Vahel Windows NT domeenis usaldada ja Active Directory domeenis ei õnnestu või ei tööta ootuspäraselt

Sümptomid

Kui proovite luua usaldust Microsoft Windows NT 4.0 põhises domeenis ja Active Directory põhinevas domeenikontrolleris, võivad ilmneda üks järgmistest sümptomitest.
  • Usaldus on loodud.
  • Usaldus on loodud, kuid usaldus ei tööta ootuspäraselt.
Lisaks võidakse kuvada üks järgmistest tõrketeadetest:
Liituda määratud domeeniga "Domain_Name" katsel ilmnes järgmine tõrge: see konto ei ole lubatud sisse logida selle station.
Juurdepääs on keelatud.
Domeenikontrolleriga ei saanud ühendust luua.
Sisselogimistõrge: Tundmatu kasutajanimi või vale parool.
Kui kasutate object valija Active Directory kasutajate ja arvutite kasutajate NT 4.0 domeeni lisamiseks Active Directory domeeni, võidakse kuvada järgmine tõrketeade:
Praeguse otsinguga ei sobi üksusi. Kontrollige oma otsingu parameetreid ja proovige uuesti.

Põhjus

See probleem ilmneb, sest konfiguratsiooni küsimus mis tahes järgmistes valdkondades:
  • Nime resolvimise
  • Turvasätete muutmine
  • Kasutaja õigused
  • Microsoft Windows 2000 või Microsoft Windows Server 2003 kasutaja kuuluvus rühma
Õigesti tuvastada probleemi põhjus, peate usalduse konfiguratsiooni tõrkeotsingut.

Lahendus

Kui kuvatakse "üksusi pole praeguse otsinguga ei sobi" tõrketeade, kui kasutate object valija Active Directory kasutajad ja arvutid, veenduge, et NT 4.0 domeeni domeenikontrollerid lisada juurdepääsu arvuti võrgu kasutaja õigust . Selle stsenaariumi puhul object valija proovib ühendust luua anonüümselt kogu usalduse. Veendumaks, et need ssettings, järgige selle "kolme meetodit: kontrollida kasutaja õigusi" jagu.

Tõrkeotsing usalduse konfiguratsiooniprobleemide vahel Windows NT 4.0 põhises domeeni ja Active Directory, peate kontrollima õige konfiguratsiooni järgmistes valdkondades:
  • Nime resolvimise
  • Turvasätete muutmine
  • Kasutaja õigused
  • Microsoft Windows 2000 või Microsoft Windows Server 2003 kasutaja kuuluvus rühma
Selleks kasutage järgmisi meetodeid.

1. meetod: nimelahendust õige konfiguratsiooni

Esimene samm: Loo LMHOSTS-faili

Esmane domeenikontrolleritesse domeenidevaheline nime lahendamise võime pakkuda LMHOSTS-faili loomiseks. LMHOSTS-faili on teksti faili, mida saate redigeerida suvalise tekstiredaktoriga nagu Notepad. LMHOSTS-faili iga domeeni kontrolleri peab sisaldama TCP/IP aadress, domeeni nimi ja \0x1b kandmine muu domeenikontroller.
LMHOSTS-faili loomise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:Pärast seda, kui LMHOSTS-faili loomiseks toimige järgmiselt.
  1. Muutke faili nii, et see sisaldab teksti, mis sarnaneb järgmisega:
    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Märkus. Peab olema kokku 20 märki ja vahel jutumärgid ("") kandmiseks \0x1b. Tühikute lisamine domeeni nime järele, et ta kasutab 15 tähemärki. 16. märk on backslash, millele järgneb "0x1b" väärtus ja see teeb kokku 20 märki.
  2. Kui lõpetate muutuste LMHOSTS-faili, salvestage fail kausta % SystemRoot %\System32\Drivers\Etc domeenikontrollerite.
Lisateavet LMHOSTS-faili view Lmhosts.sam proovi faili, mis asub selle
\System32\Drivers\Etc kausta % SystemRoot %.

