Šiuo metu esate neprisijungę, laukiama, kol iš naujo prisijungsite prie interneto

Pasitikite tarp Windows NT domeno ir domeno Active Directory negali būti nustatyta, ar jis neveikia kaip tikėtasi

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus ir po to bendruomenės suredaguotus straipsnius, taip pat žmogaus išverstus straipsnius siekdama suteikti prieigą prie visų savo žinių bazės straipsnių daugeliu kalbų. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, patirtą dėl neteisingo turinio vertimo arba mūsų klientų naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 889030
Požymiai
Jei bandysite nustatyti pasitikėjimą tarp Microsoft Windows NT 4.0 saugyklomis pagrįsto domeno ir Active Directory domeno, galite susidurti nors iš šių simptomų:
  • Pasitikėjimo nėra įsisteigęs.
  • Pasitikėjimas yra įsisteigęs, bet pasitikėjimo veikia kaip tikimasi.
Be to, galite gauti bet kurią iš šios klaidos pranešimai:
Ši klaida įvyko bandant prisijungti domenas"Domain_Name": Sąskaitos nėra leidžiama įeiti iš šios stoties.
Prieigos uždrausta.
Jokių domeno kontrolierius galėtų būti susisiekti.
Prisijungimo klaida: nežinomas vartotojo vardą arba blogai slaptažodį.
Kai naudojate objektų išrinkiklio Active Directory Vartotojai ir kompiuteriai įtraukti vartotojus nuo NT 4.0 domeno Active Directory domeno, galite gauti tokį klaidos pranešimą:
ne vienas elementas neatitinka dabartinės ieškos. Patikrinkite savo paieškos parametrus, ir pabandyti dar kartą.
Priežastis
Ši problema atsiranda dėl konfigūracijos problema, bet vienas iš šių sričių:
  • Vardo vertinimą
  • Saugos parametrai
  • Vartotojo teisių
  • Grupės narystės Microsoft Windows 2000 arba Microsoft Windows Server 2003
Norint teisingai nustatyti to priežastis, šalinti triktis pasitikėjimo konfigūraciją.
Sprendimas
Jei ieškant naujinimų įvyksta "nė vienas elementas neatitinka dabartinės ieškos" klaidos pranešimas, kai naudojate objektų išrinkiklio Active Directory vartotojai ir Kompiuteriai, įsitikinkite, kad domeno valdiklių NT 4.0 srityje įtraukti visi į šį kompiuterį nuo tinklo vartotojo prieigos teisę. Tokiu atveju objektų išrinkiklio bando prisijungti anonimiškai visoje pasitikėjimą. Patikrinti šių ssettings, atlikite veiksmus į "trečiąjį metodą: patikrinti vartotojo teises" skyriuje.

Šalinti triktis pasitikėti konfigūracijos problemos Windows NT 4.0 pagrindu domeno ir aktyvus Katalogas, privalote patikrinti teisingos konfigūracijos šioms sritims:
  • Vardo vertinimą
  • Saugos parametrai
  • Vartotojo teisių
  • Grupės narystės Microsoft Windows 2000 arba Microsoft Windows Server 2003
Norėdami tai padaryti, naudokite šiuos metodus.

Metodu: patikrinti, ar teisingos konfigūracijos pavadinimas nutarimo

Pirmas žingsnis: sukurti LMHOSTS failą

Sukurti LMHOSTS failą į pirminį domeno valdikliuose pateikti kryžminio domeno vardas rezoliuciją pajėgumų. Failą LMHOSTS yra tekstas failą, kad galėtumėte redaguoti bet kuriuo teksto redaktoriumi, pvz., užrašinę. LMHOSTS failą dėl kiekvieno domeno valdiklis turi būti TCP/IP adresas, domeno vardas, ir \0x1b įrašas kitų domeno kontrolerio. Daugiau informacija apie tai, kaip sukurti LMHOSTS failą, spustelėkite šį straipsnį numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
180094Kaip rašyti LMHOSTS failą domeno patikimumo vertinimui
Kai sukuriate LMHOSTS failą, atlikite šiuos žingsniai:
  1. Modifikuoti failą, kad jame yra tekstas, kuris yra panašus į Šis tekstas:
    1.1.1.1	 <NT_4_PDC_Name>		 #DOM:<NT_4_Domain_Name>	#PRE1.1.1.1	 "<NT_4_Domain>  \0x1b"			#PRE2.2.2.2	 <Windows_2000_PDC_Name>		 #DOM:<Windows_2000_Domain_Name>	#PRE2.2.2.2	 "<2000_Domain>  \0x1b"			#PRE
    Pastaba Turi būti iš viso 20 simbolių ir tarpų tarp į kabučių (""), \0x1b įrašas. Pridėti tarpų po domeno vardo taip kad ji naudoja 15 simbolių. 16 Simbolių yra tai kairinis pasvirasis brūkšnys po to "0x1b" vertė, ir tai daro iš viso 20 simbolių.
  2. Kai baigsite pakeitimus LMHOSTS failą, įrašyti į failą į % SystemRoot %\System32\Drivers\Etc aplankas domeno valdikliuose.
Daugiau informacijos apie failą LMHOSTS, Rodyti, LMHOSTS.Sam mėginio failą, kuris yra į % SystemRoot %\System32\Drivers\Etc aplankas.

Antras žingsnis: įkelti failą LMHOSTS į talpyklą

  1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo cmd, tada spustelėkite gerai.
  2. Į komandų eilutę įrašykite NBTSTAT -R, ir tada paspauskite ENTER. Ši komanda įkelia LMHOSTS failą į atmintyje.
  3. Į komandų eilutę įrašykite NBTSTAT -c, ir tada paspauskite ENTER. Ši komanda parodo talpyklos. Jei į failas bus įrašytas teisingai, talpyklos yra panaši į šią:
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 NT4PDCName <00> UNIQUE 1.1.1.1 -1 NT4PDCName <20> UNIQUE 1.1.1.1 -1 NT4DomainName <1C> GROUP 1.1.1.1 -1 NT4DomainName <1B> UNIQUE 1.1.1.1 -1W2KPDCName <03> UNIQUE 2.2.2.2 -1 W2KPDCName <00> UNIQUE 2.2.2.2 -1 W2KPDCName <20> UNIQUE 2.2.2.2 -1 W2KDomainName <1C> GROUP 2.2.2.2 -1 W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    Jei failas nėra užpildyti talpyklos teisingai, tęsti Kitas žingsnis.

Trečiasis veiksmas: įsitikinkite, kad LMHOSTS peržvalga leidžiama kompiuteryje, Windows NT 4.0 pagrindu

Jei failas nėra užpildyti talpyklos teisingai, patikrinkite, ar LMHOSTS peržvalga leidžiama kompiuteryje, Windows NT 4.0 pagrindu. Norėdami tai padaryti, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įParametrai, tada spustelėkite Kontrolės Skydas.
  2. Du kartus spustelėkite Tinklų, spustelėkite irProtokolai skirtuką, o tada dukart spustelėkite TCP/IP Protokolas.
  3. Spustelėkite, LAIMI adresas skirtuką, ir tada spustelėkite Pasirinkite į Leisti LMHOSTS peržvalgą žymės langelį.
  4. Iš naujo paleiskite kompiuterį.
  5. Pakartokite su "įkelti failą LMHOSTS į į talpyklos"skyriuje.
  6. Jei failas nėra užpildyti talpyklos teisingai, kad tikrai kad LMHOSTS failą yra į% SystemRoot %\System32\Drivers\Etc kataloge ir failas yra suformatuotas.

    Pavyzdžiui, failas turi būti suformatuotas pagal šiuos pavyzdys formatavimą:
    1.1.1.1	 NT4PDCName		 #DOM:NT4DomainName	#PRE1.1.1.1	 "NT4DomainName  \0x1b"			#PRE2.2.2.2	 W2KPDCName		 #DOM:W2KDomainName	#PRE2.2.2.2	 "W2KDomainName  \0x1b"			#PRE
    Pastaba Turi būti iš viso 20 simbolių ir tarpų viduje, nerašomi kabutėse ("") domeno vardas ir \0x1b įrašo.

