Κωδικός πρόσβασης του λογαριασμού υπηρεσίας συμπλέγματος πρέπει να οριστεί σε 15 ή περισσότερους χαρακτήρες, εάν είναι ενεργοποιημένη η πολιτική NoLMHash


Συμπτώματα


Όταν προσπαθείτε να συμμετάσχετε στον δεύτερο κόμβο του συμπλέγματος, ο Οδηγός εγκατάστασης εμφανίζει το εξής μήνυμα:
< CSA > δεν έχει δικαιώματα για τη Διαχείριση συμπλέγματος.
Επίσης, εάν ξεκινήσετε το διαχειριστή συμπλέγματος (CluAdmin.exe) σε ένα σύμπλεγμα, ή από έναν απομακρυσμένο διακομιστή, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
Δεν επιτρέπεται η πρόσβαση

Αιτία


Αντί να αποθηκεύσουν τον κωδικό πρόσβασης του λογαριασμού χρήστη σας σε καθαρό κείμενο, τα Microsoft Windows, δημιουργεί και αποθηκεύει κωδικούς πρόσβασης λογαριασμού χρήστη χρησιμοποιώντας δύο διαφορετικές αναπαραστάσεις κωδικού πρόσβασης, γενικά γνωστές ως "Κατακερματισμοί". Όταν ορίζετε ή αλλάζετε τον κωδικό πρόσβασης για ένα λογαριασμό χρήστη σε έναν κωδικό πρόσβασης που περιέχει λιγότερους από 15 χαρακτήρες, τα Windows δημιουργούν έναν κατακερματισμό LAN Manager (LMHash) και έναν κατακερματισμό Microsoft Windows NT (NT hash) του κωδικού πρόσβασης. Αυτά τα κλειδιά κατακερματισμού αποθηκεύονται στην τοπική βάση δεδομένων διαχείρισης λογαριασμών ασφαλείας (SAM) ή υπηρεσίας καταλόγου Active Directory.


Εάν το Ασφάλεια δικτύου: να μην αποθηκευτεί η τιμή κατακερματισμού του LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης έχει οριστεί η πολιτική, δεν LMHash είναι ο λογαριασμός της υπηρεσίας συμπλέγματος (CSA) στην υπηρεσία καταλόγου Active Directory.

Όταν χρησιμοποιείται κωδικός πρόσβασης λιγότερο από 15 χαρακτήρες για το CSA, όταν συνδέετε το δεύτερο κόμβο της διαδικασίας εγκατάστασης θα δημιουργήσει το LMHash για να δημιουργήσετε ένα κλειδί περιόδου λειτουργίας για τον έλεγχο ταυτότητας. Επειδή δεν LMHash είναι αποθηκευμένο στην υπηρεσία καταλόγου Active Directory, ο ελεγκτής τομέα δεν μπορεί να δημιουργήσει ένα αντίστοιχο κλειδί περιόδου λειτουργίας. Η πρόσβαση δεν επιτρέπεται. Όταν χρησιμοποιείτε έναν κωδικό πρόσβασης που έχει 15 ή περισσότερους χαρακτήρες για το CSA, ένα LMHash δεν είναι δυνατό να δημιουργηθούν κατά τη διαδικασία εγκατάστασης. Αντίθετα, το κλειδί κατακερματισμού του κωδικού πρόσβασης των Windows NT θα χρησιμοποιηθεί για την παραγωγή του κλειδιού περιόδου λειτουργίας. Ο ελεγκτής τομέα θα είναι σε θέση να δημιουργήσει ένα αντίστοιχο κλειδί περιόδου λειτουργίας. Ο έλεγχος ταυτότητας θα αποτύχει. Για πρόσθετες πληροφορίες σχετικά με τον τρόπο για να εμποδίσετε την αποθήκευση ως έναν κατακερματισμό LAN Manager τον κωδικό πρόσβασής σας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

299656 πώς να αποτρέψετε τα Windows από ένα LAN manager κατακερματισμού κωδικού πρόσβασης στην υπηρεσία καταλόγου Active Directory και τοπικές βάσεις δεδομένων SAM

Προτεινόμενη αντιμετώπιση


Για να επιλύσετε το πρόβλημα, επιλέξτε τη μέθοδο που εξυπηρετεί καλύτερα την περίπτωσή σας.

Μέθοδος 1: Χρήση κωδικού πρόσβασης με μήκος τουλάχιστον 15 χαρακτήρων

Όταν της πολιτικής NoLMHash ορίζεται στον κατάλογο Active Directory και δεν μπορεί να απενεργοποιηθεί εξαιτίας ζητημάτων ασφαλείας, χρησιμοποιήστε έναν κωδικό πρόσβασης με μήκος τουλάχιστον 15 χαρακτήρων μεγάλη για εμποδίζει τον Οδηγό εγκατάστασης συμπλέγματος να χρησιμοποιούν ένα LMHash για τον έλεγχο ταυτότητας.

Μέθοδος 2: Ενεργοποίηση αποθήκευσης του LMHash στην υπηρεσία καταλόγου Active Directory

Επιτρέπουν την αποθήκευση των LMHash ενός κωδικού πρόσβασης χρήστη χρησιμοποιώντας την πολιτική ομάδας στην υπηρεσία Active Directory. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Με την προεπιλεγμένη πολιτική ελεγκτών τομέα ομάδας, αναπτύξτε το στοιχείο
    Ρύθμιση παραμέτρων υπολογιστή, αναπτύξτε τις Ρυθμίσεις των Windows, αναπτύξτε το στοιχείο Ρυθμίσεις ασφαλείας, αναπτύξτε το στοιχείο
    Τοπικές πολιτικές, και στη συνέχεια κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
  2. Στη λίστα των διαθέσιμων πολιτικών, κάντε διπλό κλικ στο
    Ασφάλεια δικτύου: να μην αποθηκευτεί η τιμή κατακερματισμού του LAN Manager στην επόμενη αλλαγή κωδικού πρόσβασης.
  3. Κάντε κλικ στην επιλογήκαι, στη συνέχεια, κάντε κλικ στο κουμπί
    OK.
  4. Βεβαιωθείτε ότι η πολιτική έχει αναπαραχθεί και εφαρμόζεται.
  5. Επαναφορά του κωδικού πρόσβασης από το CSA (μήκος μπορεί να είναι μικρότερη από 15 χαρακτήρες) για να βεβαιωθείτε ότι το LMHash γράφεται SAM/AD.

Μέθοδος 3: Εγκαταστήστε μια επείγουσα επιδιόρθωση

Μια επείγουσα επιδιόρθωση είναι διαθέσιμη από τη Microsoft για να επιλύσετε αυτό το ζήτημα, έτσι ώστε οι κωδικοί πρόσβασης δεκαπέντε χαρακτήρα δεν είναι απαραίτητα, όταν της πολιτικής NoLMHash ορίζεται στον κατάλογο Active Directory. Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

890761 εμφανίζεται το μήνυμα λάθους "Σφάλμα 0x8007042b" όταν προσθέτετε ή συνδέετε έναν κόμβο σε ένα σύμπλεγμα, εάν χρησιμοποιήσετε το NTLM έκδοση 2 στον Windows Server 2003