無法建立網域和 Active Directory 網域,或無法如預期般運作,Windows NT 之間信任


狀況


如果您嘗試設定 Microsoft Windows NT 4.0 的網域和 Active Directory 為基礎的網域之間的信任,您可能會遇到下列徵狀之一︰
  • 無法建立信任。
  • 建立信任時,但信任未如預期般運作。
此外,您可能會收到下列錯誤訊息︰
嘗試加入網域"Domain_Name"時,發生以下錯誤︰ 沒有從這個工作站登入權限的帳戶。
存取遭拒。
無法聯繫到沒有網域控制站。
登入失敗︰ 未知的使用者名稱或密碼錯誤。
當您使用物件選取器,在 Active Directory 使用者和電腦從 NT 4.0 網域中加入 Active Directory 網域的使用者時,您可能會收到下列錯誤訊息︰
沒有項目符合目前的搜尋。檢查您的搜尋參數,並再試一次。

原因


之所以發生這個問題,是因為組態問題,以任何一種下列區域︰
  • 名稱解析
  • 安全性設定
  • 使用者權限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的群組成員資格
若要正確地識別問題的原因,您必須解決的信任設定。

解決方案


如果當您使用 Active Directory 使用者和電腦中的物件選取器時,您會收到 「 沒有項目與目前的搜尋相符 」 錯誤訊息,,請確定,NT 4.0 網域的網域控制站就會將每個人都包含在這台電腦從網路使用者存取權限。在這個案例中,物件選取器會嘗試在信任匿名連線。如果要確認這些 ssettings,請依照 「 方法三︰ 檢查使用者權限 」 一節。

如果要疑難排解 Windows NT 4.0 的網域和 Active Directory 之間的信任設定問題,請先確認正確的下列區域設定︰
  • 名稱解析
  • 安全性設定
  • 使用者權限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的群組成員資格
若要這樣做,請使用下列方法。

其中一個方法︰ 請確認名稱解析的正確設定

步驟一︰ 建立 LMHOSTS 檔案

建立 LMHOSTS 檔案,提供跨網域名稱解析功能的主要網域控制站上。LMHOSTS 是一個文字檔,您可以使用任何文字編輯器,例如 [記事本] 編輯。每個網域控制站上的 LMHOSTS 檔必須包含 TCP/IP 位址、 網域名稱,以及其他網域控制站的 \0x1b 項目。
如需有關如何建立 LMHOSTS 檔案的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
180094如何撰寫網域驗證的 LMHOSTS 檔案

建立 LMHOSTS 檔案之後,請依照下列步驟執行︰
  1. 修改檔案,使其包含類似下列的文字的文字︰
    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    注意必須要有 20 字元和空格的引號之間的總計 ("") 的 \0x1b 項目。網域名稱後面加入空格,使其使用 15 個字元。16 字元是反斜線後面的 「 0x1b"的值,而且這會讓總計為 20 個字元。
  2. 當您完成 LMHOSTS 檔中所做的變更時,網域控制站上將檔案儲存到%systemroot%\System32\Drivers\Etc 資料夾。
如需有關 LMHOSTS 檔的詳細資訊,請檢視 Lmhosts.sam 範例檔案位於
%Systemroot%\System32\Drivers\Etc 資料夾。

步驟 2︰ 載入快取的 LMHOSTS 檔

  1. 按一下 [開始],按一下 [執行]、 輸入cmd,然後按一下[確定]
  2. 在命令提示字元中,輸入NBTSTAT-R,然後按 ENTER 鍵。這個命令會載入快取中的 LMHOSTS 檔。
  3. 在命令提示字元中,輸入NBTSTAT-c、 然後再按 ENTER。這個命令會顯示快取。如果檔案一致的狀態,快取是類似下列︰
    NT4PDCName <03> UNIQUE 1.1.1.1 -1 
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1
    如果檔案未正確填入快取,請繼續進行下一個步驟。

步驟三︰ 請確定 LMHOSTS 查閱已啟用 Windows NT 4.0 電腦上

如果檔案未正確填入快取,請確定該 LMHOSTS 查閱已啟用 Windows NT 4.0 電腦上。若要執行這項操作,請參考下列步驟:
  1. 按一下 [開始] 指向
    [設定],然後按一下 [控制台]
  2. 按兩下 [網路],按一下
    通訊協定索引標籤,然後再連按兩下 [ TCP/IP 通訊協定
  3. 按一下 [ WINS 位址] 索引標籤,然後按一下以選取 [啟用 LMHOSTS 查閱] 核取方塊。
  4. 重新啟動電腦。
  5. 重複 「 載入至快取的 LMHOSTS 檔 」 一節的步驟。
  6. 如果檔案未正確填入快取,請確定 LMHOSTS 檔中
    %Systemroot%\System32\Drivers\Etc 資料夾及檔案格式是否正確。

    例如,您必須檔格式化為類似下列的範例格式︰
    1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
    1.1.1.1 "NT4DomainName \0x1b"#PRE
    2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
    2.2.2.2 "W2KDomainName \0x1b"#PRE

    注意必須要有 20 字元和空格的引號標記內的總計 ("") 的網域名稱和 \0x1b 項目。

步驟 4︰ 使用 Ping 命令來測試連線

檔案會填入每一部伺服器上的正確的快取,使用每一部伺服器 Ping 命令測試伺服器之間的連線。若要執行這項操作,請參考下列步驟:
  1. 按一下 [開始],按一下 [執行]、 輸入cmd,然後按一下[確定]
  2. 在命令提示字元中,輸入Ping
    Name_Of_Domain_Controller_You_Want_To_Connect_To,然後再按 ENTER 鍵。如果 Ping 命令無法運作,請確定正確的 IP 位址會列在 LMHOSTS 檔案。
  3. 在命令提示字元中,輸入網路檢視
    Name_Of_Domain_Controller_You_Want_To_Connect_To,然後再按 ENTER 鍵。預期的是,您會收到下列錯誤訊息︰
    發生系統錯誤 5。存取被拒
    如果net view命令會傳回下列錯誤訊息或任何其他相關的錯誤訊息,請確定正確的 IP 位址會列在 LMHOSTS 檔案︰
    發生系統錯誤 53。找不到網路路徑
或者,可以設定 Windows 網際網路名稱服務 (WINS),以便不使用 LMHOSTS 檔的名稱解析功能。如需有關如何使用 WINS 進行名稱解析的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文︰
WINS 的185786建議作法

第二種方法︰ 檢視安全性設定

一般而言,信任組態中的 Active Directory 方會有造成連線問題的安全性設定。不過,信任的雙方必須進行檢查的安全性設定。

步驟一︰ 檢視 Windows 2000 Server 和 Windows Server 2003 上的 [安全性設定

在 Windows 2000 Server 和 Windows Server 2003 中,可能會套用或由群組原則]、 [本機原則或 [套用的安全性範本設定的安全性設定。

您必須使用正確的工具,來判斷目前的安全性設定,以避免不正確的讀數值。

若要取得正確的目前安全性設定的讀取,請使用下列方法︰
  • 在 Windows 2000 Server 中,使用 [安全性設定及分析嵌入式管理單元如需有關如何判斷目前的安全性原則,Windows 2000 為基礎的電腦上的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文︰
    258595 Gpresult 無法列舉結果的電腦的安全性原則

  • 在 Windows Server 2003,請使用 [安全性設定及分析] 嵌入式管理單元] 或 [原則結果組 (RSoP) 嵌入式管理單元 」。
    如需有關如何使用 [原則結果組] 嵌入式管理單元的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
    323276如何安裝並使用 Windows Server 2003 中的 RSoP

判斷目前的設定之後,您必須識別套用設定的原則。例如,您必須決定在 Active Directory 中或設定安全性原則的本機設定中的 「 群組原則。

在 Windows Server 2003,RSoP 工具所識別的原則設定的安全性值。不過,在 Windows 2000 中,您必須檢視群組原則和本機原則,以判斷所包含的安全性設定的原則︰
  • 若要檢視的群組原則設定,您必須啟用群組原則處理期間的記錄 Microsoft 的 Windows 2000 安全性設定用戶端的輸出。
    如需有關如何啟用群組原則處理期間的 Microsoft Windows 2000 安全性設定用戶端的記錄輸出的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
    245422如何啟用安全性設定用戶端處理在 Windows 2000 中的記錄

  • 檢視事件檢視器中的應用程式記錄檔,並尋找事件識別碼 1000年和事件識別碼 1202年。
    如需有關事件識別碼 1000年和事件識別碼 1202年的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
    319352事件識別碼 1000年和事件識別碼 1202年會記錄到事件記錄在 Windows 2000 Server 中每隔五分鐘

下列三個區段會識別作業系統,並列出的安全性設定,您必須確認您已經收集到的資訊中的作業系統︰
Windows 2000
請確定已設定下列設定值,如所示。

RestrictAnonymous:
匿名連線的其他限制
「 無。依賴預設權限"
LM 相容性︰
LAN Manager 驗證層級[傳送 NTLM 回應只]
SMB 簽章、 SMB 加密,或兩者︰
數位簽章用戶端的通訊 (自動)停用
數位簽章的用戶端的通訊 (如果可能)啟用
數位簽章伺服器的通訊 (自動)停用
數位簽章的伺服器通訊 (如果可能)啟用
安全通道︰ 加以數位加密或簽署安全通道資料 (自動)停用
安全通道︰ 安全通道資料 (如果可能) 加以數位加密停用
安全通道︰ 安全數位簽章通道資料 (如果可能)停用
安全通道︰ 要求增強式 (Windows 2000 或更新) 工作階段索引鍵停用
Windows Server 2003
請確定已設定下列設定值,如所示。


RestrictAnonymous 和 RestrictAnonymousSam:
網路存取︰ 允許匿名 SID/名稱轉譯啟用
網路存取︰ 不允許匿名列舉 SAM 帳戶停用
網路存取︰ 不會允許匿名列舉 SAM 帳戶和共用停用
網路存取︰ 讓 Everyone 權限套用到匿名使用者啟用
網路存取︰ 可以匿名存取具名的管道啟用
網路存取︰ 限制匿名存取具名管道和共用停用
注意根據預設,值網路存取︰ 允許匿名 SID/名稱轉譯設定為停用 Windows Server 2008 中。如需詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文︰
942428 Windows Server 2003 網域控制站讓匿名使用者的使用者名稱解析的安全性識別碼 (SID)

LM 相容性︰
網路安全性︰ LAN Manager 驗證層級[傳送 NTLM 回應只]
SMB 簽章、 SMB 加密,或兩者︰
Microsoft 網路用戶端︰ 數位簽章通訊 (自動)停用
Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意)啟用
Microsoft 網路伺服器︰ 數位簽章通訊 (自動)停用
Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意)啟用
網域成員︰ 加以數位加密或簽署安全通道資料 (自動)停用
網域成員︰ 安全通道資料 (如果可能) 加以數位加密啟用
網域成員︰ 安全數位簽章通道資料 (如果可能)啟用
網域成員︰ 要求增強式 (Windows 2000 或更新) 工作階段索引鍵停用
設定正確之後,您必須重新啟動電腦。在重新啟動電腦前,不會強制執行安全性設定。

電腦重新啟動後,等待 10 分鐘,請確定所有的安全性原則套用,而且已設定有效的設定。我們建議您等待 10 分鐘,因為 Active Directory 原則更新就會發生在網域控制站中,每隔 5 分鐘,更新可能會變更安全性設定值。10 分鐘後,使用安全性設定及分析] 或其他工具來檢查 Windows 2000 及 Windows Server 2003 中的安全性設定。

Windows NT 4.0

重要這個章節、 方法或工作包含修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請務必小心執行這些步驟。為加強保護,請在修改前備份登錄。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756如何備份及還原 Windows 中的登錄
在 Windows NT 4.0 中,必須使用 Regedt32 工具來檢視登錄驗證目前的安全性設定。若要執行這項操作,請參考下列步驟:
  1. 按一下 [開始],按一下 [執行]、 輸入regedt32,然後按一下
    OK.
  2. 展開下列的登錄子機碼,然後再檢視指派給 RestrictAnonymous 項目值︰
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 展開下列的登錄子機碼,然後再檢視到 LM 相容性的項目指派的值︰
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
  4. 展開下列的登錄子機碼,然後再檢視到 EnableSecuritySignature (伺服器) 的項目指派的值︰
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
  5. 展開下列的登錄子機碼,然後再檢視到 RequireSecuritySignature (伺服器) 的項目指派的值︰
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
  6. 展開下列的登錄子機碼,然後再檢視指派給 RequireSignOrSeal 項目值︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  7. 展開下列的登錄子機碼,然後再檢視指派給 SealSecureChannel 項目值︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  8. 展開下列的登錄子機碼,然後再檢視指派給 SignSecureChannel 項目值︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 展開下列的登錄子機碼,然後再檢視指派給 RequireStrongKey 項目值︰
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法 3︰ 確認使用者權限

若要確認 Windows 2000 為基礎的電腦上的必要的使用者權限,請依照下列步驟執行︰
  1. 按一下 [開始] 指向
    程式中,指向 [系統管理工具,,,然後按一下 [本機安全性原則
  2. 展開 [本機原則],然後按一下
    使用者權限指派
  3. 在右邊窗格中,按兩下 [存取這台電腦從網路]。
  4. 按一下以選取 [指定至] 清單中,在 [每個人] 群組旁邊的 [本機原則設定] 核取方塊,然後按一下[確定]
  5. 按兩下 [拒絕存取網路從這台電腦]。
  6. 請確認沒有在原則群組
    指定至]清單,並再按一下[確定]。例如,請確定每個人、 已驗證的使用者及其他群組中,不列出項目。
  7. 按一下 [確定],然後結束 [本機安全性原則]。
若要驗證的 Windows Server 2003 電腦上的必要的使用者權限,請依照下列步驟執行︰
  1. 按一下 [開始] 指向
    [系統管理工具],然後按一下 [網域控制站安全性原則
  2. 展開 [本機原則],然後按一下
    使用者權限指派
  3. 在右邊窗格中,按兩下 [存取這台電腦從網路]。
  4. 請確定每個人 」 群組是在存取這台電腦從網路] 清單中。如果沒有列出 Everyone 群組,請遵循下列步驟︰
    1. 按一下 [新增使用者或群組]。
    2. 在 [使用者和群組名稱] 方塊中,輸入
      每個人,然後按一下[確定]
  5. 按兩下 [拒絕存取網路從這台電腦]。
  6. 請確認沒有在原則群組
    拒絕存取這台電腦從網路清單,並再按一下[確定]。例如,請確定每個人、 已驗證的使用者及其他群組中,不列出項目。
  7. 按一下 [確定],然後再關閉 [網域控制站安全性原則。
若要確認 Windows NT Server 4.0 的電腦上的必要的使用者權限,請依照下列步驟執行︰
  1. 按一下 [開始] 指向
    程式中,指向 [系統管理工具,,,然後按一下 [網域使用者管理員
  2. 按一下 [原則] 功能表的 [使用者權限]。
  3. 右邊清單中,按一下 [存取這台電腦從網路]。
  4. 要授與] 方塊中,請確定每個人 」 群組會加入。如果不加入 Everyone 群組時,請遵循下列步驟︰
    1. 按一下 [新增]。
    2. 在 [名稱] 清單中,按一下
      每個人,按一下 [新增],然後按一下
      OK.
  5. 按一下 [確定],然後結束 [使用者管理員]。

第四種方法︰ 請確認群組成員資格

如果網域之間設定信任,但您無法將原則的使用者群組從一個網域加入另因為] 對話方塊中找不到其他的網域物件,「 windows 2000 相容性存取 」 群組,可能沒有正確的成員資格。

在 Windows 2000 為基礎的網域控制站和 Windows Server 2003 網域控制站,請確定已設定必要的群組成員資格。

若要在 Windows 2000 為基礎的網域控制站上執行這項操作,請依照下列步驟執行︰
  1. 按一下 [開始] 指向
    程式中,指向 [系統管理工具,,,然後按一下 [ Active Directory 使用者和電腦
  2. 按一下 [內建的,然後按兩下
    Windows 2000 前版相容的存取群組
  3. 按一下 [成員] 索引標籤,然後確定 Everyone 群組是在 [成員] 清單中。
  4. 如果每個人] 群組並不在
    成員] 清單中,請依照下列步驟執行︰
    1. 按一下 [開始],請按一下
      執行時,會輸入cmd,然後再按一下
      OK.
    2. 在命令提示字元中,輸入/net 熟知 「 windows 2000 相容性存取 」 每個人] / [加入,,然後按 ENTER 鍵。
若要確定必要的群組成員資格在 Windows Server 2003 網域控制站上設定,您必須知道如果 「 網路存取︰ 讓 Everyone 權限套用到匿名使用者 」 原則設定已停用。如果您不知道,來決定的狀態中使用 「 群組原則物件編輯器 」 網路存取︰ 讓 Everyone 權限套用到匿名使用者 」 原則設定。若要執行這項操作,請參考下列步驟:
  1. 按一下 [開始],按一下 [執行]、 輸入gpedit.msc,,然後按一下
    OK.
  2. 展開下列資料夾︰
    本機電腦原則
    電腦組態
    Windows 設定
    安全性設定
    本機原則
  3. 按一下 [安全性選項],然後按一下
    網路存取︰ 讓 Everyone 權限套用到匿名的使用者在右窗格中。
  4. 請注意是否 [安全性設定] 欄中的值是停用] 或 [已啟用
若要確定必要的群組成員資格在 Windows Server 2003 網域控制站上設定,請依照下列步驟執行︰
  1. 按一下 [開始] 指向
    程式中,指向 [系統管理工具,,,然後按一下 [ Active Directory 使用者和電腦
  2. 按一下 [內建的,然後按兩下
    Windows 2000 前版相容的存取群組
  3. 按一下 [成員] 索引標籤。
  4. 如果網路存取︰ 讓 Everyone 權限套用到匿名使用者在停用原則設定,請確定每個人,匿名登入群組是在 [成員] 清單中。如果 「 網路存取︰ 讓 Everyone 權限套用到匿名使用者 」 原則設定時,請確定每個人 」 群組位於
    成員] 清單中。
  5. 如果每個人] 群組並不在
    成員] 清單中,請依照下列步驟執行︰
    1. 按一下 [開始],請按一下
      執行時,會輸入cmd,然後再按一下
      OK.
    2. 在命令提示字元中,輸入/net 熟知 「 windows 2000 相容性存取 」 每個人] / [加入,,然後按 ENTER 鍵。

方法 5︰ 驗證透過網路裝置,例如防火牆、 交換器或路由器的連線

如果您收到類似下列的錯誤訊息的錯誤訊息,且您已驗證的 LMHOST 檔案是正確,問題可能被因防火牆、 路由器或交換器,已封鎖的網域控制站之間的連接埠︰
沒有網域控制站無法聯繫到
如果要疑難排解網路裝置,使用 PortQry 命令列的連接埠掃描器 2.0 版來測試您的網域控制站之間的連接埠。
如需有關 PortQry 第 2 版的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
832919的新功能和 PortQry 2.0 版中的功能

如需有關如何必須設定連接埠的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
179442如何設定網域和信任的防火牆

方法六︰ 收集其他資訊,協助您疑難排解問題

如果先前的方法無法幫助您解決問題,請收集下列的其他資訊,以協助您疑難排解問題的原因︰
  • 啟用 Netlogon 記錄這兩個網域控制站上。
    如需有關如何完成的 Netlogon 記錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
    109626啟用偵錯的 Net Logon 服務記錄

  • 發生此問題的同時佔領這兩個網域控制站上的追蹤。
    如需有關如何擷取網路流量的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件︰
    812953如何使用網路監視器擷取網路流量

