Zwischen einer Windows NT-Domäne und eine Active Directory-Domäne nicht hergestellt oder funktioniert nicht wie erwartet

Problembeschreibung

Wenn Sie versuchen, eine Vertrauensstellung zwischen einer Microsoft Windows NT 4.0-Domäne und einer Active Directory-Domäne einrichten, können die folgenden Symptome auftreten:
  • Keine besteht Vertrauensstellung.
  • Die Vertrauensstellung hergestellt, aber die Vertrauensstellung funktioniert nicht wie erwartet.
Darüber hinaus erhalten Sie eine der folgenden Fehlermeldungen angezeigt:
Fehler beim Versuch, die Domäne "Domänenname": das Konto ist nicht berechtigt, von dieser Station aus anmelden.
Zugriff wurde verweigert.
Es konnte kein Domänencontroller kontaktiert werden.
Anmeldung fehlgeschlagen: Unbekannte Benutzername oder ungültiges Kennwort.
Wenn Sie die Objektauswahl im Active Directory-Benutzer und-Computer Benutzer von NT 4.0-Domäne zu Active Directory-Domäne hinzufügen verwenden, erhalten Sie folgende Fehlermeldung:
Die aktuelle Suche entsprechen keine Elemente. Überprüfen Sie die Parameter, und versuchen Sie es erneut.

Ursache

Dieses Problem tritt aufgrund eines Konfigurationsproblems in einem der folgenden Bereiche:
  • Auflösung
  • Sicherheit
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003
Behandeln Sie die Konfiguration, um die Ursache des Problems korrekt.

Problemlösung

Wenn Sie die "entsprechen keine Elemente die aktuelle Suche" Fehlermeldung bei Verwendung die Objektauswahl in Active Directory-Benutzer und-Computer, stellen Sie sicher, dass Domänencontroller in NT 4.0-Domäne Alle rechts auf diesen Computer vom Netzwerk gehören . In diesem Szenario versucht die Objektauswahl über das Vertrauen aufzubauen. Um diese Ssettings zu überprüfen, führen Sie die Schritte in der "Methode 3: Überprüfen Sie die Benutzerrechte" Abschnitt.

Beheben von Konfigurationsproblemen Vertrauensstellung zwischen einer Windows NT 4.0-Domäne und Active Directory müssen Sie die richtige Konfiguration der folgenden Bereiche überprüfen:
  • Auflösung
  • Sicherheit
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003
Verwenden Sie hierzu die folgenden Methoden.

Methode: überprüfen die korrekte Konfiguration der Auflösung

Schritt 1: erstellen eine LMHOSTS-Datei

Erstellen einer LMHOSTS-Datei auf den primären Domänencontrollern Cross-Domain-Namen Auflösung bietet. Die LMHOSTS-Datei ist eine Textdatei, die Sie mit einem beliebigen Texteditor wie Editor bearbeiten können. Die Datei LMHOSTS auf jedem Domänencontroller muss die TCP/IP-Adresse, den Domänennamen und den Eintrag \0x1b anderen Domänencontroller enthalten.
Weitere Informationen zum Erstellen der LMHOSTS-Datei finden Sie im folgenden Artikel der Microsoft Knowledge Base:
180094 wie eine LMHOSTS-Datei für die Domäne Validierung schreiben

Nachdem Sie die LMHOSTS-Datei erstellen, gehen Sie folgendermaßen vor:
  1. Ändern Sie die Datei, sodass es Text enthält, die der folgenden ähnelt:
    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Hinweis Es darf maximal 20 Zeichen und Leerzeichen zwischen den Anführungszeichen ("") für den Eintrag \0x1b. Fügen Sie Leerzeichen nach dem Domänennamen, sodass 15 Zeichen verwendet. Das 16. Zeichen wird der umgekehrte Schrägstrich von den Wert "0x1b gefolgt" und dadurch insgesamt 20 Zeichen.
  2. Abschluss der ändert sich in die LMHOSTS-Datei speichern Sie die Datei in den Ordner % SystemRoot %\System32\Drivers\Etc auf den Domänencontrollern.
Weitere Informationen über die Datei LMHOSTS befindet sich der Lmhosts.sam Beispieldatei, die Ansicht in der
Ordner für % SystemRoot\System32\Drivers\Etc.

Schritt 2: Laden Sie die LMHOSTS-Datei in den Cache

  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
  2. Geben Sie an der Befehlszeile NBTSTAT-rund dann die EINGABETASTE. Dieser Befehl lädt die LMHOSTS-Datei in den Cache.
  3. Geben Sie in der Befehlszeile NBTSTAT-c, und drücken Sie dann die EINGABETASTE. Dieser Befehl zeigt den Cache. Wenn die Datei korrekt geschrieben ist, ist der Cache ähnlich der folgenden:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Wenn die Datei den Cache nicht ordnungsgemäß ausfüllen, weiterhin mit dem nächsten Schritt fort.

Schritt 3: Stellen Sie sicher, dass die LMHOSTS auf dem Windows NT 4.0-Computer aktiviert ist

Wenn die Datei den Cache nicht ordnungsgemäß ausfüllen, unbedingt, LMHOSTS-Lookup auf dem Windows NT 4.0-Computer aktiviert ist. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf
    Standardeinstellungen, und klicken Sie dann auf Bedienfeld.
  2. Doppelklicken Sie auf Netzwerke, klicken Sie auf der
    Protokolle Registerkarte, und doppelklicken Sie auf TCP/IP-Protokoll.
  3. Klicken Sie auf die Registerkarte WINS-Adresse , und aktivieren Sie das Kontrollkästchen Aktivieren .
  4. Starten Sie den Computer neu.
  5. Wiederholen Sie die Schritte im Abschnitt "Die LMHOSTS-Datei in den Cache laden".
  6. Wenn die Datei den Cache nicht ordnungsgemäß ausfüllen, sicherstellen, dass die LMHOSTS-Datei wird die
    % SystemRoot %\System32\Drivers\Etc und dass die Datei ordnungsgemäß formatiert ist.

    Beispielsweise muss die Datei ähnelt dem folgenden Beispiel formatieren formatiert sein:
    1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
    1.1.1.1 "NT4DomainName \0x1b"#PRE
    2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
    2.2.2.2 "W2KDomainName \0x1b"#PRE

    Hinweis Darf maximal 20 Zeichen und Leerzeichen innerhalb der Anführungszeichen ("") für die Domäne Name und \0x1b.

Schritt 4: Verwenden Sie den Befehl Ping zum Testen der Verbindung

Wenn die Datei den Cache auf jedem Server aufgefüllt werden, verwenden Sie den Befehl Ping zum Testen der Verbindung zwischen den Servern auf jedem Server. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
  2. Geben Sie Ping
    Name_Of_Domain_Controller_You_Want_To_Connect_To, und drücken Sie dann die EINGABETASTE. Wenn der Ping-Befehl nicht funktioniert, stellen Sie sicher, dass die richtigen IP-Adressen in der Datei LMHOSTS aufgelistet sind.
  3. Geben Sie net view
    Name_Of_Domain_Controller_You_Want_To_Connect_To, und drücken Sie dann die EINGABETASTE. Es wird erwartet, dass die folgende Fehlermeldung angezeigt:
    Systemfehler 5 ist aufgetreten. Zugriff verweigert
    Sicherstellen Sie der Befehl net View folgende Fehlermeldung oder andere zugehörige Fehlermeldung zurückgibt, dass die richtigen IP-Adressen in der Datei LMHOSTS aufgelistet sind:
    Systemfehler 53 ist aufgetreten. Der Netzwerkpfad wurde nicht gefunden.
Alternativ kann Windows Internet Name Service (WINS) konfiguriert werden Funktionen für die Auflösung ohne Verwendung einer LMHOSTS-Datei aktivieren. Finden Sie weitere Informationen zur Verwendung von WINS für die Auflösung der folgende Artikel der Microsoft Knowledge Base:
185786 empfohlene Vorgehensweisen für WINS

Methode 2: Sicherheit anzeigen

Normalerweise muss Active Directory Teil der Konfiguration Einstellungen die Verbindungsprobleme verursachen. Die Sicherheitsrichtlinien müssen jedoch auf beide Seiten der Vertrauensstellung überprüft werden.

Schritt 1: Anzeigen von Sicherheitsrichtlinien auf Windows 2000 Server und Windows Server 2003

In Windows 2000 Server und Windows Server 2003 die Sicherheitsvorlage angewendet oder durch Gruppenrichtlinien oder eine lokale Richtlinie angewendeten Sicherheitsvorlage konfiguriert.

