A confiança entre um domínio Windows NT e um domínio do Active Directory não pode ser estabelecida ou não funciona conforme o esperado
Este artigo descreve os problemas de configuração de confiança entre um domínio baseado em Windows NT 4.0 e um domínio baseado em Active Directory.
Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número original do KB: 889030
Sintomas
Se você tentar configurar uma confiança entre um domínio baseado em Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, poderá experimentar qualquer um dos seguintes sintomas:
- A confiança não está estabelecida.
- A confiança é estabelecida, mas a confiança não funciona como esperado.
Além disso, você pode receber qualquer uma das seguintes mensagens de erro:
O seguinte erro ocorreu ao tentar ingressar no domínio "Domain_Name": a conta não está autorizada a fazer logon nesta estação.
Acesso negado.
Nenhum controlador de domínio poderia ser contatado.
Falha de logon: nome de usuário desconhecido ou senha incorreta.
Quando você usa o seletor de objetos no Usuários e Computadores do Active Directory para adicionar usuários do domínio NT 4.0 ao domínio do Active Directory, você pode receber a seguinte mensagem de erro:
Nenhum item corresponde à pesquisa atual. Verifique os parâmetros de pesquisa e tente novamente.
Motivo
Esse problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:
- Resolução do nome
- Configurações de segurança
- Direitos do usuário
- Associação de grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para identificar corretamente a causa do problema, você deve solucionar problemas da configuração de confiança.
Resolução
Se você receber a mensagem de erro "Nenhum item corresponde à pesquisa atual" ao usar o seletor de objeto em Usuários e Computadores do Active Directory, verifique se os controladores de domínio no domínio NT 4.0 incluem Todos no computador Acessar este computador diretamente do usuário de rede. Nesse cenário, o seletor de objetos tenta se conectar anonimamente através da confiança. Para verificar essas configurações, siga as etapas na seção "Método três: Verificar os direitos do usuário".
Para solucionar problemas de configuração de confiança entre um domínio baseado em Windows NT 4.0 e o Active Directory, você deve verificar a configuração correta das seguintes áreas:
- Resolução do nome
- Configurações de segurança
- Direitos do usuário
- Associação de grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para fazer isso, use os métodos a seguir.
Método um: verificar a configuração correta da resolução de nomes
Etapa 1: criar um arquivo LMHOSTS
Crie um arquivo LMHOSTS nos controladores de domínio primários para fornecer recursos de resolução de nomes entre domínios. O arquivo LMHOSTS é um arquivo de texto que você pode editar com qualquer editor de texto, como o Bloco de Notas. O arquivo LMHOSTS em cada controlador de domínio deve conter o endereço TCP/IP, o nome do domínio e a entrada \0x1b do outro controlador de domínio.
Depois de criar o arquivo LMHOSTS, siga estas etapas:
Modifique o arquivo para que ele contenha texto semelhante ao seguinte texto:
1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b"#PREObservação
Deve haver um total de 20 caracteres e espaços entre aspas (" ") para a entrada \0x1b. Adicione espaços após o nome do domínio para que ele use 15 caracteres. O 16º caractere é o backslash que é seguido pelo valor "0x1b" e isso faz um total de 20 caracteres.
Ao concluir as alterações no arquivo LMHOSTS, salve o arquivo na pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio. Para obter mais informações sobre o arquivo LMHOSTS, exiba o arquivo de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.
Etapa 2: carregar o arquivo LMHOSTS no cache
Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
No prompt de comando, digite
NBTSTAT -R
e pressione ENTER. Esse comando carrega o arquivo LMHOSTS no cache.No prompt de comando, digite
NBTSTAT -c
e pressione ENTER. Este comando exibe o cache. Se o arquivo for gravado corretamente, o cache será semelhante ao seguinte:NT4PDCName <03> UNIQUE 1.1.1.1 -1
NT4PDCName <00> UNIQUE 1.1.1.1 -1
NT4PDCName <20> UNIQUE 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> UNIQUE 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> UNIQUE 2.2.2.2 -1Se o arquivo não preencher o cache corretamente, continue com a próxima etapa.
