Relação de confiança entre um domínio do Windows NT e um domínio do Active Directory não pode ser estabelecido ou ele não funciona conforme o esperado

Traduções deste artigo Traduções deste artigo
ID do artigo: 889030 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Se você tentar configurar uma confiança entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, você pode enfrentar um dos seguintes sintomas:
  • A relação de confiança não é estabelecida.
  • A relação de confiança é estabelecida, mas a relação de confiança não funciona conforme o esperado.
Além disso, você pode receber uma das seguintes mensagens de erro:
Erro ao tentar ingressar no domínio "Domain_Name": A conta não está autorizada a fazer logon nesta estação.
O acesso foi negado.
Nenhum controlador de domínio pôde ser contatado.
Falha de logon: nome de usuário desconhecido ou senha incorreta.
Quando você usar o selecionador de objetos no Active Directory Users and Computers para adicionar os usuários do domínio NT 4.0 para o Active Directory domínio, você pode receber a seguinte mensagem de erro:
Nenhum item corresponde a pesquisa atual. Verifique os parâmetros de pesquisa e tente novamente.

Causa

Esse problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:
  • Resolução de nomes
  • Configurações de segurança
  • Direitos de usuário
  • Participação no grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para identificar a causa do problema corretamente, você deve solucionar a configuração de confiança.

Resolução

Se você receber a mensagem de erro "sem itens correspondem à pesquisa atual" quando você usa o selecionador de objetos no Active Directory Users and Computers, certifique-se que controladores de domínio no domínio do NT 4.0 incluem todos no direito acesso a este computador do usuário de rede . Nesse cenário, o selecionador de objetos tenta se conectar anonimamente entre a relação de confiança. Para verificar esses ssettings, execute as etapas o "método três: verificar os direitos de usuário" seção.

Para solucionar problemas de relação de confiança de problemas de configuração entre um domínio baseado no Windows NT 4.0 e o Active Directory, você deve verificar a configuração correta das seguintes áreas:
  • Resolução de nomes
  • Configurações de segurança
  • Direitos de usuário
  • Participação no grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003
Para fazer isso, use os seguintes métodos.

Método um: verificar a configuração correta de resolução de nomes

Etapa um: criar um arquivo LMHOSTS

Crie um arquivo LMHOSTS nos controladores de domínio primário para fornecer capacidade de resolução de nome de domínio cruzado. O arquivo LMHOSTS é um arquivo de texto que você pode editar com qualquer editor de texto, como o bloco de notas. O arquivo LMHOSTS em cada controlador de domínio deve conter o endereço TCP/IP, o nome de domínio e a entrada \0x1b de outro controlador de domínio. Para obter mais informações sobre como criar o arquivo LMHOSTS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
180094Como gravar um arquivo LMHOSTS para validação de domínio
Depois de criar o arquivo LMHOSTS, execute estas etapas:
  1. Modificar o arquivo para que ele contém texto que é semelhante ao seguinte texto:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Observação deve ser um total de 20 caracteres e espaços entre as aspas ("") para a entrada \0x1b. Adicione espaços após o nome de domínio para que ele use 15 caracteres. O 16 º caractere é a barra invertida que é seguida pelo valor "0x1b", e isso faz com um total de 20 caracteres.
  2. Quando terminar as alterações para o arquivo LMHOSTS, salve o arquivo à pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio.
Para obter mais informações sobre o arquivo LMHOSTS, consulte o arquivo de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.

Etapa dois: carregar o arquivo LMHOSTS para o cache

  1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
  2. No prompt de comando, digite NBTSTAT -R , e, em seguida, pressione ENTER. Este comando carrega o arquivo LMHOSTS para o cache.
  3. No prompt de comando, digite NBTSTAT - c , e, em seguida, pressione ENTER. Este comando exibe o cache. Se o arquivo está escrito corretamente, o cache é semelhante à seguinte:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    se o arquivo não preenche o cache corretamente, continue com a próxima etapa.

Etapa três: Certifique-se de que a pesquisa de LMHOSTS é ativada no computador baseado no Windows NT 4.0

Se o arquivo não preenche o cache corretamente, verifique se que a pesquisa de LMHOSTS está habilitada no computador com Windows NT 4.0. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , aponte para configurações e, em seguida, clique em Painel de controle .
  2. Clique duas vezes em redes , clique na guia protocolos e clique duas vezes em Protocolo TCP/IP .
  3. Clique na guia Endereço WINS e, em seguida, clique para selecionar a caixa de seleção Ativar exame de Lmhosts .
  4. Reinicie o computador.
  5. Repita as etapas na seção "Carregar o arquivo LMHOSTS para o cache".
  6. Se o arquivo não preenche o cache corretamente, certifique-se que o arquivo LMHOSTS é na pasta %SystemRoot% \System32\Drivers\Etc e de que o arquivo está formatado corretamente.

