Windows NT etki alanı ile Active Directory etki alanı arasındaki güven kurulamıyor veya beklendiği gibi çalışmıyor

  • Makale

Bu makalede, Windows NT 4.0 tabanlı etki alanı ile Active Directory tabanlı bir etki alanı arasındaki güven yapılandırması sorunları açıklanmaktadır.

Şunlar için geçerlidir: Windows 10 – tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 889030

Belirtiler

Microsoft Windows NT 4.0 tabanlı etki alanı ile Active Directory tabanlı bir etki alanı arasında güven ayarlamaya çalışırsanız, aşağıdaki belirtilerden biriyle karşılaşabilirsiniz:

  • Güven kurulamadı.
  • Güven kurulur, ancak güven beklendiği gibi çalışmaz.

Ayrıca, aşağıdaki hata iletilerinden herhangi birini alabilirsiniz:

"Domain_Name" etki alanına katılma girişiminde aşağıdaki hata oluştu: Hesabın bu istasyondan oturum açma yetkisi yok.

Erişim reddedildi.

Hiçbir etki alanı denetleyicisiyle bağlantı kurulamadı.

Oturum açma hatası: bilinmeyen kullanıcı adı veya hatalı parola.

nt 4.0 etki alanındaki kullanıcıları Active Directory etki alanına eklemek için Active Directory Kullanıcıları ve Bilgisayarları'da nesne seçiciyi kullandığınızda, aşağıdaki hata iletisini alabilirsiniz:

Geçerli aramayla eşleşen öğe yok. Arama parametrelerinizi denetleyin ve yeniden deneyin.

Neden

Bu sorun, aşağıdaki alanlardan herhangi birinde bulunan bir yapılandırma sorunu nedeniyle oluşur:

  • Ad çözümlemesi
  • Güvenlik ayarları
  • Kullanıcı hakları
  • Microsoft Windows 2000 veya Microsoft Windows Server 2003 için grup üyeliği

Sorunun nedenini doğru şekilde tanımlamak için güven yapılandırmasını gidermeniz gerekir.

Çözüm

Active Directory Kullanıcıları ve Bilgisayarları'da nesne seçiciyi kullanırken "Geçerli aramayla eşleşen öğe yok" hata iletisini alırsanız, NT 4.0 etki alanındaki etki alanı denetleyicilerinin Bu bilgisayara ağ kullanıcısı hakkından erişin içindeki Herkes'i içerdiğinden emin olun. Bu senaryoda, nesne seçici güven boyunca anonim olarak bağlanmaya çalışır. Bu ayarları doğrulamak için "Yöntem üç: Kullanıcı haklarını doğrulama" bölümündeki adımları izleyin.

Windows NT 4.0 tabanlı etki alanı ile Active Directory arasındaki güven yapılandırması sorunlarını gidermek için aşağıdaki alanların doğru yapılandırmasını doğrulamanız gerekir:

  • Ad çözümlemesi
  • Güvenlik ayarları
  • Kullanıcı hakları
  • Microsoft Windows 2000 veya Microsoft Windows Server 2003 için grup üyeliği

Bunu yapmak için aşağıdaki yöntemleri kullanın.

Birinci yöntem: Ad çözümlemesinin doğru yapılandırmasını doğrulama

1. Adım: LMHOSTS dosyası oluşturma

Etki alanları arası ad çözümleme özelliği sağlamak için birincil etki alanı denetleyicilerinde bir LMHOSTS dosyası oluşturun. LMHOSTS dosyası, Not Defteri gibi herhangi bir metin düzenleyicisiyle düzenleyebileceğiniz bir metin dosyasıdır. Her etki alanı denetleyicisindeki LMHOSTS dosyası TCP/IP adresini, etki alanı adını ve diğer etki alanı denetleyicisinin \0x1b girişini içermelidir.

LMHOSTS dosyasını oluşturduktan sonra şu adımları izleyin:

  1. Dosyayı, aşağıdaki metne benzer bir metin içerecek şekilde değiştirin:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Not

    \0x1b girdisi için tırnak işaretleri (" ") arasında toplam 20 karakter ve boşluk olmalıdır. Etki alanı adından sonra boşluklar ekleyerek 15 karakter kullanmasını sağlayın. 16. karakter, arkasından "0x1b" değeri gelen ters eğik çizgidir ve bu toplam 20 karakter yapar.