Die richtigen Tools verwenden die aktuellen Werte der Sicherheitsstufe falsche Werte zu bestimmen.

Verwenden Sie die folgenden Methoden, um ein genaues Bild der aktuellen Sicherheitsrichtlinien zu erhalten:
  • In Windows 2000 Server verwenden Sie das Snap-In Sicherheitskonfiguration und-Analyse finden Sie weitere Informationen zum Ermitteln der aktuellen Sicherheitsrichtlinien auf einem Windows 2000-basierten Computer die folgende Artikel der Microsoft Knowledge Base:
    258595 Gpresult wird die resultierende Computersicherheitsrichtlinien nicht aufgelistet

  • Verwenden Sie in Windows Server 2003 die Sicherheitskonfiguration und Analyse-Snap-in oder das Snap-In Richtlinienergebnissatz (RSoP).
    Weitere Informationen zur Verwendung von Richtlinienergebnissatz-Snap-in klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    323276 zum Installieren und Verwenden von RSoP in Windows Server 2003

Nach dem Festlegen die Standardeinstellungen müssen Sie die Richtlinie identifizieren, die die Einstellung angewendet wird. Beispielsweise müssen Sie bestimmen die Gruppenrichtlinien in Active Directory oder lokale Einstellung, die die Sicherheitsrichtlinie festgelegt.

In Windows Server 2003 ist die Richtlinie, die die Sicherheit Werte durch das Richtlinienergebnissatz-Tool identifiziert. Allerdings müssen Sie in Windows 2000 Anzeigen der Gruppenrichtlinie und lokale Richtlinie die Richtlinie bestimmt, die Einstellungen enthält:
  • Zum Anzeigen der Gruppenrichtlinien müssen Sie die Ausgabe der Protokollierung für Microsoft Windows 2000 Security Configuration Client während der Verarbeitung von Gruppenrichtlinien aktivieren.
    Weitere Informationen zum Aktivieren der Protokollierungsausgabe für Microsoft Windows 2000 Security Configuration Client während der Verarbeitung von Gruppenrichtlinien klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    245422 wie im Windows 2000 Security Configuration Client-Protokollierung

  • Zeigen Sie des Anwendungsprotokolls in der Ereignisanzeige an und Ereignis-ID 1000 und Ereignis-ID 1202.
    Weitere Informationen zu Ereignis-ID 1000 und Ereignis-ID 1202 finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    319352 Ereignis-ID 1000 und Ereignis-ID 1202 werden in das Ereignisprotokoll in Windows 2000 Server alle fünf Minuten protokolliert

Die folgenden Abschnitte des Betriebssystems identifizieren und Auflisten der Sicherheitsvorlage, die Sie für das Betriebssystem die Informationen überprüfen, die Sie gesammelt haben:
Windows 2000
Stellen Sie sicher, dass Folgendes konfiguriert werden, wie.

RestrictAnonymous:
Einschränkungen für anonyme Verbindung
"Keine. Rely on Default Permissions"
LM-Kompatibilität:
LAN Manager-Authentifizierungsebene"Senden Sie nur NTLM-Antworten"
SMB-Signaturen, SMB-Verschlüsselung oder beides:
Signieren Sie Clientkommunikation digital (immer)DEAKTIVIERT
Signieren Sie Clientkommunikation digital (wenn möglich ist)AKTIVIERT
(Immer) Serverkommunikation digital signierenDEAKTIVIERT
Signieren Sie Serverkommunikation digital (wenn möglich ist)AKTIVIERT
Sicherer Kanal: digital verschlüsseln oder signieren (immer) Daten des sicheren KanalsDEAKTIVIERT
Sicherer Kanal: Daten des sicheren Kanals digital verschlüsseln, (sofern möglich)DEAKTIVIERT
Sicherer Kanal: digital signieren Daten des sicheren Kanals (sofern möglich)DEAKTIVIERT
Sicherer Kanal: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlichDEAKTIVIERT
Windows Server 2003
Stellen Sie sicher, dass Folgendes konfiguriert werden, wie.


RestrictAnonymous und RestrictAnonymousSam:
Netzwerkzugriff: anonyme SID-Name Verschiebung zulassenAKTIVIERT
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlaubenDEAKTIVIERT
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlaubenDEAKTIVIERT
Netzwerkzugriff: "Jeder" für anonyme Benutzer-Berechtigungen ermöglichenAKTIVIERT
Netzwerkzugriff: Named Pipes anonym zugegriffen werden könnenAKTIVIERT
Netzwerkzugriff: anonymen Zugriff auf Named Pipes und Freigaben einschränkenDEAKTIVIERT
Hinweis Standardmäßig den Wert der Netzwerkzugriff: anonyme SID-Name Übersetzung ermöglichen in Windows Server 2008 ist deaktiviert. Für Weitere Informationen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
942428 Windows Server 2003-Domänencontroller können anonyme Benutzer eine Sicherheits-ID (SID) zu einem Benutzernamen auflösen

LM-Kompatibilität:
Sicherheit: LAN Manager-Authentifizierungsebene"Senden Sie nur NTLM-Antworten"
SMB-Signaturen, SMB-Verschlüsselung oder beides:
Microsoft Network Client: Kommunikation digital signieren (immer)DEAKTIVIERT
Microsoft Network Client: Kommunikation digital signieren (Wenn Server zustimmt)AKTIVIERT
Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)DEAKTIVIERT
Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt)AKTIVIERT
Domänenmitglied: digital verschlüsseln oder signieren (immer) Daten des sicheren KanalsDEAKTIVIERT
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln, (sofern möglich)AKTIVIERT
Domänenmitglied: digital signieren Daten des sicheren Kanals (sofern möglich)AKTIVIERT
Domänenmitglied: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlichDEAKTIVIERT
Nachdem die Einstellungen richtig konfiguriert sind, müssen Sie Ihren Computer starten. Die Sicherheitsrichtlinien werden erst nach dem Neustart nicht erzwungen.

Nach dem Neustart warten Sie 10 Minuten, um sicherzustellen, dass alle Sicherheitsrichtlinien angewendet und die effektive Einstellung konfiguriert. Wir empfehlen, 10 Minuten zu warten, weil Active Directory-Richtlinie 5 Minuten auf einem Domänencontroller Aktualisierungen und Update Sicherheitsstufe Werte ändern kann. Verwenden Sie nach 10 Minuten Sicherheitskonfiguration und-Analyse oder ein anderes Tool die Einstellung in Windows 2000 und Windows Server 2003 zu.

Windows NT 4.0

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
Die aktuelle Einstellung müssen unter Windows NT 4.0 mit dem Tool Regedt32 an der Registrierung überprüft werden. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Regedt32 einund klicken Sie dann auf
    OK.
  2. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert RestrictAnonymous Posten zugewiesen wurde:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert LMCompatibility Posten zugewiesen wurde:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert EnableSecuritySignature (Server)-Eintrag zugewiesen ist:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert, der den Eintrag RequireSecuritySignature (Server) zugewiesen:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert, der auf den Eintrag "RequireSignOrSeal" zugewiesen:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert der SealSecureChannel-Eintrag zugeordnet ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert der SignSecureChannel-Eintrag zugeordnet ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie den Wert der RequireStrongKey-Eintrag zugeordnet ist:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Methode 3: Überprüfen Sie die Benutzerrechte

Überprüfen Sie die erforderlichen Benutzerrechte auf einem Windows 2000-Computer gehen Sie folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, Verwaltungund dann auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf
    Zuweisen von Benutzerrechten.
  3. Doppelklicken Sie im rechten Fensterbereich auf auf diesen Computer vom Netzwerk aus zugreifen.
  4. Klicken Sie neben der Gruppe jeder das Kontrollkästchen Einstellung der lokalen Richtliniein der Liste zugewiesen an und klicken Sie dann auf OK.
  5. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern.
  6. Sicherstellen, dass keine Gruppen grundsätzlich die
    Zugewiesen an Liste, und klicken Sie dann auf OK. Stellen Sie beispielsweise sicher, dass jeder, authentifizierte Benutzer und andere Gruppen nicht aufgelistet werden.
  7. Klicken Sie auf OK, und beenden Sie die lokale Sicherheitsrichtlinie.
Überprüfen Sie die erforderlichen Benutzerrechte auf einem Windows Server 2003-Computer folgendermaßen Sie vor:
  1. Klicken Sie auf Start, zeigen Sie auf
    Verwaltung, und klicken Sie dann auf Sicherheitsrichtlinie für Domänencontroller.
  2. Erweitern Sie Lokale Richtlinien, und klicken Sie dann auf
    Zuweisen von Benutzerrechten.
  3. Doppelklicken Sie im rechten Fensterbereich auf auf diesen Computer vom Netzwerk aus zugreifen.
  4. Stellen Sie sicher, dass die Gruppe in der Liste auf den Computer vom Netzwerk aus zugreifen . Wenn die Gruppe nicht aufgeführt ist, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    2. Geben Sie im Feld Benutzer- und Gruppennamen
      Alle Benutzer, und klicken Sie dann auf OK.
  5. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern.
  6. Sicherstellen, dass keine Gruppen grundsätzlich die
    Zugriff vom Netzwerk auf diesen Computer verweigern Liste, und klicken Sie dann auf OK. Stellen Sie beispielsweise sicher, dass jeder, authentifizierte Benutzer und andere Gruppen nicht aufgelistet werden.
  7. Klicken Sie auf OK, und schließen Sie die Sicherheitsrichtlinie für Domänencontroller.
Überprüfen Sie die erforderlichen Benutzerrechte auf einem Windows NT Server 4.0-Computer folgendermaßen Sie vor:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, Verwaltungund klicken Sie dann auf Benutzer-Manager für Domänen.
  2. Klicken Sie im Menü Richtlinien auf Benutzerrechte.
  3. Klicken Sie in der Liste rechts auf diesen Computer vom Netzwerkaus.
  4. Sicherstellen Sie im Feld erteilen , dass die Gruppe Jeder hinzugefügt. Wenn die Gruppe nicht hinzugefügt wird, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Hinzufügen.
    2. Klicken Sie in der Liste auf
      Alle, klicken Sie auf Hinzufügenund dann auf
      OK.
  5. Klicken Sie auf OK, und beenden Sie Benutzer-Manager.

Methode 4: Überprüfen der Gruppenmitgliedschaft

Wenn eine Vertrauensstellung zwischen den Domänen eingerichtet, aber Sie können hinzufügen Prinzip Benutzergruppen aus einer Domäne zu einem anderen Dialogfeld nicht andere Domänenobjekte suchen, müssen die Gruppe "Prä-Windows 2000 kompatibler Zugriff" nicht die korrekte Mitgliedschaft.

Windows 2000-Domänencontrollern und Windows Server 2003-Domänencontroller stellen Sie sicher, dass die erforderlichen Gruppenmitgliedschaften konfiguriert sind.

Gehen Sie dazu auf die Windows 2000-basierten Domänencontroller folgendermaßen vor:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, Verwaltungund klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie auf integrierteund doppelklicken Sie dann auf
    Gruppe Prä-Windows 2000 kompatibler Zugriff.
  3. Klicken Sie auf die Registerkarte Mitglieder , und stellen Sie sicher, dass die Gruppe in der Liste Mitglieder .
  4. Wenn die Gruppe nicht in der
    Member auflisten, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf
      Ausführen, geben Sie cmd einund klicken Sie dann auf
      OK.
    2. In der Befehlszeile net Localgroup "Prä-Windows 2000 kompatibler Zugriff" jeder / addGeben Sie, und drücken Sie dann die EINGABETASTE.
Um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf der Windows Server 2003-Domänencontroller konfiguriert sind, müssen Sie feststellen, ob die "Netzwerkzugriff:" Jeder "für anonyme Benutzer-Berechtigungen ermöglichen" Einstellung deaktiviert. Nicht kennen, verwenden der Gruppenrichtlinien-Editor ermitteln den Zustand der "Netzwerkzugriff:" Jeder "für anonyme Benutzer-Berechtigungen ermöglichen" Einstellung. Gehen Sie hierzu folgendermaßen vor:
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc einund klicken Sie dann auf
    OK.
  2. Erweitern Sie folgende Ordner:
    Richtlinie für lokalen Computer
    Computerkonfiguration
    Windows-Einstellungen
    Sicherheit
    Lokale Richtlinien
  3. Klicken Sie auf Optionenund dann auf
    Netzwerkzugriff: "Jeder" für anonyme Benutzer-Berechtigungen ermöglichen im rechten Fensterbereich.
  4. Hinweis Wenn der Wert in der Spalte Einstellung deaktiviert oder aktiviertist.
Gehen Sie folgendermaßen vor, um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf Windows Server 2003-basierten Domänencontrollern konfiguriert sind:
  1. Klicken Sie auf Start, zeigen Sie auf
    Programme, Verwaltungund klicken Sie dann auf Active Directory-Benutzer und -Computer.
  2. Klicken Sie auf integrierteund doppelklicken Sie dann auf
    Gruppe Prä-Windows 2000 kompatibler Zugriff.
  3. Klicken Sie auf die Registerkarte Mitglieder .
  4. Wenn die Netzwerkzugriff: lassen Sie "Jeder"-Berechtigungen für anonyme Benutzer Richtlinie deaktiviert ist, sicher, dass die jeder Gruppe Anonymous-Anmeldung in der Liste Mitglieder . Wenn die "Netzwerkzugriff:" Jeder "für anonyme Benutzer-Berechtigungen ermöglichen" Richtlinie aktiviert ist, stellen Sie sicher, dass die Gruppe "Jeder" in der
    Mitgliederliste.
  5. Wenn die Gruppe nicht in der
    Member auflisten, gehen Sie folgendermaßen vor:
    1. Klicken Sie auf Start, klicken Sie auf
      Ausführen, geben Sie cmd einund klicken Sie dann auf
      OK.
    2. In der Befehlszeile net Localgroup "Prä-Windows 2000 kompatibler Zugriff" jeder / addGeben Sie, und drücken Sie dann die EINGABETASTE.

