Kennwort für das Clusterdienstkonto muss mindestens 15 Zeichen festgelegt werden, wenn die NoLMHash-Richtlinie aktiviert ist

Problembeschreibung

Beim zweiten Clusterknoten join gibt der Setup-Assistent die folgende Meldung angezeigt:
< CSA > verfügt nicht über die Berechtigung zum Verwalten des Clusters.
Auch wenn die Clusterverwaltung (CluAdmin.exe) auf einem Cluster von einem Remoteserver starten oder erhalten Sie folgende Fehlermeldung:
Zugriff verweigert

Ursache

Anstatt Ihr Benutzerkennwort in Klartext, Windows generiert und speichert mit zwei unterschiedliche Kennwörter Darstellungen, allgemein bekannt als "Hashes". Wenn Sie festlegen oder ändern das Kennwort für ein Benutzerkonto in weniger als 15 Zeichen enthält, generiert Windows LAN Manager-Hash (LM-Hash) und Microsoft Windows NT-Hash (NT-Hash) des Kennworts. Diese Hashes werden in der lokalen Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) oder in Active Directory gespeichert.


Wenn die Sicherheit: Speichern Sie LAN Manager-Hashwert nicht auf Nächste Änderung ist, keine LMHash Clusterdienstkonto (CSA) in Active Directory.

Wenn ein Kennwort mit weniger als 15 Zeichen für die CSA verwendet wird, wenn Sie den zweiten Knoten beitreten generieren Installation des LMHash erstellen einen Sitzungsschlüssel zu authentifizieren. Da kein LM-Hash in Active Directory gespeichert wird, kann nicht der Domänencontroller einen entsprechenden Sitzungsschlüssel erstellt. Der Zugriff wurde verweigert. Wenn Sie ein Kennwort verwenden, das mindestens 15 Zeichen für die CSA kann LMHash vom Setup-Programm generiert werden. Stattdessen wird der Windows NT-Kennworthash des Sitzungsschlüssels verwendet. Der Domänencontroller werden einen entsprechenden Sitzungsschlüssel generiert. Die Authentifizierung ist erfolgreich. Zusätzliche Informationen zu verhindern, dass Ihr Kennwort als LAN Manager-Hash gespeichert werden, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

299656 wie Sie verhindern, dass Windows LAN Manager-Hashwerte Ihres Kennworts in Active Directory und der lokalen SAM-Datenbank speichern

Problemlösung

Wählen Sie zur Behebung des Problems die Methode, die Ihrer Situation am besten entspricht.

Methode 1: Verwenden Sie ein Kennwort mit mindestens 15 Zeichen lang sein

Wenn die Richtlinie NoLMHash in Active Directory und nicht aus Gründen der Sicherheit deaktiviert werden, verwenden Sie ein Kennwort mit mindestens 15 Zeichen lang der Installationsassistent Clusters verhindern einen Hash für die Authentifizierung.

Methode 2: Aktivieren Sie die Speicherung des LMHash in Active Directory

Aktivieren Sie die Speicherung des LMHash ein Benutzerkennwort mithilfe von Gruppenrichtlinien in Active Directory. Gehen Sie hierzu folgendermaßen vor:
  1. Erweitern Sie in der Gruppe Standarddomänencontrollerrichtlinie
    Computerkonfiguration, erweitern Sie Windows-Einstellungen, Sicherheit,
    Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  2. Doppelklicken Sie in der Liste der verfügbaren Richtlinien auf
    Sicherheit: Speichern Sie LAN Manager-Hashwert nicht auf Nächste Änderung.
  3. Klicken Sie auf deaktiviertund dann auf
    OK.
  4. Stellen Sie sicher, die Richtlinie repliziert wird.
  5. Zurücksetzen des Kennworts CSA (Länge möglicherweise weniger als 15 Zeichen) um sicherzustellen, dass der LMHash in SAM-AD geschrieben wird.

Methode 3: Installieren Sie einen hotfix

Ein Hotfix ist verfügbar von Microsoft, um dieses Problem zu lösen, damit 15 Zeichen nicht erforderlich sind, wenn die Richtlinie NoLMHash in Active Directory festgelegt ist. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

890761 hinzufügen oder einen Knoten zu einem Cluster beitreten, wenn Sie NTLM Version 2 in Windows Server 2003 verwenden, erhalten eine Fehlermeldung "Fehler 0x8007042b"

Eigenschaften

Artikelnummer: 828861 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback