Freigeben über

Vertrauen zwischen einer Windows NT-Domäne und einer Active Directory-Domäne kann nicht hergestellt werden oder funktioniert nicht wie erwartet

  • Artikel

In diesem Artikel werden die Vertrauenskonfigurationsprobleme zwischen einer Windows NT 4.0-basierten Domäne und einer Active Directory-basierten Domäne beschrieben.

Ursprüngliche KB-Nummer: 889030

Symptome

Wenn Sie versuchen, eine Vertrauensstellung zwischen einer Microsoft Windows NT 4.0-basierten Domäne und einer Active Directory-basierten Domäne einzurichten, treten möglicherweise eines der folgenden Symptome auf:

  • Die Vertrauensstellung ist nicht eingerichtet.
  • Die Vertrauensstellung wird eingerichtet, aber die Vertrauensstellung funktioniert nicht wie erwartet.

Darüber hinaus erhalten Sie möglicherweise eine der folgenden Fehlermeldungen:

Der folgende Fehler ist aufgetreten, der versucht hat, der Domäne "Domain_Name" beizutreten: Das Konto ist nicht berechtigt, sich von dieser Station anzumelden.

Zugriff verweigert.

Es konnte kein Domänencontroller kontaktiert werden.

Anmeldefehler: unbekannter Benutzername oder ungültiges Kennwort.

Wenn Sie die Objektauswahl in Active Directory-Benutzer und -Computer verwenden, um Benutzer aus der NT 4.0-Domäne zur Active Directory-Domäne hinzuzufügen, wird möglicherweise die folgende Fehlermeldung angezeigt:

Keine Elemente stimmen mit der aktuellen Suche überein. Überprüfen Sie Die Suchparameter, und versuchen Sie es erneut.

Ursache

Dieses Problem tritt aufgrund eines Konfigurationsproblems in einem der folgenden Bereiche auf:

  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003

Um die Ursache des Problems korrekt zu identifizieren, müssen Sie die Vertrauenskonfiguration beheben.

Lösung

Wenn Sie die Fehlermeldung "Keine Elemente entsprechen der aktuellen Suche" erhalten, wenn Sie die Objektauswahl in Active Directory-Benutzer und -Computer verwenden, stellen Sie sicher, dass die Domänencontroller in der NT 4.0-Domäne "Jeder in den Zugriff auf diesen Computer vom Netzwerkbenutzer rechts" einschließen. In diesem Szenario versucht die Objektauswahl, anonym über die Vertrauensstellung hinweg eine Verbindung herzustellen. Führen Sie die Schritte im Abschnitt "Methode 3: Überprüfen der Benutzerrechte" aus, um diese Einstellungen zu überprüfen.

Um Sicherheitskonfigurationsprobleme zwischen einer Windows NT 4.0-basierten Domäne und Active Directory zu beheben, müssen Sie die richtige Konfiguration der folgenden Bereiche überprüfen:

  • Namensauflösung
  • Sicherheitseinstellungen
  • Benutzerrechte
  • Gruppenmitgliedschaft für Microsoft Windows 2000 oder Microsoft Windows Server 2003

Verwenden Sie hierzu die folgenden Methoden:

Methode 1: Überprüfen der richtigen Konfiguration der Namensauflösung

Schritt 1: Erstellen einer LMHOSTS-Datei

Erstellen Sie eine LMHOSTS-Datei auf den primären Domänencontrollern, um domänenübergreifende Namensauflösungsfunktionen bereitzustellen. Die LMHOSTS-Datei ist eine Textdatei, die Sie mit einem beliebigen Texteditor bearbeiten können, z. B. Editor. Die LMHOSTS-Datei auf jedem Domänencontroller muss die TCP/IP-Adresse, den Domänennamen und den Eintrag \0x1b des anderen Domänencontrollers enthalten.

Führen Sie nach dem Erstellen der LMHOSTS-Datei die folgenden Schritte aus:

  1. Ändern Sie die Datei so, dass sie Text enthält, der dem folgenden Text ähnelt:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Notiz

    Für den Eintrag \0x1b müssen insgesamt 20 Zeichen und Leerzeichen zwischen den Anführungszeichen (" ") vorhanden sein. Fügen Sie Leerzeichen hinter dem Domänennamen hinzu, sodass 15 Zeichen verwendet werden. Das 16. Zeichen ist der umgekehrte Schrägstrich, auf den der Wert "0x1b" folgt, und dies macht insgesamt 20 Zeichen.