Ketvirtas žingsnis: patikrinti ryšį, naudokite komandą Ping

Kai failas užpildo talpyklos teisingai kiekviename serveryje, naudokite Ping komandą kiekviename serveryje išbandyti ryšį tarp serverių. Daryti tai, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo cmd, tada spustelėkite gerai.
  2. Į komandų eilutę įrašykite PingName_Of_Domain_Controller_You_Want_To_Connect_To, ir tada paspauskite ENTER. Jei komandą Ping funkcija neveikia, patikrinkite, ar į teisingą IP adresai yra išvardyti LMHOSTS failą.
  3. Į komandų eilutę įrašykite Grynasis RodytiName_Of_Domain_Controller_You_Want_To_Connect_To, ir tada paspauskite ENTER. Tikimasi, kad gaunate šį klaidos pranešimą pranešimas:
    Įvyko System error 5. Prieiga neigia
    Jei grynosios Rodyti komanda grąžina šį klaidos pranešimą ir kitus susijusius klaidos pranešimą, įsitikinkite, kad teisingai IP adresai yra išvardyti pagal LMHOSTS failą:
    53 Sistemos klaida įvyko. Tinklo kelias nerastas
Kita vertus, gali būti Windows interneto vardų tarnybos (WINS) sukonfigūruota, kad pavadinimas rezoliucija funkcionalumą nenaudojant tam LMHOSTS failą. Daugiau informacijos apie kaip naudoti laimi vardo vertinimą, spustelėkite toliau straipsnio numerį ir peržiūrėkite Microsoft žinių bazės straipsnį:
185786Rekomenduojama praktika dėl PERGALĖS

Metodas du: Rodyti saugos parametrai

Paprastai, Active Directory pusėje pasitikėjimo konfigūracijos turi saugos parametrus, kurie kilti jungiamumo problemų. Tačiau, dėl saugumo parametrai turi būti tikrinami abiejų pusių pasitikėjimo.

Pirmas žingsnis: peržiūrėti saugumo parametrus Windows Server 2003 ir Windows 2000 Server

Windows 2000 Server ir Windows Server 2003, saugumo parametrai gali būti taikomi arba sukonfigūravo grupės strategijos, vietos politikos, ar yra taikomos saugumo šabloną.

Turite naudoti teisingas priemonių Dabartinis saugos parametrus, kad būtų išvengta netikslių vertėms nustatyti rodmenys.

Gauti tikslią svarstymą dabartinę saugumo parametrai, naudoti šie metodai:
  • Windows 2000 Server, naudoti saugos konfigūraciją ir Analizės pridėtinį įrankį. Daugiau informacijos apie tai, kaip nustatyti dabartinę saugumo politikos Windows 2000 kompiuteryje, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft Žinių bazės:
    258595Gpresult nėra išvardyti atstojamoji kompiuterio saugumo strategija
  • Windows Server 2003, naudoti arba saugumo Konfigūracijos ir analizės snap-in, arba į strategijos rezultatų rinkinio (RSoP) Snap-in. Daugiau informacijos apie tai, kaip naudoti, Strategijos rezultatų rinkinio pridėtiniame įrankyje, spustelėkite toliau straipsnio numerį ir peržiūrėkite, Microsoft žinių bazės straipsnį:
    323276Kaip įdiegti ir naudoti RSoP Windows Server 2003
Kai apibrėžėte dabartinius parametrus, jūs turite nustatyti į politiką, kuri yra taikant parametrus. Pavyzdžiui, turite nustatyti grupės Active Directory, arba vietos parametrus, kurie nustatyti saugumo politikos politikos.

Windows Server 2003, kuris nustato saugumo politikos vertės identifikuojama RSoP įrankis. Tačiau Windows 2000 jums turi Rodyti Grupės strategijos ir vietos politika lemia politiką, kuriame yra į saugos parametrus:
  • Norėdami peržiūrėti grupės strategijos parametrus, turite įgalinti registravimą produkcija per konfigūravimo klientas Microsoft Windows 2000 saugumo Grupių strategijos apdorojimas. Daugiau informacijos, kaip įgalinti registravimą produkciją, skirtą Microsoft Windows 2000 Saugos konfigūravimo klientas per grupės strategijos apdorojimas, spustelėkite ir toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
    245422Kaip įgalinti registravimą saugos konfigūravimo kliento tvarkymo Windows 2000
  • Rodyti programos žurnale įvykių peržiūros programa ir rasti įvykio ID 1000 ir įvykio ID 1202. Daugiau informacijos apie įvykio ID 1000 ir įvykio ID 1202, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
    319352Įvykio ID 1000 ir ID 1202 įvykis yra prisijungęs prie įvykių kas penkias minutes į Windows 2000 Server
Šios trys dalys nustatyti operacinės sistemos ir sąrašas saugos parametrų, privalote patikrinti operacinei sistemai, kad informacijos, kurią surinkote:
Windows 2000
Įsitikinkite, kad šie parametrai yra sukonfigūruotas kaip rodomas.

