Udostępnij za pośrednictwem

Nie można ustanowić zaufania między domeną systemu Windows NT a domeną usługi Active Directory lub nie działa zgodnie z oczekiwaniami

  • Artykuł

W tym artykule opisano problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 a domeną opartą na usłudze Active Directory.

Oryginalny numer KB: 889030

Symptomy

Jeśli spróbujesz skonfigurować relację zaufania między domeną opartą na systemie Microsoft Windows NT 4.0 a domeną opartą na usłudze Active Directory, może wystąpić jeden z następujących objawów:

  • Zaufanie nie zostało ustanowione.
  • Zaufanie jest ustanawiane, ale zaufanie nie działa zgodnie z oczekiwaniami.

Ponadto może zostać wyświetlony dowolny z następujących komunikatów o błędach:

Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Konto nie ma autoryzacji do logowania się z tej stacji.

Odmowa dostępu.

Nie można skontaktować się z kontrolerem domeny.

Niepowodzenie logowania: nieznana nazwa użytkownika lub nieprawidłowe hasło.

W przypadku używania selektora obiektów w usłudze Active Directory Użytkownicy i komputery do dodawania użytkowników z domeny NT 4.0 do domeny usługi Active Directory może zostać wyświetlony następujący komunikat o błędzie:

Brak elementów zgodnych z bieżącym wyszukiwaniem. Sprawdź parametry wyszukiwania i spróbuj ponownie.

Przyczyna

Ten problem występuje z powodu problemu z konfiguracją w jednym z następujących obszarów:

  • Rozpoznawanie nazw
  • Ustawienia zabezpieczeń
  • Prawa użytkownika
  • Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003

Aby poprawnie zidentyfikować przyczynę problemu, należy rozwiązać problem z konfiguracją zaufania.

Rozwiązanie

Jeśli podczas korzystania z selektora obiektów w usłudze Użytkownicy i komputery usługi Active Directory zostanie wyświetlony komunikat o błędzie "Brak elementów zgodnych z bieżącym wyszukiwaniem", upewnij się, że kontrolery domeny w domenie NT 4.0 uwzględniają wszystkich użytkowników na tym komputerze z prawa dostępu do tego komputera. W tym scenariuszu selektor obiektów próbuje połączyć się anonimowo w relacji zaufania. Aby zweryfikować te ustawienia, wykonaj kroki opisane w sekcji "Metoda trzecia: weryfikowanie praw użytkownika".

Aby rozwiązać problemy z konfiguracją zaufania między domeną opartą na systemie Windows NT 4.0 i usługą Active Directory, należy sprawdzić poprawną konfigurację następujących obszarów:

  • Rozpoznawanie nazw
  • Ustawienia zabezpieczeń
  • Prawa użytkownika
  • Członkostwo w grupie dla systemu Microsoft Windows 2000 lub Microsoft Windows Server 2003

W tym celu użyj następujących metod.

Metoda pierwsza: Weryfikowanie poprawnej konfiguracji rozpoznawania nazw

Krok 1. Tworzenie pliku LMHOSTS

Utwórz plik LMHOSTS na podstawowych kontrolerach domeny, aby zapewnić możliwość rozpoznawania nazw między domenami. Plik LMHOSTS to plik tekstowy, który można edytować za pomocą dowolnego edytora tekstów, takiego jak Notatnik. Plik LMHOSTS na każdym kontrolerze domeny musi zawierać adres TCP/IP, nazwę domeny i wpis \0x1b innego kontrolera domeny.

Po utworzeniu pliku LMHOSTS wykonaj następujące kroki:

  1. Zmodyfikuj plik tak, aby zawiera tekst podobny do następującego tekstu:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b" #PRE

    Uwaga

    Dla wpisu \0x1b musi istnieć łącznie 20 znaków i spacji między cudzysłowami (" "). Dodaj spacje po nazwie domeny, aby używać 15 znaków. 16. znak to ukośnik odwrotny, po którym następuje wartość "0x1b", co daje łącznie 20 znaków.

  2. Po zakończeniu zmian w pliku LMHOSTS zapisz plik w folderze %SystemRoot% \System32\Drivers\Etc na kontrolerach domeny. Aby uzyskać więcej informacji na temat pliku LMHOSTS, wyświetl przykładowy plik Lmhosts.sam znajdujący się w folderze %SystemRoot% \System32\Drivers\Etc.

