Palavra-passe de conta de serviço cluster tem de ser definido para 15 ou mais caracteres se estiver activada a política NoLMHash


Sintomas


Quando tenta aderir o segundo nó de cluster, o Assistente de configuração devolve a seguinte mensagem:
< CSA > não tem permissão para administrar o cluster.
Além disso, se iniciar o administrador de clusters (CluAdmin.exe) num cluster ou de um servidor remoto, poderá receber a seguinte mensagem de erro:
Acesso negado

Causa


Em vez de armazenar a palavra-passe da conta de utilizador em texto simples, o Microsoft Windows gera e guarda palavras-passe da conta de utilizador utilizando duas representações de palavra-passe diferentes, geralmente conhecidas por "hashes". Quando definir ou alterar a palavra-passe para uma conta de utilizador para uma palavra-passe que contenha menos de 15 caracteres, o Windows gera um Hash do LAN Manager (LMHash) e um hash de Microsoft Windows NT (hash de NT), a palavra-passe. Estes hashes são armazenados na base de dados local do Gestor de contas de segurança (SAM) ou no Active Directory.


Se o segurança de rede: não armazenar o valor de Hash do LAN Manager na alteração seguinte da palavra-passe política estiver definida, não LMHash se encontra na conta de serviço de Cluster (CSA) no Active Directory.

Quando uma palavra-passe inferior a 15 caracteres é utilizada para CSA, quando associa o segundo nó o processo de configuração irá gerar LMHash para criar uma chave de sessão para autenticar. Como não LMHash é armazenada no Active Directory, o controlador de domínio não é possível criar uma chave de sessão correspondente. O acesso é negado. Quando utiliza uma palavra-passe com 15 ou mais caracteres para o CSA, um LMHash não pode ser gerada pelo processo de configuração. Em vez disso, o hash de palavra-passe do Windows NT, será utilizado para derivar a chave de sessão. O controlador de domínio será capaz de gerar uma chave de sessão correspondente. A autenticação será efectuada com êxito. Para obter informações adicionais sobre como impedir que a palavra-passe seja armazenado como um hash do LAN Manager, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

299656 como impedir o Windows de armazenar um hash do Gestor de LAN da palavra-passe no Active Directory e bases de dados locais do SAM

Resolução


Para resolver o problema, seleccione o método que melhor se adequa à situação.

Método 1: Utilizar uma palavra-passe com pelo menos 15 caracteres

Quando a política NoLMHash é definida no Active Directory e não pode ser desactivada devido a considerações de segurança, utilize uma palavra-passe que é pelo menos 15 caracteres de comprimento para impedir que o Assistente de configuração do cluster utilizando um LMHash para autenticação.

Método 2: Activar o armazenamento de LMHash no Active Directory

Permitir o armazenamento de LMHash de uma palavra-passe de utilizador utilizando a política de grupo no Active Directory. Para tal, siga estes passos:
  1. Na política predefinida de domínio controladores de grupo, expanda
    Configuração do computador, expanda Definições do Windows, expanda As definições de segurança, expanda
    Políticas locaise, em seguida, clique em Opções de segurança.
  2. Na lista de políticas disponíveis, faça duplo clique em
    Segurança de rede: não armazenar o valor de hash do LAN Manager na alteração seguinte da palavra-passe.
  3. Clique em desactivadoe, em seguida, clique em
    OK.
  4. Certifique-se de que a política de replicação e é aplicada.
  5. Repor a palavra-passe de CSA (comprimento pode ser inferior a 15 caracteres) para se certificar de que o LMHash é escrito SAM/AD.

Método 3: Instalar uma correcção

Existe uma correcção da Microsoft para resolver este problema para que as palavras-passe de quinze caracteres não são necessárias quando a política NoLMHash é definida no Active Directory. Para obter informações adicionais, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:

890761 da recebe uma mensagem de erro "Error 0x8007042b" quando adiciona ou aderir a um nó a um cluster se utilizar NTLM versão 2 no Windows Server 2003