RestrictAnonymous:
Papildomų apribojimų anoniminėms prieigoms "Nė vienas. Remtis numatytąsias teises"
LM suderinamumo:
LAN Manager autentifikavimo lygis"Siųsti NTLM atsakymą tik"
SMB parašo, SMB šifravimo, arba abu:
Skaitmeniniu būdu pasirašykite klientų ryšiui (visada)NEGALIA
Skaitmeniniu būdu pasirašykite klientų ryšiui (kai tai įmanoma)ĮJUNGTAS
Skaitmeniniu būdu pasirašykite serverio pranešimų (visada)NEGALIA
Skaitmeniniu būdu pasirašykite serverio ryšių (kai tai įmanoma)ĮJUNGTAS
Saugų kanalą: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada)NEGALIA
Saugų kanalą: skaitmeniniu būdu saugaus kanalo duomenims šifruoti (Kada tai įmanoma)NEGALIA
Saugų kanalą: skaitmeniniu kanalu duomenims apsaugoti ženklas (kai ji yra įmanoma)NEGALIA
Saugų kanalą: reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktasNEGALIA
Windows Server 2003
Įsitikinkite, kad šie parametrai yra sukonfigūruotas kaip parodyta.

RestrictAnonymous ir RestrictAnonymousSam:
Tinklo prieiga: leisti anoniminis SID/pavadinimas VertimasĮJUNGTAS
Tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitų NEGALIA
Tinklo prieiga: neleidžia anoniminius išvardijimo Sam sąskaitų ir akcijosNEGALIA
Tinklo prieiga: tegul visi teises kreiptis į anoniminių vartotojaiĮJUNGTAS
Tinklo prieiga: įvardytuosius kanalus galima pasiekti anonimiškaiĮJUNGTAS
Tinklo prieiga: apriboti anoniminės prieigos prie išvardintus kanalus ir akcijosNEGALIA
Pastaba Pagal numatytuosius nustatymus, vertė ir tinklo prieiga: leisti anoniminis SID/pavadinimo Vertimas parametras išjungtas Windows Server 2008. Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft Žinių bazės:
942428Windows Server 2003 domeno valdikliai leidžia anoniminiams vartotojams išspręsti saugos identifikatoriaus (SID) į vartotojo vardą
LM suderinamumo:
Tinklo saugumas: LAN Manager autentifikaciją lygis"Siųsti tik NTLM atsakymą"
SMB parašo, SMB šifravimo, arba abu:
Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada)NEGALIA
Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (jei serverio sutinka)ĮJUNGTAS
Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada)NEGALIA
Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (jei Klientas sutinka)ĮJUNGTAS
Domeno narys: skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada) NEGALIA
Domeno narys: skaitmeniniu būdu saugaus kanalo duomenims šifruoti (kai ji yra įmanoma) ĮJUNGTAS
Domeno narys: skaitmeniniu būdu pasirašyti užtikrinti kanalo duomenų (kai tai įmanoma)ĮJUNGTAS
Domeno narys: reikalauja stiprios (Windows 2000 arba naujesnę) sesija raktasNEGALIA
Po nustatymai yra sukonfigūruota, jūs turite paleisti iš naujo jūsų kompiuteryje. Saugos parametrai nebus taikomos tol, kol kompiuteris yra iš naujo.

