Delen via

Vertrouwen tussen een Windows NT-domein en een Active Directory-domein kan niet tot stand worden gebracht of werkt niet zoals verwacht

  • Artikel

In dit artikel worden de problemen met de vertrouwensconfiguratie tussen een windows NT 4.0-domein en een op Active Directory gebaseerd domein beschreven.

Oorspronkelijk KB-nummer: 889030

Symptomen

Als u probeert een vertrouwensrelatie in te stellen tussen een op Microsoft Windows NT 4.0 gebaseerd domein en een op Active Directory gebaseerd domein, kunt u een van de volgende symptomen ondervinden:

  • De vertrouwensrelatie is niet tot stand gebracht.
  • De vertrouwensrelatie is tot stand gebracht, maar de vertrouwensrelatie werkt niet zoals verwacht.

Daarnaast kunt u een van de volgende foutberichten ontvangen:

De volgende fout is opgetreden tijdens een poging om lid te worden van het domein 'Domain_Name': het account is niet gemachtigd om u aan te melden vanaf dit station.

Toegang wordt geweigerd.

Er kan geen verbinding worden gemaakt met de domeincontroller.

Aanmeldingsfout: onbekende gebruikersnaam of ongeldig wachtwoord.

Wanneer u de objectkiezer in Active Directory gebruikt om gebruikers uit het domein NT 4.0 toe te voegen aan het Active Directory-domein, wordt mogelijk het volgende foutbericht weergegeven:

Er komen geen items overeen met de huidige zoekopdracht. Controleer uw zoekparameters en probeer het opnieuw.

Oorzaak

Dit probleem treedt op vanwege een configuratieprobleem op een van de volgende gebieden:

  • Naamomzetting
  • Beveiligingsinstellingen
  • Gebruikersrechten
  • Groepslidmaatschap voor Microsoft Windows 2000 of Microsoft Windows Server 2003

Als u de oorzaak van het probleem correct wilt identificeren, moet u de vertrouwensconfiguratie oplossen.

Oplossing

Als u het foutbericht 'Geen items overeenkomen met de huidige zoekopdracht' ontvangt wanneer u de objectkiezer in Active Directory gebruikt, moet u ervoor zorgen dat de domeincontrollers in het domein NT 4.0 iedereen in de toegang tot deze computer opnemen via het gebruikersrecht van het netwerk. In dit scenario probeert de objectkiezer anoniem verbinding te maken tussen de vertrouwensrelatie. Volg de stappen in de sectie 'Methode drie: De gebruikersrechten verifiëren' om deze instellingen te controleren.

Als u vertrouwensconfiguratieproblemen tussen een windows NT 4.0-domein en Active Directory wilt oplossen, moet u de juiste configuratie van de volgende gebieden controleren:

  • Naamomzetting
  • Beveiligingsinstellingen
  • Gebruikersrechten
  • Groepslidmaatschap voor Microsoft Windows 2000 of Microsoft Windows Server 2003

Gebruik hiervoor de volgende methoden.

Methode één: de juiste configuratie van naamomzetting controleren

Stap 1: Een LMHOSTS-bestand maken

Maak een LMHOSTS-bestand op de primaire domeincontrollers om de mogelijkheid voor het omzetten van meerdere domeinnamen te bieden. Het LMHOSTS-bestand is een tekstbestand dat u kunt bewerken met elke teksteditor, zoals Kladblok. Het LMHOSTS-bestand op elke domeincontroller moet het TCP/IP-adres, de domeinnaam en de vermelding \0x1b van de andere domeincontroller bevatten.

Nadat u het LMHOSTS-bestand hebt gemaakt, voert u de volgende stappen uit:

  1. Wijzig het bestand zodat het tekst bevat die vergelijkbaar is met de volgende tekst:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Notitie

    Er moeten in totaal 20 tekens en spaties tussen de aanhalingstekens (" ") staan voor de vermelding \0x1b. Voeg spaties toe na de domeinnaam, zodat deze 15 tekens gebruikt. Het 16e teken is de backslash die wordt gevolgd door de waarde '0x1b', en dit maakt in totaal 20 tekens.

