ต้องตั้งค่ารหัสผ่านสำหรับบัญชีบริการคลัสเตอร์เป็นอย่าง น้อย 15 อักขระถ้าเปิดใช้งานนโยบาย NoLMHash


อาการ


เมื่อคุณพยายามที่จะเข้าร่วมโหนดคลัสเตอร์ที่สอง ตัวช่วยสร้างการตั้งค่าส่งกลับข้อความต่อไปนี้:
< CSA > ไม่มีสิทธิ์ในการดูแลคลัสเตอร์
นอกจากนี้ ถ้าคุณเริ่มการทำงานผู้ดูแลคลัสเตอร์ (CluAdmin.exe) บนคลัสเตอร์ หรือ จากเซิร์ฟเวอร์ระยะไกล คุณอาจได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
ปฏิเสธการเข้าถึง

สาเหตุ


แทนที่จะจัดเก็บรหัสผ่านของบัญชีผู้ใช้ของคุณลงในข้อความ Microsoft Windows สร้าง และจัดเก็บรหัสผ่านสำหรับบัญชีผู้ใช้โดยใช้แทนรหัสผ่านที่แตกต่างกันสอง เรียกกันโดยทั่วไปว่า "hash" เมื่อคุณตั้งค่า หรือเปลี่ยนรหัสผ่านสำหรับบัญชีผู้ใช้รหัสผ่านที่ประกอบด้วยอักขระน้อยกว่า 15, Windows สร้างแฮ LAN Manager (LMHash) และการ Microsoft Windows NT แฮ (NT แฮ) ของรหัสผ่าน Hashes เหล่านี้จะถูกเก็บไว้ ในฐานข้อมูลตัวจัดการบัญชีความปลอดภัย (SAM) ภายในเครื่อง หรือ ในไดเรก ทอรีที่ใช้งานอยู่


ถ้าการความปลอดภัยของเครือข่าย: ไม่เก็บค่าแฮผู้จัดการ LAN ในการเปลี่ยนแปลงรหัสผ่านถัดไปมีการตั้งค่านโยบาย LMHash ไม่มีอยู่ในบัญชีบริการคลัสเตอร์ (CSA) ใน Active Directory

เมื่อมีใช้รหัสผ่านที่มีอักขระน้อยกว่า 15 สำหรับ CSA เมื่อคุณเข้าร่วมโหนสอง กระบวนการติดตั้งจะสร้าง LMHash เพื่อสร้างคีย์เซสชันการรับรองความถูกต้อง เนื่องจากไม่มี LMHash เก็บอยู่ในไดเรกทอรีที่ใช้งานอยู่ ตัวควบคุมโดเมนไม่สามารถสร้างคีย์เซสชันตรงกัน การเข้าถึงถูกปฏิเสธ เมื่อคุณใช้รหัสผ่านที่มีอักขระอย่าง น้อย 15 สำหรับการ CSA, LMHash ที่ไม่สามารถสร้างตามกระบวนการติดตั้ง แทน แฮรหัสผ่าน Windows NT จะใช้คีย์เซสชันที่สืบทอดมา ตัวควบคุมโดเมนจะไม่สามารถสร้างคีย์เซสชันที่ตรงกัน การรับรองความถูกต้องจะเป็นผลสำเร็จ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการป้องกันไม่ให้รหัสผ่านของคุณถูกจัดเก็บเป็นแฮผู้จัดการ LAN โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

299656วิธีการป้องกันไม่ให้ Windows เก็บแฮผู้จัดการ LAN ของรหัสผ่านใน Active Directory และฐานข้อมูล SAM ท้องถิ่น

การแก้ปัญหา


เมื่อต้องการแก้ไขปัญหา เลือกวิธีการที่ดีที่สุดเหมาะสมกับสถานการณ์ของคุณ

วิธีที่ 1: ใช้รหัสผ่านที่มีความยาวอักขระอย่างน้อย 15

เมื่อนโยบาย NoLMHash ถูกตั้งค่าในไดเรกทอรีที่ใช้งานอยู่ และไม่สามารถปิดใช้งานเนื่องจาก มีข้อควรพิจารณาเกี่ยวกับการรักษาความปลอดภัย ใช้รหัสผ่านที่มีอักขระน้อย 15 ยาวเพื่อป้องกันไม่ให้ตัวช่วยสร้างการตั้งค่าคลัสเตอร์โดย LMHash ใช้สำหรับการรับรองความถูกต้อง

วิธีที่ 2: เปิดใช้งานการเก็บข้อมูลของ LMHash ในไดเรกทอรีที่ใช้งานอยู่

เปิดใช้งาน LMHash ของผู้ใช้รหัสผ่านเก็บไว้ โดยใช้'นโยบายกลุ่ม'ในไดเรกทอรีที่ใช้งานอยู่ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
  1. ในการเริ่มต้นโดเมนคอนโทรลเลอร์ Group Policy ขยาย
    การตั้งค่าคอนฟิกคอมพิวเตอร์การตั้งค่า Windowsขยาย ขยายการตั้งค่าความปลอดภัยขยาย
    นโยบายท้องถิ่นแล้ว คลิกตัวเลือกความปลอดภัย
  2. ในรายการของนโยบายที่มีอยู่ คลิกสองครั้ง
    ความปลอดภัยของเครือข่าย: ไม่เก็บค่าแฮผู้จัดการ LAN ในการเปลี่ยนแปลงรหัสผ่านถัดไป
  3. คลิกปิดใช้งานและจากนั้น คลิก
    OK.
  4. ตรวจสอบให้แน่ใจว่า นโยบายถูกจำลองแบบแล้ว และถูกนำไปใช้
  5. ตั้งค่ารหัสผ่านของการ CSA (ความยาวอาจน้อยกว่า 15 อักขระ) เพื่อให้แน่ใจว่า LMHash ที่ถูกเขียนลง SAM/AD ได้

วิธีที่ 3: ติดตั้งโปรแกรมแก้ไขด่วน

โปรแกรมแก้ไขด่วนมีพร้อมใช้งานจาก Microsoft เพื่อแก้ไขปัญหานี้เพื่อให้ไม่จำเป็นต้องใช้รหัสผ่านห้าอักขระเมื่อมีตั้งนโยบาย NoLMHash ในไดเรกทอรีที่ใช้งานอยู่ สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

890761คุณได้รับข้อผิดพลาด "ข้อผิดพลาด 0x8007042b" เมื่อคุณเพิ่ม หรือเข้าร่วมโหนคลัสเตอร์ถ้าคุณใช้ NTLM เวอร์ชัน 2 ใน Windows Server 2003