เชื่อถือระหว่างโดเมน Windows NT และไม่สามารถสร้างโดเมน Active Directory มี หรือไม่ได้ตามที่คาดไว้

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 889030 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

อาการ

ถ้าคุณพยายามที่จะตั้งค่าความน่าเชื่อถือระหว่างโดเมนที่ใช้ Microsoft Windows NT 4.0 และในโดเมนที่ใช้ Active Directory คุณอาจพบอาการต่อไปนี้เป็น:
  • ไม่ได้สร้างการเชื่อถือ
  • ความน่าเชื่อถือถูกสร้าง แต่ความน่าเชื่อถือจะไม่ทำงานอย่างที่คาดไว้
นอกจากนี้ คุณอาจได้รับการข้อความแสดงข้อผิดพลาดต่อไปนี้:
เกิดข้อผิดพลาดต่อไปนี้ขึ้นขณะพยายามเข้าร่วมโดเมน"domain_name": บัญชีผู้ใช้ไม่ได้รับการอนุญาตให้เข้าสู่ระบบจากสถานีดังกล่าวนี้
ปฏิเสธการเข้าใช้งาน
ไม่มีตัวควบคุมโดเมนไม่สามารถติดต่อ
เข้าสู่ระบบล้มเหลว: ชื่อผู้ใช้ที่ไม่รู้จักหรือรหัสผ่านที่ไม่ถูกต้อง
เมื่อคุณใช้เบิกวัตถุผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์เพื่อเพิ่มผู้ใช้จากโดเมนของ NT 4.0 Active Directory โดเมน คุณสามารถรับข้อความแสดงข้อผิดพลาดต่อไปนี้:
มีรายการที่ตรงกับการค้นหาปัจจุบัน ตรวจสอบพารามิเตอร์การค้นหาของคุณ และลองอีกครั้ง

สาเหตุ

ปัญหานี้เกิดขึ้นเนื่องจากปัญหาการตั้งค่าคอนฟิกในหนึ่งพื้นที่ต่อไปนี้:
  • แก้ปัญหาชื่อ
  • การตั้งค่าการรักษาความปลอดภัย
  • สิทธิ์ของผู้ใช้
  • สมาชิกของกลุ่มสำหรับ Microsoft Windows 2000 หรือ Microsoft Windows Server 2003
เมื่อต้องการระบุสาเหตุของปัญหาได้อย่างถูกต้อง คุณต้องแก้ไขการกำหนดค่าความน่าเชื่อถือ

การแก้ไข

ถ้าคุณได้รับข้อความแสดงข้อผิดพลาด "ไม่มีรายการที่ตรงกับการค้นหาปัจจุบัน" เมื่อคุณใช้เบิกวัตถุผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ ตรวจสอบให้แน่ใจว่า ตัวควบคุมโดเมนในโดเมนของ NT 4.0 รวมEveryoneในการการเข้าถึงคอมพิวเตอร์เครื่องนี้จากผู้ใช้เครือข่ายด้านขวา ในสถานการณ์สมมตินี้ เบิกวัตถุพยายามเชื่อมต่อลับต่าง ๆ น่าเชื่อถือ การตรวจสอบเหล่านี้ ssettings ทำตามขั้นตอนในการ "วิธีการสาม: ตรวจสอบสิทธิของผู้ใช้" ส่วน

เมื่อต้องการแก้ไขความน่าเชื่อถือออกการตั้งค่าคอนฟิกระหว่างโดเมนที่ใช้ Windows NT 4.0 และไดเรกทอรีที่ใช้งานอยู่ คุณต้องตรวจสอบการกำหนดค่าที่ถูกต้องของพื้นที่ต่อไปนี้:
  • แก้ปัญหาชื่อ
  • การตั้งค่าการรักษาความปลอดภัย
  • สิทธิ์ของผู้ใช้
  • สมาชิกของกลุ่มสำหรับ Microsoft Windows 2000 หรือ Microsoft Windows Server 2003
เมื่อต้องการทำเช่นนี้ ใช้วิธีการต่อไปนี้