  2. Wanneer u klaar bent met de wijzigingen in het LMHOSTS-bestand, slaat u het bestand op in de map %SystemRoot% \System32\Drivers\Etc op de domeincontrollers. Bekijk het lmhosts.sam-voorbeeldbestand in de map %SystemRoot% \System32\Drivers\Etc voor meer informatie over het LMHOSTS-bestand.

Stap 2: Het LMHOSTS-bestand in de cache laden

  1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.

  2. Typ NBTSTAT -Rbij de opdrachtprompt en druk op Enter. Met deze opdracht wordt het LMHOSTS-bestand in de cache geladen.

  3. Typ NBTSTAT -cbij de opdrachtprompt en druk op Enter. Met deze opdracht wordt de cache weergegeven. Als het bestand correct is geschreven, ziet de cache er ongeveer als volgt uit:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Als het bestand de cache niet correct vult, gaat u verder met de volgende stap.

Stap 3: Zorg ervoor dat de LMHOSTS-zoekactie is ingeschakeld op de Windows NT 4.0-computer

Als het bestand de cache niet correct vult, controleert u of LMHOSTS-zoekactie is ingeschakeld op de Windows NT 4.0-computer. Hiervoor volgt u deze stappen:

  1. Klik op Start, wijs Instellingen aan en klik vervolgens op Configuratiescherm.
  2. Dubbelklik op Netwerken, klik op het tabblad Protocollen en dubbelklik vervolgens op TCP/IP-protocol.
  3. Klik op het tabblad WINS-adres en klik vervolgens om het selectievakje LMHOSTS Lookup inschakelen in te schakelen.
  4. Start de computer opnieuw op.
  5. Herhaal de stappen in de sectie LMHOSTS-bestand in de cache laden.
  6. Als het bestand de cache niet correct vult, controleert u of het LMHOSTS-bestand zich in de map %SystemRoot%\System32\Drivers\Etc bevindt en of het bestand juist is opgemaakt.

Het bestand moet bijvoorbeeld worden opgemaakt zoals in de volgende voorbeeldopmaak:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Notitie

Er moeten in totaal 20 tekens en spaties tussen de aanhalingstekens (" ") staan voor de domeinnaam en \0x1b vermelding.

Stap 4: de ping-opdracht gebruiken om de connectiviteit te testen

Wanneer het bestand de cache op elke server correct vult, gebruikt u de Ping opdracht op elke server om de connectiviteit tussen de servers te testen. Hiervoor volgt u deze stappen:

  1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.

  2. Typ Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>bij de opdrachtprompt en druk op Enter. Als de Ping opdracht niet werkt, controleert u of de juiste IP-adressen worden vermeld in het LMHOSTS-bestand.

  3. Typ net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>bij de opdrachtprompt en druk op Enter. Er wordt verwacht dat u het volgende foutbericht ontvangt:

    Systeemfout 5 heeft zich voorgedaan. Toegang is geweigerd.

    Als de net view-opdracht het volgende foutbericht of een ander gerelateerd foutbericht retourneert, controleert u of de juiste IP-adressen worden vermeld in het LMHOSTS-bestand:

    Systeemfout 53 is opgetreden. Het netwerkpad is niet gevonden

Windows Internet Name Service (WINS) kan ook worden geconfigureerd om de functionaliteit voor naamomzetting in te schakelen zonder een LMHOSTS-bestand te gebruiken.

Methode 2: Beveiligingsinstellingen weergeven

Normaal gesproken heeft de Active Directory-zijde van de vertrouwensconfiguratie beveiligingsinstellingen die verbindingsproblemen veroorzaken. De beveiligingsinstellingen moeten echter aan beide zijden van de vertrouwensrelatie worden gecontroleerd.

Stap 1: Beveiligingsinstellingen weergeven op Windows 2000 Server en Windows Server 2003

In Windows 2000 Server en Windows Server 2003 kunnen de beveiligingsinstellingen worden toegepast of geconfigureerd door groepsbeleid, een lokaal beleid of een toegepaste beveiligingssjabloon.