Etapa 3: verifique se a pesquisa LMHOSTS está habilitada no Windows NT computador baseado em 4.0
Se o arquivo não preencher o cache corretamente, verifique se a pesquisa LMHOSTS está habilitada no Windows NT computador baseado em 4.0. Para fazer isso, siga estas etapas:
- Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.
- Clique duas vezes em Redes, clique na guia Protocolos e clique duas vezes em Protocolo TCP/IP.
- Clique na guia Endereço WINS e clique para selecionar a caixa Habilitar pesquisa LMHOSTS marcar.
- Reinicie o computador.
- Repita as etapas na seção "Carregar o arquivo LMHOSTS no cache".
- Se o arquivo não preencher o cache corretamente, verifique se o arquivo LMHOSTS está na pasta %SystemRoot%\System32\Drivers\Etc e se o arquivo está formatado corretamente.
Por exemplo, o arquivo deve ser formatado de formatação semelhante à seguinte formatação de exemplo:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE
Observação
Deve haver um total de 20 caracteres e espaços dentro das aspas (" ") para o nome do domínio e \0x1b entrada.
Etapa 4: usar o comando Ping para testar a conectividade
Quando o arquivo preencher o cache corretamente em cada servidor, use o Ping
comando em cada servidor para testar a conectividade entre os servidores. Para fazer isso, siga estas etapas:
Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
No prompt de comando, digite
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e pressione ENTER. Se oPing
comando não funcionar, verifique se os endereços IP corretos estão listados no arquivo LMHOSTS.No prompt de comando, digite
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
e pressione ENTER. Espera-se que você receba a seguinte mensagem de erro:O erro do sistema 5 ocorreu. Acesso negado
Se o comando net view retornar a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionada, verifique se os endereços IP corretos estão listados no arquivo LMHOSTS:
O erro do sistema 53 ocorreu. O caminho de rede não foi encontrado
Como alternativa, o WINS (Serviço de Nome da Internet do Windows) pode ser configurado para habilitar a funcionalidade de resolução de nomes sem usar um arquivo LMHOSTS.
Método dois: exibir configurações de segurança
Normalmente, o lado do Active Directory da configuração de confiança tem configurações de segurança que causam problemas de conectividade. No entanto, as configurações de segurança devem ser inspecionadas em ambos os lados da confiança.
Etapa 1: exibir configurações de segurança no Windows 2000 Server e no Windows Server 2003
No Windows 2000 Server e no Windows Server 2003, as configurações de segurança podem ser aplicadas ou configuradas por Política de Grupo, uma política local ou um modelo de segurança aplicado.
Você deve usar as ferramentas corretas para determinar os valores atuais das configurações de segurança para evitar leituras imprecisas.
Para obter uma leitura precisa das configurações de segurança atuais, use os seguintes métodos:
No Windows 2000 Server, use o snap-in Configuração de Segurança e Análise.
No Windows Server 2003, use o snap-in configuração de segurança e análise ou o snap-in do RSoP (Conjunto Resultante de Política).
Depois de determinar as configurações atuais, você deve identificar a política que está aplicando as configurações. Por exemplo, você deve determinar o Política de Grupo no Active Directory ou as configurações locais que definem a política de segurança.
No Windows Server 2003, a política que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000, você deve exibir o Política de Grupo e a política local para determinar a política que contém as configurações de segurança:
Para exibir as configurações de Política de Grupo, você deve habilitar a saída de log para o Cliente de Configuração de Segurança do Microsoft Windows 2000 durante Política de Grupo processamento.
Exiba o logon do aplicativo Visualizador de Eventos e localize a ID do evento 1000 e a ID do evento 1202.
