Relação de confiança entre um domínio do Windows NT e um domínio do Active Directory não pode ser estabelecido ou ele não funciona conforme o esperado

Se você tentar configurar uma confiança entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, você pode enfrentar um dos seguintes sintomas:

• A relação de confiança não é estabelecida.
• A relação de confiança é estabelecida, mas a relação de confiança não funciona conforme o esperado.

Além disso, você pode receber uma das seguintes mensagens de erro: Quando você usar o selecionador de objetos no Active Directory Users and Computers para adicionar os usuários do domínio NT 4.0 para o Active Directory domínio, você pode receber a seguinte mensagem de erro:

Esse problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:

• Resolução de nomes
• Configurações de segurança
• Direitos de usuário
• Participação no grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para identificar a causa do problema corretamente, você deve solucionar a configuração de confiança.

Se você receber a mensagem de erro "sem itens correspondem à pesquisa atual" quando você usa o selecionador de objetos no Active Directory Users and Computers, certifique-se que controladores de domínio no domínio do NT 4.0 incluem todos no direito acesso a este computador do usuário de rede . Nesse cenário, o selecionador de objetos tenta se conectar anonimamente entre a relação de confiança. Para verificar esses ssettings, execute as etapas o "método três: verificar os direitos de usuário" seção.

Para solucionar problemas de relação de confiança de problemas de configuração entre um domínio baseado no Windows NT 4.0 e o Active Directory, você deve verificar a configuração correta das seguintes áreas:

• Resolução de nomes
• Configurações de segurança
• Direitos de usuário
• Participação no grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para fazer isso, use os seguintes métodos.

Método um: verificar a configuração correta de resolução de nomes

Etapa um: criar um arquivo LMHOSTS

Crie um arquivo LMHOSTS nos controladores de domínio primário para fornecer capacidade de resolução de nome de domínio cruzado. O arquivo LMHOSTS é um arquivo de texto que você pode editar com qualquer editor de texto, como o bloco de notas. O arquivo LMHOSTS em cada controlador de domínio deve conter o endereço TCP/IP, o nome de domínio e a entrada \0x1b de outro controlador de domínio. Para obter mais informações sobre como criar o arquivo LMHOSTS, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Depois de criar o arquivo LMHOSTS, execute estas etapas:

1. Modificar o arquivo para que ele contém texto que é semelhante ao seguinte texto:

   1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
   1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
   2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
   2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
   

   Observação deve ser um total de 20 caracteres e espaços entre as aspas ("") para a entrada \0x1b. Adicione espaços após o nome de domínio para que ele use 15 caracteres. O 16 º caractere é a barra invertida que é seguida pelo valor "0x1b", e isso faz com um total de 20 caracteres.
2. Quando terminar as alterações para o arquivo LMHOSTS, salve o arquivo à pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio.

Para obter mais informações sobre o arquivo LMHOSTS, consulte o arquivo de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.

Etapa dois: carregar o arquivo LMHOSTS para o cache

1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
2. No prompt de comando, digite NBTSTAT -R , e, em seguida, pressione ENTER. Este comando carrega o arquivo LMHOSTS para o cache.
3. No prompt de comando, digite NBTSTAT - c , e, em seguida, pressione ENTER. Este comando exibe o cache. Se o arquivo está escrito corretamente, o cache é semelhante à seguinte:

   NT4PDCName <03> UNIQUE 1.1.1.1 -1 
   NT4PDCName <00> UNIQUE 1.1.1.1 -1 
   NT4PDCName <20> UNIQUE 1.1.1.1 -1 
   NT4DomainName <1C> GROUP 1.1.1.1 -1 
   NT4DomainName <1B> UNIQUE 1.1.1.1 -1
   W2KPDCName <03> UNIQUE 2.2.2.2 -1 
   W2KPDCName <00> UNIQUE 2.2.2.2 -1 
   W2KPDCName <20> UNIQUE 2.2.2.2 -1 
   W2KDomainName <1C> GROUP 2.2.2.2 -1 
   W2KDomainName <1B> UNIQUE 2.2.2.2 -1

   se o arquivo não preenche o cache corretamente, continue com a próxima etapa.

