אמון בין קבוצת מחשבים של Windows NT אין אפשרות ליצור תחום של Active Directory או אינם פועלים כצפוי

תרגומי מאמרים תרגומי מאמרים
Article ID: 889030 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מאפייני הבעיה

אם תנסה להגדיר יחסי אמון בין Microsoft Windows NT תחום מבוסס 4.0 ושל התחום המבוסס על Active Directory, אתה עלול להיתקל אחת מהתופעות הבאות:
  • יחסי האמון לא נוצר.
  • יחסי האמון נוצר, אך יחסי האמון לא יפעלו באופן צפוי.
בנוסף, ייתכן שתקבל אחת השגיאה הבאה הודעות:
השגיאה הבאה אירעה בעת ניסיון להצטרף התחום"Domain_Name": החשבון אינו מורשה לבצע כניסה מתחנה זו.
Access נדחתה.
בקר התחום לא היתה אפשרות יצירת קשר.
כשל בכניסה: שם משתמש לא מוכר או סיסמה שגויה.
בעת השימוש בבוחר אובייקטים ב- Active Directory משתמשים ומחשבים כדי להוסיף משתמשים מהתחום NT 4.0 ל- Active Directory מחשבים, ייתכן שתקבל את הודעת השגיאה הבאה:
לא פריטים התואמים לחיפוש הנוכחי. בדוק את פרמטרי החיפוש ונסה שוב.

סיבה

בעיה זו מתרחשת בשל בעיית תצורה בכל אחד מהאזורים הבאים:
  • זיהוי שמות
  • הגדרות אבטחה
  • זכויות משתמש
  • חברות בקבוצה עבור Microsoft Windows 2000 או ב- Microsoft Windows Server 2003
כדי לזהות את הגורם לבעיה כראוי, עליך פתרון בעיות תצורה אמון.

פתרון הבעיה

אם אתה מקבל את "אין פריטים התואמים לחיפוש הנוכחי" הודעת שגיאה כאשר משתמש בוחר אובייקטים ב- Active Directory Users ו מחשבים, ודא בקרי קבוצות המחשבים בקבוצת המחשבים NT 4.0 כולל כולם בפינה הימנית Access המשתמש ברשת למחשב זה . בתרחיש זה, בוחר האובייקטים מנסה להתחבר באופן אנונימי פני יחסי האמון. כדי לוודא ssettings אלה, בצע את השלבים ב "שיטת שלוש: בדוק את זכויות המשתמש" מקטע.

כדי לפתור בעיות בעיות בתצורת אמון בין מחשבים מבוססי Windows NT 4.0 ופעיל ספריה, עליך לוודא התצורה הנכונה של אזורים הבאים:
  • זיהוי שמות
  • הגדרות אבטחה
  • זכויות משתמש
  • חברות בקבוצה עבור Microsoft Windows 2000 או ב- Microsoft Windows Server 2003
לשם כך, השתמש באחת מהשיטות הבאות.

שיטה אחת: בדוק את התצורה הנכונה של זיהוי שמות

שלב אחד: יצירת קובץ LMHOSTS

יצירת קובץ LMHOSTS בבקרי קבוצת המחשבים הראשי כדי לספק יכולת הרזולוציה שם בין תחומים. הקובץ LMHOSTS הוא טקסט קובץ שבאפשרותך לערוך בכל עורך טקסט, כגון ' פנקס רשימות '. הקובץ LMHOSTS על כל תחום בקר חייב להכיל כתובות IP, שם תחום, ו- ערך \0x1b של בקר קבוצת מחשבים אחרים. לקבלת מידע נוסף מידע אודות כיצד ליצור את הקובץ LMHOSTS, לחץ על ' במאמר הבא מספר המאמר כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
180094כיצד לכתוב קובץ LMHOSTS לצורך אימות קבוצת מחשבים
לאחר יצירת הקובץ LMHOSTS, בצע השלבים הבאים:
  1. לשנות את הקובץ כך שיכיל טקסט דומה הטקסט הבא:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    הערה חייב להיות מספר כולל של 20 תווים, רווחים בין במרכאות ("") עבור הערך \0x1b. הוספת רווחים לאחר שם התחום כך שהוא עושה שימוש 15 תווים. הקו הנטוי ההפוך שנמצא הוא התו ה-16 ואחריו הערך "0x1b", והופכת זו בסך 20 תווים.
  2. כאשר אתה מסיים את השינויים בקובץ LMHOSTS, שמור הקובץ ל- % SystemRoot %התיקיה \System32\Drivers\Etc בבקרי תחום.
לקבלת מידע נוסף אודות הקובץ LMHOSTS, להציג הקובץ לדוגמה Lmhosts.sam בהם ממוקם % SystemRoot %התיקיה \System32\Drivers\Etc.