U moet de juiste hulpprogramma's gebruiken om de huidige waarden van de beveiligingsinstellingen te bepalen om onjuiste metingen te voorkomen.

Gebruik de volgende methoden om een nauwkeurige lezing van de huidige beveiligingsinstellingen te verkrijgen:

  • Gebruik in Windows 2000 Server de module Beveiligingsconfiguratie en -analyse.

  • Gebruik in Windows Server 2003 de module Beveiligingsconfiguratie en -analyse of de module Resulterende set beleidsregels (RSoP).

Nadat u de huidige instellingen hebt vastgesteld, moet u het beleid identificeren dat de instellingen toepast. U moet bijvoorbeeld het groepsbeleid in Active Directory bepalen of de lokale instellingen die het beveiligingsbeleid instellen.

In Windows Server 2003 wordt het beleid waarmee de beveiligingswaarden worden ingesteld geïdentificeerd door het hulpprogramma RSoP. In Windows 2000 moet u echter het groepsbeleid en het lokale beleid weergeven om het beleid te bepalen dat de beveiligingsinstellingen bevat:

  • Als u de groepsbeleidsinstellingen wilt weergeven, moet u logboekuitvoer inschakelen voor de Microsoft Windows 2000-beveiligingsconfiguratieclient tijdens de verwerking van groepsbeleid.

  • Bekijk de aanmeldingsgegevens van de toepassing Logboeken en zoek gebeurtenis-id 1000 en gebeurtenis-id 1202.

In de volgende drie secties worden het besturingssysteem geïdentificeerd en worden de beveiligingsinstellingen vermeld die u moet controleren op het besturingssysteem in de informatie die u hebt verzameld:

Windows 2000

Zorg ervoor dat de volgende instellingen zijn geconfigureerd zoals weergegeven.

RestrictAnonymous:

Aanvullende beperkingen voor anonieme verbindingen
 Geen. Vertrouwen op standaardmachtigingen"

LM-compatibiliteit:

LAN Manager-verificatieniveau "Alleen NTLM-antwoord verzenden"

SMB-ondertekening, SMB-versleuteling of beide:

Clientcommunicatie digitaal ondertekenen (altijd) UITGESCHAKELD
Clientcommunicatie digitaal ondertekenen (indien mogelijk) INGESCHAKELD
Servercommunicatie digitaal ondertekenen (altijd) UITGESCHAKELD
Servercommunicatie digitaal ondertekenen (indien mogelijk) INGESCHAKELD
Beveiligd kanaal: Gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd) UITGESCHAKELD
Beveiligd kanaal: Gegevens van beveiligde kanalen digitaal versleutelen (indien mogelijk) UITGESCHAKELD
Beveiligd kanaal: Gegevens van beveiligde kanalen digitaal ondertekenen (indien mogelijk) UITGESCHAKELD
Beveiligd kanaal: Sterke sessiesleutel (Windows 2000 of hoger) vereisen UITGESCHAKELD
Windows Server 2003

Zorg ervoor dat de volgende instellingen zijn geconfigureerd zoals weergegeven.

RestrictAnonymous en RestrictAnonymousSam:

Netwerktoegang: anonieme SID/naamomzetting toestaan INGESCHAKELD
Netwerktoegang: geen anonieme inventarisatie van SAM-accounts toestaan UITGESCHAKELD
Netwerktoegang: geen anonieme inventarisatie van SAM-accounts en shares toestaan UITGESCHAKELD
Netwerktoegang: machtigingen voor Iedereen toepassen op anonieme gebruikers INGESCHAKELD
Netwerktoegang: benoemde pijpen kunnen anoniem worden geopend INGESCHAKELD
Netwerktoegang: anonieme toegang tot Named Pipes en shares beperken UITGESCHAKELD

Notitie

Standaard is de waarde van de netwerktoegang: anonieme SID/naamomzettingsinstelling toestaan is uitgeschakeld in Windows Server 2008.