    Por exemplo, o arquivo deve ser formatado semelhante à formatação seguinte exemplo:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Observação deve ser um total de 20 caracteres e espaços dentro de marcas de cotações ("") para a entrada \0x1b e nome de domínio.

Etapa quatro: usar o comando ping para testar a conectividade

Quando o arquivo preenche o cache corretamente em cada servidor, use o comando ping em cada servidor para testar a conectividade entre os servidores. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
  2. No prompt de comando, digite Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, pressione ENTER. Se o comando ping não funcionar, certifique-se que os endereços IP corretos estão listados no arquivo LMHOSTS.
  3. No prompt de comando, digite net exibir Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, pressione ENTER. Espera-se que você recebe a seguinte mensagem de erro:
    Ocorreu o erro de sistema 5. Acesso negado
    Se o comando net view retornará a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionadas, certifique-se que os endereços IP corretos estão listados no arquivo LMHOSTS:
    Ocorreu o erro de sistema 53. O caminho de rede não foi encontrado
Como alternativa, Service (WINS) pode ser configurado para habilitar a funcionalidade de resolução de nome sem usando um LMHOSTS arquivo.Para obter mais informações sobre como usar o WINS para resolução de nomes, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
185786Práticas recomendadas para WINS

Método dois: exibir as configurações de segurança

Normalmente, o lado da configuração de confiança do Active Directory tem configurações de segurança que causam problemas de conectividade. No entanto, as configurações de segurança devem ser inspecionadas nos dois lados da relação de confiança.

Etapa um: exibir as configurações de segurança no Windows 2000 Server e Windows Server 2003

No Windows 2000 Server e no Windows Server 2003, as configurações de segurança podem ser aplicadas ou configuradas pela diretiva de grupo, uma diretiva local ou um modelo de segurança aplicada.

Você deve usar as ferramentas corretas para determinar os valores atuais das configurações de segurança para evitar leituras imprecisas.

Para obter uma leitura precisa das configurações de segurança atual, use os seguintes métodos:
  • No Windows 2000 Server, use o snap-in Configuração e análise de segurança.Para obter mais informações sobre como determinar a diretiva de segurança atual em um computador baseado no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    258595Gpresult não enumera a diretiva de segurança do computador resultante
  • No Windows Server 2003, usam tanto o Security Configuration and Analysis snap-in ou o conjunto de diretivas resultante (RSoP) snap-in. Para obter mais informações sobre como usar o snap-in de conjunto de diretivas resultante, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    323276Como instalar e usar o RSoP no Windows Server 2003
Depois de determinar as configurações atuais, você deve identificar a diretiva que é aplicar as configurações. Por exemplo, você deve determinar a diretiva de grupo no Active Directory, ou as configurações de locais que definir a diretiva de segurança.

No Windows Server 2003, a diretiva que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000 você deve exibir a diretiva de grupo e a diretiva local para determinar a diretiva que contém as configurações de segurança:
  • Para exibir as configurações de diretiva de grupo, você deve ativar o log de saída para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento da diretiva de grupo. Para obter mais informações sobre como habilitar o log de saída para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento da diretiva de grupo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    245422Como habilitar o log de segurança configuração de cliente processamento no Windows 2000
  • Exibir o log do aplicativo em Visualizar eventos e localizar a identificação de evento 1000 e ID 1202 do evento. Para obter mais informações sobre identificação de evento 1000 e 1202 de identificação de evento, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    319352ID de evento 1000 e evento ID 1202 são registradas no log de eventos a cada cinco minutos no Windows 2000 Server
Três seções a seguir identificam o sistema operacional e listam as configurações de segurança que você deve verificar para o sistema operacional as informações que você coletou:
Windows 2000
Verifique se as configurações a seguir são configuradas conforme mostrado.

RestrictAnonymous:
Recolher esta tabelaExpandir esta tabela
Restrições adicionais para conexões anônimas "Nenhuma. Confiar nas permissões padrão"
Compatibilidade do LM:
Recolher esta tabelaExpandir esta tabela
Nível de autenticação LAN Manager"Enviar somente resposta NTLM"
A assinatura SMB, com criptografia SMB ou ambos:
Recolher esta tabelaExpandir esta tabela
Assinar digitalmente a comunicação do cliente (sempre)DESATIVADO
Assinar digitalmente a comunicação do cliente (quando for possível)ATIVADO
Assinar digitalmente a comunicação (sempre) do servidorDESATIVADO
Assinar digitalmente a comunicação do servidor (quando for possível)ATIVADO
Canal seguro: criptografar ou assinar dados de canal seguro (sempre) digitalmenteDESATIVADO
Canal seguro: criptografar digitalmente dados do canal seguro (quando for possível)DESATIVADO
Canal seguro: assinar digitalmente canal de dados seguro (quando for possível)DESATIVADO
Canal seguro: requer alta segurança (Windows 2000 ou posterior) de chave de sessãoDESATIVADO
Windows Server 2003
Verifique se as configurações a seguir são configuradas conforme mostrado.

RestrictAnonymous e RestrictAnonymousSam:
Recolher esta tabelaExpandir esta tabela
Acesso à rede: permitir SID anônimo/nome conversãoATIVADO
Acesso à rede: não permitir enumeração anônima de contas DESATIVADO
Acesso à rede: não permitir enumeração anônima de contas e compartilhamentosDESATIVADO
Acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimosATIVADO
Acesso à rede: pipes nomeados podem ser acessadas anonimamenteATIVADO
Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentosDESATIVADO
Observação Por padrão, o valor da acesso à rede: permitir SID anônimo/conversão de nomes configuração é DISABLED no Windows Server 2008.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
942428Controladores de domínio do Windows Server 2003 permitem que usuários anônimos resolver um identificador de segurança (SID) para um nome de usuário
Compatibilidade do LM:
Recolher esta tabelaExpandir esta tabela
Segurança de rede: nível de autenticação LAN Manager"Enviar somente resposta NTLM"
A assinatura SMB, com criptografia SMB ou ambos:
Recolher esta tabelaExpandir esta tabela
Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)DESATIVADO
Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)ATIVADO
Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)DESATIVADO
Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)ATIVADO
Membro do domínio: criptografar ou assinar dados de canal seguro (sempre) digitalmente DESATIVADO
Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) ATIVADO
Membro do domínio: assinar digitalmente canal de dados seguro (quando for possível)ATIVADO
Membro do domínio: requer chave de sessão alta segurança (Windows 2000 ou posterior)DESATIVADO
Depois que as configurações estiverem configuradas corretamente, reinicie o computador. As configurações de segurança não são aplicadas até que o computador é reiniciado.

Após a reinicialização do computador, aguarde 10 minutos para garantir que todas as diretivas de segurança são aplicadas e as configurações eficazes são configuradas. Recomendamos que você aguarde 10 minutos porque as atualizações de diretiva ocorrem cada 5 minutos em um controlador de domínio e a atualização do Active Directory pode alterar os valores de configuração de segurança. Após 10 minutos, use configuração de segurança e análise ou outra ferramenta para examinar as configurações de segurança no Windows 2000 e Windows Server 2003.

Windows NT 4.0

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756Como fazer backup e restaurar o registro no Windows
No Windows NT 4.0, as configurações de segurança atual devem ser verificadas usando a ferramenta Regedt32 para exibir o registro. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite regedt32 e, em seguida, clique em OK .
  2. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor atribuído a entrada RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Expanda as seguintes subchaves do Registro e, em seguida, exibir o valor que é atribuído à entrada de compatibilidade LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada EnableSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireSecuritySignature (servidor):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método três: verificar os direitos de usuário

Para verificar os direitos de usuário necessários em um computador baseado no Windows 2000, execute estas etapas:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Diretiva de segurança local .
  2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário .
  3. No painel de direito, clique duas vezes em acesso a este computador da rede .
  4. Clique para selecionar a Configuração da diretiva local de caixa de seleção ao lado para todos grupo na lista atribuído a e, em seguida, clique em OK .
  5. Clique duas vezes em Negar acesso a este computador pela rede .
  6. Verifique se houver grupos princípio na lista atribuído a e, em seguida, clique em OK . Por exemplo, certifique-se que todos, usuários autenticados e outros grupos, não estão listados.
  7. Clique em OK e feche Local Security Policy.
Para verificar os direitos de usuário necessários em um computador baseado no Windows Server 2003, execute estas etapas:
  1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Domain Controller Security Policy .
  2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário .
  3. No painel de direito, clique duas vezes em acesso a este computador da rede .
  4. Verifique se o grupo Todos está na lista de acesso a este computador da rede . Se o grupo Todos não estiver listado, execute estas etapas:
    1. Clique em Adicionar usuário ou grupo .
    2. Na caixa usuário e nomes de grupo , digite todos e, em seguida, clique em OK .
  5. Clique duas vezes em Negar acesso a este computador pela rede .
  6. Verifique se houver grupos princípio na lista Negar acesso a este computador pela rede e, em seguida, clique em OK . Por exemplo, certifique-se de que todos, autenticados usuários e outros grupos, não são listados.
  7. Clique em OK e feche o domínio de diretiva de segurança de controlador.
Para verificar os direitos de usuário necessário em um servidor Windows NT computador baseado no 4.0, execute essas etapas:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Gerenciador de usuários para domínios .
  2. No menu diretivas , clique em usuário direitos .
  3. Na lista à direita , clique em acesso a este computador da rede .
  4. Na caixa conceder a , verifique se o grupo Todos está adicionado. Se o grupo Todos não é adicionado, siga estas etapas:
    1. Clique em Adicionar .
    2. Na lista nomes , clique em todos , clique em Adicionar e, em seguida, clique em OK .
  5. Clique em OK e saia do Gerenciador de usuários.

Método quatro: verificar a participação no grupo

Se uma relação de confiança é configurada entre os domínios, mas não é possível adicionar grupos de usuários do princípio de um domínio para outro porque a caixa de diálogo não localizar os outros objetos de domínio, o grupo "Acesso compatível anterior ao Windows 2000" pode não ter a associação correta.

Na controladores de domínio baseados no Windows 2000 e os controladores de domínio baseados no Windows Server 2003, certifique-se que os membros de grupo necessário estão configurados.

Para fazer isso nos controladores de domínio baseados no Windows 2000, execute estas etapas:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
  2. Clique em interna em e em seguida, clique duas vezes em grupo de acesso compatível anterior ao Windows 2000 .
  3. Clique na guia membros e, em seguida, verifique se o grupo Todos está na lista de membros .
  4. Se o grupo Todos não estiver na lista de membros , siga estas etapas:
    1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
    2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e, em seguida, pressione ENTER.
Para certificar-se que os membros de grupo necessárias sejam configurados nos controladores de domínio baseado no Windows Server 2003, você deve saber se o "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva é desabilitada. Se você não souber, use o Editor de objeto de diretiva de grupo para determinar o estado do "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva. Para fazer isso, execute as seguintes etapas:
  1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK .
  2. Expanda as seguintes pastas:
    diretiva do computador local
    configuração do computador
    configurações do Windows
    configurações de segurança
    diretivas locais
  3. Clique em Opções de segurança e, em seguida, clique em acesso à rede: permissões Permitir que todos aplicam a usuários anônimos no painel à direita.
  4. Observe se o valor de Configuração de segurança de coluna é ativado ou desativado .
Para certificar-se que os membros de grupo necessárias sejam configurados nos controladores de domínio baseado no Windows Server 2003, execute estas etapas:
  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
  2. Clique em interna em e em seguida, clique duas vezes em grupo de acesso compatível anterior ao Windows 2000 .
  3. Clique na guia membros .
  4. Se o acesso à rede: permissões Permitir que todos aplicam a usuários anônimos configuração de diretiva está desativada, verifique se a todos, grupo Logon anônimo está na lista de membros . Se o "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva for ativada, verifique se o grupo Todos está na lista de membros .
  5. Se o grupo Todos não estiver na lista de membros , siga estas etapas:
    1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
    2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e, em seguida, pressione ENTER.

Método cinco: verificar a conectividade através de dispositivos de rede, como firewalls, comutadores ou roteadores

Se você recebeu mensagens de erro semelhante à seguinte mensagem de erro e você verificou que os arquivos LMHOST estão corretos, o problema pode ser causado por um firewall, roteador ou switch que bloqueou portas entre os controladores de domínio:
Nenhum controlador de domínio pode ser contatado
Para solucionar problemas de dispositivos de rede, use PortQry Command Line Port Scanner versão 2.0 para testar as portas entre os controladores de domínio. Para obter mais informações sobre versão 2 do PortQry, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
832919Novos recursos e funcionalidades do PortQry versão 2.0
Para obter mais informações sobre como as portas devem ser configuradas, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
179442Como configurar um firewall para domínios e relações de confiança

Método seis: obter informações adicionais para ajudar a solucionar o problema

Se os métodos anteriores não ajudar você a resolver o problema, colete as seguintes informações adicionais para ajudar a solucionar a causa do problema:
  • Habilite Netlogon logon dois controladores de domínio. Para obter mais informações sobre como log Netlogon completo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    109626Habilitar log de depuração para o serviço Logon de rede
  • Capture um rastreamento em ambos os controladores de domínio ao mesmo tempo que o problema ocorrer. Para obter mais informações sobre como capturar o tráfego de rede, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    812953Como usar o Monitor de rede para capturar o tráfego de rede

Mais Informações

A lista de objetos de diretiva de grupo (GPOs) a seguir fornece a localização da entrada do registro correspondente e a diretiva de grupo nos sistemas operacionais aplicáveis:
  • RestrictAnonymous GPO:
    • Local de registro do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Local do Registro Windows 2000 e Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ restrições de segurança opções adicionais para conexões anônimas
    • Diretiva de grupo do Windows Server 2003: Computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: não permitir enumeração anônima de contas e compartilhamentos
  • RestrictAnonymousSAM GPO:
    • Local de registro do Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: não permitir enumeração anônima de contas e compartilhamentos
  • EveryoneIncludesAnonymous GPO:
    • Local de registro do Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: permissões Permitir que todos aplicam a usuários anônimos
  • Compatibilidade LM GPO:
    • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: nível de autenticação LAN Manager
    • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ Options\Network segurança segurança: nível de autenticação LAN Manager
  • EnableSecuritySignature GPO (cliente):
    • Local do Registro Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: assinar digitalmente a comunicação do cliente (quando possível)
    • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ opções de segurança \ cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)
  • RequireSecuritySignature GPO (cliente):
    • Local do Registro Windows 2000 e Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: assinar digitalmente a comunicação do cliente (sempre)
    • Windows Server 2003: configuração do computador \ configurações do Windows \ configurações de segurança \ cliente de rede segurança segurança\ Microsoft: assinar digitalmente a comunicação (sempre)
  • EnableSecuritySignature GPO (servidor):
    • Local de registro do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Local do Registro Windows 2000 e Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Diretiva de grupo do Windows 2000: assinar digitalmente a comunicação do servidor (quando possível)
    • Diretiva de grupo do Windows Server 2003: servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)
  • RequireSecuritySignature GPO (servidor):
    • Local de registro do Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Local do Registro Windows 2000 e Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Diretiva de grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre)
    • Diretiva de grupo do Windows Server 2003: servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
  • RequireSignOrSeal GPO:
    • Windows NT, Windows 2000 e Windows Server 2003 o local do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de grupo do Windows 2000: criptografar ou assinar dados de canal seguro (sempre) digitalmente
    • Diretiva de grupo do Windows Server 2003: membro do domínio: criptografar ou assinar dados de canal seguro (sempre) digitalmente
  • SealSecureChannel GPO:
    • Windows NT, Windows 2000 e Windows Server 2003 o local do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de grupo do Windows 2000: canal seguro: criptografar digitalmente dados do canal seguro (quando for possível)
    • Diretiva de grupo do Windows Server 2003: domínio membro: criptografar digitalmente dados do canal seguro (quando for possível)
  • SignSecureChannel GPO:
    • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de grupo do Windows 2000: canal seguro: assinar digitalmente dados do canal (quando for possível) seguro
    • Diretiva de grupo do Windows Server 2003: domínio membro: assinar digitalmente dados do canal (quando for possível) seguro
  • RequireStrongKey GPO:
    • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de grupo do Windows 2000: canal seguro: requer chave de sessão (Windows 2000 ou posterior) forte
    • Diretiva de grupo do Windows Server 2003: domínio membro: requer chave de sessão (Windows 2000 ou posterior) forte

Windows Server 2008

Em um controlador de domínio que esteja executando o Windows Server 2008, o comportamento padrão da configuração de diretiva Permitir algoritmos de criptografia compatíveis com Windows NT 4.0 pode causar um problema. Esta configuração impede que sistemas operacionais Windows e clientes de terceiros usando algoritmos de criptografia fraca para estabelecer canais de segurança NETLOGON para controladores de domínio com Windows Server 2008. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
942564Quando um computador baseado no Windows NT 4.0 tenta usar o serviço NETLOGON para estabelecer um canal de segurança para um controlador de domínio baseados no Windows Server 2008, a operação pode falhar

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
257942Mensagem de erro: Não é possível encontrar o domínio selecionado devido ao seguinte erro...
246261Como usar o valor do Registro RestrictAnonymous no Windows 2000
258595Gpresult não enumera a diretiva de segurança do computador resultante
823659Cliente, serviço e incompatibilidades do programa que podem ocorrer quando você modificar as configurações de segurança e atribuições de direitos do usuário
278259Grupo Todos não inclui o identificador de segurança anônimo

Propriedades

ID do artigo: 889030 - Última revisão: sábado, 21 de fevereiro de 2009 - Revisão: 8.2
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Advanced Server 3.1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Palavras-chave: 
kbmt kbnetwork kbactivedirectory kbtshoot KB889030 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 889030

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com