שלב שני: לטעון את הקובץ LMHOSTS למטמון

  1. לחץ התחלה, לחץ על הפעלה, סוג cmd, ולאחר מכן לחץ על אישור.
  2. בשורת הפקודה, הקלד NBTSTAT -R, ולאחר מכן הקש ENTER. פקודה זו טוענת את הקובץ LMHOSTS לתוך המטמון.
  3. בשורת הפקודה, הקלד NBTSTAT -c, ולאחר מכן הקש ENTER. פקודה זו מציגה את המטמון. אם קובץ נכתב בצורה נכונה, שהמטמון דומה להודעה הבאה:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    אם הקובץ לא לאכלס את המטמון כראוי, המשך השלב הבא.

שלב 3: ודא בדיקת מידע LMHOSTS זמינה במחשב מבוסס Windows NT 4.0

אם הקובץ לא לאכלס את המטמון כראוי, ודא כי בדיקת מידע LMHOSTS זמינה במחשב מבוסס Windows NT 4.0. כדי לעשות זאת, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלהגדרות, ולאחר מכן לחץ על פקד לוח.
  2. לחץ פעמיים רשתות, לחץפרוטוקולים טאב ולאחר מכן לחץ פעמיים TCP/IP פרוטוקול.
  3. לחץ כתובת WINS הכרטיסיה ולאחר מכן לחץ כדי לבחור אפשר חיפוש LMHOSTS תיבת הסימון.
  4. הפעל מחדש את המחשב.
  5. חזור על השלבים "לטעון את הקובץ LMHOSTS לתוך במקטע מטמון".
  6. אם הקובץ לא לאכלס את המטמון כראוי, ודא ודא כי הקובץ LMHOSTS ב-% SystemRoot %התיקיה \System32\Drivers\Etc וכי הקובץ מעוצב כראוי.

    לדוגמה, הקובץ חייב להיות מעוצב דומה לעיצוב בדוגמה הבאה:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    הערה חייב להיות מספר כולל של 20 תווים ורווחים בתוך סימני ציטוטים ("") עבור הערך \0x1b ושם קבוצת המחשבים.

שלב ארבע: להשתמש בפקודה Ping כדי מחשב קישוריות

כאשר הקובץ מאכלס את מטמון כראוי בשרת כל, השתמש הפקודה Ping בכל שרת על מחשב קישוריות בין השרתים. כדי לעשות פעולה זו, בצע את הפעולות הבאות:
  1. לחץ התחלה, לחץ על הפעלה, סוג cmd, ולאחר מכן לחץ על אישור.
  2. בשורת הפקודה, הקלד איתות (ping)Name_Of_Domain_Controller_You_Want_To_Connect_To, ולאחר מכן הקש ENTER. אם הפקודה Ping אינה פועלת, ודא כי כתובות IP הנכונה מפורטים בקובץ LMHOSTS.
  3. בשורת הפקודה, הקלד net viewName_Of_Domain_Controller_You_Want_To_Connect_To, ולאחר מכן הקש ENTER. צפוי כי אתה מקבל את השגיאה הבאה הודעה:
    אירעה שגיאת מערכת 5. Access הוא נדחתה
    אם הפקודה net view מחזירה את הודעת השגיאה הבאה או אחרים הקשורים שגיאה הודעה, ודא כי כתובות ה-IP הנכונה מפורטים ב- קובץ LMHOSTS:
    אירעה שגיאת מערכת 53. הרשת נתיב לא נמצא
לחלופין, ניתן שירות שם של Windows Internet (WINS) נקבעה כדי לאפשר פונקציונליות רזולוציה השם ללא שימוש של LMHOSTS קובץ. לקבלת מידע נוסף אודות כיצד להשתמש ב- WINS עבור פענוח שם, לחץ על מספר המאמר שלהלן כדי להציג המאמר מתוך מאגר הידע Microsoft Knowledge Base:
185786נוהגי המומלצת עבור WINS

שיטה שניה: הצג הגדרות אבטחה

בדרך כלל, הצד Active Directory של תצורת אמון יש הגדרות אבטחה לגרום לבעיות קישוריות. עם זאת, האבטחה יש לבדוק הגדרות בשני הצדדים של יחסי האמון.