Etapa três: Certifique-se de que a pesquisa de LMHOSTS é ativada no computador baseado no Windows NT 4.0

Se o arquivo não preenche o cache corretamente, verifique se que a pesquisa de LMHOSTS está habilitada no computador com Windows NT 4.0. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , aponte para configurações e, em seguida, clique em Painel de controle .
2. Clique duas vezes em redes , clique na guia protocolos e clique duas vezes em Protocolo TCP/IP .
3. Clique na guia Endereço WINS e, em seguida, clique para selecionar a caixa de seleção Ativar exame de Lmhosts .
4. Reinicie o computador.
5. Repita as etapas na seção "Carregar o arquivo LMHOSTS para o cache".
6. Se o arquivo não preenche o cache corretamente, certifique-se que o arquivo LMHOSTS é na pasta %SystemRoot% \System32\Drivers\Etc e de que o arquivo está formatado corretamente.
   
   Por exemplo, o arquivo deve ser formatado semelhante à formatação seguinte exemplo:

   1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
   1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
   2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
   2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
   

   Observação deve ser um total de 20 caracteres e espaços dentro de marcas de cotações ("") para a entrada \0x1b e nome de domínio.

Etapa quatro: usar o comando ping para testar a conectividade

Quando o arquivo preenche o cache corretamente em cada servidor, use o comando ping em cada servidor para testar a conectividade entre os servidores. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
2. No prompt de comando, digite Ping Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, pressione ENTER. Se o comando ping não funcionar, certifique-se que os endereços IP corretos estão listados no arquivo LMHOSTS.
3. No prompt de comando, digite net exibir Name_Of_Domain_Controller_You_Want_To_Connect_To, e, em seguida, pressione ENTER. Espera-se que você recebe a seguinte mensagem de erro:
   Ocorreu o erro de sistema 5. Acesso negado
   Se o comando net view retornará a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionadas, certifique-se que os endereços IP corretos estão listados no arquivo LMHOSTS:
   Ocorreu o erro de sistema 53. O caminho de rede não foi encontrado

Como alternativa, Service (WINS) pode ser configurado para habilitar a funcionalidade de resolução de nome sem usando um LMHOSTS arquivo.Para obter mais informações sobre como usar o WINS para resolução de nomes, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método dois: exibir as configurações de segurança

Normalmente, o lado da configuração de confiança do Active Directory tem configurações de segurança que causam problemas de conectividade. No entanto, as configurações de segurança devem ser inspecionadas nos dois lados da relação de confiança.

Etapa um: exibir as configurações de segurança no Windows 2000 Server e Windows Server 2003

No Windows 2000 Server e no Windows Server 2003, as configurações de segurança podem ser aplicadas ou configuradas pela diretiva de grupo, uma diretiva local ou um modelo de segurança aplicada.

Você deve usar as ferramentas corretas para determinar os valores atuais das configurações de segurança para evitar leituras imprecisas.

Para obter uma leitura precisa das configurações de segurança atual, use os seguintes métodos:

• No Windows 2000 Server, use o snap-in Configuração e análise de segurança.Para obter mais informações sobre como determinar a diretiva de segurança atual em um computador baseado no Windows 2000, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  258595  (http://support.microsoft.com/kb/258595/ ) Gpresult não enumera a diretiva de segurança do computador resultante
• No Windows Server 2003, usam tanto o Security Configuration and Analysis snap-in ou o conjunto de diretivas resultante (RSoP) snap-in. Para obter mais informações sobre como usar o snap-in de conjunto de diretivas resultante, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  323276  (http://support.microsoft.com/kb/323276/ ) Como instalar e usar o RSoP no Windows Server 2003

Depois de determinar as configurações atuais, você deve identificar a diretiva que é aplicar as configurações. Por exemplo, você deve determinar a diretiva de grupo no Active Directory, ou as configurações de locais que definir a diretiva de segurança.

No Windows Server 2003, a diretiva que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000 você deve exibir a diretiva de grupo e a diretiva local para determinar a diretiva que contém as configurações de segurança:

• Para exibir as configurações de diretiva de grupo, você deve ativar o log de saída para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento da diretiva de grupo. Para obter mais informações sobre como habilitar o log de saída para o cliente de configuração de segurança do Microsoft Windows 2000 durante o processamento da diretiva de grupo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  245422  (http://support.microsoft.com/kb/245422/ ) Como habilitar o log de segurança configuração de cliente processamento no Windows 2000
• Exibir o log do aplicativo em Visualizar eventos e localizar a identificação de evento 1000 e ID 1202 do evento. Para obter mais informações sobre identificação de evento 1000 e 1202 de identificação de evento, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  319352  (http://support.microsoft.com/kb/319352/ ) ID de evento 1000 e evento ID 1202 são registradas no log de eventos a cada cinco minutos no Windows 2000 Server

Três seções a seguir identificam o sistema operacional e listam as configurações de segurança que você deve verificar para o sistema operacional as informações que você coletou:

Windows 2000

Verifique se as configurações a seguir são configuradas conforme mostrado.

RestrictAnonymous: Compatibilidade do LM: A assinatura SMB, com criptografia SMB ou ambos:

Windows Server 2003

Verifique se as configurações a seguir são configuradas conforme mostrado.

RestrictAnonymous e RestrictAnonymousSam: Observação Por padrão, o valor da acesso à rede: permitir SID anônimo/conversão de nomes configuração é DISABLED no Windows Server 2008.Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Compatibilidade do LM: A assinatura SMB, com criptografia SMB ou ambos: Depois que as configurações estiverem configuradas corretamente, reinicie o computador. As configurações de segurança não são aplicadas até que o computador é reiniciado.

Após a reinicialização do computador, aguarde 10 minutos para garantir que todas as diretivas de segurança são aplicadas e as configurações eficazes são configuradas. Recomendamos que você aguarde 10 minutos porque as atualizações de diretiva ocorrem cada 5 minutos em um controlador de domínio e a atualização do Active Directory pode alterar os valores de configuração de segurança. Após 10 minutos, use configuração de segurança e análise ou outra ferramenta para examinar as configurações de segurança no Windows 2000 e Windows Server 2003.

Windows NT 4.0

importante Esta seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer se você modificar o registro incorretamente. Por isso, certifique-se que você execute essas etapas cuidadosamente. Para proteção adicional, fazer backup do registro antes de modificá-lo. Em seguida, você pode restaurar o registro se ocorrer um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: No Windows NT 4.0, as configurações de segurança atual devem ser verificadas usando a ferramenta Regedt32 para exibir o registro. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite regedt32 e, em seguida, clique em OK .
2. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor atribuído a entrada RestrictAnonymous:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
3. Expanda as seguintes subchaves do Registro e, em seguida, exibir o valor que é atribuído à entrada de compatibilidade LM:
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
4. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada EnableSecuritySignature (servidor):
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
5. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireSecuritySignature (servidor):
   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
6. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireSignOrSeal:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
7. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada SealSecureChannel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
8. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada SignSecureChannel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
9. Expanda as seguintes subchaves do Registro e, em seguida, exiba o valor que é atribuído a entrada RequireStrongKey:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método três: verificar os direitos de usuário

Para verificar os direitos de usuário necessários em um computador baseado no Windows 2000, execute estas etapas:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Diretiva de segurança local .
2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário .
3. No painel de direito, clique duas vezes em acesso a este computador da rede .
4. Clique para selecionar a Configuração da diretiva local de caixa de seleção ao lado para todos grupo na lista atribuído a e, em seguida, clique em OK .
5. Clique duas vezes em Negar acesso a este computador pela rede .
6. Verifique se houver grupos princípio na lista atribuído a e, em seguida, clique em OK . Por exemplo, certifique-se que todos, usuários autenticados e outros grupos, não estão listados.
7. Clique em OK e feche Local Security Policy.

Para verificar os direitos de usuário necessários em um computador baseado no Windows Server 2003, execute estas etapas:

1. Clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Domain Controller Security Policy .
2. Expanda Diretivas locais e clique em Atribuição de direitos de usuário .
3. No painel de direito, clique duas vezes em acesso a este computador da rede .
4. Verifique se o grupo Todos está na lista de acesso a este computador da rede . Se o grupo Todos não estiver listado, execute estas etapas:
   1. Clique em Adicionar usuário ou grupo .
   2. Na caixa usuário e nomes de grupo , digite todos e, em seguida, clique em OK .
5. Clique duas vezes em Negar acesso a este computador pela rede .
6. Verifique se houver grupos princípio na lista Negar acesso a este computador pela rede e, em seguida, clique em OK . Por exemplo, certifique-se de que todos, autenticados usuários e outros grupos, não são listados.
7. Clique em OK e feche o domínio de diretiva de segurança de controlador.

Para verificar os direitos de usuário necessário em um servidor Windows NT computador baseado no 4.0, execute essas etapas:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Gerenciador de usuários para domínios .
2. No menu diretivas , clique em usuário direitos .
3. Na lista à direita , clique em acesso a este computador da rede .
4. Na caixa conceder a , verifique se o grupo Todos está adicionado. Se o grupo Todos não é adicionado, siga estas etapas:
   1. Clique em Adicionar .
   2. Na lista nomes , clique em todos , clique em Adicionar e, em seguida, clique em OK .
5. Clique em OK e saia do Gerenciador de usuários.

Método quatro: verificar a participação no grupo

Se uma relação de confiança é configurada entre os domínios, mas não é possível adicionar grupos de usuários do princípio de um domínio para outro porque a caixa de diálogo não localizar os outros objetos de domínio, o grupo "Acesso compatível anterior ao Windows 2000" pode não ter a associação correta.

Na controladores de domínio baseados no Windows 2000 e os controladores de domínio baseados no Windows Server 2003, certifique-se que os membros de grupo necessário estão configurados.

Para fazer isso nos controladores de domínio baseados no Windows 2000, execute estas etapas:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
2. Clique em interna em e em seguida, clique duas vezes em grupo de acesso compatível anterior ao Windows 2000 .
3. Clique na guia membros e, em seguida, verifique se o grupo Todos está na lista de membros .
4. Se o grupo Todos não estiver na lista de membros , siga estas etapas:
   1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
   2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e, em seguida, pressione ENTER.

Para certificar-se que os membros de grupo necessárias sejam configurados nos controladores de domínio baseado no Windows Server 2003, você deve saber se o "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva é desabilitada. Se você não souber, use o Editor de objeto de diretiva de grupo para determinar o estado do "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva. Para fazer isso, execute as seguintes etapas:

1. Clique em Iniciar , clique em Executar , digite gpedit.msc e, em seguida, clique em OK .
2. Expanda as seguintes pastas:
   diretiva do computador local
   configuração do computador
   configurações do Windows
   configurações de segurança
   diretivas locais
3. Clique em Opções de segurança e, em seguida, clique em acesso à rede: permissões Permitir que todos aplicam a usuários anônimos no painel à direita.
4. Observe se o valor de Configuração de segurança de coluna é ativado ou desativado .

Para certificar-se que os membros de grupo necessárias sejam configurados nos controladores de domínio baseado no Windows Server 2003, execute estas etapas:

1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
2. Clique em interna em e em seguida, clique duas vezes em grupo de acesso compatível anterior ao Windows 2000 .
3. Clique na guia membros .
4. Se o acesso à rede: permissões Permitir que todos aplicam a usuários anônimos configuração de diretiva está desativada, verifique se a todos, grupo Logon anônimo está na lista de membros . Se o "acesso à rede: deixar que as todos sejam aplicam as permissões a usuários anônimos" configuração de diretiva for ativada, verifique se o grupo Todos está na lista de membros .
5. Se o grupo Todos não estiver na lista de membros , siga estas etapas:
   1. Clique em Iniciar , clique em Executar , digite cmd e, em seguida, clique em OK .
   2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /add , e, em seguida, pressione ENTER.

Método cinco: verificar a conectividade através de dispositivos de rede, como firewalls, comutadores ou roteadores

Se você recebeu mensagens de erro semelhante à seguinte mensagem de erro e você verificou que os arquivos LMHOST estão corretos, o problema pode ser causado por um firewall, roteador ou switch que bloqueou portas entre os controladores de domínio:Para solucionar problemas de dispositivos de rede, use PortQry Command Line Port Scanner versão 2.0 para testar as portas entre os controladores de domínio. Para obter mais informações sobre versão 2 do PortQry, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Para obter mais informações sobre como as portas devem ser configuradas, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Método seis: obter informações adicionais para ajudar a solucionar o problema

Se os métodos anteriores não ajudar você a resolver o problema, colete as seguintes informações adicionais para ajudar a solucionar a causa do problema:

• Habilite Netlogon logon dois controladores de domínio. Para obter mais informações sobre como log Netlogon completo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  109626  (http://support.microsoft.com/kb/109626/ ) Habilitar log de depuração para o serviço Logon de rede
• Capture um rastreamento em ambos os controladores de domínio ao mesmo tempo que o problema ocorrer. Para obter mais informações sobre como capturar o tráfego de rede, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
  812953  (http://support.microsoft.com/kb/812953/ ) Como usar o Monitor de rede para capturar o tráfego de rede

A lista de objetos de diretiva de grupo (GPOs) a seguir fornece a localização da entrada do registro correspondente e a diretiva de grupo nos sistemas operacionais aplicáveis:

• RestrictAnonymous GPO:
  • Local de registro do Windows NT:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  • Local do Registro Windows 2000 e Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ restrições de segurança opções adicionais para conexões anônimas
  • Diretiva de grupo do Windows Server 2003: Computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: não permitir enumeração anônima de contas e compartilhamentos
• RestrictAnonymousSAM GPO:
  • Local de registro do Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: não permitir enumeração anônima de contas e compartilhamentos
• EveryoneIncludesAnonymous GPO:
  • Local de registro do Windows Server 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
  • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ acesso de rede de opções de segurança: permissões Permitir que todos aplicam a usuários anônimos
• Compatibilidade LM GPO:
  • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: nível de autenticação LAN Manager
  • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ Options\Network segurança segurança: nível de autenticação LAN Manager
• EnableSecuritySignature GPO (cliente):
  • Local do Registro Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
  • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: assinar digitalmente a comunicação do cliente (quando possível)
  • Diretiva de grupo do Windows Server 2003: computador configuração \ configurações do Windows \ configurações de segurança \ opções de segurança \ cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)
• RequireSecuritySignature GPO (cliente):
  • Local do Registro Windows 2000 e Windows Server 2003:
    HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
  • Diretiva de grupo do Windows 2000: configuração do computador \ configurações do Windows \ configurações de segurança \ opções de segurança: assinar digitalmente a comunicação do cliente (sempre)
  • Windows Server 2003: configuração do computador \ configurações do Windows \ configurações de segurança \ cliente de rede segurança segurança\ Microsoft: assinar digitalmente a comunicação (sempre)
• EnableSecuritySignature GPO (servidor):
  • Local de registro do Windows NT:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  • Local do Registro Windows 2000 e Windows Server 2003:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
  • Diretiva de grupo do Windows 2000: assinar digitalmente a comunicação do servidor (quando possível)
  • Diretiva de grupo do Windows Server 2003: servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)
• RequireSecuritySignature GPO (servidor):
  • Local de registro do Windows NT:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
  • Local do Registro Windows 2000 e Windows Server 2003:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
  • Diretiva de grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre)
  • Diretiva de grupo do Windows Server 2003: servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)
• RequireSignOrSeal GPO:
  • Windows NT, Windows 2000 e Windows Server 2003 o local do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Diretiva de grupo do Windows 2000: criptografar ou assinar dados de canal seguro (sempre) digitalmente
  • Diretiva de grupo do Windows Server 2003: membro do domínio: criptografar ou assinar dados de canal seguro (sempre) digitalmente
• SealSecureChannel GPO:
  • Windows NT, Windows 2000 e Windows Server 2003 o local do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Diretiva de grupo do Windows 2000: canal seguro: criptografar digitalmente dados do canal seguro (quando for possível)
  • Diretiva de grupo do Windows Server 2003: domínio membro: criptografar digitalmente dados do canal seguro (quando for possível)
• SignSecureChannel GPO:
  • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Diretiva de grupo do Windows 2000: canal seguro: assinar digitalmente dados do canal (quando for possível) seguro
  • Diretiva de grupo do Windows Server 2003: domínio membro: assinar digitalmente dados do canal (quando for possível) seguro
• RequireStrongKey GPO:
  • Windows NT, Windows 2000 e Windows Server local de registro de 2003:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  • Diretiva de grupo do Windows 2000: canal seguro: requer chave de sessão (Windows 2000 ou posterior) forte
  • Diretiva de grupo do Windows Server 2003: domínio membro: requer chave de sessão (Windows 2000 ou posterior) forte

Windows Server 2008

Em um controlador de domínio que esteja executando o Windows Server 2008, o comportamento padrão da configuração de diretiva Permitir algoritmos de criptografia compatíveis com Windows NT 4.0 pode causar um problema. Esta configuração impede que sistemas operacionais Windows e clientes de terceiros usando algoritmos de criptografia fraca para estabelecer canais de segurança NETLOGON para controladores de domínio com Windows Server 2008. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft: