Доверие между доменами Windows NT и доменом Active Directory не может быть установлено или не работает должным образом

Переводы статьи Переводы статьи
Код статьи: 889030 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

При попытке установить доверие между доменом под управлением Microsoft Windows NT 4.0 и домена Active Directory, возможно возникновение следующих проблем:
  • Доверие не устанавливается.
  • Доверие устанавливается, но доверие не работает asexpected.
Кроме того может появиться одно из следующих сообщений об ошибке:
При присоединении к домену произошла следующая ошибка"Имя_домена": Учетная запись для входа в систему с данной рабочей станции не авторизован.
Отказано в доступе.
Контроллер домена может обратиться.
Ошибка входа в систему: неизвестное имя пользователя или пароль не опознаны.
При использовании средства выбора объектов в Active Directory — пользователи и компьютеры для добавления пользователей из домена NT 4.0 в домене Active Directory, может появиться следующее сообщение об ошибке:
Нет элементов, удовлетворяющих критериям поиска. Проверьте условия поиска и повторите попытку.

Причина

Эта проблема возникает из-за ошибки конфигурации в одной из следующих областей:
  • Разрешение имен
  • Параметры безопасности
  • Права пользователей
  • Членство в группе для Microsoft Windows 2000 или MicrosoftWindows Server 2003
Правильно определить причину проблемы, необходимо устранение неполадок конфигурации доверия.

Решение

Если появляется сообщение об ошибке «нет элементов, удовлетворяющих критериям поиска» при использовании средства выбора объектов в Active Directory — пользователи и компьютеры, убедитесь, что контроллеры домена в домене NT 4.0 содержит все право доступ к компьютеру из сети пользователя . В этом случае Выбор объектов пытается выполнить анонимное подключение через доверие. Для проверки этих ssettings, выполните действия, описанные в «способ 3: проверка прав пользователя "раздел.

Для устранения неполадок конфигурации доверия между доменом под управлением Windows NT 4.0 и службы каталогов Active Directory, необходимо проверить правильной настройки следующих областей:
  • Разрешение имен
  • Параметры безопасности
  • Права пользователей
  • Членство в группе для Microsoft Windows 2000 или MicrosoftWindows Server 2003
Чтобы сделать это, используйте следующие методы.

Метод 1: Убедитесь в правильной настройки разрешения имен

Первый этап: Создание файла LMHOSTS

Создание файла LMHOSTS на основных контроллеров домена для обеспечения возможности разрешения кросс доменного имени. Файл LMHOSTS — это текстовый файл, который можно изменять с помощью любого текстового редактора, например блокнота. Файл LMHOSTS на каждом контроллере домена должен содержать адрес TCP/IP, имя домена и \0x1b запись контроллера домена. Дополнительные сведения о создании файла LMHOSTS щелкните следующий номер статьи базы знаний Майкрософт:
180094 Как написать файл LMHOSTS для проверки доменов
После создания файла LMHOSTS, выполните следующие действия.
  1. Измените файл, содержащий текст, подобный следующему тексту:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    Примечание Должно быть всего 20 символов и пробелов между знаками thequotation ("") для записи \0x1b. Добавление пробелов после sothat 15 символов используется имя домена. Шестнадцатый символ является обратная косая черта, isfollowed по значению «0x1b», и это делает всего 20characters.
  2. После завершения изменения в файл LMHOSTS, thefile для сохранения % SystemRoot %\System32\Drivers\Etc folderon контроллеров домена.
Дополнительные сведения о файле LMHOSTS представление файла пример Lmhosts.sam, который находится в % SystemRoot %Папка \System32\Drivers\Etc.

Шаг 2: загрузить файл LMHOSTS в кэш

  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите кнопку ОК.
  2. В командной строке введите: NBTSTAT-R, а затем нажмите клавишу ВВОД. Эта команда загружает intothe кэш файла LMHOSTS.
  3. В командной строке введите: NBTSTAT-c, а затем нажмите клавишу ВВОД. Эта команда отображает кэш. Если thefile написан правильно, кэш является следующее:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Если файл не правильного заполнения кэша, перейдите к следующему шагу.

Шаг 3: Убедитесь в том, что просмотр LMHOSTS включена на компьютере под управлением Windows NT 4.0

Если файл не правильного заполнения кэша, убедитесь, что просмотр LMHOSTS включена на компьютере под управлением Windows NT 4.0. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберитеНастройкаи щелкните Панель управления.
  2. Дважды щелкните значок сети, щелкните вкладку «протоколы » и дважды щелкните TCP/IPProtocol.
  3. Щелкните вкладку « WINS » и затем кнопкой мышивыполнять установите флажок Включить просмотр LMHOSTS .
  4. Перезагрузите компьютер.
  5. Повторите действия, описанные в разделе «Загрузить файл LMHOSTS в thecache».
  6. Если файл не правильного заполнения кэша фиксировались, в файл LMHOSTS% SystemRoot %Папка \System32\Drivers\Etc и что файл имеет правильный формат.

    Например файл должен beformatted примерно следующий пример форматирования:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    Примечание Должно быть всего 20 символов и пробелов внутри thequotations знаков ("") для записи \0x1b и имя домена.

Четвертый шаг: с помощью команды Ping для проверки связи

Когда файл заполняет кэш правильно на каждом сервере, используйте команду Ping на каждом сервере проверьте соединение между серверами. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите кнопку ОК.
  2. В командной строке введите: PingName_Of_Domain_Controller_You_Want_To_Connect_To, а затем нажмите клавишу ВВОД. Если команда Ping не работает, убедитесь, что IP-адреса thecorrect перечислены в файле LMHOSTS.
  3. В командной строке введите: net viewName_Of_Domain_Controller_You_Want_To_Connect_To, а затем нажмите клавишу ВВОД. Ожидается, что появляется следующее сообщение об ошибке:
    Произошла системная ошибка 5. Isdenied доступа
    Если команда net view возвращает следующее сообщение об ошибке или любое другое сообщение relatederror, убедитесь, что IP-адреса перечислены в файле theLMHOSTS:
    Системная ошибка 53. Networkpath не найден
Кроме того чтобы включить разрешение имен без использования файла LMHOSTS можно настроить Windows Internet Name Service (WINS). Дополнительные сведения о том, как использовать службу WINS для разрешения имен щелкните следующий номер статьи базы знаний Майкрософт:
185786 Рекомендации по WINS

Способ 2: просмотрите параметры безопасности

Обычно на стороне настройки доверия Active Directory имеет параметры безопасности, которые вызывают проблемы с подключением. Тем не менее необходимо проверить параметры безопасности на обеих сторонах доверия.

Первый этап: Просмотр параметров безопасности в Windows 2000 Server и Windows Server 2003

В Windows 2000 Server и Windows Server 2003 может применить параметры безопасности или настройки применены параметры безопасности шаблона, групповой политики или локальной политики.

Чтобы определить текущие значения параметров безопасности, чтобы избежать неточные показания необходимо использовать соответствующие средства.

Чтобы получить правильное считывание текущих параметров безопасности, используйте следующие методы:
  • В Windows 2000 Server с помощью оснастки конфигурация безопасности andAnalysis. Дополнительные сведения об определении текущей политики безопасности на компьютере под управлением Windows 2000 щелкните следующий номер статьи базы знаний Майкрософт:
    258595 Gpresult не отображает результирующую политику безопасности
  • В Windows Server 2003 используйте оснастку «Анализ и SecurityConfiguration» или оснастки результирующей политики (RSoP). Дополнительные сведения о том, как использовать оснастку «Результирующая политика» щелкните следующий номер статьи базы знаний Майкрософт:
    323276 Установка и применение результирующей политики в Windows Server 2003
После определения текущих параметров, необходимо определить, применение параметров политики. Например необходимо определить групповой политики в Active Directory или локальной настройки, политики безопасности.

В Windows Server 2003 политика, задает параметры безопасности определяется средство результирующей политики. Тем не менее в Windows 2000 необходимо просмотреть групповой политики и определения политики, содержащий параметры безопасности локальной политики:
  • Для просмотра параметров групповой политики, необходимо включить loggingoutput для обработки политики duringGroup конфигурации безопасности клиента для Microsoft Windows 2000. Дополнительные сведения о включении выходные данные журнала для клиента конфигурации безопасности Microsoft Windows 2000 при обработке групповой политики щелкните следующий номер статьи базы знаний Майкрософт:
    245422 Как включить ведение журнала для клиента настройки безопасности в Windows 2000
  • Просмотр журнала приложений в средстве просмотра событий и найдите кодами событий 1000 и 1202 идентификатор события. Дополнительные сведения о событие с кодом 1000 и 1202 код события щелкните следующий номер статьи базы знаний Майкрософт:
    319352 Событие с кодом 1000 и 1202 код события заносятся в журнал каждые пять минут в Windows 2000 Server
Следующие три раздела Определение операционной системы и список параметров безопасности, которые необходимо проверить для операционной системе сведения, которые были собраны.
Windows 2000
Убедитесь, что настроены следующие параметры, как показано.