  2. LMHOSTS dosyasındaki değişiklikleri tamamladığınızda, dosyayı etki alanı denetleyicilerindeki %SystemRoot% \System32 \Drivers\Etc klasörüne kaydedin. LMHOSTS dosyası hakkında daha fazla bilgi için , %SystemRoot% \System32 \Drivers\Etc klasöründe bulunan Lmhosts.sam örnek dosyasını görüntüleyin.

2. Adım: LMHOSTS dosyasını önbelleğe yükleme

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın.

  2. Komut isteminde yazın NBTSTAT -Rve ENTER tuşuna basın. Bu komut, LMHOSTS dosyasını önbelleğe yükler.

  3. Komut isteminde yazın NBTSTAT -cve ENTER tuşuna basın. Bu komut önbelleği görüntüler. Dosya doğru yazılmışsa önbellek aşağıdakine benzer:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Dosya önbelleği doğru doldurmazsa, sonraki adımla devam edin.

3. Adım: Windows NT 4.0 tabanlı bilgisayarda LMHOSTS aramasının etkinleştirildiğinden emin olun

Dosya önbelleği doğru doldurmazsa, Windows NT 4.0 tabanlı bilgisayarda LMHOSTS aramasının etkinleştirildiğinden emin olun. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a tıklayın, Ayarlar'ın üzerine gelin ve Denetim Masası'e tıklayın.
  2. Ağlar'a çift tıklayın, Protokoller sekmesine tıklayın ve ardından TCP/IP Protokolü'ne çift tıklayın.
  3. WINS Adresi sekmesine tıklayın ve ardından LMHOSTS Aramasını Etkinleştir onay kutusunu tıklayarak seçin.
  4. Bilgisayarınızı yeniden başlatın.
  5. "LMHOSTS dosyasını önbelleğe yükleme" bölümündeki adımları yineleyin.
  6. Dosya önbelleği doğru doldurmazsa, LMHOSTS dosyasının %SystemRoot%\System32\Drivers\Etc klasöründe olduğundan ve dosyanın doğru biçimlendirildiğinden emin olun.

Örneğin, dosya aşağıdaki örnek biçimlendirmeye benzer şekilde biçimlendirilmelidir:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Not

Etki alanı adı ve \0x1b girdisi için tırnak işaretlerinin (" ") içinde toplam 20 karakter ve boşluk olmalıdır.

4. Adım: Bağlantıyı test etmek için Ping komutunu kullanma

Dosya her sunucuda önbelleği doğru bir şekilde doldurduğunda, sunucular arasındaki bağlantıyı test etmek için her sunucudaki komutunu kullanın Ping . Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın.

  2. Komut isteminde yazın Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>ve ENTER tuşuna basın. Ping Komut işe yaramazsa LMHOSTS dosyasında doğru IP adreslerinin listelenmiş olduğundan emin olun.

  3. Komut isteminde yazın net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>ve ENTER tuşuna basın. Aşağıdaki hata iletisini almanız beklenir:

    Sistem hatası 5 oluştu. Erişim reddedildi

    Net view komutu aşağıdaki hata iletisini veya diğer ilgili hata iletisini döndürürse, LMHOSTS dosyasında doğru IP adreslerinin listelenmiş olduğundan emin olun:

    53 kodlu sistem hatası oluştu. Ağ yolu bulunamadı

Alternatif olarak, Windows Internet Ad Hizmeti (WINS), LMHOSTS dosyası kullanmadan ad çözümleme işlevselliğini etkinleştirecek şekilde yapılandırılabilir.

İkinci yöntem: Güvenlik ayarlarını görüntüleme

Genellikle, güven yapılandırmasının Active Directory tarafında bağlantı sorunlarına neden olan güvenlik ayarları vardır. Ancak güvenlik ayarlarının güvenin her iki tarafında da incelenmesi gerekir.

