolekupoliitika.
  2. Laienda Kohalikud poliitikad, ja seejärel klõpsake nuppuKasutajate õiguste määramine.
  3. Topeltklõpsake paremal paanil Sellele juurdepääs arvuti võrgust.
  4. Veenduge, et kõik grupis on esitatud Juurdepääs See arvuti on võrgus loend. Kui rühm kõik ei ole loetletud, järgige neid samme:
    1. Klõpsake nuppu Kasutaja või rühma lisamine.
    2. Aastal ning Kasutaja- ja rühmanimede Tippige väljale Kõigile, ja seejärel klõpsake nuppu Ok.
  5. Topeltklõpsake Keelata juurdepääsu sellele arvutile, on võrgu.
  6. Veenduge, et ükski põhimõte rühmi ningKeelata juurdepääsu sellele arvutile võrgu nimekirja, ja siis Klõpsake nuppu Ok. Näiteks, veenduge, et igaühel, kinnitatud Kasutajate ja teiste rühmade ei ole loetletud.
  7. Klõpsake nuppu Ok, ja seejärel sulgege domeeni Kontroller julgeolekupoliitika.
Kontrollimiseks vajalikke kasutajaõigusi Windows NT Server 4.0 põhises arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Algus, osutage käsuleProgrammid, osutage käsule Haldusriistad, ja Klõpsake nuppu Kasutaja Manager domeenide jaoks.
  2. Kohta ning Poliitika menüü, klõpsake nuppu Kasutaja Õigused.
  3. Aastal ning Õigus Klõpsake loendiboksis Juurdepääs See arvuti on võrgus.
  4. Aastal ning Anda kasti, siis veenduge, et selle Rühm kõik on lisatud. Kui rühm kõik on lisatud, järgige järgmisi sammud:
    1. Klõpsake nuppu Lisada.
    2. Aastal ning Nimed Klõpsake loendiboksis Kõigile, klõpsake nuppu Lisada, ja seejärel klõpsake nuppu Ok.
  5. Klõpsake nuppu Ok, ja seejärel sulgege kasutaja Juht.

Meetod neli: kontrollida kasutaja kuuluvus rühma

Kui usaldusühingu seadistatakse vahel valdkondades, kuid te ei saa lisada põhimõtteliselt kasutaja rühma ühest domeenist teise sest dialoogiboksi ei ei leia muud domeeni objektid, "Pre-Windows 2000 ühilduv juurdepääsu" rühm ei pruugi olla õige liikmeks.

Kohta Windows 2000-ga domeenikontrollerid ja Windows Server 2003 põhine domeeni domeenikontrollerid, teha kindlasti vajalik grupi liige konfigureeritud.

Selleks domeenikontrolleritesse on Windows 2000-ga, toimige järgmiselt.
  1. Klõpsake nuppu Algus, osutage käsuleProgrammid, osutage käsule Haldusriistad, ja Klõpsake nuppu Active Directory kasutajad ja arvutid.
  2. Klõpsake nuppu Ehitatud, ja seejärel topeltklõpsakePre-Windows 2000 kooskõlas juurdepääsu rühma.
  3. Klõpsake selle Liikmed sakk ja seejärel veenduge, et et rühm kõik on selle Liikmed loend.
  4. Kui rühm kõik ei ole kaLiikmed nimekirja, järgige neid samme:
    1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp cmd, ja seejärel klõpsake nuppu Ok.
    2. Tippige käsureale käsk puhas localgroup "Pre-Windows 2000 ühilduv juurdepääsu" igaüks / add, ja seejärel vajutage SAATE SISESTADA.
Veendumaks, et nõutava grupi liige konfigureeritud domeenikontrolleritesse ning Windows Server 2003-ga, peate teadma, kui on "Võrgu kasutamine: lasta kõik õigused kehtivad anonüümsetele kasutajatele" poliitika säte on keelatud. Kui te ei tea, kasutage Group Policy Object Editor- määrata riigi kohta on "võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad"poliitika kujundamisel. Selle tegemiseks järgige neid samme:
  1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp gpedit.msc, ja seejärel klõpsake nuppuOk.
  2. Laiendage järgmisi kaustu:
    Kohaliku arvuti poliitika
    Arvuti konfiguratsioon
    Windowsi sätted
    Turvasätete muutmine
    Kohalikud poliitikad
  3. Klõpsake nuppu Turvasuvandid, ja seejärel klõpsake nuppuVõrgu kasutamine: lasta kõik õigused rakenduvad anonüümne kasutajatele parempoolsel paanil.
  4. Pange tähele, kui väärtus on Turvalisuse seadmineveerg on Erivajadustega või Lubatud.
Veendumaks, et nõutava grupi liige konfigureeritud domeenikontrolleritesse ning Windows Server 2003-ga, toimige järgmiselt.
  1. Klõpsake nuppu Algus, osutage käsuleProgrammid, osutage käsule Haldusriistad, ja Klõpsake nuppu Active Directory kasutajad ja arvutid.
  2. Klõpsake nuppu Ehitatud, ja seejärel topeltklõpsakePre-Windows 2000 kooskõlas juurdepääsu rühma.
  3. Klõpsake selle Liikmed vahekaart.
  4. Kui ka Võrgu kasutamine: lasta kõik õigused rakendada anonüümsete kasutajate säte on keelatud, siis veenduge, et Igaühel, Anonüümne sisselogimine grupis on esitatud Liikmed loend. Kui selle "võrgu kasutamine: lasta kõik õigused kehtivad anonüümsetele kasutajatele" poliitika säte on lubatud, veenduge, et kõik grupis on esitatudLiikmed loend.
  5. Kui rühm kõik ei ole kaLiikmed nimekirja, järgige neid samme:
    1. Klõpsake nuppu Algus, klõpsake nuppu Käivita, tüüp cmd, ja seejärel klõpsake nuppu Ok.
    2. Tippige käsureale käsk puhas localgroup "Pre-Windows 2000 ühilduv juurdepääsu" igaüks / add, ja seejärel vajutage SAATE SISESTADA.

Meetod viis: ühenduvuse kontrollimiseks läbi võrgu seadmeid, näiteks tulemüürid, lülitid ja ruuterid

Kui olete saanud tõrketeated, mis on sarnased ning viga pärast sõnumi ja sa kontrollinud, et LMHOST failid on õige, probleem võib olla põhjustatud tulemüüri, ruuterit või lüliti, mis on blokeeritud sadamate vahel et domeenikontrollerid:
Ei ole domeeni vastutav töötleja võib ühendust võtta
Tõrkeotsing võrgu seadmeid, kasutage PortQry käsurea Port Scanner versioon 2.0 testida sadamate vahel oma domeenikontrollerid. Rohkem teave PortQry versiooni 2, klõpsake järgmisel artikli numbril, et vaadata Microsoft teabebaasi (Knowledge Base) artikkel:
832919Uusi funktsioone ja funktsionaalsust PortQry versiooni 2.0.
Lisateabe saamiseks kuidas sadamad peavad olema konfigureeritud, klõpsake järgmisel artikli numbril, et vaadata ja selle Microsofti teabebaasi (Knowledge Base):
179442Kuidas konfigureerida tulemüüri domeenid ja loodab

Meetod kuus: koguda täiendavaid andmeid, mis aitavad probleemi tõrkeotsing

Kui kirjeldatud meetoditega ei aita teil lahendada, kogume järgmist täiendavat teavet tõrkeotsingu põhjus küsimus:
  • Võimaldavad nii domeenikontrollerid sisselogimist Netlogon. Rohkem täielik Netlogon metsaraie saamiseks klõpsake Järgmine artikkel numbri Microsoft teabebaasi (Knowledge Base) artikli kuvamiseks:
    109626Teenus Net Logon võrku sisselogimisel silumise logimise lubamine
  • Jäädvustada jälgi nii domeenikontrolleritesse samal ajal et probleem ilmneb. Rohkem kuidas lüüa võrguliiklust, klõpsake Järgmine artikkel numbri Microsoft teabebaasi (Knowledge Base) artikli kuvamiseks:
    812953Kuidas kasutada Network Monitor võrguliiklust jäädvustada

