Udostępnij za pośrednictwem


Nie można ustanowić zaufania między domeną systemu Windows NT i domeną usługi Active Directory lub nie działa zgodnie z oczekiwaniami

W tym artykule opisano problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i domeną opartą na usłudze Active Directory.

Oryginalny numer KB: 889030

Symptomy

Jeśli spróbujesz skonfigurować relację zaufania między domeną opartą na systemie Microsoft Windows NT 4.0 i domeną opartą na usłudze Active Directory, może wystąpić jeden z następujących objawów:

  • Zaufanie nie zostało ustanowione.
  • Relacja zaufania jest ustanawiana, ale relacja zaufania nie działa zgodnie z oczekiwaniami.

Ponadto może zostać wyświetlony dowolny z następujących komunikatów o błędach:

Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Konto nie ma autoryzacji do logowania się z tej stacji.

Odmowa dostępu.

Nie można skontaktować się z kontrolerem domeny.

Niepowodzenie logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.

W przypadku używania selektora obiektów w Użytkownicy i komputery usługi Active Directory do dodawania użytkowników z domeny NT 4.0 do domeny usługi Active Directory może zostać wyświetlony następujący komunikat o błędzie:

Brak elementów pasuje do bieżącego wyszukiwania. Sprawdź parametry wyszukiwania i spróbuj ponownie.

Przyczyna

Ten problem występuje z powodu problemu z konfiguracją w jednym z następujących obszarów:

  • Rozpoznawanie nazw
  • Ustawienia zabezpieczeń
  • Prawa użytkownika
  • Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003

Aby poprawnie zidentyfikować przyczynę problemu, należy rozwiązać problem z konfiguracją zaufania.

Rozwiązanie

Jeśli podczas korzystania z selektora obiektów w Użytkownicy i komputery usługi Active Directory zostanie wyświetlony komunikat o błędzie "Brak elementów pasujących do bieżącego wyszukiwania", upewnij się, że kontrolery domeny w domenie NT 4.0 obejmują wszyscy w obszarze Dostęp do tego komputera z prawej strony użytkownika sieciowego. W tym scenariuszu selektor obiektów próbuje połączyć się anonimowo między relacjami zaufania. Aby zweryfikować te ustawienia, wykonaj kroki opisane w sekcji "Metoda trzy: Weryfikowanie praw użytkownika".

Aby rozwiązać problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i usługą Active Directory, należy zweryfikować poprawną konfigurację następujących obszarów:

  • Rozpoznawanie nazw
  • Ustawienia zabezpieczeń
  • Prawa użytkownika
  • Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003

W tym celu skorzystaj z poniższych metod.

Metoda pierwsza: Sprawdź poprawną konfigurację rozpoznawania nazw

Krok 1. Tworzenie pliku LMHOSTS

Utwórz plik LMHOSTS na podstawowych kontrolerach domeny, aby zapewnić możliwość rozpoznawania nazw między domenami. Plik LMHOSTS to plik tekstowy, który można edytować za pomocą dowolnego edytora tekstów, takiego jak Notatnik. Plik LMHOSTS na każdym kontrolerze domeny musi zawierać adres TCP/IP, nazwę domeny i wpis \0x1b innego kontrolera domeny.

Po utworzeniu pliku LMHOSTS wykonaj następujące kroki:

  1. Zmodyfikuj plik tak, aby zawierał tekst podobny do następującego tekstu:

    1.1.1.1 <> NT_4_PDC_Name #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Uwaga 16.

    Musi istnieć łącznie 20 znaków i spacji między znakami cudzysłowu (" ") dla wpisu \0x1b. Dodaj spacje po nazwie domeny, aby używać 15 znaków. 16. znak to ukośnik odwrotny, po którym następuje wartość "0x1b", a w sumie 20 znaków.

  2. Po zakończeniu zmian w pliku LMHOSTS zapisz plik w folderze %SystemRoot% \System32\Drivers\Etc na kontrolerach domeny. Aby uzyskać więcej informacji na temat pliku LMHOSTS, zobacz przykładowy plik Lmhosts.sam, który znajduje się w folderze %SystemRoot% \System32\Drivers\Etc.

Krok 2. Ładowanie pliku LMHOSTS do pamięci podręcznej

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz NBTSTAT -R, a następnie naciśnij ENTER. To polecenie ładuje plik LMHOSTS do pamięci podręcznej.

