Невозможно установить отношения доверия между доменом Windows NT и доменом Active Directory или он не работает должным образом

  • Статья

В этой статье описаны проблемы с конфигурацией доверия между доменом на основе Windows NT 4.0 и доменом на основе Active Directory.

Применимо к следующим выпускам: Windows 10 – все выпуски, Windows Server 2012 R2
Оригинальный номер базы знаний: 889030

Симптомы

При попытке настроить доверие между доменом на основе Microsoft Windows NT 4.0 и доменом на основе Active Directory может возникнуть один из следующих симптомов:

  • Доверие не установлено.
  • Доверие установлено, но доверие работает не так, как ожидалось.

Кроме того, вы можете получить любое из следующих сообщений об ошибках:

При попытке присоединиться к домену Domain_Name произошла следующая ошибка: учетная запись не авторизована на вход с этой станции.

Отказ в доступе.

Невозможно связаться с контроллером домена.

Сбой входа: неизвестное имя пользователя или неверный пароль.

При использовании средства выбора объектов в Пользователи и компьютеры Active Directory для добавления пользователей из домена NT 4.0 в домен Active Directory может появиться следующее сообщение об ошибке:

Нет элементов, соответствующих текущему поиску. Проверьте параметры поиска и повторите попытку.

Причина

Эта проблема возникает из-за проблемы с конфигурацией в одной из следующих областей:

  • Разрешение имен
  • Параметры безопасности
  • Права пользователя
  • Членство в группе для Microsoft Windows 2000 или Microsoft Windows Server 2003

Чтобы правильно определить причину проблемы, необходимо устранить неполадки с конфигурацией доверия.

Разрешение

Если при использовании средства выбора объектов в Пользователи и компьютеры Active Directory появляется сообщение об ошибке "Нет элементов, соответствующих текущему поиску", убедитесь, что контроллеры домена в домене NT 4.0 включают все в право доступа к этому компьютеру из сетевого пользователя. В этом сценарии средство выбора объектов пытается подключиться анонимно через доверие. Чтобы проверить эти параметры, выполните действия, описанные в разделе "Метод 3: проверка прав пользователя".

Чтобы устранить проблемы с конфигурацией доверия между доменом на основе Windows NT 4.0 и Active Directory, необходимо проверить правильную конфигурацию следующих областей:

  • Разрешение имен
  • Параметры безопасности
  • Права пользователя
  • Членство в группе для Microsoft Windows 2000 или Microsoft Windows Server 2003

Для этого используйте следующие методы.

Способ 1. Проверка правильной конфигурации разрешения имен

Шаг 1. Создание файла LMHOSTS

Создайте файл LMHOSTS на основных контроллерах домена, чтобы обеспечить возможность разрешения имен между доменами. Файл LMHOSTS — это текстовый файл, который можно изменить в любом текстовом редакторе, например в Блокноте. Файл LMHOSTS на каждом контроллере домена должен содержать TCP/IP-адрес, доменное имя и запись \0x1b другого контроллера домена.

После создания файла LMHOSTS выполните следующие действия.

  1. Измените файл таким образом, чтобы он содержал текст, аналогичный следующему тексту:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <. Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2"<2000_Domain> \0x1b"#PRE

    Примечание.

    Между кавычками (" ") для записи \0x1b должно быть в общей сложности 20 символов и пробелов. Добавьте пробелы после доменного имени, чтобы оно использовало 15 символов. 16-й символ — это обратная косая черта, за которой следует значение "0x1b", и это составляет в общей сложности 20 символов.

  2. После внесения изменений в файл LMHOSTS сохраните файл в папку %SystemRoot% \System32\Drivers\Etc на контроллерах домена. Дополнительные сведения о файле LMHOSTS см. в примере файла Lmhosts.sam, который находится в папке %SystemRoot% \System32\Drivers\Etc.

Шаг 2. Загрузка файла LMHOSTS в кэш

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.