LM-compatibiliteit:

Netwerkbeveiliging: LAN Manager-authenticatieniveau "Alleen NTLM-antwoord verzenden"

SMB-ondertekening, SMB-versleuteling of beide:

Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (altijd) UITGESCHAKELD
Microsoft-netwerkclient: clientcommunicatie digitaal ondertekenen (indien mogelijk) INGESCHAKELD
Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (altijd) UITGESCHAKELD
Microsoft-netwerkserver: servercommunicatie digitaal ondertekenen (indien mogelijk) INGESCHAKELD
Lid van domein: gegevens in beveiligd kanaal digitaal versleutelen of ondertekenen (altijd) UITGESCHAKELD
Domeinlid: Gegevens van beveiligde kanalen digitaal versleutelen (indien mogelijk) INGESCHAKELD
Domeinlid: Gegevens van beveiligde kanalen digitaal ondertekenen (indien mogelijk) INGESCHAKELD
Lid van domein: sterke sessiesleutel verplicht (Windows 2000 of hoger) UITGESCHAKELD

Nadat de instellingen correct zijn geconfigureerd, moet u de computer opnieuw opstarten. De beveiligingsinstellingen worden pas afgedwongen nadat de computer opnieuw is opgestart.

Nadat de computer opnieuw is opgestart, wacht u tien minuten om ervoor te zorgen dat alle beveiligingsbeleidsregels worden toegepast en de effectieve instellingen zijn geconfigureerd. U wordt aangeraden tien minuten te wachten omdat active Directory-beleidsupdates elke 5 minuten plaatsvinden op een domeincontroller en de update de waarden voor de beveiligingsinstelling kan wijzigen. Gebruik na tien minuten beveiligingsconfiguratie en -analyse of een ander hulpprogramma om de beveiligingsinstellingen in Windows 2000 en Windows Server 2003 te onderzoeken.

Windows NT 4.0

Belangrijk

Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Zorg er daarom voor dat u de volgende stappen zorgvuldig volgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. U kunt dan het register herstellen als er een probleem optreedt. Klik op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie over het maken van een back-up en het herstellen van het register: 322756 Een back-up maken en het register herstellen in Windows

In Windows NT 4.0 moeten de huidige beveiligingsinstellingen worden geverifieerd met het hulpprogramma Regedt32 om het register weer te geven. Hiervoor volgt u deze stappen:

  1. Klik op Start, klik op Uitvoeren, typ regedt32 en klik vervolgens op OK.

  2. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de LM-compatibiliteitsvermelding:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding EnableSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding RequireSecuritySignature (server):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Vouw de volgende registersubsleutels uit en bekijk vervolgens de waarde die is toegewezen aan de vermelding RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Methode drie: de gebruikersrechten controleren

Voer de volgende stappen uit om de vereiste gebruikersrechten op een Windows 2000-computer te controleren:

  1. Klik op Start, ga naar Programma's, ga naar Systeembeheer en klik vervolgens op Lokaal beveiligingsbeleid.
  2. Vouw Lokaal beleid uit en klik vervolgens op Toewijzing van gebruikersrechten.
  3. Dubbelklik in het rechterdeelvenster op Deze computer openen vanuit het netwerk.
  4. Klik om het selectievakje Lokale beleidsinstelling in te schakelen naast de groep Iedereen in de lijst Toegewezen aan en klik vervolgens op OK.
  5. Dubbelklik op Toegang tot deze computer weigeren vanuit het netwerk.
  6. Controleer of er geen principegroepen in de lijst Toegewezen aan staan en klik op OK. Zorg er bijvoorbeeld voor dat iedereen, geverifieerde gebruikers en andere groepen niet worden vermeld.
  7. Klik op OK en sluit lokaal beveiligingsbeleid af.

Voer de volgende stappen uit om de vereiste gebruikersrechten op een Windows Server 2003-computer te controleren:

  1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Beveiligingsbeleid voor domeincontrollers.

  2. Vouw Lokaal beleid uit en klik vervolgens op Toewijzing van gebruikersrechten.

  3. Dubbelklik in het rechterdeelvenster op Deze computer openen vanuit het netwerk.

  4. Zorg ervoor dat de groep Iedereen zich in de toegang tot deze computer bevindt vanuit de netwerklijst .

    Als de groep Iedereen niet wordt weergegeven, voert u de volgende stappen uit:

    1. Klik op Gebruiker of groep toevoegen.
    2. Typ iedereen in het vak Gebruikers- en groepsnamen en klik vervolgens op OK.

  5. Dubbelklik op Toegang tot deze computer weigeren vanuit het netwerk.

  6. Controleer of er geen principegroepen zijn in de toegang tot deze computer weigeren vanuit de netwerklijst en klik vervolgens op OK. Zorg er bijvoorbeeld voor dat iedereen, geverifieerde gebruikers en andere groepen niet worden vermeld.

  7. Klik op OK en sluit het beveiligingsbeleid voor de domeincontroller.

Voer de volgende stappen uit om de vereiste gebruikersrechten op een windows NT Server 4.0-computer te controleren:

  1. Klik op Start, wijs Programma's aan, wijs Systeembeheer aan en klik vervolgens op User Manager voor domeinen.

  2. Klik in het menu Beleid op Gebruikersrechten.

  3. Klik in de lijst rechts op Deze computer openen vanuit het netwerk.

  4. Zorg ervoor dat de groep Iedereen is toegevoegd in het vak Verlenen aan .

    Als de groep Iedereen niet is toegevoegd, voert u de volgende stappen uit:

    1. Klik op Toevoegen.
    2. Klik in de lijst Namen op Iedereen, klik op Toevoegen en klik vervolgens op OK.

  5. Klik op OK en sluit Vervolgens User Manager af.

Methode vier: Groepslidmaatschap verifiëren

Als er een vertrouwensrelatie tussen de domeinen is ingesteld, maar u geen principegebruikersgroepen van het ene domein aan het andere domein kunt toevoegen, omdat het dialoogvenster de andere domeinobjecten niet vindt, heeft de groep 'Pre-Windows 2000 compatibele toegang' mogelijk niet het juiste lidmaatschap.

Zorg ervoor dat de vereiste groepslidmaatschappen zijn geconfigureerd op de domeincontrollers op basis van Windows 2000 en de domeincontrollers op basis van Windows 2000.

Volg deze stappen om dit te doen op de op Windows 2000 gebaseerde domeincontrollers:

  1. Klik op Start, wijs naar Programma's, wijs naar Beheerprogramma's en klik vervolgens op Active Directory: gebruikers en computers.

  2. Klik op Ingebouwd en dubbelklik vervolgens op Pre-Windows 2000 compatibele toegangsgroep.

  3. Klik op het tabblad Leden en zorg ervoor dat de groep Iedereen in de lijst Leden staat.

  4. Als de groep Iedereen zich niet in de lijst Leden bevindt, voert u de volgende stappen uit:

    1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.
    2. Typ net localgroup "Pre-Windows 2000 Compatible Access" everyone /addbij de opdrachtprompt en druk op Enter.

Om ervoor te zorgen dat de vereiste groepslidmaatschappen zijn geconfigureerd op de windows Server 2003-domeincontrollers, moet u weten of de beleidsinstelling 'Netwerktoegang: Iedereen machtigingen toepassen op anonieme gebruikers' is uitgeschakeld. Als u het niet weet, gebruikt u de groepsbeleidsobjecteditor om de status van de beleidsinstelling 'Netwerktoegang: Iedereen machtigingen toepassen op anonieme gebruikers' te bepalen. Hiervoor volgt u deze stappen:

  1. Klik op Start, klik op Uitvoeren, typ gpedit.msc en klik vervolgens op OK.

  2. Vouw de volgende mappen uit:

    Beleid voor lokale computers
    Computerconfiguratie
    Windows-instellingen
    Beveiligingsinstellingen
    Lokaal beleid

  3. Klik op Beveiligingsopties en klik vervolgens op Netwerktoegang: Iedereen machtigingen laten toepassen op anonieme gebruikers in het rechterdeelvenster.

  4. Let op: de waarde in de kolom Beveiligingsinstelling is uitgeschakeld of ingeschakeld.

Voer de volgende stappen uit om ervoor te zorgen dat de vereiste groepslidmaatschappen zijn geconfigureerd op de domeincontrollers op basis van Windows Server 2003:

  1. Klik op Start, wijs naar Programma's, wijs naar Beheerprogramma's en klik vervolgens op Active Directory: gebruikers en computers.

  2. Klik op Ingebouwd en dubbelklik vervolgens op Pre-Windows 2000 compatibele toegangsgroep.

  3. Klik op het tabblad Leden .

  4. Als de netwerktoegang: Iedereen machtigingen laten toepassen op de beleidsinstelling anonieme gebruikers is uitgeschakeld, moet u ervoor zorgen dat de groep Iedereen, Anonieme aanmelding zich in de lijst Leden bevindt. Als de beleidsinstelling 'Netwerktoegang: Iedereen machtigingen toepassen op anonieme gebruikers' is ingeschakeld, moet u ervoor zorgen dat de groep Iedereen in de lijst Leden staat.

  5. Als de groep Iedereen zich niet in de lijst Leden bevindt, voert u de volgende stappen uit:

    1. Klik op Start, klik op Uitvoeren, typ cmd en klik vervolgens op OK.
    2. Typ net localgroup "Pre-Windows 2000 Compatible Access" everyone /addbij de opdrachtprompt en druk op Enter.

Methode vijf: Connectiviteit verifiëren via netwerkapparaten, zoals firewalls, switches of routers

Als u foutberichten hebt ontvangen die vergelijkbaar zijn met het volgende foutbericht en u hebt gecontroleerd of de LMHOST-bestanden juist zijn, kan het probleem worden veroorzaakt door een firewall, router of switch die geblokkeerde poorten tussen de domeincontrollers heeft:

Er kan geen verbinding worden gemaakt met de domeincontroller

Als u problemen met netwerkapparaten wilt oplossen, gebruikt u PortQry-opdrachtregelpoortscanner versie 2.0 om de poorten tussen uw domeincontrollers te testen.

Klik voor meer informatie over PortQry versie 2 op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

832919 Nieuwe functies en functionaliteit in PortQry versie 2.0

Klik op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie over hoe de poorten moeten worden geconfigureerd:

179442 Een firewall configureren voor domeinen en vertrouwensrelaties

Methode zes: Verzamel aanvullende informatie om het probleem op te lossen

Als de vorige methoden u niet hebben geholpen het probleem op te lossen, verzamelt u de volgende aanvullende informatie om u te helpen de oorzaak van het probleem op te lossen:

  • Schakel Netlogon-logboekregistratie in op beide domeincontrollers. Klik op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven voor meer informatie over het voltooien van Netlogon-logboekregistratie: 109626 Logboekregistratie voor foutopsporing inschakelen voor de Net-aanmeldingsservice

  • Leg een tracering vast op beide domeincontrollers tegelijk dat het probleem optreedt.

Meer informatie

De volgende lijst met groepsbeleidsobjecten (GPO's) biedt de locatie van de bijbehorende registervermelding en het groepsbeleid in de toepasselijke besturingssystemen:

  • Het GPO RestrictAnonymous:

    • Windows NT-registerlocatie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Registerlocatie voor Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Groepsbeleid voor Windows 2000: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\ Beveiligingsopties Aanvullende beperkingen voor anonieme verbindingen
    • Groepsbeleid voor Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Netwerktoegang tot beveiligingsopties: anonieme inventarisatie van SAM-accounts en -shares niet toestaan

  • Het GPO RestrictAnonymousSAM:

    • Windows Server 2003-registerlocatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Groepsbeleid voor Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen Netwerktoegang: anonieme inventarisatie van SAM-accounts en -shares niet toestaan

  • Het GPO EveryoneIncludesAnonymous:

    • Windows Server 2003-registerlocatie: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Groepsbeleid voor Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Netwerktoegang voor beveiligingsopties: Iedereen machtigingen toepassen op anonieme gebruikers