שלב אחד: הצגת הגדרות האבטחה ב- Windows 2000 Server ו- Windows Server 2003

ב- Windows 2000 Server ו- Windows Server 2003, אבטחה הגדרות ייתכן להחיל או מוגדרת על-ידי מדיניות קבוצתית, מדיניות מקומית, או תבנית האבטחה המוחלת.

עליך להשתמש בכלים הנכונים כדי לקבוע את הערכים הנוכחיים של הגדרות האבטחה כדי להימנע לא מדויק קריאות.

כדי להשיג של קריאה מדויקת של האבטחה הנוכחית הגדרות, השתמש באחת מהשיטות הבאות:
  • ב- Windows 2000 Server, להשתמש בתצורת האבטחה ו יישום snap-in ' ניתוח. לקבלת מידע נוסף אודות אופן כדי לקבוע את מדיניות האבטחה הנוכחית במחשב מבוסס Windows 2000, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- Microsoft Knowledge Base:
    258595Gpresult לא למנות את מדיניות האבטחה של המחשב תוצאות
  • ב- Windows Server 2003, השתמש את האבטחה וקביעת תצורה של יישום snap-in ' ניתוח, או את מערכת תוצאות של מדיניות (RSoP) יישום snap-in. לקבלת מידע נוסף אודות אופן השימוש תוצאות של מדיניות יישום snap-in, לחץ הבא מאמר מספר כדי להציג מאמר מתוך מאגר הידע Microsoft Knowledge Base:
    323276כיצד להתקין ולהשתמש RSoP ב- Windows Server 2003
לאחר שתקבע את ההגדרות הנוכחיות, עליך לזהות המדיניות היא להחיל את ההגדרות. לדוגמה, עליך לקבוע את הקבוצה מדיניות ב- Active Directory, או את ההגדרות המקומיות להגדיר את האבטחה מדיניות.

ב- Windows Server 2003, המדיניות שמגדיר את האבטחה ערכים מזוהה על-ידי הכלי RSoP. עם זאת, ב- Windows 2000 יש הצגת מדיניות קבוצתית, מדיניות מקומית כדי לקבוע את המדיניות המכיל הגדרות אבטחה:
  • כדי להציג את הגדרות מדיניות קבוצתית, עליך לאפשר רישום פלט עבור Microsoft Windows 2000 אבטחה תצורת לקוח במהלך עיבוד המדיניות הקבוצתית. לקבלת מידע נוסף מידע אודות אופן ההפעלה של רישום פלט עבור Microsoft Windows 2000 לקוח של תצורת אבטחה במהלך עיבוד המדיניות הקבוצתית, לחץ מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
    245422כיצד לאפשר רישום ביומן עבור לקוח תצורת אבטחה עיבוד ב- Windows 2000
  • הצג את יומן היישום במציג האירועים ולמצוא מזהה אירוע 1000 ו 1202 מזהה אירוע. לקבלת מידע נוסף אודות מזהה אירוע 1000 ואירוע 1202 מזהה, לחץ על מספר המאמר שלהלן כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:
    319352מזהה אירוע 1000 ו- 1202 מזהה אירוע נרשמים ביומן האירועים בכל חמש דקות ב- Windows 2000 Server
בשלושת המקטעים הבאים לזהות את מערכת ההפעלה ו- רשימה של הגדרות אבטחה עבור מערכת ההפעלה בעליך לוודא מידע שאספת:
Windows 2000
ודא ההגדרות הבאות מוגדרות כ- המוצג.

RestrictAnonymous:
כווץ את הטבלההרחב את הטבלה
הגבלות נוספות עבור חיבורים אנונימיים "ללא. הסתמך על הרשאות ברירת מחדל"
תאימות ל- LM:
כווץ את הטבלההרחב את הטבלה
רמת האימות של LAN Manager"שלח תגובת NTLM רק"
חתימת SMB, הצפנת SMB, או את שתיהן:
כווץ את הטבלההרחב את הטבלה
הוסף חתימה דיגיטלית לתקשורת לקוח (תמיד)לא זמין
הוסף חתימה דיגיטלית לתקשורת לקוח (כאשר הוא הדבר אפשרי)זמין
הוסף חתימה דיגיטלית לתקשורת שרת (תמיד)לא זמין
הוסף חתימה דיגיטלית לתקשורת שרת (כאשר הוא הדבר אפשרי)זמין
ערוץ מאובטח: הוסף הצפנה או חתימה נתוני ערוץ מאובטח (תמיד)לא זמין
ערוץ מאובטח: הוסף הצפנה דיגיטלית לנתוני ערוץ מאובטח (כאשר אפשרי)לא זמין
ערוץ מאובטח: חתימה דיגיטלית לנתוני ערוץ מאובטח (כאשר הוא אפשרי)לא זמין
ערוץ מאובטח: דרוש חזק (Windows 2000 ואילך) מפתח הפעלהלא זמין
Windows Server 2003
ודא כי בהגדרות הבאות מוגדרות כפי שמוצג.

RestrictAnonymous ו- RestrictAnonymousSam:
כווץ את הטבלההרחב את הטבלה
גישה לרשת: אפשר שם/SID אנונימי תרגוםזמין
גישה לרשת: אל תאפשר ספירה אנונימית של SAM חשבונות לא זמין
גישה לרשת: אל תאפשר ספירה אנונימית של SAM חשבונות ושיתופיםלא זמין
גישה לרשת: אפשר להרשאות של Everyone לחול על אנונימי משתמשיםזמין
גישה לרשת: רכיבי Named pipe ניתן לגשת באופן אנונימיזמין
גישה לרשת: הגבל גישה אנונימית לרכיבי בשם צינורות ו מיקומים משותפיםלא זמין
הערה כברירת מחדל, הערך גישה לרשת: אפשר תרגום שם/SID אנונימי הגדרה אינה זמינה ב- Windows Server 2008. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- Microsoft Knowledge Base:
942428בקרי תחום של Windows Server 2003 מאפשרים למשתמשים אנונימיים לפתור מזהה אבטחה (SID) לשם משתמש
תאימות ל- LM:
כווץ את הטבלההרחב את הטבלה
אבטחת רשת: אימות של LAN Manager רמת"שלח תגובת NTLM בלבד"
חתימת SMB, הצפנת SMB, או את שתיהן:
כווץ את הטבלההרחב את הטבלה
לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)לא זמין
לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (אם השרת מאשר)זמין
שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (תמיד)לא זמין
שרת רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (אם הלקוח מאשר)זמין
חבר בתחום: הוסף הצפנה או חתימה נתוני ערוץ מאובטח (תמיד) לא זמין
חבר בתחום: הוסף הצפנה דיגיטלית לנתוני ערוץ מאובטח (כאשר הוא אפשרי) זמין
חבר בתחום: חתימה דיגיטלית חתימה לנתוני ערוץ מאובטח (כאשר הוא הדבר אפשרי)זמין
חבר בתחום: דורשים הפעלה חזק (Windows 2000 ואילך) מפתחלא זמין
לאחר ההגדרות נקבעה כראוי, עליך להפעיל מחדש המחשב שלך. הגדרות האבטחה אינן נאכפות עד להפעלת המחשב מחדש.

לאחר ההפעלה מחדש של המחשב, המתן 10 דקות כדי לוודא כל מדיניות אבטחה מוחלים וכי הם הגדרות תקפות מוגדר. אנו ממליצים לך להמתין 10 דקות מאחר Active Directory עדכוני מדיניות מתרחשות מדי 5 דקות בבקר קבוצת מחשבים וייתכן העדכון שינוי ערכי הגדרת האבטחה. לאחר 10 דקות, השתמש אבטחה ניתוח וקביעת תצורה או כלי אחר כדי לבדוק את הגדרות האבטחה ב- Windows 2000 ו- Windows Server 2003.

Windows NT 4.0

חשוב בסעיף זה, השיטה או המשימה מכיל פעולות המציינות כיצד כדי שנה את הרישום. עם זאת, עלול לגרום לבעיות חמורות אם תשנה הרישום באופן שגוי. לכן, ודא כי צעדים אלה בקפידה. לקבלת הגנה נוספת, לגבות את הרישום לפני שינויו. לאחר מכן, באפשרותך לשחזר את הרישום במקרה שתתעורר בעיה. לקבלת מידע נוסף כיצד לגבות לשחזר את הרישום, לחץ על ' במאמר הבא מספר המאמר כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756 כיצד לגבות ולשחזר את הרישום ב- Windows
ב- Windows NT 4.0, הגדרות האבטחה הנוכחיות יש צורך לאמת באמצעות הכלי Regedt32 כדי להציג את הרישום. כדי לעשות זאת, בצע את הפעולות הבאות:
  1. לחץ התחלה, לחץ על הפעלה, סוג regedt32, ולאחר מכן לחץ עלאישור.
  2. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך תאימות ל- LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך EnableSecuritySignature (שרת):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך RequireSecuritySignature (שרת):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. הרחב את מפתחות המשנה הבאים של הרישום ולאחר מכן להציג ערך שהוקצה לערך RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

שיטה 3: בדוק את זכויות המשתמש

כדי לוודא את זכויות המשתמש הנדרשות על מבוסס Windows 2000 המחשב, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלתוכניות, הצבע על כלי ניהול, ו- לאחר מכן לחץ מדיניות אבטחה מקומית.
  2. הרחב פריטי מדיניות מקומיים, ולאחר מכן לחץ עלהקצאת זכויות משתמש.
  3. בחלונית השמאלית, לחץ פעמיים Access זה המחשב מהרשת.
  4. לחץ כדי לבחור הגדרת מדיניות מקומיתתיבת הסימון לצד כולם הקבוצה ב- הקצאה כדי ולאחר מכן לחץ אישור.
  5. לחץ פעמיים מנע גישה למחשב זה מתוך רשת.
  6. ודא שאין לא עיקרון בקבוצותשהוקצו ולאחר מכן לחץ אישור. עבור לדוגמה, ודא שכל המשתמשים, משתמשים מאומתים וקבוצות אחרות, הם לא רשום.
  7. לחץ אישור, ולאחר מכן צא אבטחה מקומית מדיניות.
כדי לוודא את זכויות המשתמש הנדרשות בשרת Windows מחשב מבוסס-2003, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלכלי ניהול, ולאחר מכן לחץ על בקר קבוצת מחשבים מדיניות אבטחה.
  2. הרחב פריטי מדיניות מקומיים, ולאחר מכן לחץ עלהקצאת זכויות משתמש.
  3. בחלונית השמאלית, לחץ פעמיים Access זה המחשב מהרשת.
  4. ודא כי לקבוצה Everyone נמצא Access למחשב זה מהרשת הרשימה. אם הקבוצה Everyone אינה ברשימה, בצע את הפעולות הבאות:
    1. לחץ הוספת משתמש או קבוצה.
    2. ב- שמות משתמש וקבוצה תיבת, סוג כולם, ולאחר מכן לחץ על אישור.
  5. לחץ פעמיים מנע גישה למחשב זה מתוך רשת.
  6. ודא שאין לא עיקרון בקבוצותמנע גישה למחשב זה מהרשת הרשימה, ולאחר מכן לחץ אישור. לדוגמה, ודא שיש לכל אחד, אימות משתמשים וקבוצות אחרים, שאינם מפורטים.
  7. לחץ אישור, ולאחר מכן סגור את התחום מדיניות אבטחה של בקר.
כדי לוודא את זכויות המשתמש הנדרשות בשרת Windows NT מחשב מבוסס 4.0, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלתוכניות, הצבע על כלי ניהול, ו- לאחר מכן לחץ במנהל המשתמשים עבור קבוצות מחשבים.
  2. ב- מדיניות תפריט, לחץ על משתמש זכויות.
  3. ב- מימין ברשימה, לחץ Access למחשב זה מהרשת.
  4. ב- להעניק בתיבה, ודא כי הקבוצה everyone נוסף. אם לא הוספת הקבוצה Everyone, בצע השלבים הבאים:
    1. לחץ להוסיף.
    2. ב- שמות ברשימה, לחץ כולם, לחץ על להוסיף, ולאחר מכן לחץ על אישור.
  5. לחץ אישור, ולאחר מכן צא משתמש מנהל.

שיטה 4: ודא חברות בקבוצה

אם הגדרת יחסי אמון בין קבוצות המחשבים, אך אין באפשרותך להוסיף עיקרון קבוצות משתמשים מתחום אחד לשני מכיוון תיבת הדו-שיח אינה לא לאתר את תחום אובייקטים אחרים, "השייך לטרום windows 2000 תואם גישה" ייתכן קבוצה אין חברות הנכון.

על מבוסס Windows 2000 בקרי קבוצת מחשבים בקרי תחום מבוסס Windows Server 2003, הופכים בטוח חברויות נדרש שתצורתם נקבעה.

כדי לעשות זאת בבקרי תחום מבוססי Windows 2000, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלתוכניות, הצבע על כלי ניהול, ו- לאחר מכן לחץ Active Directory משתמשים ומחשבים.
  2. לחץ מוכלל, ולאחר מכן לחץ פעמיים עלקבוצת גישה תואם השייך לטרום windows 2000.
  3. לחץ חברים טאב ולאחר מכן ודא הקבוצה Everyone הוא ב- חברים הרשימה.
  4. אם הקבוצה Everyone אינה בחברים רשימה, בצע את הפעולות הבאות:
    1. לחץ התחלה, לחץ על הפעלה, סוג cmd, ולאחר מכן לחץ על אישור.
    2. בשורת הפקודה, הקלד net localgroup "השייך לטרום windows 2000 תואם Access" כולם לבורר /add., ולאחר מכן הקש הזן.
כדי לוודא חברויות נדרש שתצורתם נקבעה בבקרי תחום מבוסס Windows Server 2003, עליך לדעת אם "גישה לרשת: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים" מדיניות ההגדרה אינה זמינה. אם אינך יודע, השתמש בעורך אובייקט המדיניות הקבוצתית כדי לקבוע את המצב "גישה לרשת: אפשר להרשאות של Everyone לחול על הגדרת מדיניות של משתמשים אנונימיים". לשם כך, בצע את הפעולות הבאות:
  1. לחץ התחלה, לחץ על הפעלה, סוג gpedit. msc, ולאחר מכן לחץ עלאישור.
  2. הרחב את התיקיות הבאות:
    מדיניות מחשב מקומי
    תצורת מחשב
    הגדרות Windows
    הגדרות אבטחה
    פריטי מדיניות מקומיים
  3. לחץ אפשרויות אבטחה, ולאחר מכן לחץ עלגישה לרשת: אפשר להרשאות של Everyone לחול על אנונימי משתמשים בחלונית השמאלית.
  4. הערה אם הערך ב- הגדרת אבטחההוא עמודה לא זמין או זמין.
כדי לוודא חברויות נדרש שתצורתם נקבעה בבקרי תחום מבוסס Windows Server 2003, בצע את הפעולות הבאות:
  1. לחץ התחלה, הצבע עלתוכניות, הצבע על כלי ניהול, ו- לאחר מכן לחץ Active Directory משתמשים ומחשבים.
  2. לחץ מוכלל, ולאחר מכן לחץ פעמיים עלקבוצת גישה תואם השייך לטרום windows 2000.
  3. לחץ חברים הכרטיסיה.
  4. אם גישה לרשת: אפשר Everyone הרשאות לחול על משתמשים אנונימיים הגדרת המדיניות מבוטלת, ודא כי כולם, נמצאת הקבוצה Anonymous Logon חברים הרשימה. אם "גישה לרשת: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים" מדיניות ההגדרה מופעלת, ודא כי לקבוצה Everyone נמצאחברים הרשימה.
  5. אם הקבוצה Everyone אינה בחברים רשימה, בצע את הפעולות הבאות:
    1. לחץ התחלה, לחץ על הפעלה, סוג cmd, ולאחר מכן לחץ על אישור.
    2. בשורת הפקודה, הקלד net localgroup "השייך לטרום windows 2000 תואם Access" כולם לבורר /add., ולאחר מכן הקש הזן.