  2. В командной строке введите NBTSTAT -Rи нажмите клавишу ВВОД. Эта команда загружает файл LMHOSTS в кэш.

  3. В командной строке введите NBTSTAT -cи нажмите клавишу ВВОД. Эта команда отображает кэш. Если файл написан правильно, кэш будет выглядеть следующим образом:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Если файл неправильно заполняет кэш, перейдите к следующему шагу.

Шаг 3. Убедитесь, что на компьютере с Windows NT 4.0 включен поиск LMHOSTS

Если файл неправильно заполняет кэш, убедитесь, что на компьютере с Windows NT 4.0 включен поиск LMHOSTS. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, выделите пункт Настройка и выберите Панель управления.
  2. Дважды щелкните Сети, перейдите на вкладку Протоколы , а затем дважды щелкните протокол TCP/IP.
  3. Перейдите на вкладку Адрес WINS и выберите поле Включить LMHOSTS Lookup проверка.
  4. Перезагрузите компьютер.
  5. Повторите действия, описанные в разделе "Загрузка файла LMHOSTS в кэш".
  6. Если файл неправильно заполняет кэш, убедитесь, что файл LMHOSTS находится в папке %SystemRoot%\System32\Drivers\Etc и правильно отформатирован.

Например, файл должен быть отформатирован примерно так, как в следующем примере:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Примечание.

В кавычках ("") должно быть в общей сложности 20 символов и пробелов для записи Доменного имени и \0x1b.

Шаг 4. Проверка подключения с помощью команды Ping

Если файл правильно заполняет кэш на каждом сервере Ping , используйте команду на каждом сервере, чтобы проверить подключение между серверами. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.

  2. В командной строке введите Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>и нажмите клавишу ВВОД. Ping Если команда не работает, убедитесь, что в файле LMHOSTS указаны правильные IP-адреса.

  3. В командной строке введите net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>и нажмите клавишу ВВОД. Ожидается следующее сообщение об ошибке:

    Произошла системная ошибка 5. Доступ запрещен

    Если команда net view возвращает следующее сообщение об ошибке или любое другое связанное сообщение об ошибке, убедитесь, что в файле LMHOSTS указаны правильные IP-адреса:

    Произошла системная ошибка 53. Не найден сетевой путь

Кроме того, службу windows INTERNET Name Service (WINS) можно настроить для включения функций разрешения имен без использования файла LMHOSTS.

Способ 2. Просмотр параметров безопасности

Как правило, на стороне Active Directory конфигурации доверия есть параметры безопасности, которые вызывают проблемы с подключением. Однако параметры безопасности должны проверяться с обеих сторон доверия.

Шаг 1. Просмотр параметров безопасности в Windows 2000 Server и Windows Server 2003

В Windows 2000 Server и Windows Server 2003 параметры безопасности могут применяться или настраиваться групповая политика, локальной политикой или примененным шаблоном безопасности.

Чтобы избежать неточных значений, необходимо использовать правильные средства для определения текущих значений параметров безопасности.

Чтобы получить точное чтение текущих параметров безопасности, используйте следующие методы:

  • В Windows 2000 Server используйте оснастку "Конфигурация и анализ безопасности".

  • В Windows Server 2003 используйте оснастку "Конфигурация безопасности и анализ" или оснастку Результирующий набор политики (RSoP).

После определения текущих параметров необходимо определить политику, применяющую параметры. Например, необходимо определить групповая политика в Active Directory или локальные параметры, задающие политику безопасности.

В Windows Server 2003 политика, задающая значения безопасности, определяется средством RSoP. Однако в Windows 2000 необходимо просмотреть групповая политика и локальную политику, чтобы определить политику, содержащую параметры безопасности:

  • Чтобы просмотреть параметры групповая политика, необходимо включить выходные данные ведения журнала для клиента конфигурации безопасности Microsoft Windows 2000 во время обработки групповая политика.