Krok 2. Ładowanie pliku LMHOSTS do pamięci podręcznej

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz NBTSTAT -R, a następnie naciśnij klawisz ENTER. To polecenie ładuje plik LMHOSTS do pamięci podręcznej.

  3. W wierszu polecenia wpisz NBTSTAT -c, a następnie naciśnij klawisz ENTER. To polecenie wyświetla pamięć podręczną. Jeśli plik jest napisany poprawnie, pamięć podręczna jest podobna do następującej:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Jeśli plik nie wypełni poprawnie pamięci podręcznej, przejdź do następnego kroku.

Krok 3. Upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0

Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że wyszukiwanie LMHOSTS jest włączone na komputerze z systemem Windows NT 4.0. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, wskaż pozycję Ustawienia, a następnie kliknij pozycję Panel sterowania.
  2. Kliknij dwukrotnie pozycję Sieci, kliknij kartę Protokoły , a następnie kliknij dwukrotnie protokół TCP/IP.
  3. Kliknij kartę ADRES WINS , a następnie kliknij, aby zaznaczyć pole wyboru Włącz wyszukiwanie LMHOSTS .
  4. Uruchom ponownie komputer.
  5. Powtórz kroki opisane w sekcji "Załaduj plik LMHOSTS do pamięci podręcznej".
  6. Jeśli plik nie wypełni poprawnie pamięci podręcznej, upewnij się, że plik LMHOSTS znajduje się w folderze %SystemRoot%\System32\Drivers\Etc i że plik jest poprawnie sformatowany.

Na przykład plik musi być sformatowany podobnie do następującego przykładowego formatowania:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b" #PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b" #PRE

Uwaga

W cudzysłowie (" ") dla nazwy domeny i wpisu \0x1b musi znajdować się łącznie 20 znaków i spacji.

Krok 4. Testowanie łączności przy użyciu polecenia Ping

Gdy plik poprawnie wypełni pamięć podręczną na każdym serwerze, użyj Ping polecenia na każdym serwerze, aby przetestować łączność między serwerami. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.

  2. W wierszu polecenia wpisz Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>, a następnie naciśnij klawisz ENTER. Ping Jeśli polecenie nie działa, upewnij się, że prawidłowe adresy IP są wymienione w pliku LMHOSTS.

  3. W wierszu polecenia wpisz net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>, a następnie naciśnij klawisz ENTER. Oczekuje się, że zostanie wyświetlony następujący komunikat o błędzie:

    Wystąpił błąd systemu 5. Odmowa dostępu

    Jeśli polecenie net view zwraca następujący komunikat o błędzie lub inny powiązany komunikat o błędzie, upewnij się, że prawidłowe adresy IP są wymienione w pliku LMHOSTS:

    Wystąpił błąd systemowy nr 53. Nie odnaleziono ścieżki sieciowej

Alternatywnie można skonfigurować usługę nazw internetowych systemu Windows (WINS) w celu włączenia funkcji rozpoznawania nazw bez użycia pliku LMHOSTS.

Metoda druga: Wyświetlanie ustawień zabezpieczeń

Zazwyczaj po stronie usługi Active Directory konfiguracji zaufania znajdują się ustawienia zabezpieczeń, które powodują problemy z łącznością. Jednak ustawienia zabezpieczeń muszą być sprawdzane po obu stronach zaufania.

Krok 1. Wyświetlanie ustawień zabezpieczeń w systemach Windows 2000 Server i Windows Server 2003

W systemach Windows 2000 Server i Windows Server 2003 ustawienia zabezpieczeń mogą być stosowane lub konfigurowane przez zasady grupy, zasady lokalne lub zastosowany szablon zabezpieczeń.

Aby uniknąć niedokładnych odczytów, należy użyć odpowiednich narzędzi, aby określić bieżące wartości ustawień zabezpieczeń.

Aby uzyskać dokładny odczyt bieżących ustawień zabezpieczeń, użyj następujących metod:

  • W systemie Windows 2000 Server użyj przystawki Konfiguracja zabezpieczeń i Analiza.

  • W systemie Windows Server 2003 użyj przystawki Konfiguracja zabezpieczeń i Analiza lub Przystawka Wynikowy zestaw zasad (RSoP).

Po określeniu bieżących ustawień należy zidentyfikować zasady, które stosują ustawienia. Na przykład należy określić zasady grupy w usłudze Active Directory lub ustawienia lokalne, które ustawiają zasady zabezpieczeń.