  • Het GPO voor LM-compatibiliteit:

    • Registerlocatie voor Windows NT, Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Groepsbeleid voor Windows 2000: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Beveiligingsopties: LAN Manager-verificatieniveau

    • Groepsbeleid voor Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Beveiligingsopties\Netwerkbeveiliging: LAN Manager-verificatieniveau

  • Het groepsbeleidsobject EnableSecuritySignature (client):

    • Registerlocatie voor Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Groepsbeleid voor Windows 2000: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen \Beveiligingsopties: clientcommunicatie digitaal ondertekenen (indien mogelijk)
    • Groepsbeleid voor Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Beveiligingsopties\Microsoft-netwerkclient: communicatie digitaal ondertekenen (als de server akkoord gaat)

  • Het GPO RequireSecuritySignature (client):

    • Registerlocatie voor Windows 2000 en Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Groepsbeleid voor Windows 2000: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Beveiligingsopties: Clientcommunicatie digitaal ondertekenen (altijd)
    • Windows Server 2003: Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen\Beveiligingsopties\Microsoft-netwerkclient: Communicatie digitaal ondertekenen (altijd)

  • Het groepsbeleidsobject EnableSecuritySignature (server):

    • Windows NT-registerlocatie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Registerlocatie voor Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000-groepsbeleid: servercommunicatie digitaal ondertekenen (indien mogelijk)
    • Groepsbeleid voor Windows Server 2003: Microsoft-netwerkserver: Communicatie digitaal ondertekenen (als de client akkoord gaat)

  • Het GPO RequireSecuritySignature (server):

    • Windows NT-registerlocatie: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Registerlocatie voor Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000-groepsbeleid: servercommunicatie digitaal ondertekenen (altijd)
    • Groepsbeleid voor Windows Server 2003: Microsoft-netwerkserver: Communicatie digitaal ondertekenen (altijd)

  • Het GPO RequireSignOrSeal:

    • Registerlocatie voor Windows NT, Windows 2000 en Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-groepsbeleid: Gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd)
    • Groepsbeleid voor Windows Server2003: Domeinlid: Gegevens van beveiligde kanalen digitaal versleutelen of ondertekenen (altijd)

  • Het GPO SealSecureChannel:

    • Registerlocatie voor Windows NT, Windows 2000 en Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-groepsbeleid: beveiligd kanaal: Gegevens van beveiligde kanalen digitaal versleutelen (indien mogelijk)
    • Groepsbeleid voor Windows Server 2003: Domeinlid: Gegevens van beveiligde kanalen digitaal versleutelen (indien mogelijk)

  • Het GPO SignSecureChannel:

    • Registerlocatie voor Windows NT, Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-groepsbeleid: beveiligd kanaal: Gegevens van beveiligde kanalen digitaal ondertekenen (indien mogelijk)
    • Groepsbeleid voor Windows Server 2003: Lid domein: Veilig kanaalgegevens digitaal ondertekenen (indien mogelijk)

  • Het GPO RequireStrongKey:

    • Registerlocatie voor Windows NT, Windows 2000 en Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000-groepsbeleid: beveiligd kanaal: Sterke sessiesleutel (Windows 2000 of hoger) vereisen
    • Groepsbeleid voor Windows Server 2003: Domeinlid: Sterke sessiesleutel (Windows 2000 of hoger) vereisen

Windows Server 2008

Op een domeincontroller met Windows Server 2008 kan het standaardgedrag van de cryptografiealgoritmen toestaan die compatibel zijn met windows NT 4.0-beleidsinstelling een probleem veroorzaken. Met deze instelling voorkomt u dat zowel Windows-besturingssystemen als clients van derden zwakke cryptografiealgoritmen gebruiken om NETLOGON-beveiligingskanalen tot stand te brengen voor Windows Server 2008-domeincontrollers.

Verwijzingen

Klik voor meer informatie op de volgende artikelnummers om de artikelen in de Microsoft Knowledge Base weer te geven:

823659 client-, service- en programmacompatibiliteit die kan optreden wanneer u beveiligingsinstellingen en toewijzingen van gebruikersrechten wijzigt