1. Adım: Windows 2000 Server ve Windows Server 2003'te güvenlik ayarlarını görüntüleme

Windows 2000 Server ve Windows Server 2003'te güvenlik ayarları grup ilkesi, yerel bir ilke veya uygulanan bir güvenlik şablonu tarafından uygulanabilir veya yapılandırılabilir.

Yanlış okumaları önlemek için güvenlik ayarlarının geçerli değerlerini belirlemek için doğru araçları kullanmanız gerekir.

Geçerli güvenlik ayarlarının doğru bir şekilde okunmasını sağlamak için aşağıdaki yöntemleri kullanın:

  • Windows 2000 Server'da Güvenlik Yapılandırması ve Çözümleme ek bileşenini kullanın.

  • Windows Server 2003'te Güvenlik Yapılandırması ve Çözümleme ek bileşenini veya İlke Sonuç Kümesi (RSoP) ek bileşenini kullanın.

Geçerli ayarları belirledikten sonra, ayarları uygulayan ilkeyi tanımlamanız gerekir. Örneğin, Active Directory'deki grup ilkesi veya güvenlik ilkesini ayarlayan yerel ayarları belirlemeniz gerekir.

Windows Server 2003'te, güvenlik değerlerini ayarlayan ilke RSoP aracı tarafından tanımlanır. Ancak, Windows 2000'de güvenlik ayarlarını içeren ilkeyi belirlemek için grup ilkesi ve yerel ilkeyi görüntülemeniz gerekir:

  • grup ilkesi ayarlarını görüntülemek için, grup ilkesi işleme sırasında Microsoft Windows 2000 Güvenlik Yapılandırma İstemcisi için günlüğe kaydetme çıkışını etkinleştirmeniz gerekir.

  • Uygulama oturum açma Olay Görüntüleyicisi görüntüleyin ve Olay Kimliği 1000 ile olay kimliği 1202'yi bulun.

Aşağıdaki üç bölüm, işletim sistemini tanımlar ve işletim sistemi için doğrulamanız gereken güvenlik ayarlarını topladığınız bilgilerde listeler:

Windows 2000

Aşağıdaki ayarların gösterildiği gibi yapılandırıldığından emin olun.

Restrictanonymous:

Anonim bağlantılar için ek kısıtlamalar
 "Yok. Varsayılan izinleri kullan"

LM Uyumluluğu:

LAN Manager kimlik doğrulama düzeyi "Yalnızca NTLM yanıtı gönder"

SMB İmzalama, SMB Şifreleme veya her ikisi:

İstemci iletişimlerini dijital olarak imzalama (her zaman) DEVRE DIŞI
İstemci iletişimlerini dijital olarak imzalama (mümkün olduğunda) ETKİN
Sunucu iletişimlerini dijital olarak imzalama (her zaman) DEVRE DIŞI
Sunucu iletişimlerini dijital olarak imzalama (mümkün olduğunda) ETKİN
Güvenli kanal: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) DEVRE DIŞI
Güvenli kanal: Güvenli kanal verilerini dijital olarak şifreleme (mümkün olduğunda) DEVRE DIŞI
Güvenli kanal: Güvenli kanal verilerini dijital olarak imzalama (mümkün olduğunda) DEVRE DIŞI
Güvenli kanal: Güçlü (Windows 2000 veya üzeri) oturum anahtarı gerektir DEVRE DIŞI
Windows Server 2003

Aşağıdaki ayarların gösterildiği gibi yapılandırıldığından emin olun.

RestrictAnonymous ve RestrictAnonymousSam:

Ağ erişimi: Anonim SID/Ad çevirisine izin ver ETKİN
Ağ erişimi: SAM hesaplarının anonim numaralandırmasına izin verme DEVRE DIŞI
Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim numaralandırmasına izin verme DEVRE DIŞI
Ağ erişimi: Anonim kullanıcılara Herkes izinlerinin uygulanmasına izin ver ETKİN
Ağ erişimi: Adlandırılmış kanallara anonim olarak erişilebilir ETKİN
Ağ erişimi: Adlandırılmış Kanallar ve paylaşımlara anonim erişimi kısıtlama DEVRE DIŞI

Not

Varsayılan olarak, Ağ erişimi: Anonim SID/Ad çevirisine izin ver ayarının değeri Windows Server 2008'de DEVRE DIŞIDIR.