W systemie Windows Server 2003 zasady, które ustawiają wartości zabezpieczeń, są identyfikowane przez narzędzie RSoP. Jednak w systemie Windows 2000 należy wyświetlić zasady grupy i zasady lokalne, aby określić zasady zawierające ustawienia zabezpieczeń:

  • Aby wyświetlić ustawienia zasad grupy, należy włączyć dane wyjściowe rejestrowania dla klienta konfiguracji zabezpieczeń systemu Microsoft Windows 2000 podczas przetwarzania zasad grupy.

  • Wyświetl podgląd zdarzeń logowania aplikacji i znajdź identyfikator zdarzenia 1000 i identyfikator zdarzenia 1202.

W poniższych trzech sekcjach zidentyfikowano system operacyjny i wymieniono ustawienia zabezpieczeń, które należy sprawdzić dla systemu operacyjnego, w informacjach zebranych przez Ciebie:

Windows 2000

Upewnij się, że następujące ustawienia są skonfigurowane w sposób pokazany.

Restrictanonymous:

Dodatkowe ograniczenia dotyczące połączeń anonimowych
 "Brak. Polegaj na uprawnieniach domyślnych"

Zgodność LM:

Poziom uwierzytelniania programu LAN Manager "Wyślij tylko odpowiedź NTLM"

Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:

Podpisz cyfrowo komunikację klienta (zawsze) WYŁĄCZONE
Podpisz cyfrowo komunikację z klientem (jeśli jest to możliwe) WŁĄCZONE
Podpisywanie cyfrowo komunikacji z serwerem (zawsze) WYŁĄCZONE
Podpisz cyfrowo komunikację z serwerem (jeśli jest to możliwe) WŁĄCZONE
Bezpieczny kanał: szyfrowanie cyfrowe lub podpisywanie danych bezpiecznego kanału (zawsze) WYŁĄCZONE
Bezpieczny kanał: cyfrowo szyfruj dane bezpiecznego kanału (jeśli jest to możliwe) WYŁĄCZONE
Bezpieczny kanał: cyfrowo podpisuj dane bezpiecznego kanału (jeśli jest to możliwe) WYŁĄCZONE
Bezpieczny kanał: wymagaj silnego klucza sesji (windows 2000 lub nowszego) WYŁĄCZONE
Windows Server 2003

Upewnij się, że następujące ustawienia są skonfigurowane w sposób pokazany.

RestrictAnonymous i RestrictAnonymousSam:

Dostęp do sieci: zezwalaj na anonimowe tłumaczenie identyfikatorów SID/nazw WŁĄCZONE
Dostęp do sieci: nie zezwalaj na anonimowe wyliczanie kont SAM WYŁĄCZONE
Dostęp do sieci: nie zezwalaj na anonimowe wyliczanie kont i udziałów SAM WYŁĄCZONE
Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych WŁĄCZONE
Dostęp do sieci: dostęp do nazwanych potoków można uzyskać anonimowo WŁĄCZONE
Dostęp do sieci: ograniczanie dostępu anonimowego do nazwanych potoków i udziałów WYŁĄCZONE

Uwaga

Domyślnie wartość ustawienia Dostęp do sieci: Zezwalaj na anonimowe tłumaczenie identyfikatora SID/nazwy jest wyłączona w systemie Windows Server 2008.

Zgodność LM:

Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager "Wyślij tylko odpowiedź NTLM"

Podpisywanie protokołu SMB, szyfrowanie SMB lub oba te elementy:

Klient sieci firmy Microsoft: podpisz cyfrowo komunikację (zawsze) WYŁĄCZONE
Klient sieci firmy Microsoft: podpisuj cyfrowo komunikację (jeśli serwer wyrazi na to zgodę) WŁĄCZONE
Serwer sieci firmy Microsoft: podpisuj cyfrowo komunikację (zawsze) WYŁĄCZONE
Serwer sieci firmy Microsoft: podpisz cyfrowo komunikację (jeśli klient wyrazi na to zgodę) WŁĄCZONE
Członek domeny: szyfrowanie cyfrowe lub podpisywanie danych bezpiecznego kanału (zawsze) WYŁĄCZONE
Członek domeny: cyfrowo szyfruj dane bezpiecznego kanału (jeśli jest to możliwe) WŁĄCZONE
Członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli jest to możliwe) WŁĄCZONE
Członek domeny: wymagaj silnego klucza sesji (windows 2000 lub nowszego) WYŁĄCZONE

Po prawidłowym skonfigurowaniu ustawień należy ponownie uruchomić komputer. Ustawienia zabezpieczeń nie są wymuszane do czasu ponownego uruchomienia komputera.

Po ponownym uruchomieniu komputera poczekaj 10 minut, aby upewnić się, że zastosowano wszystkie zasady zabezpieczeń i skonfigurowano obowiązujące ustawienia. Zalecamy odczekanie 10 minut, ponieważ aktualizacje zasad usługi Active Directory są wykonywane co 5 minut na kontrolerze domeny, a aktualizacja może zmienić wartości ustawień zabezpieczeń. Po 10 minutach użyj narzędzia Security Configuration and Analysis lub innego narzędzia do zbadania ustawień zabezpieczeń w systemach Windows 2000 i Windows Server 2003.

Windows NT 4.0

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 322756 Jak utworzyć kopię zapasową i przywrócić rejestr w systemie Windows

W systemie Windows NT 4.0 bieżące ustawienia zabezpieczeń muszą zostać zweryfikowane za pomocą narzędzia Regedt32 w celu wyświetlenia rejestru. Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedt32, a następnie kliknij przycisk OK.

  2. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu Zgodność LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu EnableSecuritySignature (serwer):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSecuritySignature (serwer):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Rozwiń następujące podklucze rejestru, a następnie wyświetl wartość przypisaną do wpisu RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Metoda trzecia: Weryfikowanie praw użytkownika

Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows 2000, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń lokalnych.
  2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.
  3. W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.
  4. Kliknij, aby zaznaczyć pole wyboru Ustawienia zasad lokalnych obok grupy Wszyscy na liście Przypisane do , a następnie kliknij przycisk OK.
  5. Kliknij dwukrotnie odmowę dostępu do tego komputera z sieci.
  6. Sprawdź, czy na liście Przypisane do nie ma żadnych grup zasad, a następnie kliknij przycisk OK. Upewnij się na przykład, że nie ma na liście wszystkich, uwierzytelnionych użytkowników i innych grup.
  7. Kliknij przycisk OK, a następnie zamknij pozycję Zasady zabezpieczeń lokalnych.

Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows Server 2003, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zasady zabezpieczeń kontrolera domeny.

  2. Rozwiń węzeł Zasady lokalne, a następnie kliknij pozycję Przypisanie praw użytkownika.

  3. W okienku po prawej stronie kliknij dwukrotnie pozycję Uzyskaj dostęp do tego komputera z sieci.

  4. Upewnij się, że grupa Wszyscy znajduje się na liście Dostęp do tego komputera z listy sieci .

    Jeśli grupy Wszyscy nie ma na liście, wykonaj następujące kroki:

    1. Kliknij pozycję Dodaj użytkownika lub grupę.
    2. W polu Nazwy użytkowników i grup wpisz Wszyscy, a następnie kliknij przycisk OK.

  5. Kliknij dwukrotnie odmowę dostępu do tego komputera z sieci.

  6. Sprawdź, czy na liście sieci nie ma żadnych grup zasad na liście Odmowa dostępu do tego komputera , a następnie kliknij przycisk OK. Na przykład upewnij się, że nie ma listy Wszyscy, Uwierzytelnieni użytkownicy i inne grupy.

  7. Kliknij przycisk OK, a następnie zamknij zasady zabezpieczeń kontrolera domeny.

Aby zweryfikować wymagane prawa użytkownika na komputerze z systemem Windows NT Server 4.0, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż pozycję Programy, wskaż pozycję Narzędzia administracyjne, a następnie kliknij pozycję Menedżer użytkowników dla domen.

  2. W menu Zasady kliknij pozycję Prawa użytkownika.

  3. Na liście Po prawej stronie kliknij pozycję Uzyskaj dostęp do tego komputera z sieci.

  4. W polu Udziel do upewnij się, że grupa Wszyscy została dodana.

    Jeśli grupa Wszyscy nie została dodana, wykonaj następujące kroki:

    1. Kliknij pozycję Dodaj.
    2. Na liście Nazwy kliknij pozycję Wszyscy, kliknij pozycję Dodaj, a następnie kliknij przycisk OK.

  5. Kliknij przycisk OK, a następnie zamknij menedżera użytkowników.

Metoda czwarta: Weryfikowanie członkostwa w grupie

Jeśli relacja zaufania jest skonfigurowana między domenami, ale nie można dodać grup użytkowników zasad z jednej domeny do drugiej, ponieważ okno dialogowe nie lokalizuje innych obiektów domeny, grupa "Dostęp zgodny z systemem Przed windowsem 2000" może nie mieć prawidłowego członkostwa.

Na kontrolerach domeny opartych na systemie Windows 2000 i kontrolerach domeny opartych na systemie Windows Server 2003 upewnij się, że wymagane członkostwa w grupach są skonfigurowane.

Aby to zrobić na kontrolerach domeny opartych na systemie Windows 2000, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

  2. Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.

  3. Kliknij kartę Członkowie , a następnie upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .

  4. Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, a następnie naciśnij klawisz ENTER.

Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, musisz wiedzieć, czy ustawienie zasad "Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych" jest wyłączone. Jeśli nie wiesz, użyj edytora obiektów zasad grupy, aby określić stan ustawienia zasad "Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych". Aby to zrobić, wykonaj następujące kroki.

  1. Kliknij przycisk Start, wybierz polecenie Uruchom, wpisz ciąg gpedit.msc, a następnie kliknij przycisk OK.

  2. Rozwiń następujące foldery:

    Zasady komputera lokalnego
    Konfiguracja komputera
    Ustawienia systemu Windows
    Ustawienia zabezpieczeń
    Zasady lokalne

  3. Kliknij pozycję Opcje zabezpieczeń, a następnie kliknij pozycję Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych w okienku po prawej stronie.

  4. Należy pamiętać, że wartość w kolumnie Ustawienie zabezpieczeń to Wyłączone lub Włączone.

Aby upewnić się, że wymagane członkostwa w grupach są skonfigurowane na kontrolerach domeny opartych na systemie Windows Server 2003, wykonaj następujące kroki:

  1. Kliknij przycisk Start, wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Użytkownicy i komputery usługi Active Directory.

  2. Kliknij pozycję Wbudowane, a następnie kliknij dwukrotnie grupę dostępu zgodną z systemem Windows 2000.

  3. Kliknij kartę Członkowie .

  4. Jeśli ustawienie zasad Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych jest wyłączone, upewnij się, że grupa Wszyscy, Logowanie anonimowe znajduje się na liście Członkowie . Jeśli ustawienie zasad "Dostęp do sieci: zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych" jest włączone, upewnij się, że grupa Wszyscy znajduje się na liście Członkowie .

  5. Jeśli grupa Wszyscy nie znajduje się na liście Członkowie , wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie kliknij przycisk OK.
    2. W wierszu polecenia wpisz net localgroup "Pre-Windows 2000 Compatible Access" everyone /add, a następnie naciśnij klawisz ENTER.

Metoda piąta: Weryfikowanie łączności za pośrednictwem urządzeń sieciowych, takich jak zapory, przełączniki lub routery

Jeśli odebrano komunikaty o błędach podobne do następującego komunikatu o błędzie i sprawdzono, że pliki LMHOST są poprawne, problem może być spowodowany przez zaporę, router lub przełącznik, który zablokował porty między kontrolerami domeny:

Nie można skontaktować się z kontrolerem domeny

Aby rozwiązać problemy z urządzeniami sieciowymi, użyj skanera portów wiersza polecenia PortQry w wersji 2.0, aby przetestować porty między kontrolerami domeny.

Aby uzyskać więcej informacji na temat programu PortQry w wersji 2, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

832919 Nowe funkcje w programie PortQry w wersji 2.0

Aby uzyskać więcej informacji na temat sposobu konfigurowania portów, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base:

179442 Jak skonfigurować zaporę dla domen i relacji zaufania

Metoda szósta: Zbieranie dodatkowych informacji ułatwiających rozwiązanie problemu

Jeśli poprzednie metody nie pomogły w rozwiązaniu problemu, zbierz następujące dodatkowe informacje, które pomogą Ci rozwiązać przyczynę problemu:

  • Włącz rejestrowanie netlogon na obu kontrolerach domeny. Aby uzyskać więcej informacji na temat wykonywania rejestrowania netlogon, kliknij następujący numer artykułu, aby wyświetlić artykuł w bazie wiedzy Microsoft Knowledge Base: 109626 Włączanie rejestrowania debugowania dla usługi Net Logon

  • Przechwyć ślad na obu kontrolerach domeny w tym samym czasie, w którym występuje problem.

Więcej informacji

Poniższa lista obiektów zasad grupy (GPO) zawiera lokalizację odpowiedniego wpisu rejestru i zasad grupy w odpowiednich systemach operacyjnych:

  • Obiekt zasad grupy RestrictAnonymous:

    • Lokalizacja rejestru systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\ Opcje zabezpieczeń Dodatkowe ograniczenia dotyczące połączeń anonimowych
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń Dostęp do sieci: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów

  • Obiekt zasad grupy RestrictAnonymoussAM:

    • Lokalizacja rejestru systemu Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń Opcje zabezpieczeń Dostęp do sieci: Nie zezwalaj na anonimowe wyliczanie kont SAM i udziałów

  • Obiekt zasad grupy EveryoneIncludesAnonymous:

    • Lokalizacja rejestru systemu Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń Dostęp do sieci: Zezwalaj wszystkim na stosowanie uprawnień do użytkowników anonimowych

  • Obiekt zasad grupy zgodności LM:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: poziom uwierzytelniania programu LAN Manager

    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Zabezpieczenia sieci: poziom uwierzytelniania programu LAN Manager

  • Obiekt zasad grupy EnableSecuritySignature (klient):

    • Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń \Opcje zabezpieczeń: Podpisz cyfrowo komunikację klienta (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń\Klient sieci firmy Microsoft: Podpisz cyfrowo komunikację (jeśli serwer wyrazi na to zgodę)

  • Obiekt zasad grupy RequireSecuritySignature (klient):

    • Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Zasady grupy systemu Windows 2000: Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń\Opcje zabezpieczeń: Podpisz cyfrowo komunikację klienta (zawsze)
    • Windows Server 2003: Computer Configuration\Windows Settings\Security Settings\Security Options\Microsoft network client: Digitally sign communications (always)

  • Obiekt zasad grupy EnableSecuritySignature (serwer):

    • Lokalizacja rejestru systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: podpisuj cyfrowo komunikację (jeśli klient wyrazi na to zgodę)

  • Obiekt zasad grupy RequireSecuritySignature (serwer):

    • Lokalizacja rejestru systemu Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Lokalizacja rejestru systemu Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Zasady grupy systemu Windows 2000: podpisuj cyfrowo komunikację z serwerem (zawsze)
    • Zasady grupy systemu Windows Server 2003: Serwer sieci firmy Microsoft: podpisywanie cyfrowo komunikacji (zawsze)

  • Obiekt zasad grupy RequireSignOrSeal:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: cyfrowo szyfruj lub podpisuj dane bezpiecznego kanału (zawsze)
    • Zasady grupy systemu Windows Server2003: członek domeny: cyfrowo szyfruj lub podpisuj dane bezpiecznego kanału (zawsze)

  • Obiekt zasad grupy SealSecureChannel:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: członek domeny: cyfrowo szyfruj dane bezpiecznego kanału (jeśli to możliwe)

  • Obiekt zasad grupy SignSecureChannel:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: podpisuj cyfrowo dane bezpiecznego kanału (jeśli to możliwe)
    • Zasady grupy systemu Windows Server 2003: członek domeny: Podpisz cyfrowo dane bezpiecznego kanału (jeśli to możliwe)

  • Obiekt zasad grupy RequireStrongKey:

    • Lokalizacja rejestru systemu Windows NT, Windows 2000 i Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Zasady grupy systemu Windows 2000: Bezpieczny kanał: wymagaj silnego (windows 2000 lub nowszego) klucza sesji
    • Zasady grupy systemu Windows Server 2003: Członek domeny: wymagaj silnego (windows 2000 lub nowszego) klucza sesji

Windows Server 2008

Na kontrolerze domeny z systemem Windows Server 2008 może powodować problem domyślne zachowanie algorytmów zezwalania na kryptografię zgodnych z ustawieniem zasad systemu Windows NT 4.0. To ustawienie uniemożliwia zarówno systemom operacyjnym Windows, jak i klientom innych firm używanie słabych algorytmów kryptograficznych do ustanawiania kanałów zabezpieczeń NETLOGON na kontrolerach domeny opartych na systemie Windows Server 2008.

Informacje

Aby uzyskać więcej informacji, kliknij następujące numery artykułów, aby wyświetlić artykuły w bazie wiedzy Microsoft Knowledge Base:

823659 niezgodności klienta, usługi i programu, które mogą wystąpić podczas modyfikowania ustawień zabezpieczeń i przypisań praw użytkownika