שיטה 5: לוודא קישוריות באמצעות התקני רשת, כגון חומות אש, בוררים או נתבים

אם קיבלת הודעות שגיאה דומות להודעות לאחר שגיאה הודעה ואתה שבדקת הקבצים LMHOST הם נכון, הבעיה עלולה להיגרם על-ידי חומת אש, נתב או מתג בעל חסום את היציאות בין בקרי קבוצות המחשבים:
ללא תחום היתה אפשרות ליצור קשר עם בקר
כדי לפתור בעיות של התקני הרשת, השתמש PortQry שורת הפקודה יציאה לסורק גירסה 2.0 היציאות בין מחשב שלך בקרי תחום. לקבלת מידע נוסף מידע אודות PortQry גירסה 2, לחץ על מספר המאמר שלהלן כדי להציג המאמר מתוך מאגר הידע Microsoft Knowledge Base:
832919תכונות ופונקציות חדשות ב- PortQry גירסה 2.0
לקבלת מידע נוסף אודות האופן שבו יש היציאות מוגדר, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- מתוך Microsoft Knowledge Base:
179442כיצד להגדיר את חומת האש עבור קבוצות מחשבים ואמינות

שיטה 6: לאסוף מידע נוסף כדי לסייע בפתרון הבעיה

אם השיטות הקודמות לא יסייע לך לפתור את הבעיה, לאסוף את המידע הנוסף הבא כדי לסייע לך לפתור את הסיבה הבעיה:
  • אפשר Netlogon כניסה שני בקרי קבוצות מחשבים. לקבלת מידע נוסף מידע אודות רישום Netlogon הושלם, לחץ על ' במאמר הבא מספר המאמר כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
    109626הפעלת רישום של איתור באגים עבור שירות Net Logon
  • לכידת מעקב על שני בקרי קבוצות מחשבים בו-זמנית כי הבעיה מתרחשת. לקבלת מידע נוסף מידע אודות אופן לכידת התעבורה ברשת, לחץ על ' במאמר הבא מספר המאמר כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
    812953כיצד להשתמש בצג הרשת כדי ללכוד את תעבורת הרשת

מידע נוסף

מספק הרשימה הבאה של אובייקטי מדיניות קבוצתית (Gpo) המיקום של ערך הרישום המתאים ומדיניות קבוצתית ב- מערכות ההפעלה המתאימות:
  • RestrictAnonymous GPO:
    • מיקום הרישום של Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • מיקום הרישום של Windows 2000 ו- Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • מדיניות קבוצתית של Windows 2000: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה הגבלות נוספות עבור חיבורים אנונימיים
    • מדיניות קבוצה של Windows Server 2003: מחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה, רשת גישה: אל תאפשר ספירה אנונימית של SAM חשבונות ושיתופים
  • RestrictAnonymousSAM GPO:
    • מיקום הרישום של Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • מדיניות קבוצה של Windows Server 2003: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה, רשת גישה: אל תאפשר ספירה אנונימית של SAM חשבונות ושיתופים
  • EveryoneIncludesAnonymous GPO:
    • מיקום הרישום של Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • מדיניות קבוצה של Windows Server 2003: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה, רשת גישה: אפשר להרשאות של Everyone לחול על משתמשים אנונימיים
  • תאימות LM GPO:
    • Windows NT, Windows 2000 ו- Windows Server 2003 מיקום הרישום:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • מדיניות קבוצתית של Windows 2000: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה: LAN רמת האימות של מנהל
    • מדיניות קבוצה של Windows Server 2003: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ Options\Network אבטחה אבטחה: רמת האימות של LAN Manager
  • EnableSecuritySignature (לקוח) GPO:
    • מיקום הרישום של Windows 2000 ו- Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • מדיניות קבוצתית של Windows 2000: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה: חתימה דיגיטלית של תקשורת לקוח (כאשר הדבר אפשרי)
    • מדיניות קבוצה של Windows Server 2003: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה \ לקוח רשת Microsoft: הוסף חתימה דיגיטלית לתקשורת (אם השרת מסכים)
  • RequireSecuritySignature (לקוח) GPO:
    • מיקום הרישום של Windows 2000 ו- Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • מדיניות קבוצתית של Windows 2000: המחשב תצורת \ הגדרות Windows \ הגדרות אבטחה \ אפשרויות אבטחה: חתימה דיגיטלית של תקשורת לקוח (תמיד)
    • Windows Server 2003: תצורת מחשב \ הגדרות Windows \ הגדרות אבטחה \ רשת Microsoft Options\ אבטחה לקוח: הוסף חתימה דיגיטלית לתקשורת (תמיד)
  • EnableSecuritySignature (שרת) GPO:
    • מיקום הרישום של Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • מיקום הרישום של Windows 2000 ו- Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • מדיניות קבוצתית של Windows 2000: חתימה דיגיטלית שרת תקשורת (כאשר הדבר אפשרי)
    • מדיניות קבוצה של Windows Server 2003: Microsoft שרת רשת: הוסף חתימה דיגיטלית לתקשורת (אם הלקוח מאשר)
  • RequireSecuritySignature (שרת) GPO:
    • מיקום הרישום של Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • מיקום הרישום של Windows 2000 ו- Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • מדיניות קבוצתית של Windows 2000: חתימה דיגיטלית שרת תקשורת (תמיד)
    • מדיניות קבוצה של Windows Server 2003: Microsoft שרת רשת: הוסף חתימה דיגיטלית לתקשורת (תמיד)
  • RequireSignOrSeal GPO:
    • Windows NT, Windows 2000 ו- Windows Server2003 מיקום הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • מדיניות קבוצתית של Windows 2000: הוסף הצפנה דיגיטלית או סימן לנתוני ערוץ מאובטח (תמיד)
    • מדיניות קבוצתית Server2003 של Windows: חבר בתחום: הוסף הצפנה או חתימה לנתוני ערוץ מאובטח (תמיד)
  • SealSecureChannel GPO:
    • Windows NT, Windows 2000 ו- Windows Server2003 מיקום הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • מדיניות קבוצתית של Windows 2000: ערוץ מאובטח: הוסף הצפנה דיגיטלית לנתוני ערוץ מאובטח (כאשר הדבר אפשרי)
    • מדיניות קבוצה של Windows Server 2003: קבוצת מחשבים חבר: הוסף הצפנה דיגיטלית לנתוני ערוץ מאובטח (כאשר הדבר אפשרי)
  • SignSecureChannel GPO:
    • Windows NT, Windows 2000 ו- Windows Server 2003 מיקום הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • מדיניות קבוצתית של Windows 2000: ערוץ מאובטח: חתימה דיגיטלית סימן לנתוני ערוץ מאובטח (כאשר הדבר אפשרי)
    • מדיניות קבוצה של Windows Server 2003: קבוצת מחשבים חבר: דיגיטלית סימן לנתוני ערוץ מאובטח (כאשר הדבר אפשרי)
  • RequireStrongKey GPO:
    • Windows NT, Windows 2000 ו- Windows Server 2003 מיקום הרישום:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • מדיניות קבוצתית של Windows 2000: ערוץ מאובטח: דרוש מפתח הפעלה חזק (Windows 2000 ואילך)
    • מדיניות קבוצה של Windows Server 2003: קבוצת מחשבים חבר: דרוש מפתח הפעלה חזק (Windows 2000 ואילך)