  • Просмотрите Просмотр событий входа в приложение и найдите идентификатор события 1000 и идентификатор события 1202.

Следующие три раздела определяют операционную систему и перечисляют параметры безопасности, которые необходимо проверить для операционной системы в собранных сведениях:

Windows 2000

Убедитесь, что следующие параметры настроены, как показано ниже.

RestrictAnonymous:

Дополнительные ограничения для анонимных подключений
 "Нет. Использование разрешений по умолчанию"

Совместимость LM:

Уровень проверки подлинности LAN Manager "Отправить только ответ NTLM"

Подписывание SMB, шифрование SMB или и то, и другое:

Цифровая подпись для обмена данными с клиентами (всегда) ОТКЛЮЧЕН
Цифровая подпись для обмена данными с клиентом (если это возможно) ВКЛЮЧЕН
Цифровая подпись связи с сервером (всегда) ОТКЛЮЧЕН
Цифровая подпись связи с сервером (если это возможно) ВКЛЮЧЕН
Безопасный канал: цифровое шифрование или подпись данных безопасного канала (всегда) ОТКЛЮЧЕН
Безопасный канал: цифровое шифрование данных безопасного канала (если это возможно) ОТКЛЮЧЕН
Безопасный канал: цифровая подпись данных безопасного канала (если это возможно) ОТКЛЮЧЕН
Безопасный канал: требуется сильный сеансовый ключ (Windows 2000 или более поздней версии) ОТКЛЮЧЕН
Windows Server 2003

Убедитесь, что следующие параметры настроены, как показано ниже.

RestrictAnonymous и RestrictAnonymousSam:

Сетевой доступ: разрешить преобразование анонимного идентификатора безопасности или имени ВКЛЮЧЕН
Доступ к сети: запретить анонимное перечисление учетных записей SAM ОТКЛЮЧЕН
Доступ к сети: не разрешайте анонимное перечисление учетных записей и общих папок SAM. ОТКЛЮЧЕН
Доступ к сети: разрешить всем применять разрешения для анонимных пользователей ВКЛЮЧЕН
Доступ к сети: именованные каналы можно получить анонимный доступ ВКЛЮЧЕН
Сетевой доступ: ограничение анонимного доступа к именованным каналам и общим папкам ОТКЛЮЧЕН

Примечание.

По умолчанию значение параметра Сетевой доступ: Разрешить преобразование анонимного идентификатора безопасности/имени в Windows Server 2008 отключено.

Совместимость LM:

Сетевая безопасность: уровень проверки подлинности LAN Manager "Отправить только ответ NTLM"

Подписывание SMB, шифрование SMB или и то, и другое:

Сетевой клиент Майкрософт: обмен данными с цифровой подписью (всегда) ОТКЛЮЧЕН
Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен) ВКЛЮЧЕН
Сетевой сервер Майкрософт: обмен данными с цифровой подписью (всегда) ОТКЛЮЧЕН
Сетевой сервер Майкрософт: цифровая подпись сообщений (если клиент соглашается) ВКЛЮЧЕН
Член домена: цифровое шифрование или подпись данных безопасного канала (всегда) ОТКЛЮЧЕН
Член домена: цифровое шифрование данных безопасного канала (если это возможно) ВКЛЮЧЕН
Член домена: цифровая подпись данных безопасного канала (если это возможно) ВКЛЮЧЕН
Член домена: требуется сильный (Windows 2000 или более поздней версии) ключ сеанса ОТКЛЮЧЕН

После правильной настройки параметров необходимо перезагрузить компьютер. Параметры безопасности не применяются до перезагрузки компьютера.

После перезагрузки компьютера подождите 10 минут, чтобы убедиться, что все политики безопасности применены и настроены действующие параметры. Рекомендуется подождать 10 минут, так как обновления политики Active Directory происходят каждые 5 минут на контроллере домена, и обновление может изменить значения параметров безопасности. Через 10 минут используйте конфигурацию и анализ безопасности или другое средство для проверки параметров безопасности в Windows 2000 и Windows Server 2003.

Windows NT 4.0

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующем номере статьи базы знаний Майкрософт: 322756 Резервное копирование и восстановление реестра в Windows

В Windows NT 4.0 текущие параметры безопасности должны быть проверены с помощью средства Regedt32 для просмотра реестра. Для этого выполните следующие действия:

  1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите regedt32 и нажмите кнопку ОК.

  2. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи совместимости LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи EnableSecuritySignature (сервер):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи RequireSecuritySignature (сервер).

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Разверните следующие подразделы реестра, а затем просмотрите значение, присвоенное записи RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Способ 3. Проверка прав пользователя

Чтобы проверить необходимые права пользователя на компьютере под управлением Windows 2000, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Локальная политика безопасности.
  2. Разверните узел Локальные политики и щелкните Назначение прав пользователя.
  3. В правой области дважды щелкните Доступ к этому компьютеру из сети.
  4. Щелкните, чтобы выбрать параметр локальной политики проверка рядом с группой Все в списке Назначено, а затем нажмите кнопку ОК.
  5. Дважды щелкните Запретить доступ к этому компьютеру из сети.
  6. Убедитесь, что в списке Назначено нет групп принципов, и нажмите кнопку ОК. Например, убедитесь, что все, пользователи, прошедшие проверку подлинности, и другие группы отсутствуют в списке.
  7. Нажмите кнопку ОК и закройте локальную политику безопасности.

Чтобы проверить необходимые права пользователя на компьютере под управлением Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку Пуск, наведите указатель на пункт Администрирование, а затем выберите Пункт Политика безопасности контроллера домена.

  2. Разверните узел Локальные политики и щелкните Назначение прав пользователя.

  3. В правой области дважды щелкните Доступ к этому компьютеру из сети.

  4. Убедитесь, что группа Все находится в списке Доступ к этому компьютеру из сети .

    Если группа "Все" отсутствует в списке, выполните следующие действия.

    1. Щелкните Добавить пользователя или группу.
    2. В поле Имена пользователей и групп введите Все и нажмите кнопку ОК.

  5. Дважды щелкните Запретить доступ к этому компьютеру из сети.

  6. Убедитесь, что в списке Запрет доступа к этому компьютеру из сети нет групп принципов, и нажмите кнопку ОК. Например, убедитесь, что все, прошедшие проверку подлинности пользователи и другие группы отсутствуют в списке.

  7. Нажмите кнопку ОК и закройте политику безопасности контроллера домена.

Чтобы проверить необходимые права пользователя на компьютере с Windows NT Server 4.0, выполните следующие действия.

  1. Нажмите кнопку Пуск, выберите Пункт Программы, Администрирование, а затем — Диспетчер пользователей для доменов.

  2. В меню Политики выберите пункт Права пользователя.

  3. В списке Справа щелкните Доступ к этому компьютеру из сети.

  4. В поле Предоставить убедитесь, что добавлена группа Все.

    Если группа Все не добавлена, выполните следующие действия.

    1. Нажмите кнопку Добавить.
    2. В списке Имена щелкните Все, Нажмите кнопку Добавить, а затем нажмите кнопку ОК.

  5. Нажмите кнопку ОК, а затем закройте Диспетчер пользователей.

Метод 4. Проверка членства в группе

Если между доменами настроено доверие, но вы не можете добавить основные группы пользователей из одного домена в другой, так как диалоговое окно не находит другие объекты домена, группа "Доступ, совместимый с Windows 2000", может иметь неправильное членство.

Убедитесь, что на контроллерах домена под управлением Windows 2000 и Windows Server 2003 настроено необходимое членство в группах.

Для этого на контроллерах домена под управлением Windows 2000 выполните следующие действия.