更多的資訊


下列群組原則物件 (Gpo) 的清單會提供對應的登錄項目,並在適用的作業系統中的 「 群組原則的位置︰
  • RestrictAnonymous 的 GPO 中︰
    • Windows NT 的登錄位置︰
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 及 Windows Server 2003 的登錄位置︰
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項額外的限制匿名使用者連線的
    • Windows Server 2003 群組原則︰ 電腦組態 \ Windows 設定 \ 安全性設定 \ 安全性選項網路存取︰ 不會允許匿名列舉 SAM 帳戶和共用
  • RestrictAnonymousSAM 的 GPO 中︰
    • Windows Server 2003 的登錄位置︰
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項網路存取︰ 不會允許匿名列舉 SAM 帳戶和共用
  • EveryoneIncludesAnonymous 的 GPO 中︰
    • Windows Server 2003 的登錄位置︰
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項網路存取︰ 讓 Everyone 權限套用到匿名使用者
  • LM 相容性 GPO:
    • Windows NT、 Windows 2000 及 Windows Server 2003 的登錄位置︰ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
    • Windows 2000 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項︰ LAN Manager 驗證層級
    • Windows Server 2003 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項 \ 網路安全性︰ LAN Manager 驗證層級
  • EnableSecuritySignature (用戶端) GPO 中︰
    • Windows 2000 及 Windows Server 2003 的登錄位置︰ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項︰ 數位簽章用戶端的通訊 (自動)
    • Windows Server 2003 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項 \ Microsoft 網路用戶端︰ 數位簽章的通訊 (如果伺服器同意)
  • RequireSecuritySignature (用戶端) GPO 中︰
    • Windows 2000 及 Windows Server 2003 的登錄位置︰
      HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 群組原則︰電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性選項︰ 數位簽章用戶端的通訊 (自動)
    • Windows Server 2003:電腦設定 \ Windows 設定 \ 安全性設定 \ 安全性 Options\ Microsoft 網路用戶端︰ 數位簽章通訊 (自動)
  • EnableSecuritySignature (伺服器) GPO 中︰
    • Windows NT 的登錄位置︰
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 及 Windows Server 2003 的登錄位置︰
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 群組原則︰數位簽章伺服器的通訊 (自動)
    • Windows Server 2003 群組原則︰ Microsoft 網路伺服器︰ 數位簽章的通訊 (如果用戶端同意)
  • RequireSecuritySignature (伺服器) GPO 中︰
    • Windows NT 的登錄位置︰
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 及 Windows Server 2003 的登錄位置︰
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 群組原則︰數位簽章伺服器的通訊 (自動)
    • Windows Server 2003 群組原則︰ Microsoft 網路伺服器︰ 數位簽章通訊 (自動)
  • RequireSignOrSeal 的 GPO 中︰
    • Windows NT、 Windows 2000 和 Windows Server2003 的登錄位置︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 群組原則︰加以數位加密或簽署安全通道資料 (自動)
    • Windows Server2003 群組原則︰網域成員︰ 加以數位加密或簽署安全通道資料 (自動)
  • SealSecureChannel 的 GPO 中︰
    • Windows NT、 Windows 2000 和 Windows Server2003 的登錄位置︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 群組原則︰安全通道︰ 資料加以數位加密安全通道 (可能的話)
    • Windows Server 2003 群組原則︰網域成員︰ 資料加以數位加密安全通道 (可能的話)
  • SignSecureChannel 的 GPO 中︰
    • Windows NT、 Windows 2000 及 Windows Server 2003 的登錄位置︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 群組原則︰安全通道︰ 安全數位簽章 (自動) 的通道資料
    • Windows Server 2003 群組原則︰網域成員︰ 安全數位簽章 (自動) 的通道資料
  • RequireStrongKey 的 GPO 中︰
    • Windows NT、 Windows 2000 及 Windows Server 2003 的登錄位置︰ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 群組原則︰安全通道︰ 要求增強式 (Windows 2000 或更新) 工作階段索引鍵
    • Windows Server 2003 群組原則︰網域成員︰ 要求增強式 (Windows 2000 或更新) 工作階段索引鍵

Windows 2008 Server

網域控制站執行 Windows Server 2008,允許密碼編譯演算法與 Windows NT 4.0 相容的原則設定的預設行為可能會造成問題。此設定可防止 Windows 作業系統和協力廠商用戶端都使用弱式密碼編譯演算法建立 NETLOGON 到 Windows Server 2008 為基礎的網域控制站的安全性通道。
如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
942564當 Windows NT 4.0 的電腦嘗試使用 NETLOGON 服務來建立 Windows Server 2008 為基礎的網域控制站的安全性通道,則作業可能失敗

參考


如需詳細資訊,按一下下面的文件編號,以檢視「Microsoft 知識庫」中的文件:
257942錯誤訊息︰ 無法瀏覽選取的網域,因為發生下列的錯誤...

246261如何在 Windows 2000 中使用 RestrictAnonymous 的登錄值

258595 Gpresult 無法列舉結果電腦的安全性原則

823659用戶端、 服務和程式不相容,當您修改安全性設定和使用者權限指派時,可能會發生

278259所有人 」 群組不包括匿名的安全性識別元