LM Uyumluluğu:

Ağ güvenliği: LAN Yöneticisi kimlik doğrulama düzeyi "Yalnızca NTLM yanıtı gönder"

SMB İmzalama, SMB Şifreleme veya her ikisi:

Microsoft ağ istemcisi: İletişimleri dijital olarak imzalama (her zaman) DEVRE DIŞI
Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse) ETKİN
Microsoft ağ sunucusu: İletişimleri dijital olarak imzalama (her zaman) DEVRE DIŞI
Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse) ETKİN
Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman) DEVRE DIŞI
Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme (mümkün olduğunda) ETKİN
Etki alanı üyesi: Güvenli kanal verilerini dijital olarak imzalama (mümkün olduğunda) ETKİN
Etki alanı üyesi: Güçlü (Windows 2000 veya üzeri) oturum anahtarı iste DEVRE DIŞI

Ayarlar doğru yapılandırıldıktan sonra bilgisayarınızı yeniden başlatmanız gerekir. Bilgisayar yeniden başlatılana kadar güvenlik ayarları uygulanmaz.

Bilgisayar yeniden başlatıldıktan sonra, tüm güvenlik ilkelerinin uygulandığından ve geçerli ayarların yapılandırıldığından emin olmak için 10 dakika bekleyin. Active Directory ilke güncelleştirmeleri bir etki alanı denetleyicisinde 5 dakikada bir gerçekleştiğinden ve güncelleştirme güvenlik ayarı değerlerini değiştirebileceğinden 10 dakika beklemenizi öneririz. 10 dakika sonra, Windows 2000 ve Windows Server 2003'teki güvenlik ayarlarını incelemek için Güvenlik Yapılandırması ve Analizi'ni veya başka bir aracı kullanın.

Windows NT 4.0

Önemli

Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın: 322756 Windows'da kayıt defterini yedekleme ve geri yükleme

Windows NT 4.0'da geçerli güvenlik ayarlarının kayıt defterini görüntülemek için Regedt32 aracı kullanılarak doğrulanması gerekir. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a tıklayın, Çalıştır'a tıklayın, regedt32 yazın ve tamam'a tıklayın.

  2. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve restrictAnonymous girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve ardından LM Uyumluluğu girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve EnableSecuritySignature (sunucu) girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve RequireSecuritySignature (sunucu) girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve RequireSignOrSeal girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve SealSecureChannel girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve SignSecureChannel girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Aşağıdaki kayıt defteri alt anahtarlarını genişletin ve RequireStrongKey girdisine atanan değeri görüntüleyin:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Üçüncü yöntem: Kullanıcı haklarını doğrulama

Windows 2000 tabanlı bir bilgisayarda gerekli kullanıcı haklarını doğrulamak için şu adımları izleyin:

  1. Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve ardından Yerel Güvenlik İlkesi'ne tıklayın.
  2. Yerel İlkeler'i genişletin ve ardından Kullanıcı Hakları Ataması'ne tıklayın.
  3. Sağ bölmede Bu bilgisayara ağdan eriş'e çift tıklayın.
  4. Atanan listesinde Herkes grubunun yanındaki Yerel İlke Ayarı onay kutusunu seçmek için tıklayın ve ardından Tamam'a tıklayın.
  5. Bu bilgisayara ağdan erişimi engelle'ye çift tıklayın.
  6. Atanan listesinde ilke grubu olmadığını doğrulayın ve Tamam'a tıklayın. Örneğin, Herkes, Kimliği Doğrulanmış Kullanıcılar ve diğer grupların listelenmediğinden emin olun.
  7. Tamam'a tıklayın ve ardından Yerel Güvenlik İlkesi'nden çıkın.

Windows Server 2003 tabanlı bir bilgisayarda gerekli kullanıcı haklarını doğrulamak için şu adımları izleyin:

  1. Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gelin ve ardından Etki Alanı Denetleyicisi Güvenlik İlkesi'ne tıklayın.

