Approuver entre un Windows NT et un domaine Active Directory n'a pas pu être établies ou qu'il ne fonctionne pas comme prévu

Traductions disponibles Traductions disponibles
Numéro d'article: 889030 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Si vous essayez de configurer une approbation entre un domaine Windows NT 4.0 et un domaine Active Directory, vous pouvez rencontrer un des symptômes suivants :
  • L'approbation n'est pas établie.
  • L'approbation est établie, mais l'approbation ne fonctionne pas comme prévu.
En outre, vous pouvez recevoir l'un des messages d'erreur suivants :
L'erreur suivante s'est produite tentative de jonction au domaine " Domain_Name ": le compte n'est pas autorisé à se connecter depuis cette station.
L'accès est refusé.
Aucun contrôleur de domaine ne peut être contacté.
Échec de connexion : nom d'utilisateur inconnu ou mot de passe incorrect.
Lorsque vous utilisez le Sélecteur d'objet dans Active Directory utilisateurs et ordinateurs pour ajouter des utilisateurs à partir du domaine NT 4.0 à l'Active Directory domaine, vous pouvez recevoir le message d'erreur suivantes :
Aucun élément ne correspond à la recherche en cours. Vérifiez vos paramètres de recherche et réessayez.

Cause

Ce problème se produit en raison d'un problème de configuration dans l'un des domaines suivants :
  • Résolution de noms
  • Paramètres de sécurité
  • Droits d'utilisateur
  • L'appartenance à un groupe pour Microsoft Windows 2000 ou Microsoft Windows Server 2003
Pour correctement identifier la cause du problème, vous devez résoudre la configuration d'approbation.

Résolution

Si vous recevez le message d'erreur « sans élément correspond à la recherche actuelle » lorsque vous utilisez le Sélecteur d'objet dans Active Directory utilisateurs et ordinateurs, vérifiez que les contrôleurs de domaine dans le domaine NT 4.0 incluent tout le monde dans le droit d'accéder à cet ordinateur de l'utilisateur de réseau . Dans ce scénario, le sélecteur d'objet essaie de se connecter anonymement sur l'approbation. Pour vérifier ces ssettings, suivez les étapes dans la « méthode 3: vérifier les droits d'utilisateur « section.

Pour résoudre les approbation problèmes de configuration entre un domaine Windows NT 4.0 et Active Directory, vous devez vérifier la configuration correcte des domaines suivants :
  • Résolution de noms
  • Paramètres de sécurité
  • Droits d'utilisateur
  • L'appartenance à un groupe pour Microsoft Windows 2000 ou Microsoft Windows Server 2003
Pour cela, appliquez les méthodes suivantes.

Méthode 1: vérifier la configuration correcte de résolution de noms

Étape 1: créer un fichier LMHOSTS

Créer un fichier LMHOSTS sur les contrôleurs de domaine principal pour fournir des fonctionnalités résolution de nom entre domaines. Le fichier LMHOSTS est un fichier texte que vous pouvez modifier avec n'importe quel éditeur de texte, tel que le bloc-notes. Le fichier LMHOSTS sur chaque contrôleur de domaine doit contenir l'adresse TCP/IP, le nom de domaine et l'entrée \0x1b de l'autre contrôleur de domaine. Pour plus d'informations sur la façon de créer le fichier LMHOSTS, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
180094 Comment faire pour écrire un fichier LMHOSTS pour la validation de domaine
Après avoir créé le fichier LMHOSTS, procédez comme suit :
  1. Modifier le fichier afin qu'elle contienne texte semblable au texte suivant :
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Remarque il doit être un total de 20 caractères et des espaces entre guillemets (" ") pour l'entrée \0x1b. Ajouter des espaces après le nom de domaine afin qu'il utilise 15 caractères. Le caractère 16e est la barre oblique inverse est suivie de la valeur « 0x1b », et ainsi un total de 20 caractères.
  2. Lorsque vous avez terminé les modifications apportées au fichier LMHOSTS, enregistrez le fichier dans le dossier \System32\Drivers\Etc %SystemRoot% sur les contrôleurs de domaine.
Pour plus d'informations sur le fichier LMHOSTS, consultez le fichier d'exemple Lmhosts.sam situé dans le dossier \System32\Drivers\Etc %SystemRoot%.

