Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i domeną opartą na usłudze Active Directory.
Oryginalny numer KB: 889030
Symptomy
Jeśli spróbujesz skonfigurować relację zaufania między domeną opartą na systemie Microsoft Windows NT 4.0 i domeną opartą na usłudze Active Directory, może wystąpić jeden z następujących objawów:
- Zaufanie nie zostało ustanowione.
- Relacja zaufania jest ustanawiana, ale relacja zaufania nie działa zgodnie z oczekiwaniami.
Ponadto może zostać wyświetlony dowolny z następujących komunikatów o błędach:
Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Konto nie ma autoryzacji do logowania się z tej stacji.
Odmowa dostępu.
Nie można skontaktować się z kontrolerem domeny.
Niepowodzenie logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.
W przypadku używania selektora obiektów w Użytkownicy i komputery usługi Active Directory do dodawania użytkowników z domeny NT 4.0 do domeny usługi Active Directory może zostać wyświetlony następujący komunikat o błędzie:
Brak elementów pasuje do bieżącego wyszukiwania. Sprawdź parametry wyszukiwania i spróbuj ponownie.
Przyczyna
Ten problem występuje z powodu problemu z konfiguracją w jednym z następujących obszarów:
- Rozpoznawanie nazw
- Ustawienia zabezpieczeń
- Prawa użytkownika
- Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003
Aby poprawnie zidentyfikować przyczynę problemu, należy rozwiązać problem z konfiguracją zaufania.
Rozwiązanie
Jeśli podczas korzystania z selektora obiektów w Użytkownicy i komputery usługi Active Directory zostanie wyświetlony komunikat o błędzie "Brak elementów pasujących do bieżącego wyszukiwania", upewnij się, że kontrolery domeny w domenie NT 4.0 obejmują wszyscy w obszarze Dostęp do tego komputera z prawej strony użytkownika sieciowego. W tym scenariuszu selektor obiektów próbuje połączyć się anonimowo między relacjami zaufania. Aby zweryfikować te ustawienia, wykonaj kroki opisane w sekcji "Metoda trzy: Weryfikowanie praw użytkownika".
Aby rozwiązać problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i usługą Active Directory, należy zweryfikować poprawną konfigurację następujących obszarów:
- Rozpoznawanie nazw
- Ustawienia zabezpieczeń
- Prawa użytkownika
- Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003
W tym celu skorzystaj z poniższych metod.
Metoda pierwsza: Sprawdź poprawną konfigurację rozpoznawania nazw
Krok 1. Tworzenie pliku LMHOSTS
Utwórz plik LMHOSTS na podstawowych kontrolerach domeny, aby zapewnić możliwość rozpoznawania nazw między domenami. Plik LMHOSTS to plik tekstowy, który można edytować za pomocą dowolnego edytora tekstów, takiego jak Notatnik. Plik LMHOSTS na każdym kontrolerze domeny musi zawierać adres TCP/IP, nazwę domeny i wpis \0x1b innego kontrolera domeny.
Po utworzeniu pliku LMHOSTS wykonaj następujące kroki:
Zmodyfikuj plik tak, aby zawierał tekst podobny do następującego tekstu:
1.1.1.1 <> NT_4_PDC_Name #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b"#PREUwaga 16.
Musi istnieć łącznie 20 znaków i spacji między znakami cudzysłowu (" ") dla wpisu \0x1b. Dodaj spacje po nazwie domeny, aby używać 15 znaków. 16. znak to ukośnik odwrotny, po którym następuje wartość "0x1b", a w sumie 20 znaków.
Po zakończeniu zmian w pliku LMHOSTS zapisz plik w folderze %SystemRoot% \System32\Drivers\Etc na kontrolerach domeny. Aby uzyskać więcej informacji na temat pliku LMHOSTS, zobacz przykładowy plik Lmhosts.sam, który znajduje się w folderze %SystemRoot% \System32\Drivers\Etc.