Teine samm: laadida LMHOSTS-i faili vahemälu

  1. Klõpsake nupul Start, käsul Käivita, tippige cmd ja klõpsake nupul OK.
  2. Tippige NBTSTAT -Rja seejärel vajutage sisestusklahvi ENTER. See käsk laadib LMHOSTS-i faili vahemälu.
  3. Tippige käsureale käsk NBTSTAT - c, tippige käsk ja vajutage seejärel sisestusklahvi. See käsk kuvab vahemälu. Kui fail on kirjutatud õigesti, vahemälu sarnaneb järgmisega:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Kui faili asustada vahemälu õigesti, jätkake järgmise sammuga.

Kolmas toiming: Veenduge, et LMHOSTS-i otsing on lubatud, Windows NT 4.0 põhises arvutis

Kui faili asustada vahemälu õigesti, siis veenduge, et LMHOSTS-i otsing on sisse lülitatud Windows NT 4.0 põhises arvutis. Selleks toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Sättedja seejärel klõpsake käsku Juhtpaneel.
  2. Topeltklõpsake võrgud, klõpsake seda
    Protokollid vahekaardil ja seejärel topeltklõpsake TCP/IP protokoll.
  3. Klõpsake vahekaardil WINS-aadress ja märkige ruut Luba LMHOSTS .
  4. Taaskäivitage arvuti.
  5. Korrake samme jaotises "Laadida LMHOSTS-i faili vahemälu".
  6. Kui faili asustada vahemälu õigesti, veenduge, et LMHOSTS-faili on see
    Kausta % SystemRoot %\System32\Drivers\Etc ja fail on õigesti vormindatud.

    Näiteks fail peab olema vormindatud sarnaneb järgmise näite vormingut:
    1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
    1.1.1.1 "NT4DomainName \0x1b"#PRE
    2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
    2.2.2.2 "W2KDomainName \0x1b"#PRE

    Märkus. Peab olema kokku 20 märki ja ruumid sees pakkumiste märgid ("") domeeni nimi ja \0x1b kandmiseks.

Neljas samm: Ping käsu abil saate testida Ühenduvus

Kui faili asustab vahemälu igas serveris õigesti, kasutage Ping käsu iga server serverite vahelise ühenduvuse testimiseks. Selleks toimige järgmiselt.
  1. Klõpsake nupul Start, käsul Käivita, tippige cmd ja klõpsake nupul OK.
  2. Tippige käsureale käsk Ping
    Name_Of_Domain_Controller_You_Want_To_Connect_To, ja seejärel vajutage sisestusklahvi ENTER. Kui Ping käsk ei tööta, siis veenduge, et õige IP-aadressid on loetletud LMHOSTS-faili.
  3. Tippige käsureale käsk net vaade
    Name_Of_Domain_Controller_You_Want_To_Connect_To, ja seejärel vajutage sisestusklahvi ENTER. Eeldatakse, et kuvatakse järgmine tõrketeade:
    Ilmnes süsteemi tõrge 5. Juurdepääs on keelatud
    Kui puhas vaade käsk tagastab järgmise tõrketeate või mis tahes muu seotud tõrge sõnumi, veenduge, et õige IP-aadressid on loetletud LMHOSTS-faili:
    Ilmnes süsteemi tõrge 53. Võrguteed ei leitud
Teise võimalusena Windows Internet Name Service (WINS) saab konfigureerida kasutamata LMHOSTS-faili nime lahendamise funktsiooni lubamiseks. Kasutada WINS-i nime lahendamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
WINS-i 185786 tavad

2. meetod: Vaata turvasätete muutmine

Tavaliselt Active Directory pool usalduse konfiguratsiooni turvasätted põhjustada probleeme ühenduvusega. Turvalisuse sätteid kontrollitakse mõlemalt trust.

Esimene samm: vaadata turvasätted serverites Windows 2000 Server ja Windows Server 2003

Windows 2000 Server ja Windows Server 2003 võib turbesätted rakendatakse või konfigureerida rühmapoliitika, kohaliku poliitika, või rakendati turvalisus malli.

Kasutage õiget tööriistad määrata turvalisuse seaded, et vältida ebatäpse näite praegused väärtused.

Saada täpne lugemine praeguse turvalisuse seaded, kasutage järgmisi meetodeid.
  • Windows 2000 server, kasutage turvakonfiguratsioon ja analüüs snap-in Windows 2000 põhises arvutis praegune turvapoliitika määratlemise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
    258595 Gpresult loetleda tulemuseks oleva arvuti turvapoliitika

  • Windows Server 2003, kasutada turvalisuse konfiguratsiooni ja analüüs lisandmooduli või Resultant Set of Policy (RSoP) lisandmoodul.
    Resultant Set of Policy lisandmooduli kasutamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
Kui olete praegused sätted, tuleb kindlaks teha poliitika, mis on kohaldatavad sätted. Näiteks, peate kindlaks tegema Active Directory või kohalikud sätted, et määrata turvapoliitika rühmapoliitika.

Windows Server 2003, poliitika, mis seab turvalisuse väärtused on tähistatud RSoP vahend. Siiski Windows 2000 peate vaadata rühmapoliitika ja kohalik poliitika kindlaks poliitika, mis sisaldab turvalisuse sätteid:
  • Rühmapoliitika sätete vaatamiseks peate lubama logimise väljund Microsoft Windows 2000 turvalisuse konfiguratsiooni klient rühmapoliitika töötlemise ajal.
    Rühmapoliitika töötlemise ajal Microsoft Windows 2000 turvalisuse konfiguratsiooni kliendile väljund logimise lubamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
  • Event Vieweris Rakenduse logi vaatamine ja leida sündmuse ID 1000 ja event ID 1202.
    Sündmuse ID 1000 ja event ID 1202 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
    319352 sündmuse ID 1000 ja event ID 1202 logitakse sündmuste logi iga viie minuti järel Windows 2000 Server

Kolme järgmist jaotist tuvastamiseks operatsioonisüsteemi ja turvasätted, mida peate kontrollima teavet, mida olete kogunud operatsioonisüsteemile loendis:
Windows 2000
Veenduge, et järgmised sätted on konfigureeritud, nagu näidatud.

RestrictAnonymous:
Täiendavad piirangud anonüümseid ühendusi
"Ei ole. Sõltuvad vaikeõigused"
LM ühilduvus:
LAN-i halduri autentimise tase"Saada ainult NTLM-vastuse"
SMB allkirjastamine, SMB krüptimine või mõlemat:
Digitaalne allkirjastamine klient side (alati)KEELATUD
Digitaalselt allkirjastama klient side (kui see on võimalik)LUBATUD
Digitaalne allkirjastamine server side (alati)KEELATUD
Digitaalselt allkirjastama serveri side (kui see on võimalik)LUBATUD
Turvalise kanali: digitaalselt krüptida või logige turvalise kanali andmed (alati)KEELATUD
Turvalise kanali: digitaalselt krüptida turvalise kanali andmed (kui see on võimalik)KEELATUD
Turvalise kanali: digitaalselt märk turvalise kanali andmed (kui see on võimalik)KEELATUD
Turvalise kanali: nõuavad strong (Windows 2000 või uuem versioon) seansivõtiKEELATUD
Windows Server 2003
Veenduge, et järgmised sätted on konfigureeritud, nagu näidatud.


RestrictAnonymous ja RestrictAnonymousSam:
Võrgu kasutamine: luba anonüümseid SID/nime tõlkimineLUBATUD
Võrgu kasutamine: luba anonüümseid loendamine SAM kontodKEELATUD
Võrgu kasutamine: luba anonüümseid loendamine SAM kontod ja aktsiateKEELATUD
Võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajadLUBATUD
Võrgu kasutamine: nimega torud pääseb anonüümseltLUBATUD
Võrgu kasutamine: Named Pipes ja aktsiate anonüümse juurdepääsu piiramiseksKEELATUD
Märkus. Vaikimisi väärtus on võrgu kasutamine: luba anonüümseid SID/nime tõlkimine säte on keelatud operatsioonisüsteemis Windows Server 2008. Kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
942428 Windows Server 2003 domeenikontrolleritesse lase anonüümne kasutajatel lahendada turvalisuse ID (SID) kasutaja nimi

