Fidedignidade entre um domínio do Windows NT e um domínio do Active Directory não é possível estabelecer ou não funciona conforme esperado

Traduções de Artigos Traduções de Artigos
Artigo: 889030 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Se tentar configurar uma fidedignidade entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, poderá detectar um dos seguintes sintomas:
  • Não é estabelecida a fidedignidade.
  • A fidedignidade é estabelecida, mas a fidedignidade não funciona conforme esperado.
Além disso, poderá receber uma das seguintes mensagens de erro:
O erro seguinte ocorreu ao tentar aderir ao domínio "Domain_Name": A conta não está autorizada a iniciar sessão a partir desta estação.
O acesso é negado.
Nenhum controlador de domínio pode ser contactado.
Falha de início de sessão: nome de utilizador desconhecido ou palavra-passe incorrecta.
Quando utilizar o seleccionador de objectos em computadores e utilizadores do Active Directory para adicionar utilizadores do domínio do NT 4.0 para o Active Directory domínio, poderá receber a seguinte mensagem de erro:
Nenhum item corresponde à procura actual. Verifique os parâmetros de procura e tente novamente.

Causa

Este problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:
  • Resolução de nomes
  • Definições de segurança
  • Direitos de utilizador
  • Membros do grupo para o Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para identificar correctamente a causa do problema, tem de resolver a configuração de fidedignidade.

Resolução

Se receber a mensagem de erro "não existem itens corresponde à procura actual" quando utiliza o seleccionador de objectos em computadores e utilizadores do Active Directory, certifique-se que controladores de domínio no domínio do NT 4.0 incluem todos no direito de aceder a este computador do utilizador de rede . Neste cenário, o seleccionador de objectos tenta estabelecer ligação anonimamente entre a fidedignidade. Para verificar se estes ssettings, siga os passos de "Método três: Verifique se os direitos de utilizador" secção.

Para resolver problemas de fidedignidade problemas de configuração entre um domínio baseado no Windows NT 4.0 e do Active Directory, tem de verificar a configuração correcta das seguintes áreas:
  • Resolução de nomes
  • Definições de segurança
  • Direitos de utilizador
  • Membros do grupo para o Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para o fazer, utilize os seguintes métodos.

Método um: Verifique a configuração correcta da resolução de nomes

Passo 1: criar um ficheiro LMHOSTS

Crie um ficheiro LMHOSTS nos controladores de domínio principal para fornecer a capacidade de resolução de nome de domínios. O ficheiro LMHOSTS é um ficheiro de texto que pode ser editado com qualquer editor de texto, como o bloco de notas. O ficheiro LMHOSTS em cada controlador de domínio tem de conter o endereço de TCP/IP, o nome de domínio e a entrada \0x1b outro controlador de domínio. Para obter mais informações sobre como criar o ficheiro LMHOSTS, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
180094Como escrever um ficheiro LMHOSTS para validação de domínio
Depois de criar o ficheiro LMHOSTS, siga estes passos:
  1. Modificar o ficheiro para que contenha texto semelhante ao seguinte:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    NOTA: tem de ser um total de 20 caracteres e espaços entre as aspas ("") para a entrada \0x1b. Adicione espaços depois do nome do domínio para que utiliza 15 caracteres. O 16 º carácter é a barra invertida é seguida o valor "0x1b" e assim um total de 20 caracteres.
  2. Quando terminar as alterações ao ficheiro LMHOSTS, guarde o ficheiro para a pasta de \System32\Drivers\Etc %SystemRoot% nos controladores de domínio.
Para obter mais informações sobre o ficheiro LMHOSTS, consulte o ficheiro de exemplo Lmhosts.SAM que está localizado na pasta %SystemRoot% \System32\Drivers\Etc.

Passo dois: carregar o ficheiro LMHOSTS para a cache

  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
  2. Na linha de comandos, escreva NBTSTAT -R , e, em seguida, prima ENTER. Este comando carrega o ficheiro LMHOSTS para a cache.
  3. Na linha de comandos, escreva NBTSTAT - c , e, em seguida, prima ENTER. Este comando apresenta a cache. Se o ficheiro é escrito correctamente, a cache é semelhante à seguinte:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    se o ficheiro não preencher a cache correctamente, avance para o passo seguinte.

Passo três: Certifique-se de que a pesquisa LMHOSTS está activada num computador baseado no Windows NT 4.0

Se o ficheiro não preencher a cache correctamente, certifique-se que procura em LMHOSTS está activada num computador baseado no Windows NT 4.0. Para o fazer, siga estes passos:
  1. Clique em Iniciar , aponte para definições e, em seguida, clique em Painel de controlo .
  2. Faça duplo clique em redes , clique no separador protocolos e, em seguida, faça duplo clique em Protocolo TCP/IP .
  3. Clique no separador Endereço WINS e, em seguida, clique para seleccionar a caixa de verificação Activar procura LMHOSTS .
  4. Reinicie o computador.
  5. Repita os passos na secção "Carregar o ficheiro LMHOSTS para a cache".
  6. Se o ficheiro não preencher a cache correctamente, certifique-se que o ficheiro LMHOSTS está na pasta %SystemRoot% \System32\Drivers\Etc e que o ficheiro está formatado correctamente.

    Por exemplo, o ficheiro deve estar formatado semelhante a formatação de exemplo seguinte:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    NOTA: tem de ser um total de 20 caracteres e espaços dentro entre aspas ("") para a entrada \0x1b e de nome de domínio.

Passo quatro: utilizar o comando ping para testar a conectividade

Quando o ficheiro preenche a cache correctamente em cada servidor, utilize o comando ping em cada servidor para testar a conectividade entre os servidores. Para o fazer, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
  2. Na linha de comandos, escreva Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, prima ENTER. Se o comando ping não funcionar, certifique-se que os endereços IP correctos estão listados no ficheiro LMHOSTS.
  3. Na linha de comandos, escreva net ver Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, prima ENTER. É esperado que receberá a seguinte mensagem de erro:
    Ocorreu o erro de sistema 5. O acesso é negado
    Se o comando net view devolverá a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionadas, certifique-se de que os endereços IP correctos estão listados no ficheiro LMHOSTS:
    Ocorreu um erro de sistema 53. O caminho de rede não foi encontrado
Em alternativa, pode ser configurado WINS (Windows Internet Name Service) para activar a funcionalidade de resolução de nomes sem utilizar um LMHOSTS ficheiro.Para obter mais informações sobre como utilizar o WINS para a resolução de nomes, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
185786Procedimentos recomendados do WINS

Método dois: ver as definições de segurança

Normalmente, do lado do Active Directory da configuração de fidedignidade tem definições de segurança que causar problemas de conectividade. No entanto, as definições de segurança devem ser inspeccionadas nos dois lados de fidedignidade.

Passo 1: ver as definições de segurança no Windows 2000 Server e Windows Server 2003

No Windows 2000 Server e Windows Server 2003, as definições de segurança podem ser aplicadas ou configuradas por política de grupo, uma política local ou um modelo de segurança aplicada.

Tem de utilizar as ferramentas correctas para determinar os valores actuais das definições de segurança para evitar leituras incorrectas.

Para obter uma leitura exacta das definições de segurança actual, utilize os seguintes métodos:
  • No Windows 2000 Server, utilize o snap-in Análise e configuração da segurança.Para obter mais informações sobre como determinar a actual política de segurança num computador baseado no Windows 2000, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    258595Gpresult não enumera a política de segurança do computador resultante
  • No Windows Server 2003, utilização ou o snap-in Análise e configuração da segurança snap-in ou o conjunto de políticas resultante (RSoP) snap-in. Para obter mais informações sobre como utilizar o snap-in ' conjunto de políticas resultante ', clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    323276Como instalar e utilizar o RSoP no Windows Server 2003
Depois de determinar as definições actuais, tem de identificar a política que está a aplicar as definições. Por exemplo, tem de determinar a política de grupo no Active Directory ou as definições de locais que definir a política de segurança.

No Windows Server 2003, a política que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000 tem de visualizar a política de grupo e a política local para determinar a política que contém as definições de segurança:
  • Para ver as definições de política de grupo, tem de activar saída de registo para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento de política de grupo. Para obter mais informações sobre como activar o registo de saída para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento de política de grupo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    245422Como activar o registo para o cliente de configuração de segurança de processamento no Windows 2000
  • Visualizar registo de aplicações no Visualizador de eventos e localizar o ID de evento 1000 e 1202 de ID de evento. Para obter mais informações sobre ID de evento 1000 e 1202 de ID de evento, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    319352ID de evento 1000 e 1202 ID de evento iniciadas no registo de eventos a cada cinco minutos no Windows 2000 Server
As seguintes três secções identificam o sistema operativo e listam as definições de segurança tem de verificar para o sistema operativo nas informações que recolher:
Windows 2000
Certifique-se que as seguintes definições estão configuradas como é mostrado.

RestrictAnonymous:
Reduzir esta tabelaExpandir esta tabela
Restrições adicionais para ligações anónimas "Nenhum. Dependem as permissões predefinidas"
Compatibilidade LM:
Reduzir esta tabelaExpandir esta tabela
Nível de autenticação LAN Manager"Enviar apenas resposta de NTLM"
Assinatura do SMB, sistema de encriptação SMB ou ambos:
Reduzir esta tabelaExpandir esta tabela
Assinar digitalmente comunicações (sempre) do clienteDESACTIVADO
Assinar digitalmente comunicações do cliente (quando for possível)ACTIVADO
Assinar digitalmente comunicações (sempre) do servidorDESACTIVADO
Assinar digitalmente comunicações de servidor (quando for possível)ACTIVADO
Canal protegido: encriptar digitalmente ou assinar dados de canais protegidos (sempre)DESACTIVADO
Canal protegido: encriptar digitalmente dados de canais protegidos (quando for possível)DESACTIVADO
Canal protegido: assinar digitalmente protegidos dados de canais (quando for possível)DESACTIVADO
Canal protegido: exigir seguro (Windows 2000 ou posterior) chave de sessãoDESACTIVADO
Windows Server 2003
Certifique-se que as seguintes definições estão configuradas como é mostrado.

RestrictAnonymous e RestrictAnonymousSam:
Reduzir esta tabelaExpandir esta tabela
Acesso à rede: Permitir SID anónimo/nome traduçãoACTIVADO
Acesso à rede: não permitir enumerações anónimas de SAM, Security Accounts Manager contas DESACTIVADO
Acesso à rede: não permitir enumerações anónimas de SAM, Security Accounts Manager contas e partilhasDESACTIVADO
Acesso à rede: permitir que as permissões Todos sejam aplicadas a utilizadores anónimosACTIVADO
Acesso à rede: pipes com nome podem ser acedidos anonimamenteACTIVADO
Acesso à rede: restringir o acesso anónimo a partilhas e pipes nomeadosDESACTIVADO
Nota Por predefinição, o valor do acesso à rede: Permitir conversão de SID/Nome anónimo definição é DISABLED no Windows Server 2008.Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
942428Controladores de domínio do Windows Server 2003 permitem aos utilizadores anónimos resolver um identificador de segurança (SID) para um nome de utilizador
Compatibilidade LM:
Reduzir esta tabelaExpandir esta tabela
Segurança de rede: nível de autenticação LAN Manager"Enviar apenas resposta de NTLM"
Assinatura do SMB, sistema de encriptação SMB ou ambos:
Reduzir esta tabelaExpandir esta tabela
Cliente de rede da Microsoft: assinar digitalmente comunicações (sempre)DESACTIVADO
Cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar)ACTIVADO
Servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)DESACTIVADO
Servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar)ACTIVADO
Membro de domínio: encriptar digitalmente ou assinar dados de canais protegidos (sempre) DESACTIVADO
Membro de domínio: encriptar digitalmente dados de canais protegidos (quando for possível) ACTIVADO
Membro de domínio: assinar digitalmente protegidos dados de canais (quando for possível)ACTIVADO
Membro de domínio: Exigir chave de sessão (Windows 2000 ou posterior) forteDESACTIVADO
Após as definições estiverem configuradas correctamente, terá de reiniciar o computador. As definições de segurança não são impostas até que o computador é reiniciado.

Depois de reiniciar o computador, aguarde 10 minutos para garantir que todas as políticas de segurança são aplicadas e as definições efectivas são configuradas. Recomendamos que aguarde 10 minutos, uma vez que Active Directory actualizações da política ocorrem cada 5 minutos no controlador de domínio e a actualização poderá ser alterado os valores de definição de segurança. Após 10 minutos, utilize configuração de segurança e análise ou outra ferramenta para examinar as definições de segurança do Windows 2000 e Windows Server 2003.

Windows NT 4.0

importante Esta secção, método ou tarefa contém passos que indicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Criar uma para protecção adicional, cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
322756Como efectuar uma cópia de segurança e restaurar o registo no Windows
No Windows NT 4.0, as definições de segurança actual tem de ser verificadas utilizando a ferramenta Regedt32 para visualizar o registo. Para o fazer, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva regedt32 e, em seguida, clique em OK .
  2. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor atribuído a entrada RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor atribuído ao movimento de compatibilidade LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento EnableSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento RequireSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Expanda as seguintes subchaves de registo e, em seguida, visualizar o valor que é atribuído ao movimento RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método três: Verifique se os direitos de utilizador

Para verificar os direitos de utilizador num computador baseado no Windows 2000, siga estes passos:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Política de segurança local .
  2. Expanda Políticas locais (Local Policies) e, em seguida, clique em Atribuição de direitos de utilizador .
  3. No painel da direita, faça duplo clique em aceder a este computador a partir da rede .
  4. Clique para seleccionar a Definição Local de política de grupo na lista atribuído a caixa de verificação junto de todos e, em seguida, clique em OK .
  5. Faça duplo clique em Negar acesso a este computador a partir da rede .
  6. Verifique se existem não grupos do princípio da lista atribuído a e, em seguida, clique em OK . Por exemplo, certifique-se de que todos, utilizadores autenticados e outros grupos não estão listados.
  7. Clique em OK e saia do local de segurança política.
Para verificar os direitos de utilizador num computador baseado no Windows Server 2003, siga estes passos:
  1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Política de segurança do controlador de domínio .
  2. Expanda Políticas locais (Local Policies) e, em seguida, clique em Atribuição de direitos de utilizador .
  3. No painel da direita, faça duplo clique em aceder a este computador a partir da rede .
  4. Certifique-se que o grupo Todos está na lista de aceder a este computador a partir da rede . Se o grupo Todos (Everyone) não estiver listado, siga estes passos:
    1. Clique em Adicionar utilizador ou grupo .
    2. Na caixa nomes de grupo e utilizador , escreva Todos (Everyone) e, em seguida, clique em OK .
  5. Faça duplo clique em Negar acesso a este computador a partir da rede .
  6. Verifique se existem não grupos do princípio da lista Negar acesso a este computador a partir da rede e, em seguida, clique em OK . Por exemplo, certifique-se de que autenticados todos, utilizadores e outros grupos não estão listados.
  7. Clique em OK e feche o domínio de política de segurança do controlador.
Para verificar os direitos de utilizador num servidor Windows NT no computador baseado no 4.0, siga estes passos:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em User Manager for Domains .
  2. No menu políticas , clique em utilizador direitos .
  3. Na lista à direita , clique em aceder a este computador a partir da rede .
  4. Na caixa conceder a , certifique-se de que o grupo Todos é adicionado. Se o grupo Todos (Everyone) não for adicionado, siga estes passos:
    1. Clique em Adicionar .
    2. Na lista de nomes , clique em Todos (Everyone) , clique em Adicionar e, em seguida, clique em OK .
  5. Clique em OK e saia do Gestor de utilizadores.

Método quatro: Certifique-se membro do grupo

Se uma fidedignidade está definida entre os domínios, mas não pode adicionar grupos de utilizador do princípio de um domínio para outro porque a caixa de diálogo não localizar outros objectos de domínio, o grupo "Acesso compatível com versões anteriores ao Windows 2000" poderá não ter membros correcto.

Em controladores de domínio baseado no Windows 2000 e os controladores de domínio baseado no Windows Server 2003, certifique-se que os membros de grupo necessários estão configurados.

Para o fazer nos controladores de domínio baseado no Windows 2000, siga estes passos:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
  2. Clique incorporado no e, em seguida, faça duplo clique grupo de acesso compatível com versões anteriores ao Windows 2000 .
  3. Clique no separador membros e, em seguida, certifique-se de que o grupo Todos (Everyone) está na lista de membros .
  4. Se o grupo Todos (Everyone) não estiver na lista de membros , siga estes passos:
    1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
    2. Na linha de comandos, escreva net localgroup "Versões anteriores ao Windows 2000 Compatible Access" everyone /add , e, em seguida, prima ENTER.
Para se certificar de que os membros de grupo necessários estão configurados nos controladores de domínio baseado no Windows Server 2003, tem de saber se a "acesso à rede: permitir que as permissões Todos sejam aplicadas a utilizadores anónimos" definição de política está desactivada. Se não souber, utilize o Editor de objecto de política de grupo para determinar o estado de "acesso à rede: permitir que as permissões Todos sejam aplicadas a utilizadores anónimos" definição de política. Para o fazer, siga estes passos:
  1. Clique em Iniciar , clique em Executar , escreva gpedit.msc e, em seguida, clique em OK .
  2. Expanda as seguintes pastas:
    política de computador local
    configuração do computador
    definições do Windows
    definições de segurança
    políticas locais
  3. Clique em Opções de segurança e, em seguida, clique em acesso à rede: permitir que todos as permissões aplicam a utilizadores anónimos no painel da direita.
  4. Tenha em atenção se o valor da Definição de segurança coluna é desactivado ou activado .
Para se certificar de que os membros de grupo necessários estão configurados nos controladores de domínio baseado no Windows Server 2003, siga estes passos:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
  2. Clique incorporado no e, em seguida, faça duplo clique grupo de acesso compatível com versões anteriores ao Windows 2000 .
  3. Clique no separador membros .
  4. Se o acesso à rede: permitir que todos as permissões aplicam a utilizadores anónimos definição de política estiver desactivada, certifique-se de que todos, grupo de início de sessão anónimo está na lista de membros . Se a "acesso à rede: permitir que as permissões Todos sejam aplicadas a utilizadores anónimos" definição de política estiver activada, certifique-se de que o grupo Todos (Everyone) está na lista de membros .
  5. Se o grupo Todos (Everyone) não estiver na lista de membros , siga estes passos:
    1. Clique em Iniciar , clique em Executar , escreva cmd e, em seguida, clique em OK .
    2. Na linha de comandos, escreva net localgroup "Versões anteriores ao Windows 2000 Compatible Access" everyone /add , e, em seguida, prima ENTER.

Método cinco: verificar a conectividade através de dispositivos de rede, tais como firewalls, comutadores e routers

Se tiver recebido mensagens de erro semelhantes à seguinte mensagem de erro e verificou que os ficheiros LMHOST estão correctos, o problema pode ser causado por um firewall, router ou comutador que bloqueou as portas entre os controladores de domínio:
Nenhum controlador de domínio pode ser contactado
Resolver problemas de dispositivos de rede, utilize o scanner de porta de linha de comandos do PortQry versão 2.0 para testar as portas entre os controladores de domínio. Para obter mais informações sobre o PortQry versão 2, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
832919Novas funcionalidades no PortQry versão 2.0
Para obter mais informações sobre como as portas devem ser configuradas, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
179442Como configurar um firewall para domínios e fidedignidades

Método seis: reunir informações adicionais para ajudar a resolver o problema

Se os métodos anteriores não ajudar a resolver o problema, efectue as seguintes informações adicionais para ajudar a resolver a causa do problema:
  • Active Netlogon sessão ambos os controladores de domínio. Para mais informações sobre como registo Netlogon completo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    109626Activar registo de depuração para o serviço de início de sessão de rede
  • Capture um rastreio em ambos os controladores de domínio ao mesmo tempo que o problema ocorrer. Para obter mais informações sobre como capturar tráfego de rede, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    812953Como utilizar o Monitor de rede para capturar tráfego de rede

Mais Informação

A seguinte lista de objectos de política de grupo (GPO, Group Policy Objects) fornece a localização da entrada de registo correspondente e a política de grupo nos sistemas operativos aplicáveis:
  • RestrictAnonymous GPO:
    • Localização de registo do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 e Windows Server 2003 a localização do registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de grupo do Windows 2000: configuração do computador \ definições do Windows \ definições de segurança \ restrições de segurança opções adicionais para ligações anónimas
    • Computador de política de grupo do Windows Server 2003: Configuração \ definições do Windows \ definições de segurança \ acesso de segurança opções de rede: não permitir enumerações anónimas de SAM, Security Accounts Manager contas e partilhas
  • RestrictAnonymousSAM GPO:
    • Localização de registo do Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de grupo do Windows Server 2003: computador configuração \ definições do Windows \ definições de segurança \ acesso de segurança opções de rede: não permitir enumerações anónimas de SAM, Security Accounts Manager contas e partilhas
  • EveryoneIncludesAnonymous GPO:
    • Localização de registo do Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Política de grupo do Windows Server 2003: computador configuração \ definições do Windows \ definições de segurança \ acesso de segurança opções de rede: permitir que todos as permissões aplicam a utilizadores anónimos
  • Compatibilidade LM GPO:
    • Windows NT, Windows 2000 e Windows Server localização do registo de 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Política de grupo do Windows 2000: configuração do computador \ definições do Windows \ definições de segurança \ opções de segurança: nível de autenticação LAN Manager
    • Política de grupo do Windows Server 2003: computador configuração \ definições do Windows \ definições de segurança \ Options\Network segurança segurança: nível de autenticação LAN Manager
  • EnableSecuritySignature GPO, Group Policy Object (cliente):
    • Windows 2000 e Windows Server 2003 a localização do registo: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Política de grupo do Windows 2000: configuração do computador \ definições do Windows \ definições de segurança \ opções de segurança: assina digitalmente a comunicação de cliente (sempre que for possível)
    • Política de grupo do Windows Server 2003: computador configuração \ definições do Windows \ definições de segurança \ opções de segurança \ cliente de rede da Microsoft: assinar digitalmente comunicações (se o servidor concordar)
  • RequireSecuritySignature GPO, Group Policy Object (cliente):
    • Windows 2000 e Windows Server 2003 a localização do registo:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Política de grupo do Windows 2000: configuração do computador \ definições do Windows \ definições de segurança \ opções de segurança: assina digitalmente a comunicação do cliente (sempre)
    • Windows Server 2003: configuração do computador \ definições do Windows \ definições de segurança \ cliente de rede da segurança segurança\ Microsoft: assinar digitalmente comunicações (sempre)
  • EnableSecuritySignature GPO, Group Policy Object (servidor):
    • Localização de registo do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 e Windows Server 2003 a localização do registo:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Política de grupo do Windows 2000: assina digitalmente a comunicação do servidor (sempre que for possível)
    • Política de grupo do Windows Server 2003: servidor de rede da Microsoft: assinar digitalmente comunicações (se o cliente concordar)
  • RequireSecuritySignature GPO, Group Policy Object (servidor):
    • Localização de registo do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 e Windows Server 2003 a localização do registo:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Política de grupo do Windows 2000: assina digitalmente a comunicação do servidor (sempre)
    • Política de grupo do Windows Server 2003: servidor de rede da Microsoft: assinar digitalmente comunicações (sempre)
  • RequireSignOrSeal GPO:
    • O Windows NT, Windows 2000 e Windows Server 2003 a localização do registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de grupo do Windows 2000: encriptar digitalmente ou assinar dados de canais protegidos (sempre)
    • Política de grupo do Windows Server 2003: membro de domínio: encriptar digitalmente ou assinar dados de canais protegidos (sempre)
  • SealSecureChannel GPO:
    • O Windows NT, Windows 2000 e Windows Server 2003 a localização do registo:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de grupo do Windows 2000: canal seguro: digitalmente encriptar dados de canais protegidos (sempre que for possível)
    • Política de grupo do Windows Server 2003: domínio membro: digitalmente encriptar dados de canais protegidos (sempre que for possível)
  • SignSecureChannel GPO:
    • Windows NT, Windows 2000 e Windows Server localização do registo de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de grupo do Windows 2000: canal protegido: assinar digitalmente dados de canais (quando for possível) protegidos
    • Política de grupo do Windows Server 2003: domínio membro: assinar digitalmente dados de canais (quando for possível) protegidos
  • RequireStrongKey GPO:
    • Windows NT, Windows 2000 e Windows Server localização do registo de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Política de grupo do Windows 2000: canal protegido: Exigir chave de sessão (Windows 2000 ou posterior) forte
    • Política de grupo do Windows Server 2003: domínio membro: Exigir chave de sessão (Windows 2000 ou posterior) forte

Windows Server 2008

Num controlador de domínio com o Windows Server 2008, o comportamento predefinido da definição de política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 poderá causar um problema. Esta definição impede que os sistemas operativos Windows e clientes de terceiros utilizando algoritmos de criptografia fraca para estabelecer canais de segurança NETLOGON para controladores de domínio baseado no Windows Server 2008. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
942564Quando um computador baseado no Windows NT 4.0 tenta utilizar o serviço NETLOGON para estabelecer um canal de segurança para um controlador de domínio baseado no Windows Server 2008, a operação pode falhar

Referências

Para obter mais informações, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
257942Mensagem de erro: Não é possível procurar no domínio seleccionado porque ocorreu o seguinte erro...
246261Como utilizar o valor do registo RestrictAnonymous no Windows 2000
258595Gpresult não enumera a política de segurança do computador de conjunto de políticas resultante
823659Cliente, serviço e programa incompatibilidades que poderão ocorrer quando modifica definições de segurança e atribuições de direitos de utilizador
278259Grupo Todos não inclui o identificador de segurança anónimo

Propriedades

Artigo: 889030 - Última revisão: 21 de fevereiro de 2009 - Revisão: 8.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Palavras-chave: 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 889030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com