RestrictAnonymous:
Свернуть эту таблицуРазвернуть эту таблицу
Дополнительные ограничения для анонимных подключений "Нет. Использовать разрешения по умолчанию"
Совместимость LM.
Свернуть эту таблицуРазвернуть эту таблицу
Уровень проверки подлинности LAN Manager«Отправлять только NTLM ответ»
Подписывание SMB, шифрование SMB или оба:
Свернуть эту таблицуРазвернуть эту таблицу
Использовать цифровую подпись (всегда) клиентских соединений.ОТКЛЮЧЕНО
Использовать цифровую подпись клиента (если это возможно)ВКЛЮЧЕНО
Использовать цифровую подпись (всегда) связи с серверомОТКЛЮЧЕНО
Использовать цифровую подпись сервера (если это возможно)ВКЛЮЧЕНО
Безопасный канал: цифровая подпись или шифрование потока данных безопасного канала (всегда)ОТКЛЮЧЕНО
Безопасный канал: шифрование данных безопасного канала (если это возможно)ОТКЛЮЧЕНО
Безопасный канал: цифровая подпись данных безопасного канала (если это возможно)ОТКЛЮЧЕНО
Безопасный канал: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)ОТКЛЮЧЕНО
Windows Server 2003
Убедитесь, что настроены следующие параметры, как показано.

RestrictAnonymous и RestrictAnonymousSam:
Свернуть эту таблицуРазвернуть эту таблицу
Доступ к сети: разрешить трансляцию анонимного SID в имяВКЛЮЧЕНО
Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей ОТКЛЮЧЕНО
Сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсовОТКЛЮЧЕНО
Сетевой доступ: разрешать применение разрешений для всех к анонимным пользователямВКЛЮЧЕНО
Сетевой доступ: можно анонимный доступ к именованным каналамВКЛЮЧЕНО
Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсамОТКЛЮЧЕНО
Примечание По умолчанию значение доступ к сети: разрешить трансляцию анонимного SID в имя отключена в Windows Server 2008. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
942428 Контроллеры домена Windows Server 2003 позволяют анонимным пользователям разрешить идентификатор безопасности (SID) для имени пользователя
Совместимость LM.
Свернуть эту таблицуРазвернуть эту таблицу
Сетевая безопасность: уровень проверки подлинности LAN Manager«Отправлять только NTLM ответ»
Подписывание SMB, шифрование SMB или оба:
Свернуть эту таблицуРазвернуть эту таблицу
Клиент сети Microsoft: использовать цифровую подпись (всегда)ОТКЛЮЧЕНО
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)ВКЛЮЧЕНО
Сервер сети Microsoft: использовать цифровую подпись (всегда)ОТКЛЮЧЕНО
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)ВКЛЮЧЕНО
Член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда) ОТКЛЮЧЕНО
Член домена: шифрование данных безопасного канала (если это возможно) ВКЛЮЧЕНО
Член домена: цифровая подпись данных безопасного канала (если это возможно)ВКЛЮЧЕНО
Член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)ОТКЛЮЧЕНО
После правильной настройки, необходимо перезагрузить компьютер. Параметры безопасности не применяются до перезагрузки компьютера.

После перезагрузки компьютера, подождите 10 минут, чтобы убедиться в том, что все политики безопасности применяются и действующие настройки. Мы рекомендуем, подождите 10 минут, поскольку Active Directory политики обновляются каждые 5 минут на контроллере домена и обновления могут изменить параметр значения безопасности. После 10 минут используйте анализ и настройка безопасности или другое средство для проверки параметров безопасности в Windows 2000 и Windows Server 2003.

Windows NT 4.0

Важно Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому точно выполняйте следующие действия. Для дополнительной защиты создайте резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для дополнительных сведений о способах создания резервной копии и восстановлении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Как провести резервное копирование и восстановление реестра Windows
В Windows NT 4.0 необходимо проверить текущие параметры безопасности с помощью программы Regedt32 Просмотр реестра. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип Regedt32, а затем нажмите кнопкуОК.
  2. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный параметру RestrictAnonymous запись:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный записи совместимости LM:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный записи EnableSecuritySignature (сервер):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный записи RequireSecuritySignature (сервер):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный RequireSignOrSeal запись:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный операции SealSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный операции SignSecureChannel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Разверните следующие разделы реестра, а затем просмотрите значение параметра, присвоенный операции RequireStrongKey:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Способ 3: проверка прав пользователя

Чтобы проверить требуемые права пользователя на компьютере под управлением Windows 2000, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пунктпрограммы, точки на Администрированиеandthen щелкните Локальная политика безопасности.
  2. Разверните узел Локальные политикии щелкнитеНазначение прав пользователя.
  3. В правой области дважды щелкните значок локального доступа из сети.
  4. Установите флажок Параметр локальной политикидля группы все в списке Кому назначено и нажмите кнопку ОК.
  5. Дважды щелкните отказ в доступе к компьютеру из сети.
  6. Убедитесь, что в спискеAssigned to не принцип группы и нажмите кнопку ОК. Forexample, убедитесь в том, что все прошедшие и других групп перечислены.
  7. Нажмите кнопку ОК, а затем закройте локальные SecurityPolicy.
Чтобы проверить требуемые права пользователя на компьютере под управлением Windows Server 2003, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пунктАдминистрированиеи нажмите кнопку Политика домена ControllerSecurity.
  2. Разверните узел Локальные политикии щелкнитеНазначение прав пользователя.
  3. В правой области дважды щелкните значок локального доступа из сети.
  4. Убедитесь в том, что группа «Все» находится в списке Accessthis компьютер из сети . Если группа «все» является notlisted, выполните следующие действия.
    1. Нажмите кнопку Добавить пользователя или группу.
    2. Введите в поле имена пользователей и группВсе, а затем нажмите кнопку ОК.
  5. Дважды щелкните отказ в доступе к компьютеру из сети.
  6. Убедитесь, что отсутствуют принцип группы в спискеотказ в доступе к компьютеру из сети и thenclick ОК. Например убедитесь в том, что все, группе и других групп не перечислены.
  7. Нажмите кнопку ОК, а затем закройте DomainController политики безопасности.
Чтобы проверить требуемые права пользователя на компьютере под управлением Windows NT Server 4.0, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пунктпрограммы, точки на Администрированиеandthen щелкните Диспетчер пользователей для доменов.
  2. В меню политики выберите пункт UserRights.
  3. В списке справа выберите Accessthis компьютер из сети.
  4. В диалоговом окне разрешений для убедитесь, что группа theEveryone добавлена. Если группа «все» не добавляется, выполните thesesteps.
    1. Нажмите кнопку Добавить.
    2. В списке выберите все, нажмите кнопку Добавитьи нажмите кнопку ОК.
  5. Нажмите кнопку ОКи выйдите из программы UserManager.

Метод 4: проверка членства в группах

Если настроить отношения доверия между доменами, но невозможно добавить участника группы пользователей из одного домена в другой, поскольку диалоговое окно не может найти другие объекты домена, группу «Пред-Windows 2000 доступ» может отсутствовать правильные членства.

На контроллерах домена под управлением Windows 2000 и контроллеры домена под управлением Windows Server 2003 Убедитесь, что настроены требуется членство в группах.

Для этого на контроллерах домена под управлением Windows 2000, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пунктпрограммы, точки на Администрированиеandthen выберите команду Active Directory — пользователи и компьютеры.
  2. Выберите встроенныеи дважды щелкнитегруппу доступ, совместимый с пред-Windows 2000.
  3. Откройте вкладку члены и внесите surethat все группы в списке члены .
  4. Если группа «все» не входит в списокчленов , выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите кнопку ОК.
    2. В командной строке введите: net localgroup «Пред-Windows 2000 доступ» все / add, а затем нажмите клавишу ВВОД.
Чтобы убедиться в том, что требуется членство в группах настроены на контроллерах домена под управлением Windows Server 2003, необходимо знать, если «сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям "параметр отключен. Если вы не знаете, используйте редактор объектов групповой политики для определения состояния «сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям "политика. Чтобы сделать это, выполните следующие действия.
  1. Нажмите кнопку Пуск, выберите пункт выполнить, тип gpedit.msc, а затем нажмите кнопкуОК.
  2. Последовательно раскройте следующие папки:
    Политика локального компьютера
    Конфигурация компьютера
    Параметры Windows
    Параметры безопасности
    Локальные политики
  3. Выберите Параметры защитыи нажмите кнопкусетевой доступ: разрешать применение разрешений для применения к anonymoususers в правой области.
  4. Обратите внимание, если значение в столбце Политика безопасностибудет отключено или включено.
Чтобы убедиться в том, что требуется членство в группах настроены на контроллерах домена под управлением Windows Server 2003, выполните следующие действия:
  1. Нажмите кнопку Пуск, выберите пунктпрограммы, точки на Администрированиеandthen выберите команду Active Directory — пользователи и компьютеры.
  2. Выберите встроенныеи дважды щелкнитегруппу доступ, совместимый с пред-Windows 2000.
  3. Перейдите на вкладку члены .
  4. Если сетевой доступ: разрешить всем permissionsapply для анонимных пользователей параметр политики отключен, убедитесь в том, что все, анонимный вход группы в списке члены . Если «сетевой доступ: разрешать применение разрешений для всех к анонимным пользователям "policysetting включен, убедитесь, что группе «все» в спискечленов .
  5. Если группа «все» не входит в списокчленов , выполните следующие действия.
    1. Нажмите кнопку Пуск, выберите пункт выполнить, тип cmd, а затем нажмите кнопку ОК.
    2. В командной строке введите: net localgroup «Пред-Windows 2000 доступ» все / add, а затем нажмите клавишу ВВОД.

Метод 5: Проверьте подключение через сетевые устройства, такие как брандмауэры, маршрутизаторы и переключатели

Если вы проверили правильность LMHOST файлы получены сообщения об ошибках, которые похожи на следующее сообщение об ошибке, проблема может быть вызвано брандмауэр, маршрутизатор или коммутатор, который заблокировал порты между контроллерами домена:
Невозможно обратиться контроллер домена
Устранение неполадок сетевых устройств, используйте сканер портов программа командной строки версии 2.0 для тестирования портов между контроллерами домена. Дополнительные сведения о средстве PortQry 2 щелкните следующий номер статьи базы знаний Майкрософт:
832919 Новые функции и средства PortQry 2.0
Дополнительные сведения о как порты должны быть настроены щелкните следующий номер статьи базы знаний Майкрософт:
179442 Настройка брандмауэра для домены и доверие

Метод 6: сбор дополнительных сведений для устранения неполадок

Если предыдущие способы не помогли устранить проблему, необходимо Соберите следующие дополнительные сведения об устранении причины проблемы:
  • Включите ведение журнала Netlogon на обоих контроллеров домена. Дополнительные сведения о том, как полный журнал Netlogon щелкните следующий номер статьи базы знаний Майкрософт:
    109626 Ведение журнала отладки для службы сетевого входа в систему
  • Происходит запись трассировки на обоих контроллерах домена в одном timethat проблему. Дополнительные сведения о записи сетевого трафика, щелкните следующий номер статьи базы знаний Майкрософт:
    812953 Использование сетевого монитора для записи сетевого трафика

Дополнительная информация

Приведенный ниже список объектов групповой политики (GPO) предоставляет расположение соответствующей записи реестра и групповой политики в совместимых операционных системах:
  • RestrictAnonymous GPO:
    • Расположение в реестре Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Расположение в реестре Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Групповой политики Windows 2000: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ безопасности параметры дополнительные ограничения для анонимных подключений<b00> </b00>
    • Windows Server 2003 групповой политики: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ безопасности параметры сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов
  • RestrictAnonymousSAM групповой Политики:
    • Расположение в реестре Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 групповая политика: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ безопасности параметры сетевой доступ: не разрешать перечисление SAM анонимными пользователями учетных записей и общих ресурсов<b00> </b00>
  • EveryoneIncludesAnonymous групповой Политики:
    • Расположение в реестре Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 групповая политика: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ доступ к сети параметры безопасности: применение разрешать применение разрешений для всех к анонимным пользователям
  • Уровень совместимости LM GPO:
    • Расположение в реестре Windows NT, Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Групповой политики Windows 2000: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ параметры безопасности: уровень проверки подлинности LAN Manager
    • Windows Server 2003 групповая политика: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ безопасности\Сетевой безопасности безопасность: уровень проверки подлинности LAN Manager<b00> </b00>
  • EnableSecuritySignature (клиент) объекта групповой Политики:
    • Расположение в реестре Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Групповой политики Windows 2000: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ параметры безопасности: подписывать обмене данными с клиентами (если возможно)
    • Windows Server 2003 групповая политика: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ параметры безопасности \ клиент сети Microsoft: использовать цифровую подпись (с согласия сервера)
  • RequireSecuritySignature (клиент) объекта групповой Политики:
    • Расположение в реестре Windows 2000 и Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Групповой политики Windows 2000: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ параметры безопасности: использовать цифровую подпись (всегда) подключения клиента
    • Windows Server 2003: Конфигурация компьютера \ параметры Windows \ параметры безопасности \ клиент сети Microsoft безопасности безопасности: использовать цифровую подпись (всегда)<b00> </b00>
  • EnableSecuritySignature (сервер) объекта групповой Политики:
    • Расположение в реестре Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Расположение в реестре Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Групповой политики Windows 2000: подписывать обмене данными между серверами (если возможно)
    • Windows Server 2003 групповая политика: сервер сети Microsoft: использовать цифровую подпись (с согласия клиента)<b00> </b00>
  • RequireSecuritySignature (сервер) объекта групповой Политики:
    • Расположение в реестре Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Расположение в реестре Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Групповой политики Windows 2000: использовать цифровую подпись (всегда) связи сервера
    • Windows Server 2003 групповая политика: сервер сети Microsoft: использовать цифровую подпись (всегда)<b00> </b00>
  • RequireSignOrSeal GPO:
    • Расположение в реестре Windows NT, Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповой политики Windows 2000: Цифровая подпись или шифрование потока данных безопасного канала (всегда)
    • Windows Server2003 групповой политики: член домена: цифровая подпись или шифрование потока данных безопасного канала (всегда)<b00> </b00>
  • SealSecureChannel групповой Политики:
    • Расположение в реестре Windows NT, Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповой политики Windows 2000: безопасного канала: шифрование данных безопасного канала (если возможно)<b00> </b00>
    • Windows Server 2003 групповая политика: член домена: шифрование данных безопасного канала (если возможно)
  • SignSecureChannel групповой Политики:
    • Расположение в реестре Windows NT, Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповой политики Windows 2000: безопасного канала: цифровая подпись данных безопасного канала (если возможно)
    • Windows Server 2003 групповая политика: член домена: цифровая подпись данных безопасного канала (если возможно)
  • RequireStrongKey групповой Политики:
    • Расположение в реестре Windows NT, Windows 2000 и Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповой политики Windows 2000: безопасного канала: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)
    • Windows Server 2003 групповая политика: член домена: требует стойкого ключа сеанса (Windows 2000 или более поздней версии)

Windows Server 2008

На контроллере домена под управлением Windows Server 2008 по умолчанию параметр политики Разрешить криптографические алгоритмы, совместимые с Windows NT 4.0 может вызвать проблемы. Этот параметр запрещает использование слабых криптографических алгоритмов для установления канала безопасности NETLOGON на контроллерах домена под управлением Windows Server 2008 операционные системы Windows и независимых клиентов. Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
942564 Может произойти сбой при попытке установить канал безопасности на контроллере домена под управлением Windows Server 2008, операции с помощью службы входа в сеть компьютера с системой Windows NT 4.0

Ссылки

Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
257942 Сообщение об ошибке: Не удается выполнить просмотр выбранного домена из-за следующей ошибки...
246261 Использование параметра реестра RestrictAnonymous в Windows 2000
258595 Gpresult не отображает результирующую политику безопасности
823659 Клиент, служба и несовместимости программы, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей
278259 Группа «Все» включает анонимный идентификатор

Свойства

Код статьи: 889030 - Последний отзыв: 9 февраля 2014 г. - Revision: 6.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Ключевые слова: 
kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.
Эта статья на английском языке: 889030

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com