LM ühilduvus:
Võrgu turvalisus: LAN Manageri autentimist tase"Saada ainult NTLM-vastuse"
SMB allkirjastamine, SMB krüptimine või mõlemat:
Microsoft network client: digitaalselt allkirjastama side (alati)KEELATUD
Microsoft network client: digitaalselt allkirjastama side (kui server on nõus)LUBATUD
Microsoft network server: digitaalallkirjastamine side (alati)KEELATUD
Microsoft network server: digitaalselt allkirjastama side (kui klient nõustub)LUBATUD
Domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati)KEELATUD
Domeeni liige: digitaalselt krüptida turvalise kanali andmed (kui see on võimalik)LUBATUD
Domeeni liige: digitaalselt märk turvalise kanali andmed (kui see on võimalik)LUBATUD
Domeeni liige: nõuavad strong (Windows 2000 või uuem versioon) seansivõtiKEELATUD
Pärast seda, kui sätted on õigesti konfigureeritud, peate oma arvuti taaskäivitama. Turbesätted pole jõustatakse seni, kuni arvuti taaskäivitatakse.

Pärast arvuti taaskäivitamist, oodake 10 minutit veendumaks, et kõik turvalisuse poliitika rakendamist ja tõhus seaded on konfigureeritud. Soovitame oodata 10 minutit, sest Active Directory poliitika uuendused toimuvad iga 5 minuti järel domeenikontrolleri ja värskendus võib turvalisuse seadmine väärtusi muuta. Pärast 10 minutit, kasutage turvakonfiguratsioon ja analüüs või mõnda muud tööriista turvasätteid Windows 2000 ja Windows Server 2003.

Windows NT 4.0

NB! See sektsioon, meetod või toiming sisaldab etappe, mille käigus õpetatakse registrit muutma. Registri vale muutmine võib aga põhjustada tõsiseid probleeme. Vastasel juhul järgige neid samme hoolikalt. Lisakaitseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasis artikli kuvamiseks järgmist artiklinumbrit:
322756 kuidas varundada ja taastada Windowsi registrit
Windows NT 4.0, peate praegused turvasätted registri kuvamise Regedt32 tööriista abil kontrollida. Selleks toimige järgmiselt.
  1. Klõpsake nuppu Start, käsku Käivita, tippige regedt32ja klõpsake
    OK.
  2. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis määratakse RestrictAnonymous kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis on määratud LM ühilduvuse kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis on määratud EnableSecuritySignature (server) kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis on määratud RequireSecuritySignature (server) kanne:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis määratakse RequireSignOrSeal kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis määratakse SealSecureChannel kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis määratakse SignSecureChannel kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Laiendage järgmine registri alamvõtmete ja siis Vaata ka väärtus, mis määratakse RequireStrongKey kanne:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Meetod 3: kontrollida kasutaja õigusi

Veendumaks, et vajalikke kasutajaõigusi Windows 2000 põhises arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Programmid, suvandile Haldustööriistadja klõpsake Kohaliku turbepoliitika.
  2. Laienda Kohalikud poliitikadja seejärel klõpsake nuppu
    Kasutaja õiguste määramine.
  3. Topeltklõpsake paremal paanil sellele juurdepääs arvuti võrgust.
  4. Valige Kohaliku rühmapoliitika säteruut rühm Kõik määratud loendis ja seejärel klõpsake nuppu OK.
  5. Topeltklõpsake keelata juurdepääsu sellele arvutile võrgust.
  6. Veenduge, et ükski põhimõte rühmi on selle
    Määratud loendi ja seejärel klõpsake nuppu OK. Näiteks, veenduge, et kõik autenditud kasutajate ja teiste rühmade ei ole loetletud.
  7. Klõpsake OKja sulgege seejärel Kohalik turvapoliitika.
Veendumaks, et vajalikke kasutajaõigusi Windows Server 2003 põhises arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Haldusriistadja seejärel klõpsake Domeeni kontrolleri poliitika.
  2. Laienda Kohalikud poliitikadja seejärel klõpsake nuppu
    Kasutaja õiguste määramine.
  3. Topeltklõpsake paremal paanil sellele juurdepääs arvuti võrgust.
  4. Veenduge, et kõik on juurdepääs sellele arvutile võrgust loend. Kui rühm kõik ei ole loetletud, toimige järgmiselt.
    1. Klõpsake Lisa kasutaja või rühm.
    2. Tippige väljale kasutaja ja rühma nime
      Igaüks, ja seejärel klõpsake nuppu OK.
  5. Topeltklõpsake keelata juurdepääsu sellele arvutile võrgust.
  6. Veenduge, et ükski põhimõte rühmi on selle
    Keela juurdepääs sellele arvutile võrgust loend ja seejärel klõpsake nuppu OK. Näiteks, veenduge, et kõik autenditud kasutajate ja teiste rühmade ei ole loetletud.
  7. Klõpsake OKja seejärel sulgege domeeni kontrolleri turvapoliitika.
Veendumaks, et vajalikke kasutajaõigusi Windows NT Server 4.0 põhises arvutis, toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Programmid, osutage käsule Haldusriistadja klõpsake Kasutaja Manager domeenide jaoks.
  2. Klõpsake menüü poliitika Kasutajaõigused.
  3. Klõpsake paremal juurdepääs see arvuti on võrgus.
  4. Välja anda , veenduge, et rühm kõik on lisatud. Kui rühm kõik on lisatud, toimige järgmiselt.
    1. Klõpsake nuppu Lisa.
    2. Klõpsake loendis nimed
      Kõik, klõpsake nuppu Lisaja seejärel klõpsake
      OK.
  5. Klõpsake OKja seejärel sulgege kasutaja juht.

Meetod neli: kontrollida kasutaja kuuluvus rühma

Kui domeenide vahel on usaldus on loodud, kuid te ei saa lisada põhimõtteliselt kasutaja rühma ühest domeenist teise sest dialoogiboksi ei ei leia muud domeeni objektid, "Pre-Windows 2000 ühilduv juurdepääsu" rühm ei pruugi olla õige liikmeks.

Windows 2000 põhiste domeenikontrollerite ja Windows Server 2003-põhiste domeenikontrollerite puhul veenduge, et nõutava grupi liige konfigureeritud.

Operatsioonisüsteemide Windows 2000 põhiste domeenikontrollerite puhul toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Programmid, osutage käsule Haldusriistadja klõpsake Active Directory kasutajad ja arvutid.
  2. Klõpsake nuppu ehitatud, ja seejärel topeltklõpsake
    Pre-Windows 2000 ühilduv juurdepääsu rühma.
  3. Liikmete vahekaarti ja seejärel veenduge, et kõik on loendis liikmed .
  4. Kui rühm kõik ei ole selle
    Liikmete nimekirja, järgige neid samme:
    1. Klõpsake nuppu Start, käsku
      Käivita, tippige cmdja klõpsake
      OK.
    2. Tippige net localgroup "Pre-Windows 2000 ühilduv juurdepääsu" igaüks / addja seejärel vajutage sisestusklahvi ENTER.
Veendumaks, et nõutava grupi liige konfigureeritud domeenikontrolleritesse ning Windows Server 2003-ga, peate teadma, kui on "võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad" poliitika säte on keelatud. Kui te ei tea, kasutage Group Policy Object Editor oleku määramiseks on "võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad" poliitika säte. Selleks toimige järgmiselt.
  1. Klõpsake nuppu Start, käsku Käivita, tippige gpedit.mscja klõpsake
    OK.
  2. Laiendage järgmisi kaustu:
    Kohaliku arvuti poliitika
    Arvuti konfiguratsioon
    Windowsi sätted
    Turbesätted
    Kohalikud poliitikad
  3. Klõpsake Turvasuvandid, ja seejärel nuppu
    Võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad parempoolsel paanil.
  4. Märkus Kui Turbesäteteveerus olev väärtus on lubatudvõi keelatud .
Veenduge, et nõutava grupi liige konfigureeritud domeenikontrolleritesse ning Windows Server 2003-ga, toimige järgmiselt.
  1. Klõpsake nuppu Start, valige käsk
    Programmid, osutage käsule Haldusriistadja klõpsake Active Directory kasutajad ja arvutid.
  2. Klõpsake nuppu ehitatud, ja seejärel topeltklõpsake
    Pre-Windows 2000 ühilduv juurdepääsu rühma.
  3. Klõpsake vahekaarti liikmed .
  4. Kui see võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad säte on keelatud, edastatava igaüks, Anonüümne sisselogimine rühma liikmed loend. Kui on "võrgu kasutamine: lasta kõik õigused rakenduvad anonüümsed kasutajad" poliitika säte on lubatud, veenduge, et rühm kõik on selle
    Liikmete nimekiri.
  5. Kui rühm kõik ei ole selle
    Liikmete nimekirja, järgige neid samme:
    1. Klõpsake nuppu Start, käsku
      Käivita, tippige cmdja klõpsake
      OK.
    2. Tippige net localgroup "Pre-Windows 2000 ühilduv juurdepääsu" igaüks / addja seejärel vajutage sisestusklahvi ENTER.