Étape 2: charger le fichier LMHOSTS dans le cache

  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
  2. À l'invite de commandes, tapez NBTSTAT-R , puis appuyez sur ENTRÉE. Cette commande charge le fichier LMHOSTS dans le cache.
  3. À l'invite de commandes, tapez NBTSTAT-c , puis appuyez sur ENTRÉE. Cette commande affiche le cache. Si le fichier est écrit correctement, le cache est semblable au suivant :
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Si le fichier ne remplit pas correctement le cache, passez à l'étape suivante.

Étape 3: Assurez-vous que la recherche LMHOSTS est activée sur l'ordinateur Windows NT 4.0

Si le fichier ne remplit pas correctement le cache, vérifiez que recherche LMHOSTS est activée sur l'ordinateur Windows NT 4.0. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur Paramètres , puis cliquez sur le Panneau de configuration .
  2. Double-cliquez sur réseaux , cliquez sur l'onglet protocoles et puis double-cliquez sur protocole TCP/IP .
  3. Cliquez sur l'onglet adresse WINS , puis cliquez pour sélectionner la case à cocher Activer la recherche de LMHOSTS .
  4. Redémarrez l'ordinateur.
  5. Répétez les étapes dans la section « charger le fichier LMHOSTS dans le cache ».
  6. Si le fichier ne remplit pas correctement le cache, assurez-vous que le fichier LMHOSTS est dans le dossier \System32\Drivers\Etc %SystemRoot% et que le fichier est correctement mise en forme.

    Par exemple, pour le fichier doit être formaté similaire à la mise en forme exemple suivante :
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Remarque il doit être un total de 20 caractères et d'espaces dans les marques de propositions de prix (" ") pour l'entrée nom et \0x1b domaine.

L'étape 4: utiliser la commande ping pour tester la connectivité

Lorsqu'il remplit le cache correctement sur chaque serveur, utilisez la commande ping sur chaque serveur pour tester la connectivité entre les serveurs. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
  2. À l'invite de commandes, tapez ping Name_Of_Domain_Controller_You_Want_To_Connect_To, puis appuyez sur ENTRÉE. Si la commande Ping ne fonctionne pas, assurez-vous que les adresses IP correctes sont répertoriées dans le fichier LMHOSTS.
  3. À l'invite de commandes, tapez net afficher Name_Of_Domain_Controller_You_Want_To_Connect_To, puis appuyez sur ENTRÉE. Elle est prévue que vous recevez le message d'erreur suivantes :
    Erreur système 5 s'est produite. Accès refusé
    Si la commande net view renvoie la message d'erreur suivantes ou les autres message d'erreur liées, assurez-vous que les adresses IP correctes sont répertoriées dans le fichier LMHOSTS :
    Erreur système 53 s'est produite. Le chemin d'accès réseau est introuvable.
Vous pouvez également WINS (Windows Internet Name Service) peuvent être configurés pour activer la fonctionnalité de résolution nom sans utiliser un LMHOSTS fichier. Pour plus d'informations sur l'utilisation de WINS pour la résolution de noms, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
185786 Recommandations pour WINS

Méthode 2: afficher les paramètres de sécurité

En règle générale, la partie Active Directory de la configuration d'approbation a paramètres de sécurité provoquer des problèmes de connectivité. Toutefois, les paramètres de sécurité doivent examiner des deux côtés de l'approbation.

Étape 1: Afficher les paramètres de sécurité sur Windows 2000 Server et Windows Server 2003

Dans Windows 2000 Server et Windows Server 2003, les paramètres de sécurité ne peuvent être appliquées ou configurées par stratégie de groupe, une stratégie locale ou un modèle de sécurité appliqués.

Vous devez utiliser les outils corrects pour déterminer les valeurs actuelles des paramètres de sécurité pour éviter de façon inexacte.

Pour obtenir une lecture précise de paramètres de sécurité, utilisez les méthodes suivantes :
  • Dans Windows 2000 Server, utiliser la configuration et analyse de la sécurité enfichables. Pour plus d'informations sur la façon de déterminer la stratégie de sécurité actuelle sur un ordinateur Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    258595 Gpresult n'énumère pas la stratégie de sécurité ordinateur résultant
  • Dans Windows Server 2003, utilisez soit le composant logiciel Configuration et analyse de la sécurité enfichable et le jeu de stratégie résultant (RSoP) enfichable. Pour plus d'informations sur la façon d'utiliser le composant logiciel enfichable Jeu de stratégie résultant, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    323276 Comment installer et utiliser le jeu de stratégie résultant dans Windows Server 2003
Après avoir déterminé les paramètres actuels, vous devez identifier la stratégie qui applique les paramètres. Par exemple, vous devez déterminer la stratégie de groupe dans Active Directory, ou les paramètres locaux que définir la stratégie de sécurité.

Dans Windows Server 2003, la stratégie qui définit les valeurs de sécurité est identifiée par l'outil RSoP. Toutefois, dans Windows 2000 vous devez afficher la stratégie de groupe et la stratégie locale pour déterminer la stratégie qui contient les paramètres de sécurité :
  • Pour afficher les paramètres de stratégie de groupe, vous devez activer sortie de journalisation pour le client de configuration de sécurité Microsoft Windows 2000 lors du traitement de stratégie de groupe. Pour plus d'informations sur l'activation sortie de journalisation pour le client de configuration de sécurité Microsoft Windows 2000 lors du traitement de stratégie de groupe, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    245422 Comment activer la journalisation de sécurité configuration client traitement dans Windows 2000
  • Affichez le journal des applications dans l'Observateur d'événements et recherchez l'ID d'événement 1000 et 1202 ID d'événement. Pour plus d'informations sur les ID d'événement 1000 et 1202 ID d'événement, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    319352 L'ID d'événement 1000 et événement ID 1202 sont enregistrés dans le journal des événements toutes les cinq minutes dans Windows 2000 Server
Les trois sections suivantes identifient le système d'exploitation et liste les paramètres de sécurité vous devez vérifier pour le système d'exploitation dans les informations que vous avez collectés :
Windows 2000
Assurez-vous que les paramètres suivants sont configurés comme indiqué.

RestrictAnonymous :
Réduire ce tableauAgrandir ce tableau
Des restrictions supplémentaires pour les connexions anonymes « Aucun. Dépendent des autorisations par défaut »
Compatibilité LM :
Réduire ce tableauAgrandir ce tableau
Niveau d'authentification LAN Manager« Envoyer réponse NTLM uniquement »
LA signature SMB, SMB EFS ou les deux :
Réduire ce tableauAgrandir ce tableau
Signer numériquement les communications client (toujours)DISABLED
Signer numériquement les communications client (lorsque cela est possible)ENABLED
Communications signées numériquement serveur (toujours)DISABLED
Signer numériquement les communications serveur (lorsque cela est possible)ENABLED
Canal sécurisé : numérique chiffrer ou signer les canaux sécurisés données (toujours)DISABLED
Canal sécurisé : crypter numériquement données des canaux sécurisés (lorsque cela est possible)DISABLED
Canal sécurisé : numériquement signer données des canaux sécurisés (lorsque cela est possible)DISABLED
Canal sécurisé : nécessite forte (Windows 2000 ou version ultérieure) clé de sessionDISABLED
Windows Server 2003
Assurez-vous que les paramètres suivants sont configurés comme indiqué.

RestrictAnonymous et RestrictAnonymousSam :
Réduire ce tableauAgrandir ce tableau
Accès réseau : Autoriser noms/SID anonyme traductionENABLED
Accès réseau : ne pas autoriser énumération anonyme des SAM comptes DISABLED
Accès réseau : ne pas autoriser l'énumération anonyme des SAM comptes et partagesDISABLED
Accès réseau : permettre de tout le monde autorisations s'appliquent aux utilisateurs anonymesENABLED
Accès réseau : canaux nommées accessibles anonymeENABLED
Accès réseau : restreindre l'accès anonyme aux canaux nommés et partageDISABLED
note Par défaut, la valeur de la Accès réseau : autoriser la traduction de noms/SID anonymes paramètre est DISABLED dans Windows Server 2008. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
942428 Contrôleurs de domaine Windows Server 2003 permettent aux utilisateurs anonymes résoudre un identificateur de sécurité (SID) à un nom d'utilisateur
Compatibilité LM :
Réduire ce tableauAgrandir ce tableau
Sécurité réseau : niveau d'authentification LAN Manager« Envoyer réponse NTLM uniquement »
LA signature SMB, SMB EFS ou les deux :
Réduire ce tableauAgrandir ce tableau
Client réseau Microsoft : communications signées numériquement (toujours)DISABLED
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)ENABLED
Serveur réseau Microsoft : communications signées numériquement (toujours)DISABLED
Serveur réseau Microsoft : communications signées numériquement (lorsque le client l'accepte)ENABLED
Membre de domaine : numérique chiffrer ou signer les canaux sécurisés données (toujours) DISABLED
Membre de domaine : crypter numériquement données des canaux sécurisés (lorsque cela est possible) ENABLED
Membre de domaine : numériquement signer données des canaux sécurisés (lorsque cela est possible)ENABLED
Membre de domaine : nécessite la clé de session forte (Windows 2000 ou version ultérieure)DISABLED
Une fois les paramètres sont configurés correctement, vous devez redémarrer votre ordinateur. Les paramètres de sécurité ne sont pas appliquées jusqu'à ce que l'ordinateur est redémarré.