As três seções a seguir identificam o sistema operacional e listam as configurações de segurança que você deve verificar para o sistema operacional nas informações coletadas:
Windows 2000
Verifique se as configurações a seguir estão configuradas conforme mostrado.
RestrictAnonymous:
Restrições adicionais para conexões anônimas |
"Nenhum. Confiar em permissões padrão" |
---|
Compatibilidade com LM:
Nível de autenticação do LAN Manager | "Enviar somente resposta NTLM" |
---|
SMB Signing, SMB Encrypting ou ambos:
Assinar digitalmente as comunicações do cliente (sempre) | DESATIVADO |
---|---|
Assinar digitalmente as comunicações do cliente (quando for possível) | HABILITADO |
Assinar digitalmente as comunicações do servidor (sempre) | DESATIVADO |
Assinar digitalmente as comunicações do servidor (quando for possível) | HABILITADO |
Canal seguro: criptografar ou assinar digitalmente dados de canal seguro (sempre) | DESATIVADO |
Canal seguro: criptografar digitalmente dados de canal seguro (quando for possível) | DESATIVADO |
Canal seguro: assinar digitalmente dados de canal seguro (quando for possível) | DESATIVADO |
Canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior) | DESATIVADO |
Windows Server 2003
Verifique se as configurações a seguir estão configuradas conforme mostrado.
RestrictAnonymous e RestrictAnonymousSam:
Acesso à rede: permitir tradução anônima de SID/Nome | HABILITADO |
---|---|
Acesso à rede: não permitir a enumeração anônima de contas SAM | DESATIVADO |
Acesso à rede: não permitir a enumeração anônima de contas e compartilhamentos sam | DESATIVADO |
Acesso à rede: permitir que as permissões de todos se apliquem a usuários anônimos | HABILITADO |
Acesso à rede: pipes nomeados podem ser acessados anonimamente | HABILITADO |
Acesso à rede: restringir o acesso anônimo a pipes e compartilhamentos nomeados | DESATIVADO |
Observação
Por padrão, o valor do acesso à rede: permitir a configuração de conversão sid/nome anônimo está desabilitado no Windows Server 2008.
Compatibilidade com LM:
Segurança de rede: nível de autenticação do LAN Manager | "Enviar somente resposta NTLM" |
---|
SMB Signing, SMB Encrypting ou ambos:
Cliente de rede da Microsoft: comunicações de sinal digital (sempre) | DESATIVADO |
---|---|
Cliente de rede da Microsoft: assinar comunicações digitalmente (se o servidor concordar) | HABILITADO |
Servidor de rede da Microsoft: comunicações de sinal digital (sempre) | DESATIVADO |
Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar) | HABILITADO |
Membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre) | DESATIVADO |
Membro do domínio: criptografar digitalmente dados de canal seguro (quando for possível) | HABILITADO |
Membro do domínio: assinar digitalmente dados de canal seguro (quando for possível) | HABILITADO |
Membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior) | DESATIVADO |
Depois que as configurações forem configuradas corretamente, você deve reiniciar seu computador. As configurações de segurança não são impostas até que o computador seja reiniciado.
Após a reinicialização do computador, aguarde 10 minutos para garantir que todas as políticas de segurança sejam aplicadas e que as configurações efetivas sejam configuradas. Recomendamos que você aguarde 10 minutos porque as atualizações de política do Active Directory ocorrem a cada 5 minutos em um controlador de domínio e a atualização pode alterar os valores de configuração de segurança. Após 10 minutos, use Configuração e Análise de Segurança ou outra ferramenta para examinar as configurações de segurança no Windows 2000 e no Windows Server 2003.