  2. Yerel İlkeler'i genişletin ve ardından Kullanıcı Hakları Ataması'ne tıklayın.

  3. Sağ bölmede Bu bilgisayara ağdan eriş'e çift tıklayın.

  4. Herkes grubunun Bu bilgisayara ağdan eriş listesinde olduğundan emin olun.

    Herkes grubu listelenmiyorsa şu adımları izleyin:

    1. Kullanıcı veya Grup Ekle'ye tıklayın.
    2. Kullanıcı ve grup adları kutusuna Herkes yazın ve Tamam'a tıklayın.

  5. Bu bilgisayara ağdan erişimi engelle'ye çift tıklayın.

  6. Ağ listesinden bu bilgisayara erişimi reddet'te hiçbir ilke grubu olmadığını doğrulayın ve Tamam'a tıklayın. Örneğin, Herkes, Kimliği Doğrulanmış Kullanıcılar ve diğer grupların listelenmediğinden emin olun.

  7. Tamam'a tıklayın ve ardından Etki Alanı Denetleyicisi Güvenlik İlkesi'ni kapatın.

Windows NT Server 4.0 tabanlı bir bilgisayarda gerekli kullanıcı haklarını doğrulamak için şu adımları izleyin:

  1. Başlat'a tıklayın, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve etki alanları için Kullanıcı Yöneticisi'ne tıklayın.

  2. İlkeler menüsünde Kullanıcı Hakları'na tıklayın.

  3. Sağ listesinde Bu bilgisayara ağdan eriş'e tıklayın.

  4. Ver kutusuna Herkes grubunun eklendiğinden emin olun.

    Herkes grubu eklenmezse şu adımları izleyin:

    1. Ekle'ye tıklayın.
    2. Adlar listesinde Herkes'e tıklayın, Ekle'ye ve ardından Tamam'a tıklayın.

  5. Tamam'a tıklayın ve ardından Kullanıcı Yöneticisi'nden çıkın.

Yöntem dört: Grup üyeliğini doğrulama

Etki alanları arasında bir güven ayarlandıysa, ancak iletişim kutusu diğer etki alanı nesnelerini bulamadığından, bir etki alanından diğerine ilke kullanıcı grupları ekleyemezseniz, "Windows 2000 öncesi uyumlu erişim" grubu doğru üyeliğine sahip olmayabilir.

Windows 2000 tabanlı etki alanı denetleyicilerinde ve Windows Server 2003 tabanlı etki alanı denetleyicilerinde, gerekli grup üyeliklerinin yapılandırıldığından emin olun.

Bunu Windows 2000 tabanlı etki alanı denetleyicilerinde yapmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Programlar'ın üzerine gelin, sonra Yönetimsel Araçlar'ın üzerine gelin ve Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.

  2. Yerleşik'e tıklayın ve ardından Windows 2000 öncesi uyumlu erişim grubu'ne çift tıklayın.

  3. Üyeler sekmesine tıklayın ve Ardından Herkes grubunun Üyeler listesinde olduğundan emin olun.

  4. Herkes grubu Üyeler listesinde değilse şu adımları izleyin:

    1. Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın.
    2. Komut isteminde yazın net localgroup "Pre-Windows 2000 Compatible Access" everyone /addve ENTER tuşuna basın.

Gerekli grup üyeliklerinin Windows Server 2003 tabanlı etki alanı denetleyicilerinde yapılandırıldığından emin olmak için, "Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasını sağla" ilke ayarının devre dışı bırakılıp bırakılmadığını bilmeniz gerekir. Bilmiyorsanız, "Ağ erişimi: Anonim kullanıcılara Herkesin izinleri uygulansın" ilke ayarının durumunu belirlemek için grup ilkesi Nesne Düzenleyici kullanın. Bunu yapmak için şu adımları uygulayın:

  1. Başlat'a, ardından Çalıştır'a tıklayın, gpedit.msc yazın ve sonra Tamam'a tıklayın.

  2. Aşağıdaki klasörleri genişletin:

    Yerel Bilgisayar İlkesi
    Bilgisayar Yapılandırması
    Windows Ayarları
    Güvenlik Ayarları
    Yerel İlkeler

  3. Güvenlik Seçenekleri'ne ve ardından Ağ erişimi: Sağ bölmedeki Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver'e tıklayın.