Une fois l'ordinateur redémarre, Attendez 10 minutes pour vous assurer que toutes les stratégies de sécurité sont appliquées et les paramètres efficaces sont configurés. Nous vous recommandons d'attendre 10 minutes car Active Directory mises à jour de stratégie se produisent toutes les 5 minutes sur un contrôleur de domaine et la mise à jour peut changer les valeurs de paramètre de sécurité. Après 10 minutes, utilisez la configuration de sécurité et analyse ou un autre outil pour examiner les paramètres de sécurité dans Windows 2000 et Windows Server 2003.

Windows NT 4.0

important Cette section, la méthode ou la tâche, contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si modification incorrecte du Registre. Par conséquent, assurez-vous que ces étapes avec soin. Pour la protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756 Comment faire pour sauvegarder et restaurer le Registre dans Windows
Dans Windows NT 4.0, les paramètres de sécurité actuels doivent être vérifiées à l'aide de l'outil Regedt32 pour afficher le Registre. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez regedt32 et puis cliquez sur OK .
  2. Développez les sous-clés de Registre suivantes et afficher la valeur affectée à l'entrée RestrictAnonymous :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Développer les sous-clés de Registre suivantes et puis afficher la valeur est affectée à l'écriture de compatibilité LM :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Développez les sous-clés de Registre suivantes et afficher la valeur affectée à l'entrée EnableSecuritySignature (serveur) :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Développez les sous-clés de Registre suivantes et afficher la valeur est affectée à l'écriture RequireSecuritySignature (serveur) :
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Développez les sous-clés de Registre suivantes et afficher la valeur affectée à l'entrée RequireSignOrSeal :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Développez les sous-clés de Registre suivantes et afficher la valeur est affectée à l'écriture SealSecureChannel :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Développez les sous-clés de Registre suivantes et afficher la valeur est affectée à l'écriture SignSecureChannel :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Développez les sous-clés de Registre suivantes et afficher la valeur est affectée à l'écriture RequireStrongKey :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Méthode 3: vérifier les droits d'utilisateur

Pour vérifier les droits d'utilisateur requis sur un ordinateur Windows 2000, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Outils d'administration et puis cliquez sur local stratégie de sécurité .
  2. Développez Stratégies locales , puis cliquez sur Attribution des droits utilisateur .
  3. Dans le volet droit, double-cliquez sur Accéder à cet ordinateur depuis le réseau .
  4. Activez le paramètre de stratégie locale case à cocher en regard tout le monde grouper dans la liste affecté à , puis puis cliquez sur OK .
  5. Double-cliquez sur Refuser l'accès à cet ordinateur à partir du réseau .
  6. Vérifiez qu'il n'y a aucun groupe principe dans la liste affecté à , puis cliquez sur OK . Par exemple, assurez-vous que tout le monde, Utilisateurs authentifiés et autres groupes, ne figurent pas.
  7. Cliquez sur OK et quittez sécurité local stratégie.
Pour vérifier les droits d'utilisateur requis sur un ordinateur Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur Outils d'administration , puis cliquez sur stratégie de sécurité du contrôleur de domaine .
  2. Développez Stratégies locales , puis cliquez sur Attribution des droits utilisateur .
  3. Dans le volet droit, double-cliquez sur Accéder à cet ordinateur depuis le réseau .
  4. Assurez-vous que le groupe Tout le monde est dans la liste d'accéder à cet ordinateur à partir du réseau . Si le groupe Tout le monde n'est pas répertorié, procédez comme suit :
    1. Cliquez sur Ajouter un utilisateur ou un groupe .
    2. Dans la zone utilisateur et les noms de groupe , tapez tout le monde , puis cliquez sur OK .
  5. Double-cliquez sur Refuser l'accès à cet ordinateur à partir du réseau .
  6. Vérifiez qu'il n'y a aucun groupe principe dans la liste accès Refuser à cet ordinateur à partir du réseau , puis cliquez sur OK . Par exemple, assurez-vous que tout le monde, authentifiés utilisateurs et d'autres groupes, ne figurent pas.
  7. Cliquez sur OK et fermez le domaine stratégie de sécurité du contrôleur.
Pour vérifier les droits d'utilisateur requis sur un serveur Windows NT 4.0 ordinateur, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Outils d'administration et puis cliquez sur Gestionnaire utilisateur pour les domaines .
  2. Dans le menu stratégies , cliquez sur utilisateur droits .
  3. Dans la liste de droite , cliquez sur Accéder à cet ordinateur à partir du réseau .
  4. Dans la zone d'accès à , vérifiez que le groupe Tout le monde est ajouté. Si le groupe Tout le monde n'est pas ajouté, procédez comme suit :
    1. Cliquez sur Ajouter .
    2. Dans la liste de noms , cliquez sur Tout le monde , cliquez sur Ajouter et cliquez sur OK .
  5. Cliquez sur OK , puis quittez le Gestionnaire des utilisateurs.

Méthode 4: vérifier l'appartenance à un groupe

Si une relation d'approbation est configurée entre les domaines, mais vous ne pouvez ajouter principe les groupes d'utilisateurs d'un domaine à l'autre car la boîte de dialogue ne recherche pas les autres objets de domaine, le groupe "Accès compatible pré-Windows 2000" ne peut-être les membres corrects.

Sur les contrôleurs de domaine Windows 2000 et les contrôleurs de domaine Windows Server 2003, assurez-vous que les appartenances aux groupes requis sont configurés.

Pour cela, sur les contrôleurs de domaine Windows 2000, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Outils d'administration et puis cliquez sur composant et des ordinateurs .
  2. Cliquez sur intégrés dans , puis double-cliquez sur groupe Accès compatible pre-Windows 2000 .
  3. Cliquez sur l'onglet membres , puis assurez-vous que le groupe Tout le monde est dans la liste membres .
  4. Si le groupe Tout le monde n'est pas dans la liste membres , procédez comme suit :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
    2. À l'invite de commandes, tapez net localgroup "Accès compatible pré-Windows 2000" tout le monde/Add , puis appuyez sur ENTRÉE.
Pour vous assurer que les appartenances aux groupes requis sont configurés sur les contrôleurs de domaine Windows Server 2003, vous devez connaître si le « Accès réseau : permettre de tout le monde autorisations s'appliquent aux utilisateurs anonymes " paramètre de stratégie est désactivé. Si vous ne connaissez pas, utiliser l'Éditeur d'objets de stratégie de groupe pour déterminer l'état de la " Accès réseau : permettre de tout le monde autorisations s'appliquent aux utilisateurs anonymes " paramètre de stratégie. Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez gpedit.msc et cliquez sur OK .
  2. Développez les dossiers suivants :
    stratégie ordinateur local
    Configuration de l'ordinateur
    Paramètres Windows
    Paramètres de sécurité
    Stratégies locales
  3. Cliquez sur Options de sécurité , puis cliquez sur Accès réseau : Let Everyone autorisations s'appliquent aux utilisateurs anonymes dans le volet droit.
  4. Notez si la valeur dans le paramètre de sécurité colonne est désactivé ou activé .
Pour vous assurer que les appartenances aux groupes requis sont configurés sur les contrôleurs de domaine Windows Server 2003, procédez comme suit :
  1. Cliquez sur Démarrer , pointez sur programmes , pointez sur Outils d'administration et puis cliquez sur composant et des ordinateurs .
  2. Cliquez sur intégrés dans , puis double-cliquez sur groupe Accès compatible pre-Windows 2000 .
  3. Cliquez sur l'onglet membres .
  4. Si le Accès réseau : Let Everyone autorisations s'appliquent aux utilisateurs anonymes paramètre de stratégie est désactivé, assurez-vous que tout le monde, groupe Anonymous Logon est dans la liste membres . Si le « Accès réseau : permettre de tout le monde autorisations s'appliquent aux utilisateurs anonymes » paramètre de stratégie est activé, vérifiez que le groupe Tout le monde est dans la liste membres .
  5. Si le groupe Tout le monde n'est pas dans la liste membres , procédez comme suit :
    1. Cliquez sur Démarrer , cliquez sur Exécuter , tapez cmd et cliquez sur OK .
    2. À l'invite de commandes, tapez net localgroup "Accès compatible pré-Windows 2000" tout le monde/Add , puis appuyez sur ENTRÉE.

Méthode 5: vérifier la connectivité via les périphériques réseau, tels que les pare-feux, commutateurs et routeurs

Si vous avez reçu messages d'erreur semblables à la message d'erreur suivant et que vous avez vérifié que les fichiers LMHOST sont corrects, le problème peut être provoqué par un pare-feu, un routeur ou commutateur qui a bloqué ports entre les contrôleurs de domaine :
Aucun contrôleur de domaine ne peut être contacté
Pour résoudre les périphériques réseau, utilisez PortQry ligne de commande port scanner version 2.0 pour tester les ports entre vos contrôleurs de domaine. Pour plus d'informations sur PortQry version 2, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
832919 Nouvelles fonctions et fonctionnalités disponible dans PortQry version 2.0
Pour plus d'informations sur la façon dont les ports doivent être configurés, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
179442 Comment faire pour configurer un pare-feu pour les domaines et les approbations

Méthode six : recueillir des informations supplémentaires à vous aider à résoudre le problème

Si les méthodes précédentes ne permettent pas résoudre le problème, collecter les informations supplémentaires suivantes pour vous aider à résoudre la cause du problème :
  • Activer l'accès réseau à ouvrir une session sur les deux contrôleurs de domaine. Pour plus d'informations sur la façon enregistrement accès réseau complet, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    109626 L'activation enregistrement de débogage pour le service d'ouverture de session réseau
  • Capturer une trace sur les deux contrôleurs de domaine en même temps que le problème se produit. Pour plus d'informations sur la façon de capturer le trafic réseau, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    812953 Comment faire pour utiliser Moniteur réseau pour capturer le trafic réseau

Plus d'informations

La liste suivante des objets de stratégie de groupe (GPO) fournit l'emplacement de l'entrée de Registre correspondante et la stratégie de groupe dans les systèmes d'exploitation applicables :
  • RestrictAnonymous objet de stratégie de groupe :
    • Emplacement du Registre Windows NT :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Emplacement du Registre Windows 2000 et Windows Server 2003 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe Windows 2000 : Configuration de l'ordinateur \ paramètres Windows \ paramètres de sécurité \ restrictions sécurité options supplémentaires pour les connexions anonymes
    • Stratégie de groupe de Windows Server 2003 : ordinateur configuration \ paramètres Windows \ paramètres de sécurité \ accès de sécurité Options réseau : ne pas autoriser l'énumération anonyme des SAM comptes et partages
  • RestrictAnonymousSAM objet de stratégie de groupe :
    • Emplacement du Registre de Windows Server 2003 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe de Windows Server 2003 : ordinateur configuration \ paramètres Windows \ paramètres de sécurité \ accès de sécurité Options réseau : ne pas autoriser l'énumération anonyme des SAM comptes et partages
  • L'objet de stratégie de groupe EveryoneIncludesAnonymous :
    • Emplacement du Registre de Windows Server 2003 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Stratégie de groupe de Windows Server 2003 : ordinateur configuration \ paramètres Windows \ paramètres de sécurité \ accès réseau des options de sécurité : Let Everyone autorisations s'appliquent aux utilisateurs anonymes
  • La compatibilité LM objet de stratégie de groupe :
    • Windows NT, Windows 2000 et Windows Server emplacement de Registre 2003 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Stratégie de groupe Windows 2000 : Configuration de l'ordinateur \ paramètres Windows \ paramètres de sécurité \ options de sécurité : niveau d'authentification LAN Manager
    • Stratégie de groupe de Windows Server 2003 : ordinateur configuration \ paramètres Windows \ paramètres de sécurité \ Options\Network sécurité sécurité : niveau d'authentification LAN Manager
  • EnableSecuritySignature (client) objet de stratégie de groupe :
    • Emplacement du Registre Windows 2000 et Windows Server 2003 : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Stratégie de groupe Windows 2000 : Configuration de l'ordinateur \ paramètres Windows \ paramètres de sécurité \ options de sécurité : signer numériquement les communications client (lorsque cela est possible)
    • Stratégie de groupe de Windows Server 2003 : ordinateur configuration \ paramètres Windows \ paramètres de sécurité \ options de sécurité \ client réseau Microsoft : communications signées numériquement (lorsque le serveur l'accepte)
  • RequireSecuritySignature (client) objet de stratégie de groupe :
    • Emplacement du Registre Windows 2000 et Windows Server 2003 :
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Stratégie de groupe Windows 2000 : Configuration de l'ordinateur \ paramètres Windows \ paramètres de sécurité \ options de sécurité : signer numériquement les communications client (toujours)
    • Windows Server 2003 : Configuration de l'ordinateur \ paramètres Windows \ paramètres de sécurité \ client réseau sécurité Options\ Microsoft : communications signées numériquement (toujours)
  • EnableSecuritySignature (serveur) objet de stratégie de groupe :
    • Emplacement du Registre Windows NT :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Emplacement du Registre Windows 2000 et Windows Server 2003 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Stratégie de groupe Windows 2000 : signer numériquement les communications serveur (lorsque cela est possible)
    • Stratégie de groupe de Windows Server 2003 : serveur du réseau Microsoft : communications signées numériquement (lorsque le client l'accepte)..............
  • RequireSecuritySignature (serveur) objet de stratégie de groupe :
    • Emplacement du Registre Windows NT :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Emplacement du Registre Windows 2000 et Windows Server 2003 :
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Stratégie de groupe Windows 2000 : signer numériquement les communications serveur (toujours)
    • Stratégie de groupe de Windows Server 2003 : serveur du réseau Microsoft : communications signées numériquement (toujours)
  • RequireSignOrSeal objet de stratégie de groupe :
    • Windows NT, Windows 2000 et Windows Server 2003 l'emplacement du Registre :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : la numérique chiffrer ou signer les canaux sécurisés données (toujours)
    • Stratégie de groupe du Windows Server 2003 : membre de domaine : numérique chiffrer ou signer les canaux sécurisés données (toujours)
  • SealSecureChannel objet de stratégie de groupe :
    • Windows NT, Windows 2000 et Windows Server 2003 l'emplacement du Registre :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : canal sécurisé : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
    • Stratégie de groupe de Windows Server 2003 : domaine membre : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
  • SignSecureChannel objet de stratégie de groupe :
    • Windows NT, Windows 2000 et Windows Server emplacement de Registre 2003 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : canal sécurisé : signer numériquement les données des canaux (lorsque cela est possible) sécurisés
    • Stratégie de groupe de Windows Server 2003 : domaine membre : signer numériquement les données des canaux (lorsque cela est possible) sécurisés
  • RequireStrongKey objet de stratégie de groupe :
    • Windows NT, Windows 2000 et Windows Server emplacement de Registre 2003 :
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Stratégie de groupe Windows 2000 : canal sécurisé : nécessite la clé de session forte (Windows 2000 ou version ultérieure)
    • Stratégie de groupe de Windows Server 2003 : domaine membre : nécessite la clé de session forte (Windows 2000 ou version ultérieure)

Windows Server 2008

Sur un contrôleur de domaine qui exécute Windows Server 2008, le comportement par défaut de ce paramètre de stratégie permettre des algorithmes de cryptographie compatibles avec Windows NT 4.0 peut-être provoquer un problème. Ce paramètre empêche systèmes d'exploitation Windows et les clients tiers d'utiliser des algorithmes de chiffrement faible pour établir des canaux de sécurité NETLOGON sur contrôleurs de domaine Windows Server 2008. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
942564 Lorsqu'un ordinateur Windows NT 4.0 essaie d'utiliser le service NETLOGON pour établir un canal de sécurité à un contrôleur de domaine Windows Server 2008, l'opération peut échouer

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
257942 Message d'erreur : Impossible de parcourir le domaine sélectionné car l'erreur suivante se produite...
246261 Comment utiliser la valeur de Registre RestrictAnonymous dans Windows 2000
258595 Gpresult n'énumère pas la stratégie de sécurité ordinateur résultant
823659 Client, le service et les incompatibilités de programme qui peuvent se produire lorsque vous modifiez des paramètres de sécurité et l'utilisateur des attributions des droits
278259 Tout le monde de groupe n'inclut pas identificateur de sécurité anonyme

Propriétés

Numéro d'article: 889030 - Dernière mise à jour: samedi 21 février 2009 - Version: 8.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Édition Entreprise
Mots-clés : 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 889030
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com