Nie można ustanowić zaufania między domeną systemu Windows NT a domeną usługi Active Directory lub nie działa zgodnie z oczekiwaniami
W tym artykule opisano problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 a domeną opartą na usłudze Active Directory.
Oryginalny numer KB: 889030
Symptomy
Jeśli spróbujesz skonfigurować relację zaufania między domeną opartą na systemie Microsoft Windows NT 4.0 a domeną opartą na usłudze Active Directory, może wystąpić jeden z następujących objawów:
- Zaufanie nie zostało ustanowione.
- Zaufanie jest ustanawiane, ale zaufanie nie działa zgodnie z oczekiwaniami.
Ponadto może zostać wyświetlony dowolny z następujących komunikatów o błędach:
Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Konto nie ma autoryzacji do logowania się z tej stacji.
Odmowa dostępu.
Nie można skontaktować się z kontrolerem domeny.
Niepowodzenie logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.
W przypadku używania selektora obiektów w usłudze Active Directory Użytkownicy i komputery do dodawania użytkowników z domeny NT 4.0 do domeny usługi Active Directory może zostać wyświetlony następujący komunikat o błędzie:
Brak elementów zgodnych z bieżącym wyszukiwaniem. Sprawdź parametry wyszukiwania i spróbuj ponownie.
Przyczyna
Ten problem występuje z powodu problemu z konfiguracją w jednym z następujących obszarów:
- Rozpoznawanie nazw
- Ustawienia zabezpieczeń
- Prawa użytkownika
- Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003
Aby poprawnie zidentyfikować przyczynę problemu, należy rozwiązać problem z konfiguracją zaufania.
Rozwiązanie
Jeśli podczas korzystania z selektora obiektów w usłudze Użytkownicy i komputery usługi Active Directory zostanie wyświetlony komunikat o błędzie "Brak elementów zgodnych z bieżącym wyszukiwaniem", upewnij się, że kontrolery domeny w domenie NT 4.0 uwzględniają wszystkich użytkowników na tym komputerze z prawa dostępu do tego komputera. W tym scenariuszu selektor obiektów próbuje połączyć się anonimowo w relacji zaufania. Aby zweryfikować te ustawienia, wykonaj kroki opisane w sekcji "Metoda trzecia: weryfikowanie praw użytkownika".
Aby rozwiązać problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i usługą Active Directory, należy sprawdzić poprawną konfigurację następujących obszarów:
- Rozpoznawanie nazw
- Ustawienia zabezpieczeń
- Prawa użytkownika
- Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003
W tym celu użyj następujących metod.
Metoda pierwsza: Weryfikowanie poprawnej konfiguracji rozpoznawania nazw
Krok 1. Tworzenie pliku LMHOSTS
Utwórz plik LMHOSTS na podstawowych kontrolerach domeny, aby zapewnić możliwość rozpoznawania nazw między domenami. Plik LMHOSTS to plik tekstowy, który można edytować za pomocą dowolnego edytora tekstów, takiego jak Notatnik. Plik LMHOSTS na każdym kontrolerze domeny musi zawierać adres TCP/IP, nazwę domeny i wpis \0x1b innego kontrolera domeny.
Po utworzeniu pliku LMHOSTS wykonaj następujące kroki:
Zmodyfikuj plik tak, aby zawiera tekst podobny do następującego tekstu:
1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
2.2.2.2 "<2000_Domain> \0x1b" #PREUwaga
Dla wpisu \0x1b musi istnieć łącznie 20 znaków i spacji między cudzysłowami (" "). Dodaj spacje po nazwie domeny, aby używać 15 znaków. 16. znak to ukośnik odwrotny, po którym następuje wartość "0x1b", co daje łącznie 20 znaków.
Po zakończeniu zmian w pliku LMHOSTS zapisz plik w folderze %SystemRoot% \System32\Drivers\Etc na kontrolerach domeny. Aby uzyskać więcej informacji na temat pliku LMHOSTS, wyświetl przykładowy plik Lmhosts.sam znajdujący się w folderze %SystemRoot% \System32\Drivers\Etc.
Krok 2. Ładowanie pliku LMHOSTS do pamięci podręcznej
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
W wierszu polecenia wpisz
NBTSTAT -R
, a następnie naciśnij klawisz ENTER. To polecenie ładuje plik LMHOSTS do pamięci podręcznej.W wierszu polecenia wpisz
NBTSTAT -c
, a następnie naciśnij klawisz ENTER. To polecenie wyświetla pamięć podręczną. Jeśli plik jest napisany poprawnie, pamięć podręczna jest podobna do następującej:NT4PDCName <03> UNIQUE 1.1.1.1 -1
NT4PDCName <00> UNIQUE 1.1.1.1 -1
NT4PDCName <20> UNIQUE 1.1.1.1 -1
NT4DomainName <1C> GROUP 1.1.1.1 -1
NT4DomainName <1B> UNIQUE 1.1.1.1 -1
W2KPDCName <03> UNIQUE 2.2.2.2 -1
W2KPDCName <00> UNIQUE 2.2.2.2 -1
W2KPDCName <20> UNIQUE 2.2.2.2 -1
W2KDomainName <1C> GROUP 2.2.2.2 -1
W2KDomainName <1B> UNIQUE 2.2.2.2 -1Jeśli plik nie wypełni poprawnie pamięci podręcznej, przejdź do następnego kroku.
Krok 3. Upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0
Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0. Aby to zrobić, wykonaj następujące kroki.
- Kliknij przycisk Start, wskaż pozycję Ustawienia, a następnie kliknij pozycję Panel sterowania.
- Kliknij dwukrotnie pozycję Sieci, kliknij kartę Protokoły , a następnie kliknij dwukrotnie protokół TCP/IP.
- Kliknij kartę ADRES WINS , a następnie kliknij, aby zaznaczyć pole wyboru Włącz wyszukiwanie LMHOSTS .
- Uruchom ponownie komputer.
- Powtórz kroki opisane w sekcji "Załaduj plik LMHOSTS do pamięci podręcznej".
- Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że plik LMHOSTS znajduje się w folderze %SystemRoot%\System32\Drivers\Etc i że plik jest poprawnie sformatowany.
Na przykład plik musi być sformatowany podobnie do następującego przykładowego formatowania:
1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b" #PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b" #PRE
Uwaga
W cudzysłowie (" ") dla nazwy domeny i wpisu \0x1b musi znajdować się łącznie 20 znaków i spacji.
Krok 4. Testowanie łączności przy użyciu polecenia Ping
Gdy plik poprawnie wypełni pamięć podręczną na każdym serwerze, użyj Ping
polecenia na każdym serwerze, aby przetestować łączność między serwerami. Aby to zrobić, wykonaj następujące kroki.
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
W wierszu polecenia wpisz
Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>
, a następnie naciśnij klawisz ENTER.Ping
Jeśli polecenie nie działa, upewnij się, że prawidłowe adresy IP są wymienione w pliku LMHOSTS.W wierszu polecenia wpisz
net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>
, a następnie naciśnij klawisz ENTER. Oczekuje się, że zostanie wyświetlony następujący komunikat o błędzie:Wystąpił błąd systemu 5. Odmowa dostępu
Jeśli polecenie net view zwraca następujący komunikat o błędzie lub inny powiązany komunikat o błędzie, upewnij się, że prawidłowe adresy IP są wymienione w pliku LMHOSTS:
Wystąpił błąd systemowy nr 53. Nie odnaleziono ścieżki sieciowej
Alternatywnie można skonfigurować usługę nazw internetowych systemu Windows (WINS) w celu włączenia funkcji rozpoznawania nazw bez użycia pliku LMHOSTS.
Metoda druga: Wyświetlanie ustawień zabezpieczeń
Zazwyczaj po stronie usługi Active Directory konfiguracji zaufania znajdują się ustawienia zabezpieczeń, które powodują problemy z łącznością. Jednak ustawienia zabezpieczeń muszą być sprawdzane po obu stronach zaufania.
Krok 1. Wyświetlanie ustawień zabezpieczeń w systemach Windows 2000 Server i Windows Server 2003
W systemach Windows 2000 Server i Windows Server 2003 ustawienia zabezpieczeń mogą być stosowane lub konfigurowane przez zasady grupy, zasady lokalne lub zastosowany szablon zabezpieczeń.
Aby uniknąć niedokładnych odczytów, należy użyć odpowiednich narzędzi, aby określić bieżące wartości ustawień zabezpieczeń.
Aby uzyskać dokładny odczyt bieżących ustawień zabezpieczeń, użyj następujących metod:
W systemie Windows 2000 Server użyj przystawki Konfiguracja zabezpieczeń i Analiza.
W systemie Windows Server 2003 użyj przystawki Konfiguracja zabezpieczeń i Analiza lub Przystawka Wynikowy zestaw zasad (RSoP).
Po określeniu bieżących ustawień należy zidentyfikować zasady, które stosują ustawienia. Na przykład należy określić zasady grupy w usłudze Active Directory lub ustawienia lokalne, które ustawiają zasady zabezpieczeń.
W systemie Windows Server 2003 zasady, które ustawiają wartości zabezpieczeń, są identyfikowane przez narzędzie RSoP. Jednak w systemie Windows 2000 należy wyświetlić zasady grupy i zasady lokalne, aby określić zasady zawierające ustawienia zabezpieczeń:
Aby wyświetlić ustawienia zasad grupy, należy włączyć dane wyjściowe rejestrowania dla klienta konfiguracji zabezpieczeń systemu Microsoft Windows 2000 podczas przetwarzania zasad grupy.
Wyświetl podgląd zdarzeń logowania aplikacji i znajdź identyfikator zdarzenia 1000 i identyfikator zdarzenia 1202.
W poniższych trzech sekcjach zidentyfikowano system operacyjny i wymieniono ustawienia zabezpieczeń, które należy sprawdzić dla systemu operacyjnego, w informacjach zebranych przez Ciebie:
Windows 2000
Upewnij się, że następujące ustawienia są skonfigurowane w sposób pokazany.
Restrictanonymous:
Dodatkowe ograniczenia dotyczące połączeń anonimowych |
"Brak. Polegaj na uprawnieniach domyślnych" |
---|
Zgodność LM:
Poziom uwierzytelniania programu LAN Manager | "Wyślij tylko odpowiedź NTLM" |
---|
Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:
Podpisz cyfrowo komunikację klienta (zawsze) | WYŁĄCZONE |
---|---|
Podpisz cyfrowo komunikację z klientem (jeśli jest to możliwe) | WŁĄCZONE |
Podpisywanie cyfrowo komunikacji z serwerem (zawsze) | WYŁĄCZONE |
Podpisz cyfrowo komunikację z serwerem (jeśli jest to możliwe) | WŁĄCZONE |
Bezpieczny kanał: szyfrowanie cyfrowe lub podpisywanie danych bezpiecznego kanału (zawsze) | WYŁĄCZONE |
Bezpieczny kanał: cyfrowo szyfruj dane bezpiecznego kanału (jeśli jest to możliwe) | WYŁĄCZONE |
Bezpieczny kanał: cyfrowo podpisuj dane bezpiecznego kanału (jeśli jest to możliwe) | WYŁĄCZONE |
Bezpieczny kanał: wymagaj silnego klucza sesji (windows 2000 lub nowszego) | WYŁĄCZONE |
Windows Server 2003
Upewnij się, że następujące ustawienia są skonfigurowane w sposób pokazany.
RestrictAnonymous i RestrictAnonymousSam:
Dostęp do sieci: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw | WŁĄCZONE |
---|---|
Dostęp do sieci: nie zezwalaj na anonimowe wyliczanie kont SAM | WYŁĄCZONE |
Dostęp do sieci: nie zezwalaj na anonimowe wyliczanie kont i udziałów SAM | WYŁĄCZONE |
Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych | WŁĄCZONE |
Dostęp do sieci: dostęp do nazwanych potoków można uzyskać anonimowo | WŁĄCZONE |
Dostęp do sieci: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów | WYŁĄCZONE |
Uwaga
Domyślnie wartość ustawienia Dostęp do sieci: Zezwalaj na anonimowe tłumaczenie identyfikatora SID/nazwy jest wyłączona w systemie Windows Server 2008.
Zgodność LM:
Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager | "Wyślij tylko odpowiedź NTLM" |
---|
Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:
Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) | WYŁĄCZONE |
---|---|
Klient sieci firmy Microsoft: podpisuj cyfrowo komunikację (jeśli serwer wyrazi na to zgodę) | WŁĄCZONE |
Serwer sieci firmy Microsoft: podpisuj cyfrowo komunikację (zawsze) | WYŁĄCZONE |
Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli klient wyrazi na to zgodę) | WŁĄCZONE |
Członek domeny: szyfrowanie cyfrowe lub podpisywanie danych bezpiecznego kanału (zawsze) | WYŁĄCZONE |
Członek domeny: cyfrowo szyfruj dane bezpiecznego kanału (jeśli jest to możliwe) | WŁĄCZONE |
Członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) | WŁĄCZONE |
Członek domeny: wymagaj silnego klucza sesji (windows 2000 lub nowszego) | WYŁĄCZONE |
Po prawidłowym skonfigurowaniu ustawień należy ponownie uruchomić komputer. Ustawienia zabezpieczeń nie są wymuszane do czasu ponownego uruchomienia komputera.
Po ponownym uruchomieniu komputera poczekaj 10 minut, aby upewnić się, że zastosowano wszystkie zasady zabezpieczeń i skonfigurowano obowiązujące ustawienia. Zalecamy odczekanie 10 minut, ponieważ aktualizacje zasad usługi Active Directory są wykonywane co 5 minut na kontrolerze domeny, a aktualizacja może zmienić wartości ustawień zabezpieczeń. Po 10 minutach użyj narzędzia Security Configuration and Analysis lub innego narzędzia do zbadania ustawień zabezpieczeń w systemach Windows 2000 i Windows Server 2003.
Windows NT 4.0
Ważna
W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 322756 Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows
W systemie Windows NT 4.0 bieżące ustawienia zabezpieczeń muszą zostać zweryfikowane za pomocą narzędzia Regedt32 w celu wyświetlenia rejestru. Aby to zrobić, wykonaj następujące kroki.
Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedt32, a następnie kliknij przycisk OK.
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RestrictAnonymous:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu Zgodność LM:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu EnableSecuritySignature (serwer):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSecuritySignature (serwer):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSignOrSeal:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SealSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SignSecureChannel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireStrongKey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Metoda trzecia: Weryfikowanie praw użytkownika
Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows 2000, wykonaj następujące kroki:
- Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
- Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
- W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
- Kliknij, aby zaznaczyć pole wyboru Ustawienia zasad lokalnych obok grupy Wszyscy na liście Przypisane do , a następnie kliknij przycisk OK.
- Kliknij dwukrotnie odmowę dostępu do tego komputera z sieci.
- Sprawdź, czy na liście Przypisane do nie ma żadnych grup zasad, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.
- Kliknij przycisk OK, a następnie zamknij pozycję Zasady zabezpieczeń lokalnych.
Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows Server 2003, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń kontrolera domeny.
Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
Upewnij się, że grupa Wszyscy znajduje się na liście Dostęp do tego komputera z listy sieci .
Jeśli grupy Wszyscy nie ma na liście, wykonaj następujące kroki:
- Kliknij pozycję Dodaj użytkownika lub grupę.
- W polu Nazwy użytkowników i grup wpisz Wszyscy, a następnie kliknij przycisk OK.
Kliknij dwukrotnie odmowę dostępu do tego komputera z sieci.
Sprawdź, czy na liście sieci nie ma żadnych grup zasad na liście Odmowa dostępu do tego komputera , a następnie kliknij przycisk OK. Na przykład upewnij się, że nie ma listy Wszyscy, Uwierzytelnieni użytkownicy i inne grupy.
Kliknij przycisk OK, a następnie zamknij zasady zabezpieczeń kontrolera domeny.
Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows NT Server 4.0, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Menedżer użytkowników dla domen.
W menu Zasady kliknij pozycję Prawa użytkownika.
Na liście Po prawej stronie kliknij pozycję Uzyskaj dostęp do tego komputera z sieci.
W polu Udziel do upewnij się, że grupa Wszyscy została dodana.
Jeśli grupa Wszyscy nie została dodana, wykonaj następujące kroki:
- Kliknij pozycję Dodaj.
- Na liście Nazwy kliknij pozycję Wszyscy, kliknij pozycję Dodaj, a następnie kliknij przycisk OK.
Kliknij przycisk OK, a następnie zamknij menedżera użytkowników.
Metoda czwarta: Weryfikowanie członkostwa w grupie
Jeśli relacja zaufania jest skonfigurowana między domenami, ale nie można dodać grup użytkowników zasad z jednej domeny do drugiej, ponieważ okno dialogowe nie lokalizuje innych obiektów domeny, grupa "Dostęp zgodny z systemem Przed windowsem 2000" może nie mieć prawidłowego członkostwa.
Na kontrolerach domeny opartych na systemie Windows 2000 i kontrolerach domeny opartych na systemie Windows Server 2003 upewnij się, że wymagane członkostwa w grupach są skonfigurowane.
Aby to zrobić na kontrolerach domeny opartych na systemie Windows 2000, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.
Kliknij kartę Członkowie , a następnie upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .
Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:
- Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
- W wierszu polecenia wpisz
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
, a następnie naciśnij klawisz ENTER.
Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, musisz wiedzieć, czy ustawienie zasad "Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych" jest wyłączone. Jeśli nie wiesz, użyj edytora obiektów zasad grupy, aby określić stan ustawienia zasad "Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych". Aby to zrobić, wykonaj następujące kroki.
Kliknij przycisk Start, wybierz polecenie Uruchom, wpisz ciąg gpedit.msc, a następnie kliknij przycisk OK.
Rozwiń następujące foldery:
Zasady komputera lokalnego
Konfiguracja komputera
Ustawienia systemu Windows
Ustawienia zabezpieczeń
Zasady lokalneKliknij pozycję Opcje zabezpieczeń, a następnie kliknij pozycję Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych w okienku po prawej stronie.
Należy pamiętać, że wartość w kolumnie Ustawienie zabezpieczeń to Wyłączone lub Włączone.
Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, wykonaj następujące kroki:
Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.
Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.
Kliknij kartę Członkowie .
Jeśli ustawienie zasad Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych jest wyłączone, upewnij się, że grupa Wszyscy, Logowanie anonimowe znajduje się na liście Członkowie . Jeśli ustawienie zasad "Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych" jest włączone, upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .
Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:
- Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
- W wierszu polecenia wpisz
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add
, a następnie naciśnij klawisz ENTER.
Metoda piąta: Weryfikowanie łączności za pośrednictwem urządzeń sieciowych, takich jak zapory, przełączniki lub routery
Jeśli odebrano komunikaty o błędach podobne do następującego komunikatu o błędzie i sprawdzono, że pliki LMHOST są poprawne, problem może być spowodowany przez zaporę, router lub przełącznik, który zablokował porty między kontrolerami domeny:
Nie można skontaktować się z kontrolerem domeny
Aby rozwiązać problemy z urządzeniami sieciowymi, użyj skanera portów wiersza polecenia PortQry w wersji 2.0, aby przetestować porty między kontrolerami domeny.
Aby uzyskać więcej informacji na temat programu PortQry w wersji 2, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
832919 Nowe funkcje w programie PortQry w wersji 2.0
Aby uzyskać więcej informacji na temat sposobu konfigurowania portów, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:
179442 Jak skonfigurować zaporę dla domen i relacji zaufania
Metoda szósta: Zbieranie dodatkowych informacji ułatwiających rozwiązanie problemu
Jeśli poprzednie metody nie pomogły w rozwiązaniu problemu, zbierz następujące dodatkowe informacje, które pomogą Ci rozwiązać przyczynę problemu:
Włącz rejestrowanie netlogon na obu kontrolerach domeny. Aby uzyskać więcej informacji na temat wykonywania rejestrowania netlogon, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 109626 Włączanie rejestrowania debugowania dla usługi Net Logon
Przechwyć ślad na obu kontrolerach domeny w tym samym czasie, w którym występuje problem.
Więcej informacji
Poniższa lista obiektów zasad grupy (GPO) zawiera lokalizację odpowiedniego wpisu rejestru i zasad grupy w odpowiednich systemach operacyjnych:
Obiekt zasad grupy RestrictAnonymous:
- Lokalizacja rejestru systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\ Opcje zabezpieczeń Dodatkowe ograniczenia dotyczące połączeń anonimowych
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń Dostęp do sieci: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
- Lokalizacja rejestru systemu Windows NT:
Obiekt zasad grupy RestrictAnonymoussAM:
- Lokalizacja rejestru systemu Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń Opcje zabezpieczeń Dostęp do sieci: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów
- Lokalizacja rejestru systemu Windows Server 2003:
Obiekt zasad grupy EveryoneIncludesAnonymous:
- Lokalizacja rejestru systemu Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych
- Lokalizacja rejestru systemu Windows Server 2003:
Obiekt zasad grupy zgodności LM:
Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel
Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: poziom uwierzytelniania programu LAN Manager
Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager
Obiekt zasad grupy EnableSecuritySignature (klient):
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń \Opcje zabezpieczeń: Podpisz cyfrowo komunikację klienta (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci firmy Microsoft: Podpisz cyfrowo komunikację (jeśli serwer wyrazi na to zgodę)
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
Obiekt zasad grupy RequireSecuritySignature (klient):
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
- Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: Podpisz cyfrowo komunikację klienta (zawsze)
- Windows Server 2003: Computer Configuration\Windows Settings\Security Settings\Security Options\Microsoft network client: Digitally sign communications (always)
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
Obiekt zasad grupy EnableSecuritySignature (serwer):
- Lokalizacja rejestru systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
- Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: podpisuj cyfrowo komunikację (jeśli klient wyrazi na to zgodę)
- Lokalizacja rejestru systemu Windows NT:
Obiekt zasad grupy RequireSecuritySignature (serwer):
- Lokalizacja rejestru systemu Windows NT:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
- Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
- Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (zawsze)
- Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: podpisywanie cyfrowo komunikacji (zawsze)
- Lokalizacja rejestru systemu Windows NT:
Obiekt zasad grupy RequireSignOrSeal:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: cyfrowo szyfruj lub podpisuj dane bezpiecznego kanału (zawsze)
- Zasady grupy systemu Windows Server2003: członek domeny: cyfrowo szyfruj lub podpisuj dane bezpiecznego kanału (zawsze)
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003:
Obiekt zasad grupy SealSecureChannel:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: członek domeny: cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe)
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003:
Obiekt zasad grupy SignSecureChannel:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: podpisuj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Zasady grupy systemu Windows Server 2003: członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
Obiekt zasad grupy RequireStrongKey:
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
- Zasady grupy systemu Windows 2000: Bezpieczny kanał: wymagaj silnego (windows 2000 lub nowszego) klucza sesji
- Zasady grupy systemu Windows Server 2003: Członek domeny: wymagaj silnego (windows 2000 lub nowszego) klucza sesji
- Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003:
Windows Server 2008
Na kontrolerze domeny z systemem Windows Server 2008 może powodować problem domyślne zachowanie algorytmów zezwalania na kryptografię zgodnych z ustawieniem zasad systemu Windows NT 4.0. To ustawienie uniemożliwia zarówno systemom operacyjnym Windows, jak i klientom innych firm używanie słabych algorytmów kryptograficznych do ustanawiania kanałów zabezpieczeń NETLOGON na kontrolerach domeny opartych na systemie Windows Server 2008.
Informacje
Aby uzyskać więcej informacji, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:
823659 niezgodności klienta, usługi i programu, które mogą wystąpić podczas modyfikowania ustawień zabezpieczeń i przypisań praw użytkownika