Kai kompiuteris paleidžiamas iš naujo, palaukti 10 minučių ir įsitikinti, ar kad visi saugumo politika taikoma ir veiksmingą parametrai yra sukonfigūruotas. Mes rekomenduojame palaukti 10 minučių nes Active Directory politinės atsiranda kas 5 minutes domeno valdiklyje, ir naujinimą gali saugos parametro vertės pakeitimus. Po 10 minučių, naudoti saugos Konfigūracijos ir analizės arba kitą įrankį išnagrinėti saugumo nustatymai Windows 2000 ir Windows Server 2003.

Windows NT 4.0

Svarbus Šiame skyriuje, metodas ar užduotį pateikiami veiksmai, kuriais nurodoma, kaip į keisti registro duomenis. Tačiau gali kilti rimtų problemų, jei pakeisite į registro neteisingai. Todėl įsitikinkite, kad jūs atlikite šiuos veiksmus atsargiai. Papildomai apsaugai, sukurkite rezervinę registro kopiją prieš darant pakeitimus. Tokiu būdu galite atkurti registrą iškilus problemai. Norėdami gauti daugiau informacijos apie tai, kaip atsarginę kopiją ir atkurti registrą, spustelėkite straipsnis numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
322756 Kaip sukurti rezervinę registro kopiją ir atkurti registrą sistemoje "Windows"
Windows NT 4.0, dabartiniai saugos parametrai turi būti patikrinta naudojant įrankį Regedt32 Rodyti registro. Norėdami tai padaryti, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo Regedt32, tada spustelėkitegerai.
  2. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta RestrictAnonymous įrašas:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
  3. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta LM suderinamumo įrašas:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta EnableSecuritySignature (serverio) įrašo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta RequireSecuritySignature (serverio) įrašo:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta RequireSignOrSeal įrašas:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta SealSecureChannel įrašas:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta SignSecureChannel įrašas:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  9. Išplėsti šiuos dalinius registro raktus, ir tada Rodyti, reikšmė, kuri yra priskirta RequireStrongKey įrašas:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metodas trys: patikrinti vartotojo teises

Patikrinti būtinų teisių dėl Windows 2000 pagrindu kompiuterio, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įProgramos, nukreipkite žymiklį į Administravimo įrankiai, ir spustelėkite Vietos saugumo politikos.
  2. Išplėsti Vietos politika, tada spustelėkiteVartotojo teisių priskyrimas.
  3. Dešinėje srityje dukart spustelėkite Prisijungti prie šio kompiuterį iš tinklo.
  4. Paspauskite, jei norite pasirinkti, Vietos politikos nustatymasžymės laukelis šalia, Kiekvienas grupės – į Priskirtas į sąrašas, ir tada spustelėkite gerai.
  5. Du kartus spustelėkite Uždrausti priėjimą prie šio kompiuterio, tinklo.
  6. Patikrinkite, kad joks principas grupių,Priskirtas sąrašas, ir tada spustelėkite gerai. Už pvz., įsitikinkite, kad kiekvienas, autentifikuoti vartotojai ir kitų grupių, yra sąraše nėra.
  7. Spustelėkite gerai, ir tada mesti vietos saugumo Politikos.
Patikrinti būtinų teisių Windows Server 2003 m. kompiuteryje, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įAdministravimo įrankiai, tada spustelėkite Domeno valdiklis Saugumo politikai.
  2. Išplėsti Vietos politika, tada spustelėkiteVartotojo teisių priskyrimas.
  3. Dešinėje srityje dukart spustelėkite Prisijungti prie šio kompiuterį iš tinklo.
  4. Įsitikinkite, kad visi grupės yra į Prieigos šį kompiuterį iš tinklo sąrašas. Jei visi grupės nėra sąraše, atlikite šiuos veiksmus:
    1. Spustelėkite Pridėti vartotoją ar grupę.
    2. Į į Vartotojo ir grupių pavadinimų įrašykite Kiekvienas, tada spustelėkite gerai.
  5. Du kartus spustelėkite Uždrausti priėjimą prie šio kompiuterio, tinklo.
  6. Patikrinkite, kad joks principas grupių,Uždrausti priėjimą prie šio kompiuterio tinklo sąrašas, ir tada spustelėkite gerai. Pvz., įsitikinkite, kad kiekvienas, patvirtintas Vartotojams, ir kitų grupių, nėra įtrauktos.
  7. Spustelėkite gerai, ir tada uždarykite domeno Kontrolierius saugumo politiką.
Patikrinti būtinų teisių serveryje, Windows NT 4.0 kompiuteryje, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įProgramos, nukreipkite žymiklį į Administravimo įrankiai, ir spustelėkite Vartotojo vadovas domenams.
  2. Dėl to Politikos meniu, spustelėkite Vartotojo Teisių.
  3. Į į Teisė sąraše, spustelėkite Prieigos šį kompiuterį iš tinklo.
  4. Į į Suteikti lauke, įsitikinkite, kad į Kiekvienas grupės papildomas. Jei visi grupės neįtraukiama, atlikite tai žingsniai:
    1. Spustelėkite Pridėti.
    2. Į į Pavadinimai sąraše, spustelėkite Kiekvienas, spustelėkite Pridėti, tada spustelėkite gerai.
  5. Spustelėkite gerai, ir tada mesti vartotojo Vadybininkas.