Windows NT 4.0
Importante
Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para mais proteção, faça o backup do registro antes de modificá-lo. Em seguida, você poderá restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft: 322756 Como fazer backup e restaurar o registro no Windows
No Windows NT 4.0, as configurações de segurança atuais devem ser verificadas usando a ferramenta Regedt32 para exibir o registro. Para fazer isso, siga estas etapas:
Clique em Iniciar, clique em Executar, digite regedt32 e clique em OK.
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada de compatibilidade LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada EnableSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada RequireSecuritySignature (servidor):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Expanda as seguintes subchaves de registro e, em seguida, exiba o valor atribuído à entrada RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Método três: verificar os direitos do usuário
Para verificar os direitos de usuário necessários em um computador baseado no Windows 2000, siga estas etapas:
- Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
- Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
- No painel direito, clique duas vezes em Acessar este computador na rede.
- Clique para selecionar a caixa Configuração da Política Local marcar ao lado do grupo Todos na lista Atribuído e clique em OK.
- Clique duas vezes em Negar acesso a este computador por meio da rede.
- Verifique se não há grupos de princípios na lista Atribuído e clique em OK. Por exemplo, verifique se todos, usuários autenticados e outros grupos não estão listados.
- Clique em OK e, em seguida, saia da Política de Segurança Local.
Para verificar os direitos de usuário necessários em um computador baseado no Windows Server 2003, siga estas etapas:
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Política de Segurança do Controlador de Domínio.
Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
No painel direito, clique duas vezes em Acessar este computador na rede.
Verifique se o grupo Todos está no access deste computador na lista de rede .
Se o grupo Todos não estiver listado, siga estas etapas:
- Clique em Adicionar Usuário ou Grupo.
- Na caixa Nomes de usuário e grupo , digite Todos e clique em OK.
Clique duas vezes em Negar acesso a este computador por meio da rede.
Verifique se não há grupos de princípios na lista Negar acesso a esse computador e clique em OK. Por exemplo, verifique se todos, usuários autenticados e outros grupos não estão listados.
Clique em OK e feche a Política de Segurança do Controlador de Domínio.
Para verificar os direitos de usuário necessários em um computador baseado em Windows NT Server 4.0, siga estas etapas:
Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Gerenciador de Usuários para Domínios.
No menu Políticas , clique em Direitos do Usuário.
Na lista Direita , clique em Acessar este computador na rede.
Na caixa Conceder para , certifique-se de que o grupo Todos seja adicionado.
Se o grupo Todos não for adicionado, siga estas etapas:
- Clique em Adicionar.
- Na lista Nomes , clique em Todos, clique em Adicionar e clique em OK.
Clique em OK e, em seguida, saia do Gerenciador de Usuários.
Método quatro: verificar associação de grupo
Se uma confiança for configurada entre os domínios, mas você não puder adicionar grupos de usuários de princípio de um domínio ao outro porque a caixa de diálogo não localiza os outros objetos de domínio, o grupo "Acesso compatível pré-Windows 2000" pode não ter a associação correta.
Nos controladores de domínio baseados no Windows 2000 e nos controladores de domínio baseados no Windows Server 2003, verifique se as associações de grupo necessárias estão configuradas.
Para fazer isso nos controladores de domínio baseados no Windows 2000, siga estas etapas:
Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
Clique em Interno e clique duas vezes no grupo de acesso compatível com o Windows 2000.
Clique na guia Membros e verifique se o grupo Todos está na lista Membros .
Se o grupo Todos não estiver na lista Membros , siga estas etapas:
- Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
- No prompt de comando, digite
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e pressione ENTER.
Para garantir que as associações de grupo necessárias estejam configuradas nos controladores de domínio baseados no Windows Server 2003, você deve saber se a configuração de política "Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos" está desabilitada. Se você não souber, use o objeto Política de Grupo Editor para determinar o estado da política "Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos". Para fazer isso, siga estas etapas:
Clique em Iniciar e em Executar, digite gpedit.msc e clique em OK.