Meetod viis: ühenduvuse kontrollimiseks läbi võrgu seadmeid, näiteks tulemüürid, lülitid ja ruuterid

Kui olete saanud tõrketeated, mis sarnanevad järgmise tõrketeate ja olete veendunud, et LMHOST failid on õige, probleem võib olla põhjustatud tulemüüri, ruuterit või lüliti, mis on blokeeritud Porte domeenikontrollerid vahel:
Domeenikontroller ei saanud ühendust luua
Tõrkeotsing võrgu seadmeid, kasutage PortQry käsurea Port Scanner versioon 2.0 testida portide vahel oma domeenikontrollerid.
PortQry versiooni 2 kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
832919 uusi funktsioone ja funktsionaalsust PortQry versiooni 2.0.

Kuidas tuleb konfigureerida Porte kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

Meetod kuus: koguda täiendavat teavet, mis aitavad probleemi tõrkeotsing

Kui eelmised meetodid teid ei aidanud probleemi lahendada, koguda järgmist täiendavat teavet tõrkeotsingu probleemi põhjus:
  • Võimaldavad nii domeenikontrollerid sisselogimist Netlogon.
    Täielik Netlogon logimise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
    Silumise logimise teenus Net Logon 109626 lubamine

  • Jäädvustada jälgi nii domeenikontrolleritesse samal ajal et probleem ilmneb.
    Pildista võrguliikluse kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