  2. Wenn Sie die Änderungen an der LMHOSTS-Datei abgeschlossen haben, speichern Sie die Datei im Ordner "%SystemRoot% \System32\Drivers\Etc" auf den Domänencontrollern. Weitere Informationen zur LMHOSTS-Datei finden Sie in der Beispieldatei "Lmhosts.sam", die sich im Ordner "%SystemRoot% \System32\Drivers\Etc" befindet.

Schritt 2: Laden der LMHOSTS-Datei in den Cache

  1. Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.

  2. Geben Sie NBTSTAT -Ran der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Mit diesem Befehl wird die LMHOSTS-Datei in den Cache geladen.

  3. Geben Sie NBTSTAT -can der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Mit diesem Befehl wird der Cache angezeigt. Wenn die Datei richtig geschrieben wurde, ähnelt der Cache folgendem:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Wenn die Datei den Cache nicht richtig auffüllt, fahren Sie mit dem nächsten Schritt fort.

Schritt 3: Stellen Sie sicher, dass die LMHOSTS-Suche auf dem Windows NT 4.0-basierten Computer aktiviert ist.

Wenn die Datei den Cache nicht ordnungsgemäß auffüllt, stellen Sie sicher, dass die LMHOSTS-Suche auf dem Windows NT 4.0-basierten Computer aktiviert ist. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf "Start", zeigen Sie auf "Einstellungen", und klicken Sie dann auf Systemsteuerung.
  2. Doppelklicken Sie auf "Netzwerke", klicken Sie auf die Registerkarte "Protokolle", und doppelklicken Sie dann auf "TCP/IP-Protokoll".
  3. Klicken Sie auf die Registerkarte WINS-Adresse , und aktivieren Sie dann das Kontrollkästchen LMHOSTS-Nachschlagevorgang aktivieren.
  4. Starten Sie den Computer neu.
  5. Wiederholen Sie die Schritte im Abschnitt "Laden der LMHOSTS-Datei in den Cache".
  6. Wenn die Datei den Cache nicht richtig auffüllt, stellen Sie sicher, dass sich die LMHOSTS-Datei im Ordner "%SystemRoot%\System32\Drivers\Etc" befindet und die Datei ordnungsgemäß formatiert ist.

Die Datei muss z. B. ähnlich wie die folgende Beispielformatierung formatiert werden:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Notiz

Es müssen insgesamt 20 Zeichen und Leerzeichen innerhalb der Anführungszeichen (" ") für den Domänennamen und \0x1b Eintrag vorhanden sein.

Schritt 4: Verwenden des Ping-Befehls zum Testen der Konnektivität

Wenn die Datei den Cache auf jedem Server richtig auffüllt, verwenden Sie den Ping Befehl auf jedem Server, um die Konnektivität zwischen den Servern zu testen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.

  2. Geben Sie Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>an der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Wenn der Ping Befehl nicht funktioniert, stellen Sie sicher, dass die richtigen IP-Adressen in der LMHOSTS-Datei aufgeführt sind.

  3. Geben Sie net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>an der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Es wird erwartet, dass Sie die folgende Fehlermeldung erhalten:

    „Systemfehler 5 ist aufgetreten. Zugriff verweigert

    Wenn der Befehl "Net View" die folgende Fehlermeldung oder eine andere zugehörige Fehlermeldung zurückgibt, stellen Sie sicher, dass die richtigen IP-Adressen in der LMHOSTS-Datei aufgeführt sind:

    Systemfehler 53 ist aufgetreten. Der Netzwerkpfad wurde nicht gefunden.

Alternativ kann Windows Internet Name Service (WINS) so konfiguriert werden, dass die Namensauflösungsfunktion aktiviert wird, ohne eine LMHOSTS-Datei zu verwenden.

Methode 2: Anzeigen von Sicherheitseinstellungen

In der Regel verfügt die Active Directory-Seite der Vertrauenskonfiguration über Sicherheitseinstellungen, die Verbindungsprobleme verursachen. Die Sicherheitseinstellungen müssen jedoch auf beiden Seiten des Vertrauens geprüft werden.