  4. Güvenlik Ayarı sütunundaki değerin Devre Dışı veya Etkin olup olmadığını unutmayın.

Gerekli grup üyeliklerinin Windows Server 2003 tabanlı etki alanı denetleyicilerinde yapılandırıldığından emin olmak için şu adımları izleyin:

  1. Başlat'a tıklayın, Programlar'ın üzerine gelin, sonra Yönetimsel Araçlar'ın üzerine gelin ve Active Directory Kullanıcıları ve Bilgisayarları'na tıklayın.

  2. Yerleşik'e tıklayın ve ardından Windows 2000 öncesi uyumlu erişim grubu'ne çift tıklayın.

  3. Üyeler sekmesine tıklayın.

  4. Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver ilke ayarı devre dışıysa, Herkes, Anonim Oturum Açma grubunun Üyeler listesinde olduğundan emin olun. "Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver" ilke ayarı etkinse, Herkes grubunun Üyeler listesinde olduğundan emin olun.

  5. Herkes grubu Üyeler listesinde değilse şu adımları izleyin:

    1. Başlat'a tıklayın, Çalıştır'a tıklayın, cmd yazın ve tamam'a tıklayın.
    2. Komut isteminde yazın net localgroup "Pre-Windows 2000 Compatible Access" everyone /addve ENTER tuşuna basın.

Beşinci yöntem: Güvenlik duvarları, anahtarlar veya yönlendiriciler gibi ağ cihazları aracılığıyla bağlantıyı doğrulama

Aşağıdaki hata iletisine benzer hata iletileri aldıysanız ve LMHOST dosyalarının doğru olduğunu doğruladıysanız, sorunun nedeni etki alanı denetleyicileri arasındaki bağlantı noktalarını engelleyen bir güvenlik duvarı, yönlendirici veya anahtar olabilir:

Hiçbir etki alanı denetleyicisiyle bağlantı kurulamadı

Ağ cihazlarında sorun gidermek için, etki alanı denetleyicileriniz arasındaki bağlantı noktalarını test etmek için PortQry Komut Satırı Bağlantı Noktası Tarayıcısı sürüm 2.0'ı kullanın.

PortQry sürüm 2 hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

832919 PortQry sürüm 2.0'daki yeni özellikler ve işlevler

Bağlantı noktalarının nasıl yapılandırılması gerektiği hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

179442 Etki alanları ve güvenler için güvenlik duvarı yapılandırma

Altı. yöntem: Sorunu gidermeye yardımcı olmak için ek bilgi toplama

Önceki yöntemler sorunu çözmenize yardımcı olmadıysa, sorunun nedenini gidermenize yardımcı olması için aşağıdaki ek bilgileri toplayın:

  • Her iki etki alanı denetleyicisinde de Netlogon günlüğünü etkinleştirin. Netlogon günlüğünü tamamlama hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın: 109626 Net Logon hizmeti için hata ayıklama günlüğünü etkinleştirme

  • Sorun oluştuğu anda her iki etki alanı denetleyicisinde de bir izleme yakalayın.

Daha fazla bilgi

Aşağıdaki grup ilkesi nesneleri (GPO'lar) listesi, ilgili kayıt defteri girdisinin konumunu ve ilgili işletim sistemlerindeki grup ilkesi sağlar:

  • RestrictAnonymous GPO'yu:

    • Windows NT kayıt defteri konumu:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 ve Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\ Güvenlik Seçenekleri Anonim bağlantılar için ek kısıtlamalar
    • Windows Server 2003 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim listesine izin verme

  • RestrictAnonymousSAM GPO'yu:

    • Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları Güvenlik Seçenekleri Ağ erişimi: SAM hesaplarının ve paylaşımlarının anonim listesine izin verme