Lisateabe saamiseks

Rühmapoliitika objekti (GPO) järgmises loendis pakub asukoht ja vastava registrikirje rühmapoliitika kohaldatavad operatsioonisüsteemid:
  • RestrictAnonymous rühmapoliitika objekti:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 rühmapoliitika: arvuti konfiguratsiooni \ Windows seaded \ turvasätted \ turvasuvandid täiendavad piirangud anonüümseid ühendusi
    • Windows Server 2003 Group Policy: Arvuti konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: luba anonüümseid loendamine SAM kontod ja aktsiate
  • RestrictAnonymousSAM rühmapoliitika objekti:
    • Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy: arvuti konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: luba anonüümseid loendamine SAM kontod ja aktsiate
  • EveryoneIncludesAnonymous rühmapoliitika objekti:
    • Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 Group Policy: arvuti konfiguratsiooni \ Windows seaded \ turvasätted \ turvalisuse võimalusi võrgu juurdepääs: lasta kõik õigused rakenduvad anonüümsed kasutajad
  • LM ühilduvus rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 rühmapoliitika: Arvuti konfiguratsioon \ Windows seaded \ turvasätted \ turbesuvandeid: LAN-i halduri autentimise tase
    • Windows Server 2003 Group Policy: arvuti konfiguratsiooni \ Windows Settings \ turvasätted \ turvalisuse Options\Network security: LAN-i halduri autentimise tase
  • EnableSecuritySignature (klient) GPO:
    • Windows 2000 ja Windows Server 2003 registri asukoht: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 rühmapoliitika: arvuti konfiguratsiooni \ Windows Settings \ turvasätted \ turbesuvandeid: digitaalselt allkirjastama klient side (kui võimalik)
    • Windows Server 2003 Group Policy: Arvuti konfiguratsioon \ Windows seaded \ turvasätted \ turvasuvandid \ Microsoft network client: allkirjastamine side (kui server on nõus)
  • RequireSecuritySignature (klient) GPO:
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 rühmapoliitika: Arvuti konfiguratsioon \ Windows seaded \ turvasätted \ turvasuvandid: allkirjastamine kliendi suhtlemine (alati)
    • Windows Server 2003: arvuti konfiguratsiooni \ Windows Settings \ turvasätted \ turvalisuse Options\ Microsoft network client: digitaalselt allkirjastama side (alati)
  • EnableSecuritySignature (server) GPO:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 rühmapoliitika: digitaalselt allkirjastama server side (kui võimalik)
    • Windows Server 2003 Group Policy: Microsoft network server: digitaalselt allkirjastama side (kui klient nõustub)
  • RequireSecuritySignature (server) GPO:
    • Windows NT registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 ja Windows Server 2003 registri asukoht:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 rühmapoliitika: digitaalselt allkirjastama server side (alati)
    • Windows Server 2003 Group Policy: Microsoft network server: digitaalallkirjastamine side (alati)
  • RequireSignOrSeal rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server2003 registri asukoht: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: digitaalselt krüptida või logige turvalise kanali andmed (alati)
    • Windowsi Server2003 Group Policy: domeeni liige: digitaalselt krüptida või logige turvalise kanali andmed (alati)
  • SealSecureChannel rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server2003 registri asukoht: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: turvalise kanali: digitaalselt krüptida turvalise kanali andmed (kui võimalik)
    • Windows Server 2003 Group Policy: domeeni liige: digitaalselt krüptida turvalise kanali andmed (kui võimalik)
  • SignSecureChannel rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: turvalise kanali: digitaalselt märk turvalise kanali andmed (kui võimalik)
    • Windows Server 2003 Group Policy: domeeni liige: digitaalselt märk turvalise kanali andmed (kui võimalik)
  • RequireStrongKey rühmapoliitika objekti:
    • Windows NT, Windows 2000 ja Windows Server 2003 registri asukoht: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 rühmapoliitika: turvalise kanali: nõuavad strong (Windows 2000 või uuem versioon) seansivõti
    • Windows Server 2003 Group Policy: domeeni liige: nõuavad strong (Windows 2000 või uuem versioon) seansivõti

Windows Server 2008

Domeenikontrolleris, kus töötab Windows Server 2008, Luba krüptograafia algoritmid ühildub Windows NT 4.0 Poliitikasätte vaikekäitumise probleeme tekitada. See säte takistab nii Windowsi operatsioonisüsteeme ja kolmanda osapoole kliente nõrk krüptimise kasutamine algoritmid kehtestada NETLOGON turvalisuse kanaleid Windows Server 2008 põhisesse domeenikontrollerid.
Lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
942564 kui ka Windows NT 4.0 põhises arvutis üritab kasutada teenus NETLOGON luua turvalisuse kanal, Windows Server 2008-l põhinevat domeenikontrollerit, siis toiming võib nurjuda

Viited

Lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:
257942 tõrketeade: ei saa sirvida valitud domeeni, kuna ilmnes järgmine tõrge...

246261 kuidas kasutada registriväärtuse RestrictAnonymous Windows 2000

258595 Gpresult loetleda resulteeruva arvuti turvapoliitika

823659 klient, teenuse ja programmi vastuolud, mis võib ilmneda, kui muudate turvasätteid ja kasutaja õiguste ülesanded

278259 rühm kõik ei hõlma anonüümne turbeidentifikaator

Atribuudid

Artikli ID: 889030 – viimati läbi vaadatud: 26. jaan 2017 – redaktsioon: 1

Tagasiside