Krok 2. Ładowanie pliku LMHOSTS do pamięci podręcznej
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
W wierszu polecenia wpisz
NBTSTAT -R
, a następnie naciśnij ENTER. To polecenie ładuje plik LMHOSTS do pamięci podręcznej.W wierszu polecenia wpisz
NBTSTAT -c
, a następnie naciśnij ENTER. To polecenie wyświetla pamięć podręczną. Jeśli plik jest poprawnie zapisany, pamięć podręczna jest podobna do następującej:NT4PDCName <03> UNIQUE 1.1.1.1 -1
NT4PDCName <00> UNIKATOWY 1.1.1.1 -1
NT4PDCName <20> UNIQUE 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> UNIQUE 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> UNIQUE 2.2.2.2 -1Jeśli plik nie wypełni pamięci podręcznej poprawnie, przejdź do następnego kroku.
Krok 3. Upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0
Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0. W tym celu wykonaj następujące kroki:
- Kliknij przycisk Start, wskaż pozycję Ustawienia, a następnie kliknij przycisk Panel sterowania.
- Kliknij dwukrotnie pozycję Sieci, kliknij kartę Protokoły , a następnie kliknij dwukrotnie protokół TCP/IP.
- Kliknij kartę Adres WINS, a następnie kliknij, aby zaznaczyć pole wyboru Włącz wyszukiwanie LMHOSTS.
- Uruchom ponownie komputer.
- Powtórz kroki opisane w sekcji "Załaduj plik LMHOSTS do pamięci podręcznej".
- Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że plik LMHOSTS znajduje się w folderze %SystemRoot%\System32\Drivers\Etc i że plik jest poprawnie sformatowany.
Na przykład plik musi być sformatowany podobnie do następującego przykładowego formatowania:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE
Uwaga 16.
Musi istnieć łącznie 20 znaków i spacji wewnątrz cudzysłowów (" ") dla nazwy domeny i \0x1b wpisu.
Krok 4. Testowanie łączności przy użyciu polecenia Ping
Gdy plik poprawnie wypełnia pamięć podręczną na każdym serwerze, użyj Ping
polecenia na każdym serwerze, aby przetestować łączność między serwerami. W tym celu wykonaj następujące kroki:
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
W wierszu polecenia wpisz
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
, a następnie naciśnij ENTER.Ping
Jeśli polecenie nie działa, upewnij się, że poprawne adresy IP są wymienione w pliku LMHOSTS.W wierszu polecenia wpisz
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
, a następnie naciśnij ENTER. Oczekuje się, że zostanie wyświetlony następujący komunikat o błędzie:Wystąpił błąd systemowy 5. Odmowa dostępu
Jeśli polecenie net view zwraca następujący komunikat o błędzie lub inny powiązany komunikat o błędzie, upewnij się, że poprawne adresy IP są wymienione w pliku LMHOSTS:
Wystąpił błąd systemowy nr 53. Nie znaleziono ścieżki sieciowej
Alternatywnie można skonfigurować usługę nazw internetowych systemu Windows (WINS) w celu włączenia funkcji rozpoznawania nazw bez użycia pliku LMHOSTS.
Metoda druga: Wyświetlanie ustawień zabezpieczeń
Zazwyczaj po stronie usługi Active Directory konfiguracji zaufania są ustawienia zabezpieczeń, które powodują problemy z łącznością. Jednak ustawienia zabezpieczeń muszą być sprawdzane po obu stronach zaufania.
Krok 1. Wyświetlanie ustawień zabezpieczeń w systemach Windows 2000 Server i Windows Server 2003
W systemach Windows 2000 Server i Windows Server 2003 ustawienia zabezpieczeń mogą być stosowane lub konfigurowane przez zasady grupy, zasady lokalne lub zastosowany szablon zabezpieczeń.
Aby uniknąć niedokładnych odczytów, należy użyć odpowiednich narzędzi, aby określić bieżące wartości ustawień zabezpieczeń.
Aby uzyskać dokładne odczytywanie bieżących ustawień zabezpieczeń, użyj następujących metod:
W systemie Windows 2000 Server użyj przystawki Konfiguracja zabezpieczeń i analiza.
W systemie Windows Server 2003 użyj przystawki Konfiguracja zabezpieczeń i analiza lub przystawki Wynikowy zestaw zasad (RSoP).
Po określeniu bieżących ustawień należy zidentyfikować zasady, które stosują ustawienia. Na przykład należy określić zasady grupy w usłudze Active Directory lub ustawienia lokalne, które ustawiają zasady zabezpieczeń.
W systemie Windows Server 2003 zasady ustawiające wartości zabezpieczeń są identyfikowane przez narzędzie RSoP. Jednak w systemie Windows 2000 należy wyświetlić zasady grupy i zasady lokalne, aby określić zasady, które zawierają ustawienia zabezpieczeń:
Aby wyświetlić ustawienia zasad grupy, należy włączyć rejestrowanie danych wyjściowych klienta konfiguracji zabezpieczeń systemu Microsoft Windows 2000 podczas przetwarzania zasad grupy.
Wyświetl Podgląd zdarzeń logowania aplikacji i znajdź identyfikator zdarzenia 1000 i identyfikator zdarzenia 1202.
Poniższe trzy sekcje identyfikują system operacyjny i wyświetlają listę ustawień zabezpieczeń, które należy zweryfikować dla systemu operacyjnego w zebranych informacjach:
Windows 2000
Upewnij się, że następujące ustawienia zostały skonfigurowane, jak pokazano poniżej.
Ograniczanonym:
Dodatkowe ograniczenia dotyczące połączeń anonimowych |
"Brak. Polegaj na uprawnieniach domyślnych" |
---|
Zgodność LM:
Poziom uwierzytelniania programu LAN Manager | "Wysyłaj tylko odpowiedź NTLM" |
---|
Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:
Podpisuj cyfrowo komunikację klienta (zawsze) | WYŁĄCZONO |
---|---|
Podpisuj cyfrowo komunikację klienta (jeśli jest to możliwe) | WŁĄCZONO |
Podpisuj cyfrowo komunikację z serwerem (zawsze) | WYŁĄCZONO |
Podpisuj cyfrowo komunikację z serwerem (jeśli jest to możliwe) | WŁĄCZONO |
Bezpieczny kanał: cyfrowo szyfruj lub podpisz dane bezpiecznego kanału (zawsze) | WYŁĄCZONO |
Bezpieczny kanał: szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) | WYŁĄCZONO |
Bezpieczny kanał: podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) | WYŁĄCZONO |
Bezpieczny kanał: wymagaj silnego klucza sesji (windows 2000 lub nowszego) | WYŁĄCZONO |
Windows Server 2003
Upewnij się, że następujące ustawienia zostały skonfigurowane, jak pokazano poniżej.
RestrictAnonymous i RestrictAnonymousSam:
Dostęp sieciowy: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw | WŁĄCZONO |
---|---|
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM | WYŁĄCZONO |
Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów | WYŁĄCZONO |
Dostęp sieciowy: zezwalaj na stosowanie uprawnień Wszyscy do anonimowych użytkowników | WŁĄCZONO |
Dostęp do sieci: dostęp do nazwanych potoków można uzyskać anonimowo | WŁĄCZONO |
Dostęp sieciowy: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów | WYŁĄCZONO |
Uwaga 16.
Domyślnie wartość dostępu do sieci: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw jest wyłączona w systemie Windows Server 2008.
Zgodność LM:
Zabezpieczenia sieci: poziom uwierzytelniania LAN Manager | "Wysyłaj tylko odpowiedź NTLM" |
---|
Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:
Klient sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) | WYŁĄCZONO |
---|---|
Klient sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą serwera) | WŁĄCZONO |
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (zawsze) | WYŁĄCZONO |
Serwer sieci Microsoft: podpisuj cyfrowo komunikację (za zgodą klienta) | WŁĄCZONO |
Członek domeny: szyfruj lub podpisuj cyfrowo dane bezpiecznego kanału — zawsze | WYŁĄCZONO |
Członek domeny: Szyfruj cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) | WŁĄCZONO |
Członek domeny: podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) | WŁĄCZONO |
Członek domeny: wymagaj silnego klucza sesji (system Windows 2000 lub nowszy) | WYŁĄCZONO |
Po poprawnym skonfigurowaniu ustawień należy ponownie uruchomić komputer. Ustawienia zabezpieczeń nie są wymuszane do momentu ponownego uruchomienia komputera.
Po ponownym uruchomieniu komputera poczekaj 10 minut, aby upewnić się, że wszystkie zasady zabezpieczeń są stosowane i są skonfigurowane obowiązujące ustawienia. Zalecamy odczekanie 10 minut, ponieważ aktualizacje zasad usługi Active Directory są wykonywane co 5 minut na kontrolerze domeny, a aktualizacja może zmienić wartości ustawień zabezpieczeń. Po 10 minutach użyj opcji Konfiguracja zabezpieczeń i analiza lub inne narzędzie, aby sprawdzić ustawienia zabezpieczeń w systemach Windows 2000 i Windows Server 2003.
Windows NT 4.0
Ważne
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 322756 Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows
W systemie Windows NT 4.0 bieżące ustawienia zabezpieczeń muszą zostać zweryfikowane przy użyciu narzędzia Regedt32, aby wyświetlić rejestr. W tym celu wykonaj następujące kroki:
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedt32, a następnie kliknij przycisk OK.
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu Zgodność LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu EnableSecuritySignature (serwer):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSecuritySignature (serwer):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Metoda trzecia: Weryfikowanie praw użytkownika
Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows 2000, wykonaj następujące kroki:
- Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
- Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
- W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
- Kliknij, aby zaznaczyć pole wyboru Ustawienie zasad lokalnych obok grupy Wszyscy na liście Przypisane do , a następnie kliknij przycisk OK.
- Kliknij dwukrotnie odmów dostępu do tego komputera z sieci.
- Sprawdź, czy na liście Przypisane do nie ma żadnych grup zasad, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.
- Kliknij przycisk OK, a następnie zamknij pozycję Zasady zabezpieczeń lokalnych.
Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows Server 2003, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń kontrolera domeny.
Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
Upewnij się, że grupa Wszyscy znajduje się na liście Dostęp do tego komputera z listy sieciowej .
Jeśli grupa Wszyscy nie znajduje się na liście, wykonaj następujące kroki:
- Kliknij pozycję Dodaj użytkownika lub grupę.
- W polu Nazwy użytkowników i grup wpisz Wszyscy, a następnie kliknij przycisk OK.
Kliknij dwukrotnie odmów dostępu do tego komputera z sieci.
Sprawdź, czy na liście sieciowej nie ma żadnych grup zasad odmowy dostępu do tego komputera, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.
Kliknij przycisk OK, a następnie zamknij zasady zabezpieczeń kontrolera domeny.
Aby sprawdzić wymagane prawa użytkownika na komputerze z systemem Windows NT Server 4.0, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż polecenie Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Menedżer użytkowników dla domen.
W menu Zasady kliknij pozycję Prawa użytkownika.
Na liście Po prawej stronie kliknij pozycję Uzyskaj dostęp do tego komputera z sieci.
W polu Udziel do upewnij się, że dodano grupę Wszyscy.
Jeśli grupa Wszyscy nie zostanie dodana, wykonaj następujące kroki:
- Kliknij przycisk Dodaj.
- Na liście Nazwy kliknij pozycję Wszyscy, kliknij przycisk Dodaj, a następnie kliknij przycisk OK.
Kliknij przycisk OK, a następnie zamknij Menedżera użytkowników.
Metoda czwarta: Weryfikowanie członkostwa w grupie
Jeśli relacja zaufania jest skonfigurowana między domenami, ale nie można dodać grup użytkowników zasady z jednej domeny do drugiej, ponieważ okno dialogowe nie lokalizuje innych obiektów domeny, grupa "Dostęp zgodny z systemem Windows 2000" może nie mieć poprawnego członkostwa.
Na kontrolerach domeny opartych na systemie Windows 2000 i kontrolerach domeny opartych na systemie Windows Server 2003 upewnij się, że wymagane członkostwa w grupach są skonfigurowane.
Aby to zrobić na kontrolerach domeny opartych na systemie Windows 2000, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.
Kliknij kartę Członkowie , a następnie upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .
Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:
- Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
- W wierszu polecenia wpisz
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
, a następnie naciśnij ENTER.
Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, musisz wiedzieć, czy ustawienie zasad "Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do anonimowych użytkowników" jest wyłączone. Jeśli nie wiesz, użyj Edytora obiektów zasad grupy, aby określić stan "Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych". W tym celu wykonaj następujące kroki:
Kliknij przycisk Start, wybierz polecenie Uruchom, wpisz ciąg gpedit.msc, a następnie kliknij przycisk OK.
Rozwiń następujące foldery:
Zasady komputera lokalnego
Konfiguracja komputera
Ustawienia systemu Windows
Ustawienia zabezpieczeń
Zasady lokalneKliknij pozycję Opcje zabezpieczeń, a następnie kliknij pozycję Dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych w okienku po prawej stronie.
Należy pamiętać, że wartość w kolumnie Ustawienie zabezpieczeń jest wyłączona lub włączona.
Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.
Kliknij kartę Członkowie .
Jeśli dostęp sieciowy: Zezwalaj wszystkim na stosowanie uprawnień do anonimowych użytkowników ustawienie zasad jest wyłączone, upewnij się, że grupa Wszyscy, Anonimowy logowanie znajduje się na liście Członkowie. Jeśli ustawienie zasad "Dostęp sieciowy: Zezwalaj wszystkim na dostęp do użytkowników anonimowych" jest włączone, upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .
Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:
- Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
- W wierszu polecenia wpisz
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
, a następnie naciśnij ENTER.
Metoda 5: Weryfikowanie łączności za pośrednictwem urządzeń sieciowych, takich jak zapory, przełączniki lub routery
Jeśli otrzymano komunikaty o błędach podobne do następującego komunikatu o błędzie i sprawdzono, że pliki LMHOST są poprawne, problem może być spowodowany przez zaporę, router lub przełącznik, który zablokował porty między kontrolerami domeny:
Nie można skontaktować się z kontrolerem domeny
Aby rozwiązać problemy z urządzeniami sieciowymi, użyj skanera portów wiersza polecenia PortQry w wersji 2.0, aby przetestować porty między kontrolerami domeny.
Aby uzyskać więcej informacji na temat usługi PortQry w wersji 2, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
832919 Nowe funkcje i funkcje w usłudze PortQry w wersji 2.0
Aby uzyskać więcej informacji na temat konfigurowania portów, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
179442 Jak skonfigurować zaporę sieciową dla domen i relacji zaufania
Metoda szósta: Zbieranie dodatkowych informacji, które pomogą rozwiązać problem
Jeśli poprzednie metody nie pomogły rozwiązać problemu, zbierz następujące dodatkowe informacje, aby ułatwić rozwiązanie problemu:
Włącz rejestrowanie netlogon na obu kontrolerach domeny. Aby uzyskać więcej informacji na temat sposobu ukończenia rejestrowania netlogon, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 109626 Włączanie rejestrowania debugowania dla usługi logowania net
Przechwyć ślad na obu kontrolerach domeny w tym samym czasie, gdy występuje problem.
Więcej informacji
Poniższa lista obiektów zasad grupy (GPO) zawiera lokalizację odpowiedniego wpisu rejestru i zasady grupy w odpowiednich systemach operacyjnych:
Obiekt zasad grupy LimitAnonymous:
- Lokalizacja rejestru Systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\ Opcje zabezpieczeń Dodatkowe ograniczenia dla połączeń anonimowych
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Dostęp sieciowy opcji zabezpieczeń: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
- Lokalizacja rejestru Systemu Windows NT:
Obiekt zasad grupy RestrictAnonymousSAM:
- Lokalizacja rejestru systemu Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń Opcje zabezpieczeń Dostęp sieciowy: nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
- Lokalizacja rejestru systemu Windows Server 2003:
Obiekt zasad grupy WszyscyIncludesAnonymous:
- Lokalizacja rejestru systemu Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Dostęp sieciowy opcji zabezpieczeń: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych
- Lokalizacja rejestru systemu Windows Server 2003:
Obiekt zasad grupy zgodności lm:
Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: poziom uwierzytelniania programu LAN Manager
Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Zabezpieczenia: poziom uwierzytelniania programu LAN Manager
Obiekt zasad grupy EnableSecuritySignature (klient):
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń \Opcje zabezpieczeń: Podpisuj cyfrowo komunikację klienta (jeśli jest to możliwe)
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: Podpisuj cyfrowo komunikację (jeśli serwer zgadza się)
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
Obiekt zasad grupy RequireSecuritySignature (klient):
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: Podpisuj cyfrowo komunikację klienta (zawsze)
- Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci Firmy Microsoft: Podpisuj cyfrowo komunikację (zawsze)
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
Obiekt zasad grupy EnableSecuritySignature (serwer):
- Lokalizacja rejestru Systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (jeśli jest to możliwe)
- Zasady grupy systemu Windows Server 2003: Serwer sieci Firmy Microsoft: podpisuj cyfrowo komunikację (jeśli klient zgadza się)
- Lokalizacja rejestru Systemu Windows NT:
Obiekt zasad grupy RequireSecuritySignature (serwer):
- Lokalizacja rejestru Systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Lokalizacja rejestru systemów Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację serwera (zawsze)
- Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: Podpisuj cyfrowo komunikację (zawsze)
- Lokalizacja rejestru Systemu Windows NT:
Obiekt zasad grupy RequireSignOrSeal:
- Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: szyfruj cyfrowo lub podpisz dane bezpiecznego kanału (zawsze)
- Zasady grupy systemu Windows Server2003: element członkowski domeny: szyfruj cyfrowo lub podpisz dane bezpiecznego kanału (zawsze)
- Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003:
Obiekt zasad grupy SealSecureChannel:
- Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: szyfruj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: element członkowski domeny: Szyfruj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Lokalizacja rejestru windows NT, Windows 2000 i Windows Server2003:
Obiekt zasad grupy SignSecureChannel:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: członek domeny: podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
Obiekt zasad grupy RequireStrongKey:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: Wymagaj silnego (Windows 2000 lub nowszego) klucza sesji
- Zasady grupy systemu Windows Server 2003: Element członkowski domeny: Wymagaj silnego klucza sesji (Windows 2000 lub nowszego)
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
Windows Server 2008
Na kontrolerze domeny z systemem Windows Server 2008 domyślne zachowanie algorytmów kryptograficznych dozwolonych zgodnych z ustawieniem zasad Systemu Windows NT 4.0 może spowodować problem. To ustawienie uniemożliwia zarówno systemom operacyjnym Windows, jak i klientom innych firm używanie słabych algorytmów kryptograficznych w celu ustanowienia kanałów zabezpieczeń NETLOGON na kontrolerach domeny opartych na systemie Windows Server 2008.
Informacje
Aby uzyskać więcej informacji, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:
823659 niezgodności klienta, usługi i programu, które mogą wystąpić podczas modyfikowania ustawień zabezpieczeń i przypisań praw użytkownika