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

  2. Щелкните Встроенный, а затем дважды щелкните Группу доступа, совместимую с Windows 2000.

  3. Перейдите на вкладку Участники и убедитесь, что группа Все находится в списке Участники .

  4. Если группа Все нет в списке Участники , выполните следующие действия.

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.
    2. В командной строке введите net localgroup "Pre-Windows 2000 Compatible Access" everyone /addи нажмите клавишу ВВОД.

Чтобы убедиться, что необходимое членство в группах настроено на контроллерах домена под управлением Windows Server 2003, необходимо знать, отключен ли параметр политики "Сетевой доступ: разрешить всем применять разрешения к анонимным пользователям". Если вы не знаете, используйте Редактор объекта групповая политика, чтобы определить состояние параметра политики "Сетевой доступ: разрешить всем применять разрешения к анонимным пользователям". Для этого выполните следующие действия:

  1. В меню Пуск щелкните Выполнить, введите команду gpedit.msc и нажмите кнопку ОК.

  2. Разверните следующие папки:

    Политика локального компьютера
    Конфигурация компьютера
    Параметры Windows
    Параметры безопасности
    Локальные политики

  3. Щелкните Параметры безопасности, а затем выберите Сетевой доступ: разрешить всем применять разрешения к анонимным пользователям в правой области.

  4. Обратите внимание, что значение в столбце Параметры безопасности имеет значение Отключено или Включено.

Чтобы убедиться, что необходимое членство в группах настроено на контроллерах домена под управлением Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

  2. Щелкните Встроенный, а затем дважды щелкните Группу доступа, совместимую с Windows 2000.

  3. Перейдите на вкладку Участники .

  4. Если параметр политики Сетевой доступ: разрешить всем применять разрешения для анонимных пользователей отключен, убедитесь, что группа Все, анонимный вход находится в списке Участники . Если включен параметр политики "Сетевой доступ: разрешить всем применять разрешения для анонимных пользователей", убедитесь, что группа "Все" находится в списке Участников .

  5. Если группа Все нет в списке Участники , выполните следующие действия.

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите кнопку ОК.
    2. В командной строке введите net localgroup "Pre-Windows 2000 Compatible Access" everyone /addи нажмите клавишу ВВОД.

Метод 5. Проверка подключения через сетевые устройства, такие как брандмауэры, коммутаторы или маршрутизаторы

Если вы получили сообщения об ошибках, похожие на следующее сообщение об ошибке, и вы проверили правильность файлов LMHOST, проблема может быть вызвана брандмауэром, маршрутизатором или коммутатором с заблокированными портами между контроллерами домена:

Невозможно связаться с контроллером домена

Чтобы устранить неполадки с сетевыми устройствами, используйте Средство проверки портов командной строки PortQry версии 2.0, чтобы проверить порты между контроллерами домена.

Чтобы получить дополнительные сведения о PortQry версии 2, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

832919 Новые функции и функции в PortQry версии 2.0

Дополнительные сведения о том, как необходимо настроить порты, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

179442 Настройка брандмауэра для доменов и доверия

Метод 6. Сбор дополнительных сведений для устранения проблемы

Если предыдущие методы не помогли устранить проблему, соберите следующие дополнительные сведения, которые помогут устранить причину проблемы:

  • Включите ведение журнала Netlogon на обоих контроллерах домена. Дополнительные сведения о том, как завершить ведение журнала netlogon, щелкните следующий номер статьи, чтобы просмотреть статью базы знаний Майкрософт: 109626 Включение ведения журнала отладки для службы net Logon

  • Запись трассировки на обоих контроллерах домена в то же время, когда возникает проблема.