Expanda as seguintes pastas:
Política de Computador Local
Configurações do Computador
Configurações do Windows
Configurações de segurança
Políticas locaisClique em Opções de Segurança e clique em Acesso à rede: permitir que as permissões de Todos se apliquem a usuários anônimos no painel direito.
Observe se o valor na coluna Configuração de Segurança está desabilitado ou habilitado.
Para garantir que as associações de grupo necessárias estejam configuradas nos controladores de domínio baseados no Windows Server 2003, siga estas etapas:
Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.
Clique em Interno e clique duas vezes no grupo de acesso compatível com o Windows 2000.
Clique na guia Membros.
Se o acesso à rede: permitir que todas as permissões se apliquem à configuração da política de usuários anônimos estiver desabilitada, verifique se o grupo Todos, Logon Anônimo está na lista Membros . Se a configuração de política "Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos" estiver habilitada, verifique se o grupo Todos está na lista Membros .
Se o grupo Todos não estiver na lista Membros , siga estas etapas:
- Clique em Iniciar, clique em Executar, digite cmd e clique em OK.
- No prompt de comando, digite
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
e pressione ENTER.
Método cinco: verificar a conectividade por meio de dispositivos de rede, como firewalls, comutadores ou roteadores
Se você recebeu mensagens de erro semelhantes à seguinte mensagem de erro e verificou que os arquivos LMHOST estão corretos, o problema pode ser causado por um firewall, roteador ou comutador que bloqueou portas entre os controladores de domínio:
Nenhum controlador de domínio poderia ser contatado
Para solucionar problemas de dispositivos de rede, use o PortQry Command Line Port Scanner versão 2.0 para testar as portas entre seus controladores de domínio.
Para obter mais informações sobre o PortQry versão 2, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
832919 Novos recursos e funcionalidades no PortQry versão 2.0
Para obter mais informações sobre como as portas devem ser configuradas, clique no seguinte número de artigo para exibir o artigo na Base de Dados de Conhecimento da Microsoft:
179442 Como configurar um firewall para domínios e trusts
Método seis: reunir informações adicionais para ajudar a solucionar o problema
Se os métodos anteriores não ajudarem você a resolve o problema, colete as seguintes informações adicionais para ajudá-lo a solucionar a causa do problema:
Habilite o log do Netlogon em ambos os controladores de domínio. Para obter mais informações sobre como concluir o log do Netlogon, clique no número do artigo a seguir para exibir o artigo na Base de Dados de Conhecimento da Microsoft: 109626 Habilitar o registro em log de depuração para o serviço de Logon Net
Capture um rastreamento em ambos os controladores de domínio ao mesmo tempo em que o problema ocorre.
Mais informações
A lista a seguir de GPOs (objetos Política de Grupo) fornece o local da entrada do registro correspondente e o Política de Grupo nos sistemas operacionais aplicáveis:
O GPO RestrictAnonymous:
- Windows NT local do registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Local do registro do Windows 2000 e do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows 2000 Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\ Opções de segurança Restrições adicionais para conexões anônimas
- Windows Server 2003 Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de segurança Acesso à rede: não permitir a enumeração anônima de contas e compartilhamentos SAM
- Windows NT local do registro:
O GPO RestrictAnonymousSAM:
- Local do registro do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows Server 2003 Política de Grupo: Configuração do Computador\Configurações do Windows\Opções de segurança Opções de segurança Acesso à rede: não permitir a enumeração anônima de contas e compartilhamentos SAM
- Local do registro do Windows Server 2003:
O GPO EveryoneIncludesAnonymous:
- Local do registro do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Windows Server 2003 Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de segurança Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos
- Local do registro do Windows Server 2003:
O GPO de Compatibilidade de LM:
Windows NT, Windows 2000 e Local do registro do Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Windows 2000 Política de Grupo: Configuração do computador\Configurações do Windows\Configurações de segurança\Opções de segurança: nível de autenticação do LAN Manager