Keturių metodas: patikrinkite, ar grupės narystė

Jeigu patika yra įsteigti tarp domenų, bet jūs negalite pridėti esmės viskas grupių iš vieno domeno į kitą nes dialogo langą ar rasti kitų domeno objektai, "Ankstesnės nei Windows versijos 2000 suderinamos prieigos" grupė negali turėti teisingą narystės.

Apie Windows 2000 pagrindu domeno valdikliai ir Windows Server 2003 domeno valdikliams, kad ar kad reikia grupės narystė yra konfigūruota.

Norėdami tai padaryti Windows 2000 domeno valdikliuose, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įProgramos, nukreipkite žymiklį į Administravimo įrankiai, ir spustelėkite Active Directory vartotojai ir kompiuteriai.
  2. Spustelėkite Pastatytas, o tada dukart spustelėkiteAnkstesnės nei Windows versijos 2000 suderinamos prieigos grupė.
  3. Spustelėkite, Nariai skirtuką, ir tada įsitikinkite, kad kad visi grupės yra į Nariai sąrašas.
  4. Jei visi grupės nėra Vietovė,Nariai sąraše, atlikite šiuos veiksmus:
    1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo cmd, tada spustelėkite gerai.
    2. Į komandų eilutę įrašykite neto localgroup "Ankstesnės nei Windows versijos 2000 suderinamos prieigos" kiekvienas / add, tada paspauskite ĮVESKITE.
Įsitikinkite, kad reikia grupės narystė yra sukonfigūruotas Windows Server 2003 saugyklomis pagrįsto domeno valdikliuose, jūs turite žinoti, jei dėl "Tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams" politikos nustatymas yra išjungtas. Jei jūs nežinote, naudokite grupės strategijos objekto rengyklę nustatyti jo į "tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams"strategijos parametrų. Norėdami tai padaryti, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo gpedit.msc, tada spustelėkitegerai.
  2. Išplėsti šiuos aplankus:
    Vietinio kompiuterio strategija
    Kompiuterio konfigūracija
    Windows parametrai
    Saugos parametrai
    Vietos politika
  3. Spustelėkite Saugos parinktys, tada spustelėkiteTinklo prieiga: tegul visi teises kreiptis į anoniminių vartotojai Dešiniojoje srityje.
  4. Pastaba Jei reikšmę, Saugos parametrostulpelis yra Negalia ar Įjungtas.
Įsitikinkite, kad reikia grupės narystė yra sukonfigūruotas Windows Server 2003 saugyklomis pagrįsto domeno valdikliuose, atlikite šiuos veiksmus:
  1. Spustelėkite Pradėti, nukreipkite žymiklį įProgramos, nukreipkite žymiklį į Administravimo įrankiai, ir spustelėkite Active Directory vartotojai ir kompiuteriai.
  2. Spustelėkite Pastatytas, o tada dukart spustelėkiteAnkstesnės nei Windows versijos 2000 suderinamos prieigos grupė.
  3. Spustelėkite, Nariai TAB.
  4. Jei į Tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams politikos nustatymas yra išjungtas, įsitikinkite, kad Kiekvienas, anonimiškai grupė yra į Nariai sąrašas. Jei į "tinklo prieiga: tegul visi teises taikyti anoniminiams vartotojams" politikos nustatymas yra įjungtas, įsitikinkite, kad visi grupės yra įNariai sąrašas.
  5. Jei visi grupės nėra Vietovė,Nariai sąraše, atlikite šiuos veiksmus:
    1. Spustelėkite Pradėti, spustelėkite Paleisti, tipo cmd, tada spustelėkite gerai.
    2. Į komandų eilutę įrašykite neto localgroup "Ankstesnės nei Windows versijos 2000 suderinamos prieigos" kiekvienas / add, tada paspauskite ĮVESKITE.

Metodas penki: tikrinti ryšį per tinklo įrenginius, pvz., užkardos, jungikliai arba maršrutizatoriai

Jei gaunate klaidų pranešimus, yra panašūs į, po klaidos pranešimą ir jūs įsitikinome, kad LMHOST failai yra teisingai, problema gali būti dėl užkardos, maršrutizatorius arba jungiklis, kuris blokavo uostus tarp domeno valdikliai:
Ne domenas duomenų valdytojas gali pasiteirauti
Šalinti tinklo įrenginius, naudoti PortQry komandų eilutės uosto skaitytuvas 2.0 versija išbandyti uostų tarp savo domeno valdikliai. Daugiau informacija apie PortQry versija 2, spustelėkite toliau straipsnio numerį ir peržiūrėkite Microsoft žinių bazės straipsnį:
832919Naujomis priemonėmis ir funkcijomis, PortQry versija 2.0
Daugiau informacijos apie tai, kaip turi būti uostų sukonfigūruotas, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį, ir Microsoft žinių bazėje:
179442Kaip sukonfigūruoti užkardą domenai ir investicinių fondų

Metodas šešių: rinkti papildomą informaciją galite padėti diagnozuoti problemą

Jei ankstesniais metodais nepadėjo jums išspręsti šią problemą, rinkti tokią papildomą informaciją, kuri padėtų šalinti priežastis klausimas:
  • Įgalinti tinklo registravimo prisijungti tiek domeno valdikliuose. Daugiau informacija apie tai, kaip į visą tinklo registravimo registravimą, spustelėkite straipsnis numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
    109626Leidžianti derinimo registravimą Net Logon paslaugos
  • Užfiksuoti pėdsakų tiek domeno valdikliuose vienu metu kad nutinka. Daugiau informacija apie tai, kaip užfiksuoti tinklo srautą, spustelėkite straipsnis numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
    812953Kaip naudoti tinklo monitoriaus užfiksuoti tinklo srautą
Daugiau informacijos
Grupės strategijos objektus (GPO) toliau pateikiamame sąraše nurodoma atitinkamą registro įrašą ir grupės strategija – vieta, operacinėse sistemose:
  • RestrictAnonymous GPO:
    • Windows NT registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugos parinktys Papildomų apribojimų anoniminėms prieigoms
    • Windows Server 2003 grupės strategijos: kompiuteris Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugumo funkcijos tinklo prieigos: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijos
  • RestrictAnonymousSAM GPO:
    • Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugumo funkcijos tinklo prieigos: neleidžia anoniminius išvardijimo Sam sąskaitas ir akcijos
  • EveryoneIncludesAnonymous GPO:
    • Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugumo funkcijos tinklo prieigos: tegul visi teises taikyti anoniminiams vartotojams
  • LM suderinamumo GPO:
    • Windows NT, Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugos parinktys: LAN Vadybininkas autentifikavimo lygis
    • Windows Server 2003 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugumo Options\Network saugumas: LAN Manager autentifikavimo lygis
  • EnableSecuritySignature (kliento) GPO:
    • Windows 2000 ir Windows Server 2003 registro vieta: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugos parinktys: Skaitmeniniu būdu pasirašykite ryšys su klientu (Kada įmanoma)
    • Windows Server 2003 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugos parinktys \ Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (jei serveris sutinka)
  • RequireSecuritySignature (kliento) GPO:
    • Windows 2000 ir Windows Server 2003 registro vieta:
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 grupės strategijos: Kompiuterio Konfigūracijos \ Windows parametrus \ saugos parametrų \ saugos parinktys: Skaitmeniniu būdu pasirašykite kliento ryšio (visada)
    • Windows Server 2003: Kompiuterio konfigūracija \ Windows parametrai \ saugos parametrų \ Security Options\ Microsoft tinklo klientas: elektroniniu parašu pasirašyti pranešimai (visada)
  • EnableSecuritySignature (serverio) GPO:
    • Windows NT registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 grupės strategijos: Skaitmeniniu būdu pasirašykite serverio ryšys (jei įmanoma)
    • Windows Server 2003 grupės strategijos: Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (jei klientas sutinka)
  • RequireSecuritySignature (serverio) GPO:
    • Windows NT registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 grupės strategijos: Skaitmeniniu būdu pasirašykite serverio ryšys (visada)
    • Windows Server 2003 grupės strategijos: Microsoft tinklo serverio: elektroniniu parašu pasirašyti pranešimai (visada)
  • RequireSignOrSeal GPO:
    • Windows NT, Windows 2000 ir Windows Server2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupės strategijos: Skaitmeniniu būdu šifruoti arba Registruotis saugaus kanalo duomenų (visada)
    • Windows Server2003 grupės strategijos: Domeno narys: Skaitmeniniu būdu užšifruoti ar pasirašyti saugaus kanalo duomenų (visada)
  • SealSecureChannel GPO:
    • Windows NT, Windows 2000 ir Windows Server2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupės strategijos: Saugų kanalą: Skaitmeniniu būdu šifruoti saugaus kanalo duomenis (jei įmanoma)
    • Windows Server 2003 grupės strategijos: Domeno valstybės: skaitmeniniu būdu šifruoti saugaus kanalo duomenis (jei įmanoma)
  • SignSecureChannel GPO:
    • Windows NT, Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupės strategijos: Saugų kanalą: Skaitmeniniu būdu pasirašyti užtikrinti kanalo duomenų (jei įmanoma)
    • Windows Server 2003 grupės strategijos: Domeno valstybės: skaitmeniniu būdu pasirašyti užtikrinti kanalo duomenų (jei įmanoma)
  • RequireStrongKey GPO:
    • Windows NT, Windows 2000 ir Windows Server 2003 registro vieta:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 grupės strategijos: Saugų kanalą: Reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktas
    • Windows Server 2003 grupės strategijos: Domeno valstybės: reikalauja stiprios (Windows 2000 arba naujesnę) sesijos raktas

Windows Server 2008

Domeno valdiklio, kuriame veikia Windows Server 2008, į numatytąsias parinktis leisti šifravimo algoritmai suderinama su Windows NT 4.0 strategijos parametrų gali sukelti problemų. Šis parametras neleidžia tiek Operacinių sistemų Windows ir trečiųjų šalių klientams naudotis silpnas kriptografija algoritmai sukurti tinklo registravimo saugumo kanalai su Windows Server 2008 pagrindu domeno valdikliai. Norėdami gauti daugiau informacijos, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:
942564Kai kompiuteryje su Windows NT 4.0 bando naudoti tinklo registravimo tarnyba nustatyti saugumo kanalo Windows Server 2008 domeno valdiklis, operacija gali nepavykti
Nuorodos
Norėdami gauti daugiau informacijos, spustelėkite ir po straipsnio numerius ir peržiūrėkite straipsnius Microsoft žinių bazėje:
257942Klaida: Neįmanoma Peržiūrėti pasirinkto domeno, nes įvyko ši klaida...
246261 Kaip naudotis RestrictAnonymous registro reikšmę Windows 2000
258595 Gpresult nėra išvardyti atstojamoji kompiuterio saugumo strategija
823659 Kliento, tarnybos ir programos nesuderinamumai, galintys atsirasti jums pakoregavus saugos parametrus ir vartotojų teisių priskyrimus
278259 Kiekvienas grupės nėra anoniminis saugos identifikatorius

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 889030 – Paskutinė peržiūra: 06/07/2013 00:02:00 – Peržiūra: 1.0

Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86), Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86), Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server (serveris), Microsoft Windows 2000 Server, Microsoft Windows NT Server 4.0 Standard Edition, Microsoft Windows NT Server 4.0 Enterprise Edition

  • kbnetwork kbactivedirectory kbtshoot kbmt KB889030 KbMtlt
Atsiliepimai
/html>tml> var Ctrl = ""; document.write(" 50&did=1&t=">