วิธีการอย่างหนึ่งอย่าง: การตรวจสอบการกำหนดค่าที่ถูกต้องของการจำแนกชื่อ

ขั้นตอนที่หนึ่ง: สร้างแฟ้มการ LMHOSTS

สร้างแฟ้มการ LMHOSTS บนตัวควบคุมโดเมนหลักเพื่อให้มีความสามารถในการแก้ปัญหาชื่อข้ามโดเมน The LMHOSTS file is a text file that you can edit with any text editor, such as Notepad. The LMHOSTS file on each domain controller must contain the TCP/IP address, the domain name, and the \0x1b entry of the other domain controller.For more information about how to create the LMHOSTS file, click the following article number to view the article in the Microsoft Knowledge Base:
180094How to write an LMHOSTS file for domain validation
After you create the LMHOSTS file, follow these steps:
  1. Modify the file so that it contains text that is similar to the following text:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE
    1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE
    2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE
    2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    
    หมายเหตุ:There must be a total of 20 characters and spaces between the quotation marks (" ") for the \0x1b entry. Add spaces after the domain name so that it uses 15 characters. The 16th character is the backslash that is followed by the "0x1b" value, and this makes a total of 20 characters.
  2. When you finish the changes to the LMHOSTS file, save the file to theSystemRoot %%\System32\Drivers\Etc folder on the domain controllers.
For more information about the LMHOSTS file, view the Lmhosts.sam sample file that is located in theSystemRoot %%\System32\Drivers\Etc folder.

Step two: Load the LMHOSTS file into the cache

  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
  2. ที่พรอมต์คำสั่ง พิมพ์:NBTSTAT -Rแล้ว กด ENTER This command loads the LMHOSTS file into the cache.
  3. ที่พรอมต์คำสั่ง พิมพ์:NBTSTAT -cแล้ว กด ENTER This command displays the cache. If the file is written correctly, the cache is similar to the following:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1 
    NT4PDCName <20> UNIQUE 1.1.1.1 -1 
    NT4DomainName <1C> GROUP 1.1.1.1 -1 
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1 
    W2KPDCName <00> UNIQUE 2.2.2.2 -1 
    W2KPDCName <20> UNIQUE 2.2.2.2 -1 
    W2KDomainName <1C> GROUP 2.2.2.2 -1 
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    If the file does not populate the cache correctly, continue with the next step.

Step three: Make sure that the LMHOSTS lookup is enabled on the Windows NT 4.0-based computer

If the file does not populate the cache correctly, make sure that LMHOSTS lookup is enabled on the Windows NT 4.0-based computer. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. คลิกเริ่มการทำงานชี้ไปที่การตั้งค่าแล้ว คลิกแผงควบคุม.
  2. คลิกสองครั้งเครือข่ายคลิกการโพรโทคอลแท็บ และจากนั้น คลิกสองครั้งTCP/IP Protocol.
  3. คลิกการWINS Addresstab, and then click to select theEnable LMHOSTS Lookupกล่องกาเครื่องหมาย
  4. เริ่มต้นระบบคอมพิวเตอร์ใหม่
  5. Repeat the steps in the "Load the LMHOSTS file into the cache" section.
  6. If the file does not populate the cache correctly, make sure that the LMHOSTS file is in theSystemRoot %%\System32\Drivers\Etc folder and that the file is formatted correctly.

    For example, the file must be formatted similar to the following example formatting:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE
    1.1.1.1	 "NT4DomainName  \0x1b"			#PRE
    2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE
    2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    
    หมายเหตุ:There must be a total of 20 characters and spaces inside the quotations marks (" ") for the Domain name and \0x1b entry.

Step four: Use the Ping command to test connectivity

When the file populates the cache correctly on each server, use the Ping command on each server to test connectivity between the servers. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
  2. ที่พรอมต์คำสั่ง พิมพ์:PingName_Of_Domain_Controller_You_Want_To_Connect_Toแล้ว กด ENTER If the Ping command does not work, make sure that the correct IP addresses are listed in the LMHOSTS file.
  3. ที่พรอมต์คำสั่ง พิมพ์:net viewName_Of_Domain_Controller_You_Want_To_Connect_Toแล้ว กด ENTER It is expected that you receive the following error message:
    เกิดข้อผิดพลาดของระบบ 5 Access is denied
    ถ้าการnet viewcommand returns the following error message or any other related error message, make sure that the correct IP addresses are listed in the LMHOSTS file:
    System error 53 has occurred. The network path was not found
Alternatively, Windows Internet Name Service (WINS) can be configured to enable name resolution functionality without using a LMHOSTS file.For more information about how to use WINS for name resolution, click the following article number to view the article in the Microsoft Knowledge Base:
185786Recommended practices for WINS

Method two: View security settings

Typically, the Active Directory side of the trust configuration has security settings that cause connectivity problems. However, the security settings must be inspected on both sides of the trust.

Step one: View security settings on Windows 2000 Server and Windows Server 2003

In Windows 2000 Server and Windows Server 2003, the security settings may be applied or configured by Group Policy, a local policy, or an applied security template.

You must use the correct tools to determine the current values of the security settings to avoid inaccurate readings.

To obtain an accurate reading of the current security settings, use the following methods:
  • In Windows 2000 Server, use the Security Configuration and Analysis snap-in.For more information about how to determine the current security policy on a Windows 2000-based computer, click the following article number to view the article in the Microsoft Knowledge Base:
    258595Gpresult ไม่ระบุนโยบายการรักษาความปลอดภัยของคอมพิวเตอร์ resultant
  • ใน Windows Server 2003 การใช้เป็นการกำหนดค่าการรักษาความปลอดภัยและการวิเคราะห์สแนปอิน หรือการเอาชุดของนโยบาย (RSoP) ลสแนปสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้สแน็ปอินเอาตั้งค่าของนโยบาย คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    323276วิธีการติดตั้ง และใช้ RSoP ใน Windows Server 2003
หลังจากที่คุณระบุการตั้งค่าปัจจุบันได้ คุณต้องระบุนโยบายที่ถูกประยุกต์ใช้การตั้งค่า ตัวอย่างเช่น คุณต้องกำหนดนโยบายกลุ่มใน Active Directory หรือการตั้งค่าภายในที่ตั้งค่านโยบายความปลอดภัย

ใน Windows Server 2003 นโยบายที่กำหนดค่าการรักษาความปลอดภัยจะถูกระบุ ด้วยเครื่องมือ RSoP อย่างไรก็ตาม ใน Windows 2000 คุณต้องดูนโยบายกลุ่มและนโยบายภายในเพื่อกำหนดนโยบายที่ประกอบด้วยการตั้งค่าการรักษาความปลอดภัย:
  • เมื่อต้องการดูการตั้งค่า Group Policy คุณต้องเปิดใช้การบันทึกผลลัพธ์สำหรับการตั้งค่าคอนฟิก Client Microsoft การรักษาความปลอดภัย 2000 Windows ในระหว่างการประมวลผลนโยบายกลุ่มสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเปิดใช้งานการบันทึกผลลัพธ์สำหรับการตั้งค่าคอนฟิก Client Microsoft การรักษาความปลอดภัย 2000 Windows ในระหว่างการประมวลผลนโยบายกลุ่ม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    245422วิธีการเปิดใช้งานการบันทึกสำหรับไคลเอ็นต์การตั้งค่าคอนฟิกความปลอดภัยการประมวลผลใน Windows 2000
  • ดูบันทึกของโปรแกรมประยุกต์ในตัวแสดงเหตุการณ์ และค้นหารหัสเหตุการณ์ 1000 และเหตุการณ์ 1202 รหัสFor more information about event ID 1000 and event ID 1202, click the following article number to view the article in the Microsoft Knowledge Base:
    319352Event ID 1000 and event ID 1202 are logged to the event log every five minutes in Windows 2000 Server
The following three sections identify the operating system and list the security settings that you must verify for the operating system in the information that you have collected:
Windows 2000:
Make sure that the following settings are configured as shown.

RestrictAnonymous:
ยุบตารางนี้ขยายตารางนี้
Additional restrictions for anonymous connections"None. Rely on default permissions"
LM Compatibility:
ยุบตารางนี้ขยายตารางนี้
LAN Manager authentication level"Send NTLM response only"
SMB Signing, SMB Encrypting, or both:
ยุบตารางนี้ขยายตารางนี้
Digitally sign client communications (always)DISABLED
Digitally sign client communications (when it is possible)ENABLED
Digitally sign server communications (always)DISABLED
Digitally sign server communications (when it is possible)ENABLED
Secure channel: Digitally encrypt or sign secure channel data (always)DISABLED
Secure channel: Digitally encrypt secure channel data (when it is possible)DISABLED
Secure channel: Digitally sign secure channel data (when it is possible)DISABLED
Secure channel: Require strong (Windows 2000 or later) session keyDISABLED
Windows Server 2003
Make sure that the following settings are configured as shown.

RestrictAnonymous and RestrictAnonymousSam:
ยุบตารางนี้ขยายตารางนี้
Network access: Allow anonymous SID/Name translationENABLED
Network access: Do not allow anonymous enumeration of SAM accountsDISABLED
Network access: Do not allow anonymous enumeration of SAM accounts and sharesDISABLED
Network access: Let Everyone permissions apply to anonymous usersENABLED
Network access: Named pipes can be accessed anonymouslyENABLED
Network access: Restrict anonymous access to Named Pipes and sharesDISABLED
หมายเหตุ:โดยค่าเริ่มต้น ค่าของการการเข้าถึงของเครือข่าย: อนุญาตให้มีการแปล SID/ชื่อ ที่ไม่ระบุชื่อsetting is DISABLED in Windows Server 2008.สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
942428Windows Server 2003 domain controllers let anonymous users resolve a security identifier (SID) to a user name
LM Compatibility:
ยุบตารางนี้ขยายตารางนี้
Network security: LAN Manager authentication level"Send NTLM response only"
SMB Signing, SMB Encrypting, or both:
ยุบตารางนี้ขยายตารางนี้
Microsoft network client: Digitally sign communications (always)DISABLED
Microsoft network client: Digitally sign communications (if server agrees)ENABLED
Microsoft network server: Digitally sign communications (always)DISABLED
Microsoft network server: Digitally sign communications (if client agrees)ENABLED
Domain member: Digitally encrypt or sign secure channel data (always)DISABLED
Domain member: Digitally encrypt secure channel data (when it is possible)ENABLED
Domain member: Digitally sign secure channel data (when it is possible)ENABLED
Domain member: Require strong (Windows 2000 or later) session keyDISABLED
After the settings are configured correctly, you must restart your computer. The security settings are not enforced until the computer is restarted.

After the computer restarts, wait 10 minutes to make sure that all security policies are applied and the effective settings are configured. We recommend that you wait 10 minutes because Active Directory policy updates occur every 5 minutes on a domain controller, and the update may change the security setting values. After 10 minutes, use Security Configuration and Analysis or another tool to examine the security settings in Windows 2000 and Windows Server 2003.

Windows NT 4.0

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows
In Windows NT 4.0, the current security settings must be verified by using the Regedt32 tool to view the registry. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:regedt32แล้ว คลิกตกลง.
  2. Expand the following registry subkeys, and then view the value that is assigned to the RestrictAnonymous entry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Expand the following registry subkeys, and then view the value that is assigned to the LM Compatibility entry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Expand the following registry subkeys, and then view the value that is assigned to the EnableSecuritySignature (server) entry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Expand the following registry subkeys, and then view the value that is assigned to the RequireSecuritySignature (server) entry:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Expand the following registry subkeys, and then view the value that is assigned to the RequireSignOrSeal entry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Expand the following registry subkeys, and then view the value that is assigned to the SealSecureChannel entry:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. ขยายคีย์ย่อยของรีจิสทรีต่อไปนี้ และดูค่าที่ถูกกำหนดให้กับรายการ SignSecureChannel แล้ว:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. ขยายคีย์ย่อยของรีจิสทรีต่อไปนี้ และดูค่าที่ถูกกำหนดให้กับรายการ RequireStrongKey แล้ว:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

วิธีการสาม: ตรวจสอบสิทธิของผู้ใช้

เมื่อต้องการตรวจสอบสิทธิ์ของผู้ใช้บนคอมพิวเตอร์ที่ใช้ Windows 2000 ดำเนินการดังต่อไปนี้:
  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกนโยบายการรักษาความปลอดภัยท้องถิ่น.
  2. ขยายนโยบายท้องถิ่นแล้ว คลิกการกำหนดสิทธิ์ของผู้ใช้.
  3. ในบานหน้าต่าง'ขวา' คลิกสองครั้งการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย.
  4. คลิกเพื่อเลือกนั้นการตั้งค่านโยบายท้องถิ่นกล่องกาเครื่องหมายที่อยู่ถัดจากนั้นEveryoneจัดกลุ่มในการกำหนดให้กับรายการ และจากนั้น คลิกตกลง.
  5. คลิกสองครั้งปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย.
  6. ตรวจสอบว่า ไม่มีกลุ่มหลักในการกำหนดให้กับรายการ และจากนั้น คลิกตกลง. ตัวอย่างเช่น ตรวจสอบให้แน่ใจว่าทุกคน ผู้ ใช้ที่มีการรับรองความถูกต้อง และ กลุ่มอื่น ไม่แสดง
  7. คลิกตกลงแล้ว ออกจากการรักษาความปลอดภัยท้องถิ่นนโยบาย
เมื่อต้องการตรวจสอบสิทธิ์ของผู้ใช้บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 ดำเนินการดังต่อไปนี้:
  1. คลิกเริ่มการทำงานชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกตัวควบคุมโดเมนนโยบายความปลอดภัย.
  2. ขยายนโยบายท้องถิ่นแล้ว คลิกการกำหนดสิทธิ์ของผู้ใช้.
  3. ในบานหน้าต่าง'ขวา' คลิกสองครั้งการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย.
  4. Make sure that the Everyone group is in theAccess this computer from the networkรายการ If the Everyone group is not listed, follow these steps:
    1. คลิกเพิ่มผู้ใช้หรือกลุ่ม.
    2. ในการUser and group namesกล่อง ชนิดEveryoneแล้ว คลิกตกลง.
  5. คลิกสองครั้งDeny access to this computer from the network.
  6. Verify that there are no principle groups in theDeny access to this computer from the networklist, and then clickตกลง. For example, make sure that Everyone, Authenticated Users, and other groups, are not listed.
  7. คลิกตกลง, and then close the Domain Controller Security Policy.
To verify the required user rights on a Windows NT Server 4.0-based computer, follow these steps:
  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกตัวจัดการผู้ใช้สำหรับโดเมน.
  2. ในการนโยบายเมนู คลิกUser Rights.
  3. ในการRightรายการ คลิกAccess this computer from the network.
  4. ในการGrant tobox, make sure that the Everyone group is added. If the Everyone group is not added, follow these steps:
    1. คลิกadd.
    2. ในการชื่อรายการ คลิกEveryoneคลิกaddแล้ว คลิกตกลง.
  5. คลิกตกลง, and then quit User Manager.

Method four: Verify group membership

If a trust is set up between the domains, but you cannot add principle user groups from one domain to the other because the dialog box does not locate the other domain objects, the "Pre-Windows 2000 compatible access" group may not have the correct membership.

On the Windows 2000-based domain controllers and the Windows Server 2003-based domain controllers, make sure that the required group memberships are configured.

To do this on the Windows 2000-based domain controllers, follow these steps:
  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.
  2. คลิกBuilt inแล้ว คลิกสองครั้งPre-Windows 2000 compatible access group.
  3. คลิกการสมาชิกtab, and then make sure that the Everyone group is in theสมาชิกรายการ
  4. If the Everyone group is not in theสมาชิกรายการ ทำตามขั้นตอนเหล่านี้:
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
    2. ที่พรอมต์คำสั่ง พิมพ์:net localgroup "Pre-Windows 2000 Compatible Access" everyone /addแล้ว กด ENTER
To make sure that the required group memberships are configured on the Windows Server 2003-based domain controllers, you must know if the "Network access: Let Everyone permissions apply to anonymous users" policy setting is disabled. If you do not know, use the Group Policy Object Editor to determine the state of the "Network access: Let Everyone permissions apply to anonymous users" policy setting. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:gpedit.mscแล้ว คลิกตกลง.
  2. Expand the following folders:
    นโยบายคอมพิวเตอร์เฉพาะที่
    การกำหนดค่าคอมพิวเตอร์
    การตั้งค่า windows
    การตั้งค่าการรักษาความปลอดภัย
    นโยบายท้องถิ่น
  3. คลิกตัวเลือกการรักษาความปลอดภัยแล้ว คลิกNetwork access: Let Everyone permissions apply to anonymous usersในบานหน้าต่างด้านขวา
  4. Note if the value in theSecurity Settingcolumn isที่ปิดใช้งานหรือที่เปิดใช้งาน.
To make sure that the required group memberships are configured on the Windows Server 2003-based domain controllers, follow these steps:
  1. คลิกเริ่มการทำงานชี้ไปที่โปรแกรมชี้ไปที่เครื่องมือการดูแลระบบแล้ว คลิกผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์.
  2. คลิกBuilt inแล้ว คลิกสองครั้งPre-Windows 2000 compatible access group.
  3. คลิกการสมาชิกแท็บ
  4. ถ้าการNetwork access: Let Everyone permissions apply to anonymous userspolicy setting is disabled, make sure that the Everyone, Anonymous Logon group is in theสมาชิกรายการ If the "Network access: Let Everyone permissions apply to anonymous users" policy setting is enabled, make sure that the Everyone group is in theสมาชิกรายการ
  5. If the Everyone group is not in theสมาชิกรายการ ทำตามขั้นตอนเหล่านี้:
    1. คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdแล้ว คลิกตกลง.
    2. ที่พรอมต์คำสั่ง พิมพ์:net localgroup "Pre-Windows 2000 Compatible Access" everyone /addแล้ว กด ENTER

Method five: Verify connectivity through network devices, such as firewalls, switches, or routers

If you have received error messages that are similar to the following error message and you have verified that the LMHOST files are correct, the issue may be caused by a firewall, router or switch that has blocked ports between the domain controllers:
No domain controller could be contacted
To troubleshoot network devices, use PortQry Command Line Port Scanner version 2.0 to test the ports between your domain controllers.For more information about PortQry version 2, click the following article number to view the article in the Microsoft Knowledge Base:
832919คุณลักษณะและฟังก์ชันการทำงานใหม่ๆ ของ PortQry รุ่น 2.0
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีพอร์ตที่ต้องถูกกำหนดค่า คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
179442วิธีการกำหนดค่าไฟร์วอลล์สำหรับโดเมนและ trusts

วิธีการ six: รวบรวมข้อมูลเพิ่มเติมเพื่อช่วยแก้ไขปัญหา

ถ้าวิธีการก่อนหน้านี้ไม่สามารถช่วยคุณแก้ปัญหานี้ เก็บรวบรวมข้อมูลเพิ่มเติมต่อไปนี้เพื่อช่วยคุณแก้ไขสาเหตุของปัญหา:
  • การเปิดใช้งาน netlogon จะเข้าสู่ระบบในตัวควบคุมโดเมนทั้งสองสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเข้าสู่ระบบ netlogon จะเสร็จสมบูรณ์แล้ว คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    109626การเปิดใช้งานการบันทึกการตรวจแก้จุดบกพร่องสำหรับบริการการเข้าสู่ระบบสุทธิ
  • จับภาพการสืบค้นกลับบนตัวควบคุมโดเมนทั้งในเวลาเดียวกันที่เกิดปัญหาสำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจับภาพการรับส่งข้อมูลเครือข่าย คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    812953วิธีการใช้การตรวจสอบเครือข่ายเพื่อจับภาพการรับส่งข้อมูลเครือข่าย

ข้อมูลเพิ่มเติม

รายการต่อไปนี้ของวัตถุนโยบายกลุ่ม (GPOs) แสดงตำแหน่งที่ตั้งของรายการรีจิสทรีที่สอดคล้องกันและ Group Policy ในระบบปฏิบัติการเกี่ยวข้อง:
  • การ RestrictAnonymous วัตถุนโยบายกลุ่ม:
    • ตำแหน่งของรีจิสทรี windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • windows 2000 และ Windows Server 2003 รีจิสทรีตำแหน่ง:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • windows 2000 Group Policy:คอมพิวเตอร์ตั้งค่าคอนฟิก \ การตั้งค่า Windows \ การตั้งค่าการรักษาความปลอดภัย \ ข้อจำกัดตัวเลือกการรักษาความปลอดภัยเพิ่มเติมสำหรับการเชื่อมต่อแบบไม่ระบุชื่อ
    • คอมพิวเตอร์ของนโยบาย กลุ่ม 2003 Server ของ Windows: การกำหนดค่า \ การตั้งค่า Windows \ การตั้งค่าการรักษาความปลอดภัย \ เครือข่ายตัวเลือกการรักษาความปลอดภัยการเข้าถึง: ไม่อนุญาตการแจงนับแบบไม่ระบุชื่อของ SAM บัญชีและการใช้งานร่วมกัน
  • การ RestrictAnonymousSAM วัตถุนโยบายกลุ่ม:
    • ตำแหน่งของการรีจิสทรีของ windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options Network access: Do not allow anonymous enumeration of SAM accounts and shares
  • The EveryoneIncludesAnonymous GPO:
    • Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options Network access: Let Everyone permissions apply to anonymous users
  • The LM Compatibility GPO:
    • Windows NT, Windows 2000, and Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options: LAN Manager authentication level
    • Windows Server 2003 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options\Network security: LAN Manager authentication level
  • The EnableSecuritySignature (client) GPO:
    • Windows 2000 and Windows Server 2003 registry location: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options: Digitally sign client communication (when possible)
    • Windows Server 2003 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options \ Microsoft network client: Digitally sign communications (if server agrees)
  • The RequireSecuritySignature (client) GPO:
    • Windows 2000 and Windows Server 2003 registry location:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 Group Policy:Computer Configuration \ Windows Settings \ Security Settings \ Security Options: Digitally sign client communication (always)
    • Windows Server 2003:Computer Configuration \ Windows Settings \ Security Settings \ Security Options\ Microsoft network client: Digitally sign communications (always)
  • The EnableSecuritySignature (server) GPO:
    • Windows NT registry location:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 and Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 Group Policy:Digitally sign server communication (when possible)
    • Windows Server 2003 Group Policy:Microsoft network server: Digitally sign communications (if client agrees)
  • The RequireSecuritySignature (server) GPO:
    • Windows NT registry location:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 and Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 Group Policy:Digitally sign server communication (always)
    • Windows Server 2003 Group Policy:Microsoft network server: Digitally sign communications (always)
  • The RequireSignOrSeal GPO:
    • Windows NT, Windows 2000, and Windows Server2003 registry location:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy:Digitally encrypt or sign secure channel data (always)
    • Windows Server2003 Group Policy:Domain member: Digitally encrypt or sign secure channel data (always)
  • The SealSecureChannel GPO:
    • Windows NT, Windows 2000, and Windows Server2003 registry location:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy:Secure channel: Digitally encrypt secure channel data (when possible)
    • Windows Server 2003 Group Policy:Domain member: Digitally encrypt secure channel data (when possible)
  • The SignSecureChannel GPO:
    • Windows NT, Windows 2000, and Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy:Secure channel: Digitally sign secure channel data (when possible)
    • Windows Server 2003 Group Policy:Domain member: Digitally sign secure channel data (when possible)
  • The RequireStrongKey GPO:
    • Windows NT, Windows 2000, and Windows Server 2003 registry location:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy:Secure channel: Require strong (Windows 2000 or later) session key
    • Windows Server 2003 Group Policy:Domain member: Require strong (Windows 2000 or later) session key

windows Server 2008

On a domain controller that is running Windows Server 2008, the default behavior of theAllow cryptography algorithms compatible with Windows NT 4.0policy setting may cause a problem. This setting prevents both Windows operating systems and third-party clients from using weak cryptography algorithms to establish NETLOGON security channels to Windows Server 2008-based domain controllers.สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
942564When a Windows NT 4.0-based computer tries to use the NETLOGON service to establish a security channel to a Windows Server 2008-based domain controller, the operation may fail

ข้อมูลอ้างอิง

หากต้องการทราบข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
257942ข้อความแสดงข้อผิดพลาด: ไม่สามารถเรียกดูโดเมนที่เลือกได้เนื่องจากเกิดข้อผิดพลาดต่อไปนี้...
246261วิธีการใช้ค่ารีจิสทรี RestrictAnonymous ใน Windows 2000
258595Gpresult ไม่ระบุนโยบายการรักษาความปลอดภัยของคอมพิวเตอร์เอา
823659ความเข้ากันไม่ได้ระหว่างไคลเอ็นต์ บริการและโปรแกรมที่อาจเกิดขึ้นได้เมื่อคุณปรับเปลี่ยนการตั้งค่าความปลอดภัยและการกำหนดสิทธิผู้ใช้
278259ทุกคนกลุ่มไม่มีการระบุความปลอดภัยที่ไม่ระบุชื่อ

คุณสมบัติ

หมายเลขบทความ (Article ID): 889030 - รีวิวครั้งสุดท้าย: 15 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Keywords: 
kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:889030

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com