Methode 5: Überprüfen Sie die Konnektivität durch Netzwerkgeräte wie Firewalls, Switches oder Routern

Wenn Fehlermeldungen wie die folgende Fehlermeldung erhalten haben, und Sie sichergestellt haben, dass die LMHOST-Dateien korrekt sind, kann das Problem durch eine Firewall, Router oder Switch, das zwischen den Domänencontrollern Ports blockiert verursacht:
Kein Domänencontroller konnte kontaktiert
Beheben von Netzwerkgeräten mithilfe PortQry Command Line Port Scanner Version 2.0 um Anschlüsse zwischen den Domänencontrollern zu testen.
Weitere Informationen zu PortQry Version 2 Klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
Neue Features und Funktionen in PortQry Version 2.0 832919

Weitere Informationen, wie die Ports konfiguriert werden müssen klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
179442 zum Konfigurieren einer Firewalls für Domänen und Vertrauensstellungen

Methode 6: Weitere Informationen zur Behebung des Problems

Sammeln Sie die vorherigen Methoden lösen das Problem nicht geholfen haben, die folgende zusätzliche Informationen, um dieses Problem zu beheben:
  • Aktivieren Sie die Netlogon-Protokollierung auf beiden Domänencontrollern.
    Weitere Informationen zum vollständigen Netlogon-Protokollierung klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
    109626 Aktivieren der Debugprotokollierung für den Anmeldedienst

  • Erfassen einer spurlos auf beiden Domänencontrollern gleichzeitig, der das Problem auftritt.
    Weitere Informationen zum Netzwerkverkehr erfassen, finden im folgenden Artikel der Microsoft Knowledge Base:
    812953 wie Verwenden von Netzwerkmonitor zum Aufzeichnen des Netzwerkdatenverkehrs

Weitere Informationen

Die folgende Liste von Gruppenrichtlinienobjekten (GPOs) enthält den Speicherort der entsprechenden Registrierungseinträge und Gruppenrichtlinien in den entsprechenden Betriebssystemen:
  • RestrictAnonymous Gruppenrichtlinienobjekt:
    • Windows NT-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 Group Policy: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheits Optionen Einschränkungen für anonymen
    • Windows Server 2003-Gruppenrichtlinien: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheits Optionen Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
  • RestrictAnonymousSAM Gruppenrichtlinienobjekt:
    • Registrierungsschlüssel für Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinien: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheits Optionen Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben
  • EveryoneIncludesAnonymous Gruppenrichtlinienobjekt:
    • Registrierungsschlüssel für Windows Server 2003:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinien: Computerkonfiguration \ Windows-Einstellungen \ Security Settings \ Sicherheits Optionen Network Access: Let "Jeder"-Berechtigungen für anonyme Benutzer
  • LMCompatibility Gruppenrichtlinienobjekt:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 Group Policy: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheitsoptionen: LAN Manager-Authentifizierungsebene
    • Windows Server 2003-Gruppenrichtlinien: Computerkonfiguration \ Windows Settings \ Security Settings \ Security Options\Network Security: LAN Manager-Authentifizierungsebene
  • EnableSecuritySignature Gruppenrichtlinienobjekt (Client):
    • Windows 2000 und Windows Server 2003-Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 Group Policy: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheitsoptionen: digital signieren (wenn möglich) die Client-Kommunikation
    • Windows Server 2003-Gruppenrichtlinien: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheitsoptionen \ Microsoft Network Client: Kommunikation digital signieren (Wenn Server zustimmt)
  • Die RequireSecuritySignature Gruppenrichtlinienobjekt (Client):
    • Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 Group Policy: Computerkonfiguration \ Windows Settings \ Security Settings \ Sicherheitsoptionen: digital signieren (immer) Client-Kommunikation
    • WindowsServer 2003: Computerkonfiguration \ Windows Settings \ Security Settings \ Security Neustartoptionen\ Microsoft Network Client: Kommunikation digital signieren (immer)
  • EnableSecuritySignature Gruppenrichtlinienobjekt (Server):
    • Windows NT-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000-Gruppenrichtlinien: (wenn möglich) Serverkommunikation digital signieren
    • Windows Server 2003-Gruppenrichtlinien: Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn Client zustimmt)
  • Die RequireSecuritySignature Gruppenrichtlinienobjekt (Server):
    • Windows NT-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 und Windows Server 2003-Registrierungsschlüssel:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000-Gruppenrichtlinien: digital signieren (immer) Server-Kommunikation
    • Windows Server 2003-Gruppenrichtlinien: Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)
  • Die "RequireSignOrSeal" Gruppenrichtlinienobjekt:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinien: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals
    • Windows Server 2003-Gruppenrichtlinien: Domänenmitglied: digital verschlüsseln oder signieren (immer) Daten des sicheren Kanals
  • SealSecureChannel Gruppenrichtlinienobjekt:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy: sicherer Kanal: Daten des sicheren Kanals (wenn möglich) digital verschlüsseln
    • Windows Server 2003-Gruppenrichtlinien: Domänenmitglied: Daten des sicheren Kanals (wenn möglich) digital verschlüsseln
  • SignSecureChannel Gruppenrichtlinienobjekt:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy: sichere Kanäle: digital signieren Daten des sicheren Kanals (wenn möglich)
    • Windows Server 2003-Gruppenrichtlinien: Domänenmitglied: digital signieren Daten des sicheren Kanals (wenn möglich)
  • RequireStrongKey Gruppenrichtlinienobjekt:
    • Windows NT, Windows 2000 und Windows Server 2003 Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 Group Policy: sicherer Kanal: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich
    • Windows Server 2003-Gruppenrichtlinien: Domänenmitglied: Starker Sitzungsschlüssel (Windows 2000 oder höher) erforderlich

Windows Server 2008

Auf einem Domänencontroller, auf dem Windows Server 2008 ausgeführt wird, kann das Standardverhalten der Einstellung zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 ein Problem. Diese Einstellung verhindert, dass Windows-Betriebssystemen und Drittanbieter-Clients mit schwachen Kryptografiealgorithmen NETLOGON Sicherheit Kanäle zu Windows Server 2008-basierten Domänencontroller herstellen.
Klicken Sie für weitere Informationen auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
942564 bei einer Windows NT 4.0-basierten Computer versucht, den Anmeldedienst einen Sicherheitskanal zu Windows Server 2008-basierten Domänencontroller herzustellen, der Vorgang möglicherweise fehl.

Referenzen

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:
257942 -Fehlermeldung: kann nicht die ausgewählte Domäne durchsuchen, da der folgende Fehler aufgetreten.

246261 zum Verwenden des Registrierungswertes RestrictAnonymous in Windows 2000

258595 Gpresult wird die resultierende Computersicherheitsrichtlinien nicht aufgelistet

823659 Client Service und Programm-Inkompatibilitäten, die auftreten können, wenn Sie Einstellungen und Ändern von Benutzerrechten

278259 Gruppe umfasst nicht die anonymen Sicherheitsbezeichner

Eigenschaften

Artikelnummer: 889030 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback