Parolă cont de serviciul cluster trebuie setată la 15 sau mai multe caractere dacă este activată politica NoLMHash


Simptome


Când încercați să se alăture al doilea nod de cluster, Expertul de instalare se returnează următorul mesaj:
< CSA > nu are permisiunea de a administra cluster.
De asemenea, dacă porniți Administrator Cluster (CluAdmin.exe) pe un cluster sau de pe un server la distanță, este posibil să primiți următorul mesaj de eroare:
Acces refuzat

Cauza


În loc de stocarea parola contului de utilizator în text clar, Microsoft Windows generează și stochează parolele de conturi de utilizator utilizând două parole diferite reprezentări, în general, cunoscute ca "hash." Când setați sau modificați parola pentru un cont de utilizator la o parolă care conține mai puțin de 15 caractere, Windows generează un Hash LAN Manager (LMHash) şi de un hash Microsoft Windows NT (NT hash) a parolei. Aceste linii oblice sunt stocate în baza de date locală Security Accounts (Manager SAM) sau în Active Directory.


Dacă de securitate de rețea: nu stoca LAN Manager Hash valoare pe următoarea modificare parolă politică este setată, LMHash nu este în Cluster contul de serviciu (CSA) în Active Directory.

Atunci când o parolă de mai puțin de 15 caractere este utilizat pentru CSA, atunci Când participaţi la nodul al doilea procesul de instalare va genera LMHash pentru a construi o cheie de sesiune pentru a autentifica. Deoarece LMHash nu este stocat în Active Directory, controlerul de domeniu nu poate construi o cheie de sesiune corespondentă. Acces refuzat. Când utilizați o parolă care are 15 sau mai multe caractere pentru CSA, un LMHash nu poate fi generat de procesul de instalare. În schimb, Windows NT parola hash vor fi utilizate pentru a obţine cheia de sesiune. Controlerul de domeniu va putea să genereze o cheie de sesiune corespondentă. Autentificare va reuși. Pentru informații suplimentare despre cum se împiedică sunt stocate ca un LAN Manager hash parola, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

Cum 299656 pentru a împiedica Windows să stocheze un LAN manager hash de parola în Active Directory și baze de date locale SAM

Rezolvare


Pentru a rezolva problema, selectați metoda pe care se potrivește cel mai bine situația dvs.

Metoda 1: Utilizați o parolă care este cel puțin de 15 caractere

Când politica NoLMHash este setată în Active Directory și nu pot fi dezactivate datorită considerente de securitate, utilizați o parolă care este cel puțin de 15 caractere mult timp pentru a împiedica Expertul de instalare cluster să utilizeze un LMHash pentru autentificare.

Metoda 2: Activați stocarea LMHash în Active Directory

Activați stocarea LMHash de o parolă de utilizator utilizând politica de grup în Active Directory. Pentru a face acest lucru, urmați acești pași:
  1. În Default Domain controlere de politică de grup, extindeți
    Computer Configuration, extindeți Windows Settings, extindeți Setările de securitate, extindeți
    Local Policiesși apoi faceți clic pe Opțiunile de securitate.
  2. În lista de politici disponibile, faceți dublu clic pe
    De securitate de rețea: nu stoca LAN Manager hash valoare pe următoarea modificare parolă.
  3. Dezactivat, și apoi faceți clic pe
    OK.
  4. Asigurați-vă că politica se reproduce și se aplică.
  5. Reinițializați parola CSA (lungime poate fi mai puțin de 15 caractere) pentru a vă asigura că LMHash este scris în SAM/AD.

Metoda 3: Instalați o remediere rapidă

O remediere rapidă este disponibilă de la Microsoft pentru a rezolva această problemă, astfel încât 15 caractere parolele nu sunt necesare atunci când politica NoLMHash este setată în Active Directory. Pentru informații suplimentare, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

890761 primiți un mesaj de eroare "Eroare 0x8007042b" atunci când adăugați sau a asocia un nod la un cluster dacă utilizaţi NTLM versiunea 2 în Windows Server 2003