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri Ağ erişimi: Anonim kullanıcılara Herkesin izinlerinin uygulanmasına izin ver

  • LM Uyumluluğu GPO'sı:

    • Windows NT, Windows 2000 ve Windows Server 2003 kayıt defteri konumu:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri: LAN Manager kimlik doğrulama düzeyi

    • Windows Server 2003 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri\Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi

  • EnableSecuritySignature (istemci) GPO'su:

    • Windows 2000 ve Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları \Güvenlik Seçenekleri: İstemci iletişimlerini dijital olarak imzala (mümkün olduğunda)
    • Windows Server 2003 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri\Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (sunucu kabul ederse)

  • RequireSecuritySignature (istemci) GPO'su:

    • Windows 2000 ve Windows Server 2003 kayıt defteri konumu: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 grup ilkesi: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri: İstemci iletişimlerini dijital olarak imzala (her zaman)
    • Windows Server 2003: Bilgisayar Yapılandırması\Windows Ayarları\Güvenlik Ayarları\Güvenlik Seçenekleri\Microsoft ağ istemcisi: İletişimleri dijital olarak imzala (her zaman)

  • EnableSecuritySignature (sunucu) GPO'su:

    • Windows NT kayıt defteri konumu:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 ve Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 grup ilkesi: Sunucu iletişimlerini dijital olarak imzalama (mümkün olduğunda)
    • Windows Server 2003 grup ilkesi: Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (istemci kabul ederse)

  • RequireSecuritySignature (sunucu) GPO'su:

    • Windows NT kayıt defteri konumu:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 ve Windows Server 2003 kayıt defteri konumu: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 grup ilkesi: Sunucu iletişimlerini dijital olarak imzalama (her zaman)
    • Windows Server 2003 grup ilkesi: Microsoft ağ sunucusu: İletişimleri dijital olarak imzala (her zaman)

  • RequireSignOrSeal GPO'su:

    • Windows NT, Windows 2000 ve Windows Server2003 kayıt defteri konumu:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grup ilkesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman)
    • Windows Server2003 grup ilkesi: Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme veya imzalama (her zaman)

  • SealSecureChannel GPO'sı:

    • Windows NT, Windows 2000 ve Windows Server2003 kayıt defteri konumu:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grup ilkesi: Güvenli kanal: Güvenli kanal verilerini dijital olarak şifreleme (mümkün olduğunda)
    • Windows Server 2003 grup ilkesi: Etki alanı üyesi: Güvenli kanal verilerini dijital olarak şifreleme (mümkün olduğunda)

  • SignSecureChannel GPO'sı:

    • Windows NT, Windows 2000 ve Windows Server 2003 kayıt defteri konumu:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grup ilkesi: Güvenli kanal: Güvenli kanal verilerini dijital olarak imzalama (mümkün olduğunda)
    • Windows Server 2003 grup ilkesi: Etki alanı üyesi: Güvenli kanal verilerini dijital olarak imzala (mümkün olduğunda)

  • RequireStrongKey GPO'sı:

    • Windows NT, Windows 2000 ve Windows Server 2003 kayıt defteri konumu:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grup ilkesi: Güvenli kanal: Güçlü (Windows 2000 veya üzeri) oturum anahtarı gerektir
    • Windows Server 2003 grup ilkesi: Etki alanı üyesi: Güçlü (Windows 2000 veya üzeri) oturum anahtarı gerektir

Windows Server 2008

Windows Server 2008 çalıştıran bir etki alanı denetleyicisinde, Windows NT 4.0 ile uyumlu şifreleme algoritmalarına izin ver ilke ayarının varsayılan davranışı soruna neden olabilir. Bu ayar, windows server 2008 tabanlı etki alanı denetleyicilerine NETLOGON güvenlik kanalları oluşturmak için hem Windows işletim sistemlerinin hem de üçüncü taraf istemcilerin zayıf şifreleme algoritmaları kullanmasını engeller.

Başvurular

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarına tıklayın:

güvenlik ayarlarını ve kullanıcı hakları atamalarını değiştirdiğinizde oluşabilecek İstemci, hizmet ve program uyumsuzluklarını 823659