Schritt 1: Anzeigen von Sicherheitseinstellungen unter Windows 2000 Server und Windows Server 2003

In Windows 2000 Server und Windows Server 2003 können die Sicherheitseinstellungen von Gruppenrichtlinien, einer lokalen Richtlinie oder einer angewendeten Sicherheitsvorlage angewendet oder konfiguriert werden.

Sie müssen die richtigen Tools verwenden, um die aktuellen Werte der Sicherheitseinstellungen zu ermitteln, um ungenaue Lesewerte zu vermeiden.

Verwenden Sie die folgenden Methoden, um ein genaues Lesen der aktuellen Sicherheitseinstellungen zu erhalten:

  • Verwenden Sie in Windows 2000 Server das Snap-In "Sicherheitskonfiguration und -analyse".

  • Verwenden Sie in Windows Server 2003 entweder das Sicherheitskonfigurations- und Analyse-Snap-In oder das Resultant Set of Policy (RSoP)-Snap-In.

Nachdem Sie die aktuellen Einstellungen ermittelt haben, müssen Sie die Richtlinie identifizieren, die die Einstellungen anwendet. Sie müssen z. B. die Gruppenrichtlinie in Active Directory oder die lokalen Einstellungen bestimmen, die die Sicherheitsrichtlinie festlegen.

In Windows Server 2003 wird die Richtlinie, die die Sicherheitswerte festlegt, durch das RSoP-Tool identifiziert. In Windows 2000 müssen Sie jedoch die Gruppenrichtlinie und die lokale Richtlinie anzeigen, um die Richtlinie zu bestimmen, die die Sicherheitseinstellungen enthält:

  • Um die Gruppenrichtlinieneinstellungen anzuzeigen, müssen Sie die Protokollierungsausgabe für den Microsoft Windows 2000-Sicherheitskonfigurationsclient während der Gruppenrichtlinienverarbeitung aktivieren.

  • Zeigen Sie die Anwendungsanmeldung Ereignisanzeige an, und suchen Sie die Ereignis-ID 1000 und die Ereignis-ID 1202.

In den folgenden drei Abschnitten wird das Betriebssystem identifiziert und die Sicherheitseinstellungen aufgeführt, die Sie in den gesammelten Informationen für das Betriebssystem überprüfen müssen:

Windows 2000

Stellen Sie sicher, dass die folgenden Einstellungen wie dargestellt konfiguriert sind.

RestrictAnonymous:

Zusätzliche Einschränkungen für anonyme Verbindungen
 "Keine. Verlassen Sie sich auf Standardberechtigungen"

LM-Kompatibilität:

LAN-Manager-Authentifizierungsebene "Nur NTLM-Antwort senden"

SMB-Signatur, SMB-Verschlüsselung oder beides:

Digitales Signieren der Clientkommunikation (immer) DISABLED
Digitales Signieren der Clientkommunikation (sofern möglich) AKTIVIERT
Digitales Signieren der Serverkommunikation (immer) DISABLED
Digitales Signieren der Serverkommunikation (sofern möglich) AKTIVIERT
Sicherer Kanal: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer) DISABLED
Sicherer Kanal: Digitales Verschlüsseln sicherer Kanaldaten (sofern möglich) DISABLED
Sicherer Kanal: Digitales Signieren sicherer Kanaldaten (sofern möglich) DISABLED
Sicherer Kanal: Erfordern eines starken Sitzungsschlüssels (Windows 2000 oder höher) DISABLED
Windows Server 2003

Stellen Sie sicher, dass die folgenden Einstellungen wie dargestellt konfiguriert sind.

RestrictAnonymous und RestrictAnonymousSam:

Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen AKTIVIERT
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten nicht erlauben DISABLED
Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und Freigaben nicht erlauben DISABLED
Netzwerkzugriff: Die Verwendung von „Jeder“-Berechtigungen für anonyme Benutzer ermöglichen AKTIVIERT
Netzwerkzugriff: Auf benannte Rohre kann anonym zugegriffen werden AKTIVIERT
Netzwerkzugriff: Einschränken des anonymen Zugriffs auf Named Pipes und Freigaben DISABLED

Notiz

Standardmäßig ist der Wert des Netzwerkzugriffs: Anonyme SID-/Namensübersetzungseinstellung zulassen ist in Windows Server 2008 DEAKTIVIERT.

LM-Kompatibilität:

Netzwerksicherheit: LAN Manager-Authentifizierungsebene "Nur NTLM-Antwort senden"

SMB-Signatur, SMB-Verschlüsselung oder beides:

Microsoft-Netzwerk (Client): Kommunikation digital signieren (immer) DISABLED
Microsoft-Netzwerk (Client): Kommunikation digital signieren (wenn Server zustimmt) AKTIVIERT
Microsoft-Netzwerk (Server): Kommunikation digital signieren (immer) DISABLED
Microsoft-Netzwerk (Server): Kommunikation digital signieren (wenn Client zustimmt) AKTIVIERT
Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer) DISABLED
Domänenmitglied: Sichere Kanaldaten digital verschlüsseln (sofern möglich) AKTIVIERT
Domänenmitglied: Sichere Kanaldaten digital signieren (sofern möglich) AKTIVIERT
Domänenmitglied: Starker Sitzungsschlüssel erforderlich (Windows 2000 oder höher) DISABLED

Nachdem die Einstellungen richtig konfiguriert wurden, müssen Sie den Computer neu starten. Die Sicherheitseinstellungen werden erst erzwungen, wenn der Computer neu gestartet wird.

Warten Sie nach dem Neustart des Computers 10 Minuten, um sicherzustellen, dass alle Sicherheitsrichtlinien angewendet werden und die effektiven Einstellungen konfiguriert sind. Es wird empfohlen, 10 Minuten zu warten, da Active Directory-Richtlinienaktualisierungen alle 5 Minuten auf einem Domänencontroller auftreten, und das Update kann die Sicherheitseinstellungswerte ändern. Verwenden Sie nach 10 Minuten die Sicherheitskonfiguration und -analyse oder ein anderes Tool, um die Sicherheitseinstellungen in Windows 2000 und Windows Server 2003 zu untersuchen.

Windows NT 4.0

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie in der Microsoft Knowledge Base auf der folgenden Artikelnummer: 322756 Sichern und Wiederherstellen der Registrierung in Windows

In Windows NT 4.0 müssen die aktuellen Sicherheitseinstellungen mithilfe des Regedt32-Tools überprüft werden, um die Registrierung anzuzeigen. Gehen Sie dazu wie folgt vor:

  1. Klicken Sie auf "Start", klicken Sie auf "Ausführen", geben Sie "regedt32" ein, und klicken Sie dann auf "OK".

  2. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem RestrictAnonymous-Eintrag zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem LM-Kompatibilitätseintrag zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag EnableSecuritySignature (Server) zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag RequireSecuritySignature (Server) zugewiesen ist:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag RequireSignOrSeal zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem SealSecureChannel-Eintrag zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem SignSecureChannel-Eintrag zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Erweitern Sie die folgenden Registrierungsunterschlüssel, und zeigen Sie dann den Wert an, der dem Eintrag "RequireStrongKey" zugewiesen ist:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Methode 3: Überprüfen der Benutzerrechte

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows 2000-basierten Computer zu überprüfen:

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie anschließend auf Lokale Sicherheitsrichtlinie.
  2. Erweitern Sie lokale Richtlinien, und klicken Sie dann auf Benutzerrechtezuweisung.
  3. Doppelklicken Sie im rechten Bereich im Netzwerk auf diesen Computer zugreifen.
  4. Klicken Sie, um das Kontrollkästchen "Lokale Richtlinieneinstellung " neben der Gruppe "Jeder " in der Liste "Zugewiesen an " zu aktivieren, und klicken Sie dann auf "OK".
  5. Doppelklicken Sie im Netzwerk auf "Zugriff verweigern" auf diesen Computer.
  6. Vergewissern Sie sich, dass in der Liste "Zugewiesen an " keine Prinzipgruppen vorhanden sind, und klicken Sie dann auf "OK". Stellen Sie beispielsweise sicher, dass "Jeder", "Authentifizierte Benutzer" und andere Gruppen nicht aufgeführt sind.
  7. Klicken Sie auf "OK", und beenden Sie dann die lokale Sicherheitsrichtlinie.

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows Server 2003-basierten Computer zu überprüfen:

  1. Klicken Sie auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Domänencontroller-Sicherheitsrichtlinie".

  2. Erweitern Sie lokale Richtlinien, und klicken Sie dann auf Benutzerrechtezuweisung.

  3. Doppelklicken Sie im rechten Bereich im Netzwerk auf diesen Computer zugreifen.

  4. Stellen Sie sicher, dass sich die Gruppe "Jeder" in der Liste "Auf diesen Computer zugreifen" befindet.

    Wenn die Gruppe "Jeder" nicht aufgeführt ist, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
    2. Geben Sie im Feld "Benutzer- und Gruppennamen" "Jeder" ein, und klicken Sie dann auf "OK".

  5. Doppelklicken Sie im Netzwerk auf "Zugriff verweigern" auf diesen Computer.

  6. Stellen Sie sicher, dass in der Netzwerkliste keine Prinzipgruppen im Zugriff auf diesen Computer vorhanden sind, und klicken Sie dann auf "OK". Stellen Sie beispielsweise sicher, dass "Jeder", "Authentifizierte Benutzer" und andere Gruppen nicht aufgeführt sind.

  7. Klicken Sie auf "OK", und schließen Sie dann die Domänencontroller-Sicherheitsrichtlinie.

Führen Sie die folgenden Schritte aus, um die erforderlichen Benutzerrechte auf einem Windows NT Server 4.0-basierten Computer zu überprüfen:

  1. Klicken Sie auf "Start", zeigen Sie auf "Programme", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf "Benutzer-Manager für Domänen".

  2. Klicken Sie im Menü "Richtlinien " auf "Benutzerrechte".

  3. Klicken Sie in der rechten Liste im Netzwerk auf diesen Computer zugreifen.

  4. Stellen Sie im Feld "Erteilen für" sicher, dass die Gruppe "Jeder" hinzugefügt wird.

    Wenn die Gruppe "Jeder" nicht hinzugefügt wird, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Hinzufügen.
    2. Klicken Sie in der Liste "Namen " auf "Jeder", klicken Sie auf "Hinzufügen", und klicken Sie dann auf "OK".

  5. Klicken Sie auf "OK", und beenden Sie dann den Benutzer-Manager.

Methode 4: Überprüfen der Gruppenmitgliedschaft

Wenn eine Vertrauensstellung zwischen den Domänen eingerichtet ist, Sie jedoch keine Prinzipbenutzergruppen aus einer Domäne zur anderen hinzufügen können, da das Dialogfeld die anderen Domänenobjekte nicht findet, verfügt die Gruppe "Pre-Windows 2000-kompatibler Zugriff" möglicherweise nicht über die richtige Mitgliedschaft.

Stellen Sie auf den Windows 2000-basierten Domänencontrollern und den Windows Server 2003-basierten Domänencontrollern sicher, dass die erforderlichen Gruppenmitgliedschaften konfiguriert sind.

Führen Sie die folgenden Schritte aus, um dies auf den Windows 2000-basierten Domänencontrollern zu tun:

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie auf "Integriert" und dann auf "Pre-Windows 2000-kompatible Zugriffsgruppe".

  3. Klicken Sie auf die Registerkarte "Mitglieder", und stellen Sie dann sicher, dass sich die Gruppe "Jeder" in der Mitgliederliste befindet.

  4. Wenn sich die Gruppe "Jeder" nicht in der Liste "Mitglieder " befindet, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.
    2. Geben Sie net localgroup "Pre-Windows 2000 Compatible Access" everyone /addan der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

Um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows Server 2003-basierten Domänencontrollern konfiguriert sind, müssen Sie wissen, ob die Richtlinieneinstellung "Netzwerkzugriff: Alle Berechtigungen für anonyme Benutzer zulassen" deaktiviert ist. Wenn Sie dies nicht wissen, bestimmen Sie mit dem Gruppenrichtlinienobjekt-Editor den Status der Richtlinieneinstellung "Netzwerkzugriff: Zulassen, dass alle Berechtigungen für anonyme Benutzer gelten". Gehen Sie dazu wie folgt vor:

  1. Klicken Sie im Startmenü auf Ausführen, geben Sie gpedit.msc ein, und klicken Sie dann auf OK.

  2. Erweitern Sie die folgenden Ordner:

    Richtlinie für den lokalen Computer
    Computerkonfiguration
    Windows-Einstellungen
    Security Settings (Sicherheitseinstellungen)
    Lokale Richtlinien

  3. Klicken Sie auf "Sicherheitsoptionen", und klicken Sie dann auf "Netzwerkzugriff": "Alle Berechtigungen für anonyme Benutzer übernehmen" im rechten Bereich.

  4. Beachten Sie, ob der Wert in der Spalte "Sicherheitseinstellung" deaktiviert oder aktiviert ist.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass die erforderlichen Gruppenmitgliedschaften auf den Windows Server 2003-basierten Domänencontrollern konfiguriert sind:

  1. Klicken Sie auf Start, zeigen Sie auf Programme und dann auf Verwaltung, und klicken Sie auf Active Directory-Benutzer und -Computer.

  2. Klicken Sie auf "Integriert" und dann auf "Pre-Windows 2000-kompatible Zugriffsgruppe".

  3. Klicken Sie auf die Registerkarte "Mitglieder ".

  4. Wenn der Netzwerkzugriff: "Alle Berechtigungen für anonyme Benutzer zulassen" deaktiviert ist, stellen Sie sicher, dass sich die Gruppe "Jeder", "Anonyme Anmeldung" in der Liste "Mitglieder " befindet. Wenn die Richtlinieneinstellung "Netzwerkzugriff: Zulassen, dass alle Berechtigungen für anonyme Benutzer gelten" aktiviert ist, stellen Sie sicher, dass sich die Gruppe "Jeder" in der Liste "Mitglieder " befindet.

  5. Wenn sich die Gruppe "Jeder" nicht in der Liste "Mitglieder " befindet, führen Sie die folgenden Schritte aus:

    1. Klicken Sie auf Startund dann auf Ausführen, geben Sie cmdein, und klicken Sie anschließend auf OK.
    2. Geben Sie net localgroup "Pre-Windows 2000 Compatible Access" everyone /addan der Eingabeaufforderung die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE.

Methode fünf: Überprüfen der Konnektivität über Netzwerkgeräte, z. B. Firewalls, Switches oder Router

Wenn Sie Fehlermeldungen erhalten haben, die der folgenden Fehlermeldung ähneln und Sie überprüft haben, ob die LMHOST-Dateien korrekt sind, kann das Problem durch eine Firewall, einen Router oder einen Switch verursacht werden, der die Ports zwischen den Domänencontrollern blockiert hat:

Es konnte kein Domänencontroller kontaktiert werden.

Um Probleme mit Netzwerkgeräten zu beheben, verwenden Sie PortQry Command Line Port Scanner, Version 2.0, um die Ports zwischen Ihren Domänencontrollern zu testen.

Weitere Informationen zu PortQry Version 2 finden Sie unter der folgenden Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

832919 Neue Features und Funktionen in PortQry, Version 2.0

Weitere Informationen dazu, wie die Ports konfiguriert werden müssen, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

179442 Konfigurieren eines Firewalls für Domänen und Vertrauensstellungen

Methode sechs: Sammeln zusätzlicher Informationen zur Problembehandlung

Wenn Ihnen die vorherigen Methoden nicht bei der Behebung des Problems helfen, sammeln Sie die folgenden zusätzlichen Informationen, um Die Ursache des Problems zu beheben:

  • Aktivieren Sie die Netlogon-Protokollierung auf beiden Domänencontrollern. Weitere Informationen zum Abschließen der Netlogon-Protokollierung finden Sie unter der folgenden Artikelnummer in der Microsoft Knowledge Base: 109626 Aktivieren der Debugprotokollierung für den Net-Anmeldedienst

  • Erfassen Sie eine Ablaufverfolgung auf beiden Domänencontrollern gleichzeitig, während das Problem auftritt.

Weitere Informationen

Die folgende Liste der Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) stellt den Speicherort des entsprechenden Registrierungseintrags und der Gruppenrichtlinie in den entsprechenden Betriebssystemen bereit:

  • Das RestrictAnonymous-Gruppenrichtlinienobjekt:

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\ Sicherheitsoptionen Zusätzliche Einschränkungen für anonyme Verbindungen
    • Windows Server 2003-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerkzugriff für Sicherheitsoptionen: Anonyme Aufzählung von SAM-Konten und -Freigaben nicht zulassen

  • Das RestrictAnonymousSAM-Gruppenrichtlinienobjekt:

    • Windows Server 2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen Sicherheitsoptionen Netzwerkzugriff: Anonyme Aufzählung von SAM-Konten und -Freigaben nicht zulassen

  • Das Gruppenrichtlinienobjekt "EveryoneIncludesAnonymous":

    • Windows Server 2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Netzwerkzugriff für Sicherheitsoptionen: Zulassen, dass alle Berechtigungen für anonyme Benutzer gelten

  • The LM Compatibility GPO:

    • Registrierungsspeicherort von Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen: LAN-Manager-Authentifizierungsstufe

    • Windows Server 2003-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Netzwerksicherheit: LAN-Manager-Authentifizierungsebene

  • Das EnableSecuritySignature-Gruppenrichtlinienobjekt (Client):

    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen \Sicherheitsoptionen: Clientkommunikation digital signieren (sofern möglich)
    • Windows Server 2003-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Microsoft-Netzwerkclient: Kommunikation digital signieren (wenn der Server zustimmt)

  • Das Gruppenrichtlinienobjekt "RequireSecuritySignature" (Client):

    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000-Gruppenrichtlinie: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen: Clientkommunikation digital signieren (immer)
    • Windows Server 2003: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Sicherheitsoptionen\Microsoft-Netzwerkclient: Kommunikation digital signieren (immer)

  • Das GPO EnableSecuritySignature (Server):

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000-Gruppenrichtlinie: Digitales Signieren der Serverkommunikation (sofern möglich)
    • Windows Server 2003-Gruppenrichtlinie: Microsoft-Netzwerkserver: Kommunikation digital signieren (wenn der Client zustimmt)

  • Das Gruppenrichtlinienobjekt RequireSecuritySignature (Server):

    • Windows NT-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Registrierungsspeicherort für Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000-Gruppenrichtlinie: Digitales Signieren der Serverkommunikation (immer)
    • Windows Server 2003-Gruppenrichtlinie: Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)

  • Das Gruppenrichtlinienobjekt "RequireSignOrSeal":

    • Windows NT-, Windows 2000- und Windows Server2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinie: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer)
    • Windows Server2003-Gruppenrichtlinie: Domänenmitglied: Digitales Verschlüsseln oder Signieren sicherer Kanaldaten (immer)

  • Das SealSecureChannel-Gruppenrichtlinienobjekt:

    • Windows NT-, Windows 2000- und Windows Server2003-Registrierungsspeicherort: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinie: Sicherer Kanal: Digitales Verschlüsseln sicherer Kanaldaten (sofern möglich)
    • Windows Server 2003-Gruppenrichtlinie: Domänenmitglied: Digitales Verschlüsseln sicherer Kanaldaten (sofern möglich)

  • Das SignSecureChannel-Gruppenrichtlinienobjekt:

    • Registrierungsspeicherort von Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinie: Sicherer Kanal: Digitales Signieren sicherer Kanaldaten (sofern möglich)
    • Windows Server 2003-Gruppenrichtlinie: Domänenmitglied: Digitales Signieren sicherer Kanaldaten (sofern möglich)

  • Das Gruppenrichtlinienobjekt "RequireStrongKey":

    • Registrierungsspeicherort von Windows NT, Windows 2000 und Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-Gruppenrichtlinie: Sicherer Kanal: Erfordern eines starken Sitzungsschlüssels (Windows 2000 oder höher)
    • Windows Server 2003-Gruppenrichtlinie: Domänenmitglied: Erfordern eines starken Sitzungsschlüssels (Windows 2000 oder höher)

Windows Server 2008

Bei einem Domänencontroller, der Windows Server 2008 ausführt, kann das Standardverhalten der mit der Windows NT 4.0-Richtlinieneinstellung kompatiblen Kryptografiealgorithmen zulassen ein Problem verursachen. Diese Einstellung verhindert, dass Sowohl Windows-Betriebssysteme als auch Clients von Drittanbietern schwache Kryptografiealgorithmen verwenden, um NETLOGON-Sicherheitskanäle für Windows Server 2008-basierte Domänencontroller einzurichten.

References

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die Artikel in der Microsoft Knowledge Base anzuzeigen:

823659 Client-, Dienst- und Programminkompatibilitäten, die auftreten können, wenn Sie Sicherheitseinstellungen und Benutzerrechtezuweisungen ändern