  3. W wierszu polecenia wpisz NBTSTAT -c, a następnie naciśnij ENTER. To polecenie wyświetla pamięć podręczną. Jeśli plik jest poprawnie zapisany, pamięć podręczna jest podobna do następującej:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIKATOWY 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Jeśli plik nie wypełni pamięci podręcznej poprawnie, przejdź do następnego kroku.

Krok 3. Upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0

Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0. W tym celu wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Ustawienia, a następnie kliknij przycisk Panel sterowania.
  2. Kliknij dwukrotnie pozycję Sieci, kliknij kartę Protokoły , a następnie kliknij dwukrotnie protokół TCP/IP.
  3. Kliknij kartę Adres WINS, a następnie kliknij, aby zaznaczyć pole wyboru Włącz wyszukiwanie LMHOSTS.
  4. Uruchom ponownie komputer.
  5. Powtórz kroki opisane w sekcji "Załaduj plik LMHOSTS do pamięci podręcznej".
  6. Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że plik LMHOSTS znajduje się w folderze %SystemRoot%\System32\Drivers\Etc i że plik jest poprawnie sformatowany.

Na przykład plik musi być sformatowany podobnie do następującego przykładowego formatowania:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Uwaga 16.

Musi istnieć łącznie 20 znaków i spacji wewnątrz cudzysłowów (" ") dla nazwy domeny i \0x1b wpisu.

Krok 4. Testowanie łączności przy użyciu polecenia Ping

Gdy plik poprawnie wypełnia pamięć podręczną na każdym serwerze, użyj Ping polecenia na każdym serwerze, aby przetestować łączność między serwerami. W tym celu wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>, a następnie naciśnij ENTER. Ping Jeśli polecenie nie działa, upewnij się, że poprawne adresy IP są wymienione w pliku LMHOSTS.

  3. W wierszu polecenia wpisz net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>, a następnie naciśnij ENTER. Oczekuje się, że zostanie wyświetlony następujący komunikat o błędzie:

    Wystąpił błąd systemowy 5. Odmowa dostępu

    Jeśli polecenie net view zwraca następujący komunikat o błędzie lub inny powiązany komunikat o błędzie, upewnij się, że poprawne adresy IP są wymienione w pliku LMHOSTS:

    Wystąpił błąd systemowy nr 53. Nie znaleziono ścieżki sieciowej

Alternatywnie można skonfigurować usługę nazw internetowych systemu Windows (WINS) w celu włączenia funkcji rozpoznawania nazw bez użycia pliku LMHOSTS.

Metoda druga: Wyświetlanie ustawień zabezpieczeń

Zazwyczaj po stronie usługi Active Directory konfiguracji zaufania są ustawienia zabezpieczeń, które powodują problemy z łącznością. Jednak ustawienia zabezpieczeń muszą być sprawdzane po obu stronach zaufania.

Krok 1. Wyświetlanie ustawień zabezpieczeń w systemach Windows 2000 Server i Windows Server 2003

W systemach Windows 2000 Server i Windows Server 2003 ustawienia zabezpieczeń mogą być stosowane lub konfigurowane przez zasady grupy, zasady lokalne lub zastosowany szablon zabezpieczeń.

Aby uniknąć niedokładnych odczytów, należy użyć odpowiednich narzędzi, aby określić bieżące wartości ustawień zabezpieczeń.

Aby uzyskać dokładne odczytywanie bieżących ustawień zabezpieczeń, użyj następujących metod:

  • W systemie Windows 2000 Server użyj przystawki Konfiguracja zabezpieczeń i analiza.

  • W systemie Windows Server 2003 użyj przystawki Konfiguracja zabezpieczeń i analiza lub przystawki Wynikowy zestaw zasad (RSoP).

Po określeniu bieżących ustawień należy zidentyfikować zasady, które stosują ustawienia. Na przykład należy określić zasady grupy w usłudze Active Directory lub ustawienia lokalne, które ustawiają zasady zabezpieczeń.

W systemie Windows Server 2003 zasady ustawiające wartości zabezpieczeń są identyfikowane przez narzędzie RSoP. Jednak w systemie Windows 2000 należy wyświetlić zasady grupy i zasady lokalne, aby określić zasady, które zawierają ustawienia zabezpieczeń:

  • Aby wyświetlić ustawienia zasad grupy, należy włączyć rejestrowanie danych wyjściowych klienta konfiguracji zabezpieczeń systemu Microsoft Windows 2000 podczas przetwarzania zasad grupy.