Lisateave

Rühmapoliitika objekti (GPO) Järgnev loend pakub vastava registrikande ja rühmapoliitika on asukoha ning kohaldatav operatsioonisüsteemid:
  • RestrictAnonymous rühmapoliitika objekti:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 rühmapoliitika: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvasuvandid Täiendavad piirangud anonüümseid ühendusi
    • Windows Server 2003 rühmapoliitika: arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: ei võimalda anonüümne loendamine SAM kontod ja aktsiate
  • RestrictAnonymousSAM rühmapoliitika objekti:
    • Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: ei võimalda anonüümne loendamine SAM kontod ja aktsiate
  • EveryoneIncludesAnonymous rühmapoliitika objekti:
    • Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: lasta kõik õigused rakenduvad anonüümsed kasutajad
  • LM ühilduvus rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 rühmapoliitika: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turbesuvandeid: LAN Haldur autentimine tase
    • Windows Server 2003 Group Policy: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisus Options\Network Turvalisus: LAN Manageri autentimist tase
  • EnableSecuritySignature (klient) GPO:
    • Windows 2000 ja Windows Server 2003 registri asukoht: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 rühmapoliitika: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turbesuvandeid: Digitaalselt allkirjastada kliendi suhtlemine (Kuna võimalik)
    • Windows Server 2003 Group Policy: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turvasuvandid \ Microsoft network client: digitaalselt allkirjastada side (kui server nõustub)
  • RequireSecuritySignature (klient) GPO:
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 rühmapoliitika: Arvuti Konfiguratsiooni \ Windows seaded \ turvasätted \ turbesuvandeid: Digitaalselt allkirjastada kliendi suhtlemine (alati)
    • Windows Server 2003: Arvuti konfiguratsioon \ Windowsi sätted \ turvasätted \ turvalisuse Options\ Microsoft network Klient: digitaalselt allkirjastada side (alati)
  • EnableSecuritySignature (server) GPO:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 rühmapoliitika: Digitaalselt allkirjastada server side (kui võimalik)
    • Windows Server 2003 Group Policy: Microsoft võrgu servereid: digitaalselt allkirjastada side (kui klient nõustub)
  • RequireSecuritySignature (server) GPO:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 rühmapoliitika: Digitaalselt allkirjastada server side (alati)
    • Windows Server 2003 Group Policy: Microsoft võrgu servereid: digitaalselt allkirjastada side (alati)
  • RequireSignOrSeal rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: Digitaalselt krüptida või märk turvalise kanali andmed (alati)
    • Windowsi Server2003 Group Policy: Domeeni liige: Digitaalselt krüptida või logige turvalise kanali andmed (alati)
  • SealSecureChannel rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: Turvalise kanali: Digitaalselt krüptida turvalise kanali andmed (kui võimalik)
    • Windows Server 2003 Group Policy: Domeen liige: digitaalselt krüptida turvalise kanali andmed (kui võimalik)
  • SignSecureChannel rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: Turvalise kanali: Digitaalselt märk turvalise kanali andmed (kui võimalik)
    • Windows Server 2003 Group Policy: Domeen liige: digitaalselt märk turvalise kanali andmed (kui võimalik)
  • RequireStrongKey rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: Turvalise kanali: Nõua tugevat (Windows 2000 või uuem versioon) seansivõtit
    • Windows Server 2003 Group Policy: Domeen liige: nõuavad tugevat (Windows 2000 või uuem versioon) seansivõtit

Windows Server 2008

Domeenikontrolleris, kus töötab Windows Server 2008, on Luba krüptograafia algoritmid ühildub Windows NT 4.0 Poliitikasätte vaikekäitumise võivad probleemi põhjustada. See säte takistab nii Windowsi operatsioonisüsteeme ja kolmanda osapoole kliente nõrk krüptimise kasutamine algoritmid kehtestada NETLOGON turvalisuse kanaleid Windows Server 2008 baasil domeenikontrollerid. Lisateabe saamiseks klõpsake järgmisel artikli numbril, et vaadata ja Microsofti teabebaasi artikli kuvamiseks:
942564Kui Windows NT 4.0 põhises arvutis üritab kasutada teenus NETLOGON luua turvalisuse kanal, Windows Server 2008 põhisesse domeenikontroller, operatsiooni ei pruugi

Viited

Lisateabe saamiseks klõpsake selle Microsoft teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:
257942Tõrketeade: Ei saa sirvida valitud domeeni, kuna ilmnes järgmine tõrge...
246261 Kuidas kasutada registriväärtuse RestrictAnonymous Windows 2000
258595 Gpresult loetleda resulteeruva arvuti turvapoliitika
823659 Klient, teenindus ja programm mittevastavused, mis võivad ilmneda, kui muudate turvasätteid ja kasutaja õiguste ülesanded
278259 Rühm kõik ei hõlma anonüümne turbeidentifikaator

Atribuudid

Artikli ID: 889030 - Viimati läbi vaadatud: 7. juuni 2013 - Redaktsioon: 1.0
Kehtib järgmise lõigu kohta:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Märksõnad: 
kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 889030

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com