Windows Server 2003 Política de Grupo: Configuração do computador\Configurações do Windows\Configurações de segurança\Opções de segurança\Segurança de rede: nível de autenticação do LAN Manager
O GPO EnableSecuritySignature (cliente):
- Local do registro do Windows 2000 e do Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Windows 2000 Política de Grupo: Configuração do computador\Configurações do Windows\Configurações de segurança \Opções de segurança: assinar digitalmente a comunicação do cliente (quando possível)
- Windows Server 2003 Política de Grupo: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança\Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar)
- Local do registro do Windows 2000 e do Windows Server 2003:
O GPO RequireSecuritySignature (cliente):
- Local do registro do Windows 2000 e do Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Windows 2000 Política de Grupo: Configuração do computador\Configurações do Windows\Configurações de segurança\Opções de segurança: assinar digitalmente a comunicação do cliente (sempre)
- Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança\Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre)
- Local do registro do Windows 2000 e do Windows Server 2003:
O GPO EnableSecuritySignature (servidor):
- Windows NT local do registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Local do registro do Windows 2000 e do Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Windows 2000 Política de Grupo: Comunicação de servidor de assinatura digital (quando possível)
- Windows Server 2003 Política de Grupo: Servidor de rede da Microsoft: comunicações de assinatura digital (se o cliente concordar)
- Windows NT local do registro:
O GPO RequireSecuritySignature (servidor):
- Windows NT local do registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Local do registro do Windows 2000 e do Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Windows 2000 Política de Grupo: Comunicação do servidor de sinal digital (sempre)
- Windows Server 2003 Política de Grupo: Servidor de rede da Microsoft: comunicações de sinal digital (sempre)
- Windows NT local do registro:
O GPO RequireSignOrSeal:
- Windows NT, Windows 2000 e Local do registro do Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Política de Grupo: criptografar ou assinar digitalmente dados de canal seguro (sempre)
- Windows Server2003 Política de Grupo: membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre)
- Windows NT, Windows 2000 e Local do registro do Windows Server2003:
O GPO sealSecureChannel:
- Windows NT, Windows 2000 e Local do registro do Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Política de Grupo: Canal seguro: criptografar digitalmente dados de canal seguro (quando possível)
- Windows Server 2003 Política de Grupo: membro do domínio: criptografar digitalmente dados de canal seguro (quando possível)
- Windows NT, Windows 2000 e Local do registro do Windows Server2003:
O GPO signsecureChannel:
- Windows NT, Windows 2000 e Local do registro do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Política de Grupo: Canal seguro: assinar digitalmente dados de canal seguro (quando possível)
- Windows Server 2003 Política de Grupo: membro do domínio: assinar digitalmente dados de canal seguro (quando possível)
- Windows NT, Windows 2000 e Local do registro do Windows Server 2003:
O GPO RequireStrongKey:
- Windows NT, Windows 2000 e Local do registro do Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Windows 2000 Política de Grupo: canal seguro: exigir chave de sessão forte (Windows 2000 ou posterior)
- Windows Server 2003 Política de Grupo: membro do domínio: exigir chave de sessão forte (Windows 2000 ou posterior)
- Windows NT, Windows 2000 e Local do registro do Windows Server 2003:
Windows Server 2008
Em um controlador de domínio que está executando o Windows Server 2008, o comportamento padrão dos algoritmos permitir criptografia compatíveis com Windows NT configuração de política 4.0 pode causar um problema. Essa configuração impede que sistemas operacionais Windows e clientes de terceiros usem algoritmos de criptografia fracos para estabelecer canais de segurança NETLOGON para controladores de domínio baseados no Windows Server 2008.
Referências
Para obter mais informações, clique nos seguintes números de artigo para exibir os artigos na Base de Dados de Conhecimento da Microsoft:
823659 incompatibilidades de cliente, serviço e programa que podem ocorrer quando você modifica as configurações de segurança e as atribuições de direitos do usuário
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários