ثقة بين مجال Windows NT وتعذر إنشاء مجال "Active Directory" أو لا يعمل كما هو متوقع


الأعراض


إذا حاولت إنشاء علاقة ثقة بين مجال المستندة إلى نظام التشغيل Microsoft Windows NT 4.0 ومجال المستندة إلى Active Directory، قد تواجه أيا من الأعراض التالية:
  • لم يتم تأسيس الثقة.
  • يتم تأسيس الثقة، ولكن الثقة لا يعمل كما هو متوقع.
بالإضافة إلى ذلك، قد تظهر أي من رسائل الخطأ التالية:
حدث الخطأ التالي أثناء محاولة الانضمام إلى المجال "ثم انقر فوق خصائص": الحساب غير مخول لتسجيل الدخول من هذه المحطة.
تم رفض الوصول.
تعذر الاتصال بأي وحدة تحكم المجال.
فشل تسجيل الدخول: اسم مستخدم غير معروف أو كلمة مرور غير صالحة.
عند استخدام منتقي الكائنات في Active Directory Users and Computers لإضافة مستخدمين من مجال NT 4.0 إلى مجال "Active Directory"، قد تتلقى رسالة الخطأ التالية:
لا توجد عناصر تطابق البحث الحالي. التحقق من معلمات البحث، ثم أعد المحاولة.

السبب


تحدث هذه المشكلة بسبب وجود مشكلة تكوين في أي من المجالات التالية:
  • تحليل الاسم
  • إعدادات الأمان
  • حقوق المستخدم
  • عضوية المجموعة لنظام التشغيل Microsoft Windows 2000 أو نظام التشغيل Microsoft Windows Server 2003
لتحديد سبب المشكلة بشكل صحيح، يجب استكشاف أخطاء تكوين الثقة.

الحل


إذا تلقيت رسالة الخطأ "لا توجد عناصر تطابق البحث الحالي" عند استخدام منتقي الكائنات في Active Directory Users and Computers، تأكد من أن وحدات تحكم المجال في مجال NT 4.0 تشمل الجميع في حق الوصول إلى هذا الكمبيوتر من شبكة الاتصال المستخدم . في هذا السيناريو، يحاول الاتصال مجهول عبر الثقة "منتقي الكائنات". للتحقق من هذه سيتينجس، اتبع الخطوات الموجودة في "أسلوب ثلاثة: تحقق من حقوق المستخدم" المقطع.

استكشاف أخطاء مشاكل تكوين ثقة بين مجال المستندة إلى Windows NT 4.0 و "Active Directory"، يجب التحقق من التكوين الصحيح للمجالات التالية:
  • تحليل الاسم
  • إعدادات الأمان
  • حقوق المستخدم
  • عضوية المجموعة لنظام التشغيل Microsoft Windows 2000 أو نظام التشغيل Microsoft Windows Server 2003
للقيام بذلك، استخدم الطرق التالية.

أسلوب واحد: التحقق من تكوين تحليل الاسم الصحيح

الخطوة الأولى: إنشاء ملف LMHOSTS

قم بإنشاء ملف LMHOSTS على وحدات تحكم المجال الأساسي لتوفير القدرة على تحليل الاسم عبر المجال. الملف LMHOSTS هو ملف نصي يمكن تحريره باستخدام أي محرر نصوص، مثل "المفكرة". يجب أن يحتوي ملف LMHOSTS على كل وحدة تحكم مجال الإدخال \0x1b لوحدة تحكم المجال واسم المجال أو عنوان TCP/IP.
لمزيد من المعلومات حول كيفية إنشاء ملف LMHOSTS، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
كيفية كتابة ملف LMHOSTS للتحقق من صحة المجال 180094

بعد إنشاء ملف LMHOSTS، اتبع الخطوات التالية:
  1. قم بتعديل الملف حيث يحتوي على نص مشابه للنص التالي:
    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    ملاحظة: يجب أن يكون هناك ما مجموعة 20 حرفاً والمسافات بين علامات اقتباس ("") لإدخال \0x1b. إضافة مسافات بعد اسم المجال حيث يستخدم 15 حرفاً. الحرف السادس عشر الخط المائل العكسي متبوعاً بالقيمة "0x1b"، وهذا يجعل إجمالي 20 حرفاً.
  2. عند الانتهاء من التغييرات إلى الملف LMHOSTS، حفظ الملف إلى المجلد % SystemRoot %\System32\Drivers\Etc على وحدات التحكم بالمجال.
لمزيد من المعلومات حول الملف LMHOSTS، عرض ملف نموذج Lmhosts.sam الذي يقع في
مجلد \System32\Drivers\Etc % SystemRoot %.

الخطوة الثانية: تحميل الملف LMHOSTS في ذاكرة التخزين المؤقت

  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب cmdوثم انقر فوق موافق.
  2. في موجه الأوامر، اكتب NBTSTAT-Rومن ثم اضغط ENTER. هذا الأمر بتحميل الملف LMHOSTS إلى ذاكرة التخزين المؤقت.
  3. في موجه الأوامر، اكتب NBTSTAT-cومن ثم اضغط ENTER. يعرض هذا الأمر ذاكرة التخزين المؤقت. في حالة كتابة الملف بشكل صحيح، ذاكرة التخزين المؤقت مشابهة لما يلي:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    إذا كان الملف لا ملء ذاكرة التخزين المؤقت بشكل صحيح، تابع الخطوة التالية.

الخطوة الثالثة: تأكد من أنه تم تمكين البحث عن LMHOSTS على كمبيوتر يستند إلى نظام التشغيل Windows NT 4.0

إذا كان الملف لا ملء ذاكرة التخزين المؤقت بشكل صحيح، تأكد من تمكين البحث عن LMHOSTS هذا على كمبيوتر يستند إلى نظام التشغيل Windows NT 4.0. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    إعدادات، ثم انقر فوق لوحة التحكم.
  2. انقر نقراً مزدوجاً فوق الشبكات، انقر فوق
    بروتوكولات علامة التبويب، وانقر نقراً مزدوجاً فوق بروتوكول TCP/IP.
  3. انقر فوق علامة التبويب WINS عنوان ، وثم انقر لتحديد خانة الاختيار تمكين البحث عن LMHOSTS .
  4. قم بإعادة تشغيل جهاز الكمبيوتر.
  5. كرر الخطوات الموجودة في القسم "تحميل الملف LMHOSTS إلى ذاكرة التخزين المؤقت".
  6. إذا كان الملف لا ملء ذاكرة التخزين المؤقت بشكل صحيح، تأكد من أن الملف LMHOSTS في
    المجلد \System32\Drivers\Etc % SystemRoot %وأن الملف قد تم تنسيقه بشكل صحيح.

    على سبيل المثال، الملف يجب تهيئة مشابهة للمثال التالي التنسيق:
    1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
    1.1.1.1 "NT4DomainName \0x1b"#PRE
    2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
    2.2.2.2 "W2KDomainName \0x1b"#PRE

    ملاحظة: يجب أن يكون هناك ما مجموعة 20 حرفاً والمسافات داخل علامات اقتباس ("") لإدخال \0x1b واسم المجال.

الخطوة الرابعة: استخدم الأمر Ping لاختبار الاتصال

عند ملء الملف ذاكرة التخزين المؤقت بشكل صحيح على كل خادم، استخدم الأمر Ping على كل خادم لاختبار الاتصال بين الملقمات. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب cmdوثم انقر فوق موافق.
  2. في موجه الأوامر، اكتب الأمر Ping
    Name_Of_Domain_Controller_You_Want_To_Connect_Toومن ثم اضغط ENTER. إذا لم يعمل الأمر Ping، تأكد من أن عناوين IP صحيحة المسرودة في الملف LMHOSTS.
  3. في موجه الأوامر، اكتب net view
    Name_Of_Domain_Controller_You_Want_To_Connect_Toومن ثم اضغط ENTER. ومن المتوقع أن تتلقى رسالة الخطأ التالية:
    حدث خطأ في النظام 5. تم رفض الوصول
    إذا كان الأمر net view بإرجاع رسالة الخطأ التالية أو رسالة خطأ ذات صلة أخرى، تأكد من أن عناوين IP صحيحة المسرودة في الملف LMHOSTS:
    حدث خطأ في النظام 53. لم يتم العثور على مسار شبكة الاتصال
بدلاً من ذلك، يمكن تكوين خدمة اسم إنترنت Windows (WINS) لتمكين وظيفة دقة اسم دون استخدام ملف LMHOSTS. لمزيد من المعلومات حول كيفية استخدام WINS لتحليل الاسم، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
185786 الممارسات الموصى بها ل WINS

الطريقة الثانية: عرض إعدادات الأمان

عادة، لديها جوانب تكوين الثقة Active Directory إعدادات الأمان التي تسبب مشاكل في الاتصال. ومع ذلك، يجب فحص إعدادات الأمان على كلا الجانبين من علاقة الثقة.

الخطوة الأولى: عرض إعدادات الأمان في Windows 2000 Server و Windows Server 2003

في Windows 2000 Server و Windows Server 2003، قد تطبيق إعدادات الأمان أو تم تكوينها بنهج محلي أو "نهج المجموعة" قالب أمان المطبقة.

يجب استخدام الأدوات الصحيحة لتحديد القيم الحالية لإعدادات الأمان لتجنب قراءات غير دقيقة.

للحصول على قراءة بشكل دقيق من إعدادات الأمان الحالية، استخدم الطرق التالية:
  • في Windows 2000 Server، استخدم الأداة الإضافية تكوين وتحليل الأمان لمزيد من المعلومات حول كيفية تحديد نهج الأمان الحالي على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    258595 Gpresult لا تقوم بتعداد نهج أمان الكمبيوتر الناتجة

  • Windows Server 2003، يقوم "تكوين الأمان" والتحليل الإضافية، أو استخدام الأداة الإضافية '"المجموعة الناتجة من النهج" (RSoP).
    لمزيد من المعلومات حول كيفية استخدام الأداة الإضافية '"المجموعة الناتجة من النهج"، انقر فوق رقم المقالة التالي لعرضها في"قاعدة المعارف ل Microsoft":
    323276 كيفية تثبيت واستخدام RSoP في Windows Server 2003

بعد تحديد الإعدادات الحالية، يجب تحديد النهج الذي يتم تطبيق الإعدادات. على سبيل المثال، يجب عليك تحديد "نهج المجموعة" في "Active Directory"، أو الإعدادات المحلية التي تم تعيين نهج الأمان.

في Windows Server 2003، النهج الذي يعين قيم الأمن تم تعريفها بواسطة الأداة RSoP. ومع ذلك، يجب في نظام التشغيل Windows 2000 عرض "نهج المجموعة" والنهج المحلي لتحديد النهج الذي يحتوي على إعدادات الأمان:
  • لعرض إعدادات "نهج المجموعة"، يجب تمكين تسجيل الإخراج لعميل تكوين الأمان ل Microsoft Windows 2000 أثناء معالجة "نهج المجموعة".
    لمزيد من المعلومات حول كيفية تمكين تسجيل الإخراج لعميل تكوين الأمان ل Microsoft Windows 2000 أثناء معالجة "نهج المجموعة"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    كيفية تمكين تسجيل عميل تكوين الأمان المعالجة في Windows 2000 إلى 245422

  • عرض سجل التطبيق في "عارض الأحداث" والعثور على معرف الحدث 1000 ومعرف 1202 الحدث.
    لمزيد من المعلومات حول معرف الحدث 1000 ومعرف 1202 الأحداث، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    319352 معرف الحدث 1000 ومعرف 1202 الأحداث تسجيل إلى سجل الأحداث كل خمس دقائق في Windows 2000 Server

تحديد نظام التشغيل الأجزاء الثلاثة التالية وسرد إعدادات الأمان التي يجب التحقق من نظام التشغيل في المعلومات التي قمت بتجميعها:
Windows 2000
تأكد من تكوين الإعدادات التالية كما هو موضح.

RestrictAnonymous:
قيود إضافية للاتصالات المجهولة
"لا شيء. اعتماداً على الأذونات الافتراضية "
توافق LM:
مستوى مصادقة إدارة LAN"إرسال استجابة NTLM فقط"
توقيع SMB والتشفير SMB أو كليهما:
توقيع عميل الاتصالات رقمياً (دائماً)معطل
عميل الاتصالات رقمياً (عندما يكون ذلك ممكناً)تمكين
ملقم الاتصالات رقمياً (دوماً)معطل
ملقم الاتصالات رقمياً (عندما يكون ذلك ممكناً)تمكين
قناة آمنة: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياًمعطل
قناة آمنة: تشفير بيانات القناة المؤمنة رقمياً (عندما يكون ذلك ممكناً)معطل
قناة آمنة: بيانات مؤمنة رقمياً القناة (عندما يكون ذلك ممكناً)معطل
قناة آمنة: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)معطل
نظام التشغيل Windows Server 2003
تأكد من تكوين الإعدادات التالية كما هو موضح.


RestrictAnonymous وريستريكتانونيموسام:
الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهولتمكين
الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام الحساباتمعطل
الوصول إلى شبكة الاتصال: عدم السماح بالتعداد المجهول سام حسابات ومشاركاتمعطل
الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyoneتمكين
الوصول إلى شبكة الاتصال: توجيهات الإخراج المسماة التي يمكن الوصول مجهولتمكين
الوصول إلى الشبكة: تقييد الوصول إلى "ممرات البيانات المسماة" والمشاركاتمعطل
ملاحظة: بشكل افتراضي، القيمة الوصول إلى شبكة الاتصال: السماح بترجمة SID/Name المجهول تم تعطيل الإعداد في Windows Server 2008. للحصول على مزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
تسمح وحدات التحكم بالمجال Windows Server 2003 942428 المستخدمين المجهولين حل معرف أمان (SID) لاسم المستخدم

توافق LM:
أمان شبكة الاتصال: مستوى مصادقة إدارة LAN"إرسال استجابة NTLM فقط"
توقيع SMB والتشفير SMB أو كليهما:
عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)معطل
عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة الملقم)تمكين
ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)معطل
ملقم شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة العميل)تمكين
عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياًمعطل
عضو المجال: تشفير بيانات القناة المؤمنة رقمياً (عندما يكون ذلك ممكناً)تمكين
عضو المجال: بيانات مؤمنة رقمياً القناة (عندما يكون ذلك ممكناً)تمكين
عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)معطل
بعد تكوين الإعدادات بشكل صحيح، يجب إعادة تشغيل جهاز الكمبيوتر الخاص بك. لا يتم فرض إعدادات الأمان حتى يتم إعادة تشغيل الكمبيوتر.

بعد إعادة تشغيل الكمبيوتر، انتظر 10 دقائق للتأكد من أنه يتم تطبيق كافة نهج الأمان وتكوين إعدادات فعالة. نوصي بالانتظار مدة 10 دقائق لأن "خدمة active Directory" تحديثات النهج تحدث كل خمس دقائق على وحدة تحكم مجال والتحديث قد تتغير قيم إعداد الأمان. بعد عشر دقائق، استخدم تكوين وتحليل الأمان أو أداة أخرى لفحص إعدادات الأمان في نظام التشغيل Windows 2000 و Windows Server 2003.

نظام التشغيل Windows NT 4.0

هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows
في Windows NT 4.0، يجب التحقق من إعدادات الأمان باستخدام الأداة المساعدة Regedt32 لعرض السجل. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب regedt32وثم انقر فوق
    OK.
  2. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال RestrictAnonymous:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال "التوافق لم":
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال انابليسيكوريتيسيجناتوري (الخادم):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال RequireSecuritySignature (الخادم):
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال RequireSignOrSeal:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال سيلسيكوريتشانيل:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال سيجنسيكوريتشانيل:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. توسيع مفتاحي التسجيل الفرعيين التاليين، ثم قم بعرض القيمة التي يتم تعيينها إلى إدخال ريقويريسترونجكي:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

أسلوب ثلاثة: تحقق من حقوق المستخدم

للتحقق من حقوق المستخدم المطلوبة على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إدارية، وثم انقر فوق نهج الأمان المحلي.
  2. توسيع النهج المحلية، ومن ثم انقر فوق
    تعيين حقوق المستخدم.
  3. في الجزء الأيسر، انقر نقراً مزدوجاً فوق الوصول إلى هذا الكمبيوتر من شبكة الاتصال.
  4. انقر لتحديد خانة الاختيار النهج المحليالموجود بجانب المجموعة Everyone في القائمة تعيين إلى ومن ثم انقر فوق موافق.
  5. انقر نقراً مزدوجاً فوق رفض الوصول إلى هذا الكمبيوتر من شبكة الاتصال.
  6. تحقق من وجود أية مجموعات المبدأ في
    تعيين إلى قائمة، ومن ثم انقر فوق موافق. على سبيل المثال، تأكد من أن لكل إنسان ومصادقة المستخدمين ومجموعات أخرى غير مذكورة.
  7. انقر فوق "موافق"، ثم قم بإنهاء "نهج الأمان المحلي".
للتحقق من حقوق المستخدم المطلوبة على جهاز كمبيوتر يستند إلى Windows Server 2003، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    أدوات إدارية، ثم انقر فوق نهج أمان وحدة تحكم المجال.
  2. توسيع النهج المحلية، ومن ثم انقر فوق
    تعيين حقوق المستخدم.
  3. في الجزء الأيسر، انقر نقراً مزدوجاً فوق الوصول إلى هذا الكمبيوتر من شبكة الاتصال.
  4. تأكد من أن مجموعة في القائمة الوصول إلى هذا الكمبيوتر من شبكة الاتصال . إذا لم يكن المجموعة مسردًا، اتبع الخطوات التالية:
    1. انقر فوق إضافة مستخدم أو مجموعة.
    2. في المربع أسماء المستخدمين والمجموعات ، اكتب
      الكل، ثم انقر فوق موافق.
  5. انقر نقراً مزدوجاً فوق رفض الوصول إلى هذا الكمبيوتر من شبكة الاتصال.
  6. تحقق من وجود أية مجموعات المبدأ في
    رفض الوصول إلى هذا الكمبيوتر من شبكة الاتصال القائمة، ومن ثم انقر فوق موافق. على سبيل المثال، تأكد من أن لكل إنسان ومصادقة المستخدمين ومجموعات أخرى غير مذكورة.
  7. انقر فوق "موافق"، وقم بإغلاق "نهج أمان وحدة تحكم المجال".
للتحقق من حقوق المستخدم المطلوبة على جهاز كمبيوتر يستند إلى نظام التشغيل Windows NT Server 4.0، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إدارية، ومن ثم انقر فوق إدارة المستخدمين الخاصة بالمجالات.
  2. في القائمة نهج , انقر فوق حقوق المستخدم.
  3. في القائمة الأيمن ، انقر فوق الوصول إلى هذا الكمبيوتر من شبكة الاتصال.
  4. في المربع منحة التأكد من إضافة المجموعة. في حالة عدم إضافة المجموعة، اتبع الخطوات التالية:
    1. انقر فوق إضافة.
    2. في القائمة أسماء ، انقر فوق
      الجميع، انقر فوق إضافة، ومن ثم انقر فوق
      OK.
  5. انقر فوق "موافق"، ثم قم بإنهاء "إدارة المستخدمين".

الأسلوب 4: التحقق من عضوية مجموعة

إذا تم إعداد علاقة ثقة بين المجالات، ولكن لا يمكنك إضافة مجموعات المستخدمين مبدأ من مجال إلى آخر لمربع الحوار لا موقع كائنات المجال الأخرى، قد لا يكون لديك المجموعة "Pre-Windows 2000 compatible access" العضوية الصحيحة.

على وحدات التحكم بالمجال المستندة إلى Windows 2000 ووحدات تحكم المجال المستندة إلى Windows Server 2003، تأكد من أنه تم تكوين عضوية المجموعة المطلوبة.

للقيام بذلك على وحدات التحكم بالمجال المستندة إلى Windows 2000، اتبع هذه الخطوات:
  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إدارية، وثم انقر فوق مستخدمي Active Directory وأجهزة الكمبيوتر.
  2. بنيت فيانقر فوق، وانقر نقراً مزدوجاً فوق
    مجموعة وصول متوافق مع الإصدار السابق ل windows 2000.
  3. انقر فوق علامة التبويب الأعضاء ومن ثم تأكد من أن مجموعة في قائمة الأعضاء .
  4. لم يكن المجموعة
    أعضاء قائمة، اتبع الخطوات التالية:
    1. انقر فوق ابدأ، انقر فوق
      تشغيل، اكتب cmdوانقر فوق
      OK.
    2. في موجه الأوامر، اكتب net localgroup "Pre-Windows 2000 Compatible Access" كل شخص/إضافةومن ثم اضغط ENTER.
للتأكد من أنه تم تكوين عضوية المجموعات المطلوبة على وحدات التحكم بالمجال المستندة إلى Windows Server 2003، يجب أن تعرف إذا كان "الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone" تم تعطيل إعداد النهج. إذا كنت لا تعرف، استخدم محرر كائن نهج المجموعة لتحديد الحالة "الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone" النهج. للقيام بذلك، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب gpedit.mscوثم انقر فوق
    OK.
  2. قم بتوسيع المجلدات التالية:
    نهج الكمبيوتر المحلي
    تكوين الكمبيوتر
    إعدادات Windows
    إعدادات الأمان
    النهج المحلية
  3. انقر فوق خيارات الأمانومن ثم انقر فوق
    الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone في الجزء الأيسر.
  4. ملاحظة إذا كانت القيمة في العمود إعدادات أمان معطل أو ممكن.
للتأكد من أنه تم تكوين عضوية المجموعات المطلوبة على وحدات التحكم بالمجال المستندة إلى Windows Server 2003، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، وأشر إلى
    البرامج، أشر إلى أدوات إدارية، وثم انقر فوق مستخدمي Active Directory وأجهزة الكمبيوتر.
  2. بنيت فيانقر فوق، وانقر نقراً مزدوجاً فوق
    مجموعة وصول متوافق مع الإصدار السابق ل windows 2000.
  3. انقر فوق علامة التبويب الأعضاء .
  4. إذا كان الوصول إلى شبكة الاتصال: تطبيق أذونات Everyone للمستخدمين المجهولين تم تعطيل إعداد النهج، تأكد من أن الجميع، المجموعة Anonymous Logon في قائمة الأعضاء . إذا كان "الوصول إلى شبكة الاتصال: تطبيق أذونات للمستخدمين المجهولين Everyone" تمكين النهج، تأكد من أن مجموعة في
    قائمة الأعضاء .
  5. لم يكن المجموعة
    أعضاء قائمة، اتبع الخطوات التالية:
    1. انقر فوق ابدأ، انقر فوق
      تشغيل، اكتب cmdوانقر فوق
      OK.
    2. في موجه الأوامر، اكتب net localgroup "Pre-Windows 2000 Compatible Access" كل شخص/إضافةومن ثم اضغط ENTER.

الطريقة الخامسة: التحقق من الاتصال من خلال أجهزة شبكة الاتصال، مثل أجهزة التوجيه أو تبديل جدران الحماية

إذا تلقيت رسائل خطأ مشابهة لرسالة الخطأ التالية والتأكد من صحة ملفات لمهوست، قد يكون سبب المشكلة واسطة جدار حماية أو جهاز توجيه أو رمز التبديل الذي قام بحظر المنافذ بين وحدات التحكم بالمجال:
يمكن الاتصال بأي وحدة تحكم المجال
استكشاف أخطاء أجهزة شبكة الاتصال، استخدم "الأداة PortQry فاحص خط موجه الأوامر المنفذ" الإصدار 2.0 لاختبار المنافذ بين وحدات التحكم بالمجال الخاصة بك.
لمزيد من المعلومات حول الإصدار 2 من الأداة PortQry، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
832919 الميزات والوظائف الجديدة في الإصدار 2.0 من الأداة PortQry

لمزيد من المعلومات حول كيف يجب أن يتم تكوين المنافذ، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
كيفية تكوين جدار حماية للمجالات وعلاقات الثقة 179442

الطريقة السادسة: جمع معلومات إضافية للمساعدة على استكشاف المشكلة وإصلاحها

إذا لم تكن مفيدة الطرق السابقة يمكنك حل هذه المشكلة، بجمع المعلومات الإضافية التالية لمساعدتك في اكتشاف سبب المشكلة:
  • تمكين تسجيل في وحدتي تحكم المجال Netlogon.
    لمزيد من المعلومات حول كيفية تسجيل Netlogon كامل، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    تسجيل لخدمة Net Logon التصحيح تمكين 109626

  • التقاط تتبع في وحدتي تحكم المجال في نفس الوقت حدوث المشكلة.
    لمزيد من المعلومات حول كيفية التقاط حركة مرور شبكة الاتصال، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":
    كيفية استخدام "مراقبة شبكة الاتصال" لالتقاط حركة مرور شبكة الاتصال 812953

مزيد من المعلومات


توفر القائمة التالية من كائنات "نهج المجموعة" (GPOs) موقع إدخال التسجيل المطابقة و "نهج المجموعة" في أنظمة التشغيل القابلة للتطبيق:
  • RestrictAnonymous كائن نهج المجموعة:
    • موقع تسجيل Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • موقع سجل نظام التشغيل Windows 2000 و Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • نهج مجموعة Windows 2000: "تكوين الكمبيوتر" \ إعدادات Windows \ "إعدادات الأمان" \ قيود "إضافية في خيارات الأمان" للمستخدمين المجهولين
    • نهج Windows Server 2003 المجموعة: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ الوصول إلى "الشبكة خيارات الأمان": عدم السماح بالتعداد المجهول سام حسابات ومشاركات
  • ريستريكتانونيموسام كائن نهج المجموعة:
    • موقع تسجيل Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • نهج Windows Server 2003 مجموعة: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ الوصول إلى "الشبكة خيارات الأمان": عدم السماح بالتعداد المجهول سام حسابات ومشاركات
  • افيريونينكلوديسانونيموس كائن نهج المجموعة:
    • موقع تسجيل Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • نهج Windows Server 2003 مجموعة: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ الوصول "الأمن خيارات الشبكة": تطبيق أذونات Everyone للمستخدمين المجهولين
  • توافق LM كائن نهج المجموعة:
    • موقع تسجيل Windows NT أو Windows 2000 أو Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • نهج مجموعة Windows 2000: "تكوين الكمبيوتر" \ إعدادات Windows \ "إعدادات الأمان" \ "خيارات الأمان": مستوى مصادقة إدارة LAN
    • نهج Windows Server 2003 مجموعة: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ Options\Network الأمان الأمان: مستوى مصادقة إدارة LAN
  • انابليسيكوريتيسيجناتوري (عميل) كائن نهج المجموعة:
    • موقع تسجيل Windows 2000 و Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • نهج مجموعة Windows 2000: "تكوين الكمبيوتر" \ إعدادات Windows \ "إعدادات الأمان" \ "خيارات الأمان": اتصال العميل (عند الإمكان) رقمياً
    • نهج Windows Server 2003 مجموعة: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ "خيارات الأمان" \ عميل شبكات اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة الملقم)
  • RequireSecuritySignature (عميل) كائن نهج المجموعة:
    • موقع سجل نظام التشغيل Windows 2000 و Windows Server 2003:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • نهج مجموعة Windows 2000: "تكوين الكمبيوتر" \ إعدادات Windows \ "إعدادات الأمان" \ "خيارات الأمان": عميل اتصال رقمياً (دائماً)
    • نظام التشغيل Windows Server 2003: تكوين الكمبيوتر \ إعدادات Windows \ "إعدادات الأمان" \ عميل شبكات اتصال Microsoft Options\ الأمان: توقيع الاتصالات رقمياً (دائماً)
  • انابليسيكوريتيسيجناتوري (خادم) كائن نهج المجموعة:
    • موقع تسجيل Windows NT:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • موقع سجل نظام التشغيل Windows 2000 و Windows Server 2003:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • نهج مجموعة Windows 2000: اتصال الملقم (عند الإمكان) رقمياً
    • نهج Windows Server 2003 مجموعة: ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (عند موافقة العميل)
  • RequireSecuritySignature (خادم) كائن نهج المجموعة:
    • موقع تسجيل Windows NT:
      إيجناتوري HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS
    • موقع سجل نظام التشغيل Windows 2000 و Windows Server 2003:
      سيكوريتيسيجناتوري HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require
    • نهج مجموعة Windows 2000: الملقم اتصال رقمياً (دائماً)
    • نهج Windows Server 2003 مجموعة: ملقم شبكة اتصال Microsoft: توقيع الاتصالات رقمياً (دائماً)
  • RequireSignOrSeal كائن نهج المجموعة:
    • موقع تسجيل Windows NT أو Windows 2000 أو Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • نهج مجموعة Windows 2000: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً
    • نهج المجموعة Server2003 Windows: عضو المجال: تشفير أو توقيع بيانات قناة مؤمنة (دوماً) رقمياً
  • سيلسيكوريتشانيل كائن نهج المجموعة:
    • موقع تسجيل Windows NT أو Windows 2000 أو Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • نهج مجموعة Windows 2000: القناة الآمنة: تشفير بيانات قناة مؤمنة (عند الإمكان) رقمياً
    • نهج Windows Server 2003 مجموعة: عضو المجال: تشفير بيانات قناة مؤمنة (عند الإمكان) رقمياً
  • سيجنسيكوريتشانيل كائن نهج المجموعة:
    • موقع تسجيل Windows NT أو Windows 2000 أو Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • نهج مجموعة Windows 2000: القناة الآمنة: مؤمنة رقمياً بيانات القناة (عند الإمكان)
    • نهج Windows Server 2003 مجموعة: عضو المجال: مؤمنة رقمياً بيانات القناة (عند الإمكان)
  • ريقويريسترونجكي كائن نهج المجموعة:
    • موقع تسجيل Windows NT أو Windows 2000 أو Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • نهج مجموعة Windows 2000: القناة الآمنة: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)
    • نهج Windows Server 2003 مجموعة: عضو المجال: يتطلب مفتاح جلسة عمل قوي (Windows 2000 أو الإصدارات اللاحقة)

نظام التشغيل Windows Server 2008

في وحدة تحكم مجال الذي يقوم بتشغيل Windows Server 2008، قد يسبب السلوك الافتراضي لإعداد نهج خوارزميات التشفير السماح متوافق مع Windows NT 4.0 مشكلة. يمنع هذا الإعداد كل من أنظمة تشغيل Windows والعملاء لجهة خارجية باستخدام خوارزميات تشفير ضعيف لتأسيس NETLOGON قنوات الأمان لوحدات تحكم المجال المستندة إلى Windows Server 2008.
لمزيد من المعلومات، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
942564 كمبيوتر يعمل عند Windows NT 4.0 يحاول استخدام خدمة NETLOGON لتأسيس قناة أمان إلى وحدة تحكم مجال المستندة إلى Windows Server 2008، قد تفشل العملية

المراجع


لمزيد من المعلومات، انقر فوق أرقام المقالات التالية لعرضها في "قاعدة معارف Microsoft":
خطأ 257942 : غير قادر على استعراض المجال المحدد بسبب حدوث الخطأ التالي...

246261 كيفية استخدام قيمة التسجيل RestrictAnonymous في نظام التشغيل Windows 2000

258595 Gpresult لا تقوم بتعداد نهج أمان "الكمبيوتر الناتجة"

823659 عميل الخدمة وحالات عدم توافق البرامج التي قد تحدث عندما تقوم بتعديل إعدادات الأمان وتعيينات حقوق المستخدم

278259 المجموعة لا يتضمن معرف أمان مجهول