  • Wyświetl Podgląd zdarzeń logowania aplikacji i znajdź identyfikator zdarzenia 1000 i identyfikator zdarzenia 1202.

Poniższe trzy sekcje identyfikują system operacyjny i wyświetlają listę ustawień zabezpieczeń, które należy zweryfikować dla systemu operacyjnego w zebranych informacjach:

Windows 2000

Upewnij się, że następujące ustawienia zostały skonfigurowane, jak pokazano poniżej.

Ograniczanonym:

Dodatkowe ograniczenia dotyczące połączeń anonimowych
"Brak. Polegaj na uprawnieniach domyślnych"

Zgodność LM:

Poziom uwierzytelniania programu LAN Manager "Wysyłaj tylko odpowiedź NTLM"

Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:

Podpisuj cyfrowo komunikację klienta (zawsze) WYŁĄCZONO
Podpisuj cyfrowo komunikację klienta (jeśli jest to możliwe) WŁĄCZONO
Podpisuj cyfrowo komunikację z serwerem (zawsze) WYŁĄCZONO
Podpisuj cyfrowo komunikację z serwerem (jeśli jest to możliwe) WŁĄCZONO
Bezpieczny kanał: cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze) WYŁĄCZONO
Bezpieczny kanał: szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) WYŁĄCZONO
Bezpieczny kanał: podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) WYŁĄCZONO
Bezpieczny kanał: wymagaj silnego klucza sesji (windows 2000 lub nowszego) WYŁĄCZONO
Windows Server 2003

Upewnij się, że następujące ustawienia zostały skonfigurowane, jak pokazano poniżej.

RestrictAnonymous i RestrictAnonymousSam:

Dostęp sieciowy: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw WŁĄCZONO
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM WYŁĄCZONO
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów WYŁĄCZONO
Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników WŁĄCZONO
Dostęp do sieci: dostęp do nazwanych potoków można uzyskać anonimowo WŁĄCZONO
Dostęp sieciowy: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów WYŁĄCZONO

Uwaga 16.

Domyślnie wartość dostępu do sieci: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw jest wyłączona w systemie Windows Server 2008.

Zgodność LM:

Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager "Wysyłaj tylko odpowiedź NTLM"

Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:

Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) WYŁĄCZONO
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) WŁĄCZONO
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) WYŁĄCZONO
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) WŁĄCZONO
Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału — zawsze WYŁĄCZONO
Członek domeny: Szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) WŁĄCZONO
Członek domeny: podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) WŁĄCZONO
Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) WYŁĄCZONO

Po poprawnym skonfigurowaniu ustawień należy ponownie uruchomić komputer. Ustawienia zabezpieczeń nie są wymuszane do momentu ponownego uruchomienia komputera.

Po ponownym uruchomieniu komputera poczekaj 10 minut, aby upewnić się, że wszystkie zasady zabezpieczeń są stosowane i są skonfigurowane obowiązujące ustawienia. Zalecamy odczekanie 10 minut, ponieważ aktualizacje zasad usługi Active Directory są wykonywane co 5 minut na kontrolerze domeny, a aktualizacja może zmienić wartości ustawień zabezpieczeń. Po 10 minutach użyj opcji Konfiguracja zabezpieczeń i analiza lub inne narzędzie, aby sprawdzić ustawienia zabezpieczeń w systemach Windows 2000 i Windows Server 2003.

Windows NT 4.0

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 322756 Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows

W systemie Windows NT 4.0 bieżące ustawienia zabezpieczeń muszą zostać zweryfikowane przy użyciu narzędzia Regedt32, aby wyświetlić rejestr. W tym celu wykonaj następujące kroki:

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedt32, a następnie kliknij przycisk OK.

  2. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu Zgodność LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu EnableSecuritySignature (serwer):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSecuritySignature (serwer):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metoda trzecia: Weryfikowanie praw użytkownika

Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows 2000, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
  2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
  3. W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
  4. Kliknij, aby zaznaczyć pole wyboru Ustawienie zasad lokalnych obok grupy Wszyscy na liście Przypisane do , a następnie kliknij przycisk OK.
  5. Kliknij dwukrotnie odmów dostępu do tego komputera z sieci.
  6. Sprawdź, czy na liście Przypisane do nie ma żadnych grup zasad, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.
  7. Kliknij przycisk OK, a następnie zamknij pozycję Zasady zabezpieczeń lokalnych.

Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows Server 2003, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń kontrolera domeny.

  2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.

  3. W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.

  4. Upewnij się, że grupa Wszyscy znajduje się na liście Dostęp do tego komputera z listy sieciowej .

    Jeśli grupa Wszyscy nie znajduje się na liście, wykonaj następujące kroki:

    1. Kliknij pozycję Dodaj użytkownika lub grupę.
    2. W polu Nazwy użytkowników i grup wpisz Wszyscy, a następnie kliknij przycisk OK.
  5. Kliknij dwukrotnie odmów dostępu do tego komputera z sieci.

  6. Sprawdź, czy na liście sieciowej nie ma żadnych grup zasad odmowy dostępu do tego komputera, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.

  7. Kliknij przycisk OK, a następnie zamknij zasady zabezpieczeń kontrolera domeny.

Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows NT Server 4.0, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Menedżer użytkowników dla domen.

  2. W menu Zasady kliknij pozycję Prawa użytkownika.

  3. Na liście Po prawej stronie kliknij pozycję Uzyskaj dostęp do tego komputera z sieci.

  4. W polu Udziel do upewnij się, że dodano grupę Wszyscy.

    Jeśli grupa Wszyscy nie zostanie dodana, wykonaj następujące kroki:

    1. Kliknij przycisk Dodaj.
    2. Na liście Nazwy kliknij pozycję Wszyscy, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
  5. Kliknij przycisk OK, a następnie zamknij Menedżera użytkowników.

Metoda czwarta: Weryfikowanie członkostwa w grupie

Jeśli relacja zaufania jest skonfigurowana między domenami, ale nie można dodać grup użytkowników zasady z jednej domeny do drugiej, ponieważ okno dialogowe nie lokalizuje innych obiektów domeny, grupa "Dostęp zgodny z systemem Windows 2000" może nie mieć poprawnego członkostwa.

Na kontrolerach domeny opartych na systemie Windows 2000 i kontrolerach domeny opartych na systemie Windows Server 2003 upewnij się, że wymagane członkostwa w grupach są skonfigurowane.

Aby to zrobić na kontrolerach domeny opartych na systemie Windows 2000, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

  2. Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.

  3. Kliknij kartę Członkowie , a następnie upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .

  4. Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, a następnie naciśnij ENTER.

Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, musisz wiedzieć, czy ustawienie zasad "Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do anonimowych użytkowników" jest wyłączone. Jeśli nie wiesz, użyj Edytora obiektów zasad grupy, aby określić stan "Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych". W tym celu wykonaj następujące kroki:

  1. Kliknij przycisk Start, wybierz polecenie Uruchom, wpisz ciąg gpedit.msc, a następnie kliknij przycisk OK.

  2. Rozwiń następujące foldery:

    Zasady komputera lokalnego
    Konfiguracja komputera
    Ustawienia systemu Windows
    Ustawienia zabezpieczeń
    Zasady lokalne

  3. Kliknij pozycję Opcje zabezpieczeń, a następnie kliknij pozycję Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych w okienku po prawej stronie.

  4. Należy pamiętać, że wartość w kolumnie Ustawienie zabezpieczeń jest wyłączona lub włączona.

Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

  2. Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.

  3. Kliknij kartę Członkowie .

  4. Jeśli dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do anonimowych użytkowników ustawienie zasad jest wyłączone, upewnij się, że grupa Wszyscy, Anonimowy logowanie znajduje się na liście Członkowie. Jeśli ustawienie zasad "Dostęp sieciowy: Zezwalaj wszystkim na dostęp do użytkowników anonimowych" jest włączone, upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .

  5. Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, a następnie naciśnij ENTER.

Metoda 5: Weryfikowanie łączności za pośrednictwem urządzeń sieciowych, takich jak zapory, przełączniki lub routery

Jeśli otrzymano komunikaty o błędach podobne do następującego komunikatu o błędzie i sprawdzono, że pliki LMHOST są poprawne, problem może być spowodowany przez zaporę, router lub przełącznik, który zablokował porty między kontrolerami domeny:

Nie można skontaktować się z kontrolerem domeny

Aby rozwiązać problemy z urządzeniami sieciowymi, użyj skanera portów wiersza polecenia PortQry w wersji 2.0, aby przetestować porty między kontrolerami domeny.

Aby uzyskać więcej informacji na temat usługi PortQry w wersji 2, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

832919 Nowe funkcje i funkcje w usłudze PortQry w wersji 2.0

Aby uzyskać więcej informacji na temat konfigurowania portów, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

179442 Jak skonfigurować zaporę sieciową dla domen i relacji zaufania

Metoda szósta: Zbieranie dodatkowych informacji, które pomogą rozwiązać problem

Jeśli poprzednie metody nie pomogły rozwiązać problemu, zbierz następujące dodatkowe informacje, aby ułatwić rozwiązanie problemu:

  • Włącz rejestrowanie netlogon na obu kontrolerach domeny. Aby uzyskać więcej informacji na temat sposobu ukończenia rejestrowania netlogon, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 109626 Włączanie rejestrowania debugowania dla usługi logowania net

  • Przechwyć ślad na obu kontrolerach domeny w tym samym czasie, gdy występuje problem.

Więcej informacji

Poniższa lista obiektów zasad grupy (GPO) zawiera lokalizację odpowiedniego wpisu rejestru i zasady grupy w odpowiednich systemach operacyjnych:

  • Obiekt zasad grupy LimitAnonymous:

    • Lokalizacja rejestru Systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\ Opcje zabezpieczeń Dodatkowe ograniczenia dla połączeń anonimowych
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Dostęp sieciowy opcji zabezpieczeń: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
  • Obiekt zasad grupy RestrictAnonymousSAM:

    • Lokalizacja rejestru systemu Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń Opcje zabezpieczeń Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
  • Obiekt zasad grupy WszyscyIncludesAnonymous:

    • Lokalizacja rejestru systemu Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Dostęp sieciowy opcji zabezpieczeń: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych
  • Obiekt zasad grupy zgodności lm:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: poziom uwierzytelniania programu LAN Manager

    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Zabezpieczenia: poziom uwierzytelniania programu LAN Manager

  • Obiekt zasad grupy EnableSecuritySignature (klient):

    • Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń \Opcje zabezpieczeń: Podpisuj cyfrowo komunikację klienta (jeśli jest to możliwe)
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: Podpisuj cyfrowo komunikację (jeśli serwer zgadza się)
  • Obiekt zasad grupy RequireSecuritySignature (klient):

    • Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: Podpisuj cyfrowo komunikację klienta (zawsze)
    • Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: Podpisuj cyfrowo komunikację (zawsze)
  • Obiekt zasad grupy EnableSecuritySignature (serwer):

    • Lokalizacja rejestru Systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (jeśli jest to możliwe)
    • Zasady grupy systemu Windows Server 2003: Serwer sieci Firmy Microsoft: podpisuj cyfrowo komunikację (jeśli klient zgadza się)
  • Obiekt zasad grupy RequireSecuritySignature (serwer):

    • Lokalizacja rejestru Systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację serwera (zawsze)
    • Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: Podpisuj cyfrowo komunikację (zawsze)
  • Obiekt zasad grupy RequireSignOrSeal:

    • Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: szyfruj cyfrowo lub podpisz dane bezpiecznego kanału (zawsze)
    • Zasady grupy systemu Windows Server2003: element członkowski domeny: szyfruj cyfrowo lub podpisz dane bezpiecznego kanału (zawsze)
  • Obiekt zasad grupy SealSecureChannel:

    • Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: szyfruj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: element członkowski domeny: Szyfruj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
  • Obiekt zasad grupy SignSecureChannel:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: członek domeny: podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
  • Obiekt zasad grupy RequireStrongKey:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji
    • Zasady grupy systemu Windows Server 2003: Element członkowski domeny: Wymagaj silnego klucza sesji (Windows 2000 lub nowszego)

Windows Server 2008

Na kontrolerze domeny z systemem Windows Server 2008 domyślne zachowanie algorytmów kryptograficznych dozwolonych zgodnych z ustawieniem zasad Systemu Windows NT 4.0 może spowodować problem. To ustawienie uniemożliwia zarówno systemom operacyjnym Windows, jak i klientom innych firm używanie słabych algorytmów kryptograficznych w celu ustanowienia kanałów zabezpieczeń NETLOGON na kontrolerach domeny opartych na systemie Windows Server 2008.

Informacje

Aby uzyskać więcej informacji, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:

823659 niezgodności klienta, usługi i programu, które mogą wystąpić podczas modyfikowania ustawień zabezpieczeń i przypisań praw użytkownika