Дополнительная информация

Следующий список объектов групповая политика (GPO) содержит расположение соответствующей записи реестра и групповая политика в применимых операционных системах:

  • Объект групповой политики RestrictAnonymous:

    • расположение реестра Windows NT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\ Параметры безопасности Дополнительные ограничения для анонимных подключений
    • Windows Server 2003 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности Сетевой доступ: не разрешайте анонимное перечисление учетных записей и общих папок SAM

  • Объект групповой политики RestrictAnonymousSAM:

    • Расположение реестра Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности Параметры безопасности Доступ к сети: не разрешайте анонимное перечисление учетных записей и общих папок SAM

  • Объект групповой политики EveryoneIncludesAnonymous:

    • Расположение реестра Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности Доступ к сети: разрешить всем применять разрешения к анонимным пользователям

  • Объект групповой политики совместимости LM:

    • расположение реестра Windows NT, Windows 2000 и Windows Server 2003:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности: уровень проверки подлинности LAN Manager

    • Windows Server 2003 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\Сетевая безопасность: уровень проверки подлинности LAN Manager

  • Объект групповой политики EnableSecuritySignature (клиент):

    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности \Параметры безопасности: цифровая подпись для обмена данными с клиентом (по возможности)
    • Windows Server 2003 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\Параметры безопасности\Сетевой клиент Майкрософт: цифровая подпись сообщений (если сервер согласен)

  • Объект групповой политики RequireSecuritySignature (клиент):

    • Расположение реестра Windows 2000 и Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 групповая политика: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности: цифровая подпись для обмена данными с клиентом (всегда)
    • Windows Server 2003: Конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\Сетевой клиент Майкрософт: цифровая подпись сообщений (всегда)

  • Объект групповой политики EnableSecuritySignature (сервер):

    • расположение реестра Windows NT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 групповая политика: обмен данными с сервером с цифровой подписью (по возможности)
    • Windows Server 2003 групповая политика: microsoft network server: digitally signs communications (если клиент соглашается)

  • Объект групповой политики RequireSecuritySignature (сервер):

    • расположение реестра Windows NT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 групповая политика: связь с сервером с цифровой подписью (всегда)
    • Windows Server 2003 групповая политика: microsoft network server: digitally signs communications (always)

  • Объект групповой политики RequireSignOrSeal:

    • расположение реестра Windows NT, Windows 2000 и Windows Server2003:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 групповая политика: цифровое шифрование или подпись данных безопасного канала (всегда)
    • Windows Server2003 групповая политика: член домена: цифровое шифрование или подпись данных безопасного канала (всегда)

  • Объект групповой политики SealSecureChannel:

    • расположение реестра Windows NT, Windows 2000 и Windows Server2003:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 групповая политика: Безопасный канал: цифровое шифрование данных безопасного канала (по возможности)
    • Windows Server 2003 групповая политика: член домена: цифровое шифрование данных безопасного канала (по возможности)

  • Объект групповой политики SignSecureChannel:

    • расположение реестра Windows NT, Windows 2000 и Windows Server 2003:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 групповая политика: Безопасный канал: цифровая подпись данных безопасного канала (по возможности)
    • Windows Server 2003 групповая политика: член домена: цифровая подпись данных безопасного канала (по возможности)

  • Объект групповой политики RequireStrongKey:

    • расположение реестра Windows NT, Windows 2000 и Windows Server 2003:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 групповая политика: безопасный канал: требуется сильный (Windows 2000 или более поздней версии) сеансовый ключ
    • Windows Server 2003 групповая политика: член домена: требуется сильный (Windows 2000 или более поздней версии) ключ сеанса

Windows Server 2008

На контроллере домена под управлением Windows Server 2008 поведение по умолчанию параметра политики Разрешить алгоритмы шифрования, совместимые с Windows NT 4.0, может вызвать проблему. Этот параметр не позволяет операционным системам Windows и сторонним клиентам использовать слабые алгоритмы шифрования для установки каналов безопасности NETLOGON к контроллерам домена под управлением Windows Server 2008.

Ссылки

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

823659 несовместимости клиентов, служб и программ, которые могут возникнуть при изменении параметров безопасности и назначений прав пользователя