Windows Server 2008

בבקר תחום שבו פועל Windows Server 2008, התנהגות ברירת המחדל של הגדרת המדיניות של אלגוריתמי הצפנה אפשר תואם ל- Windows NT 4.0 עלול לגרום לבעיה. הגדרה זו מונעת את שניהם מערכות ההפעלה Windows ולקוחות צד שלישי מתוך שימוש בהצפנה חלשה אלגוריתמים ליצירת ערוצי אבטחה NETLOGON כדי מבוסס Windows Server 2008 בקרי תחום. לקבלת מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- מתוך Microsoft Knowledge Base:
942564כאשר מחשב מבוסס Windows NT 4.0 מנסה להשתמש שירות NETLOGON כדי ליצור ערוץ אבטחה לבקר תחום מבוסס Windows Server 2008, הפעולה עשויה להיכשל

מידע נוסף

לקבלת מידע נוסף, לחץ מספרי המאמרים הבאים כדי להציג את המאמרים מתוך מאגר הידע Microsoft Knowledge Base:
257942הודעת שגיאה: אין אפשרות לעיין בקבוצת המחשבים שנבחרה מאחר שאירעה השגיאה הבאה...
246261 כיצד להשתמש בערך הרישום RestrictAnonymous ב- Windows 2000
258595 Gpresult לא למנות את מדיניות האבטחה של המחשב תוצאות
823659 לקוח, שירות ותוכנית אי תאימויות שעלולות להתרחש בעת שינוי הגדרות אבטחה והקצאות של זכויות משתמש
278259 הקבוצה everyone אינה כוללת מזהה האבטחה אנונימי

מאפיינים

Article ID: 889030 - Last Review: יום חמישי 06 יוני 2013 - Revision: 1.0
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
מילות מפתח 
kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMthe
תרגום מכונה
חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.
כותרת מאמר זה באנגלית: 889030

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com