Partilhar via

A confiança entre um domínio do Windows NT e um domínio do Active Directory não pode ser estabelecida ou não funciona conforme o esperado

  • Artigo

Este artigo descreve os problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e um domínio baseado no Active Directory.

Número original do KB: 889030

Sintomas

Se você tentar configurar uma relação de confiança entre um domínio baseado no Microsoft Windows NT 4.0 e um domínio baseado no Active Directory, poderá enfrentar um dos seguintes sintomas:

  • A confiança não está estabelecida.
  • A relação de confiança é estabelecida, mas não funciona conforme o esperado.

Além disso, você pode receber qualquer uma das seguintes mensagens de erro:

Ocorreu o seguinte erro ao tentar ingressar no domínio "Domain_Name": A conta não está autorizada a fazer login a partir desta estação.

Acesso negado.

Nenhum controlador de domínio pôde ser contatado.

Falha de logon: nome de usuário desconhecido ou senha incorreta.

Ao usar o seletor de objetos em Usuários e Computadores do Active Directory para adicionar usuários do domínio NT 4.0 ao domínio do Active Directory, você pode receber a seguinte mensagem de erro:

Nenhum item corresponde à pesquisa atual. Verifique seus parâmetros de pesquisa e tente novamente.

Motivo

Esse problema ocorre devido a um problema de configuração em qualquer uma das seguintes áreas:

  • Resolução de nomes
  • Configurações de segurança
  • Direitos do usuário
  • Associação de grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para identificar corretamente a causa do problema, você deve solucionar problemas de configuração de confiança.

Resolução

Se você receber a mensagem de erro "Nenhum item corresponde à pesquisa atual" ao usar o seletor de objetos em Usuários e Computadores do Active Directory, verifique se os controladores de domínio no domínio NT 4.0 incluem Todos no direito de usuário Acessar este computador da rede. Nesse cenário, o seletor de objetos tenta se conectar anonimamente na relação de confiança. Para verificar essas configurações, siga as etapas na seção "Método três: verificar os direitos do usuário".

Para solucionar problemas de configuração de confiança entre um domínio baseado no Windows NT 4.0 e o Active Directory, você deve verificar a configuração correta das seguintes áreas:

  • Resolução de nomes
  • Configurações de segurança
  • Direitos do usuário
  • Associação de grupo para Microsoft Windows 2000 ou Microsoft Windows Server 2003

Para isso, use os métodos a seguir.

Método um: verificar a configuração correta da resolução de nomes

Etapa 1: Criar um arquivo LMHOSTS

Crie um arquivo LMHOSTS nos controladores de domínio primários para fornecer o recurso de resolução de nomes entre domínios. O arquivo LMHOSTS é um arquivo de texto que você pode editar com qualquer editor de texto, como o Bloco de Notas. O arquivo LMHOSTS em cada controlador de domínio deve conter o endereço TCP/IP, o nome de domínio e a entrada \0x1b do outro controlador de domínio.

Depois de criar o arquivo LMHOSTS, siga estas etapas:

  1. Modifique o arquivo para que ele contenha texto semelhante ao seguinte texto:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Observação

    Deve haver um total de 20 caracteres e espaços entre as aspas (" ") para a entrada \0x1b. Adicione espaços após o nome de domínio para que ele use 15 caracteres. O 16º caractere é a barra invertida seguida pelo valor "0x1b", e isso perfaz um total de 20 caracteres.

  2. Quando você concluir as alterações no arquivo LMHOSTS, salve o arquivo na pasta %SystemRoot% \System32\Drivers\Etc nos controladores de domínio. Para obter mais informações sobre o arquivo LMHOSTS, exiba o arquivo de exemplo Lmhosts.sam localizado na pasta %SystemRoot% \System32\Drivers\Etc.

Etapa 2: carregar o arquivo LMHOSTS no cache

  1. Clique em Iniciar, Executar, digite cmde clique em OK.

  2. No prompt de comando, digite NBTSTAT -Re pressione ENTER. Esse comando carrega o arquivo LMHOSTS no cache.

  3. No prompt de comando, digite NBTSTAT -ce pressione ENTER. Esse comando exibe o cache. Se o arquivo for gravado corretamente, o cache será semelhante ao seguinte:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> ÚNICO 1.1.1.1 -1
    NT4PDCName <20> EXCLUSIVO 1.1.1.1 -1
    NT4NomeDoDomínio <1C> GRUPO 1.1.1.1 -1
    NT4NomeDoDomínio <1B> EXCLUSIVO 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> EXCLUSIVO 2.2.2.2 -1
    W2KDomainName <1C> GRUPO 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Se o arquivo não preencher o cache corretamente, continue com a próxima etapa.

Etapa 3: Verifique se a pesquisa LMHOSTS está habilitada no computador baseado no Windows NT 4.0

Se o arquivo não preencher o cache corretamente, verifique se a pesquisa LMHOSTS está habilitada no computador baseado no Windows NT 4.0. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, aponte para Configurações e clique em Painel de Controle.
  2. Clique duas vezes em Redes, clique na guia Protocolos e, em seguida, clique duas vezes em Protocolo TCP/IP.
  3. Clique na guia Endereço do WINS e, em seguida, clique para marcar a caixa de seleção Habilitar pesquisa do LMHOSTS .
  4. Reinicie o computador.
  5. Repita as etapas na seção "Carregar o arquivo LMHOSTS no cache".
  6. Se o arquivo não preencher o cache corretamente, verifique se o arquivo LMHOSTS está na pasta %SystemRoot%\System32\Drivers\Etc e se o arquivo está formatado corretamente.

Por exemplo, o arquivo deve ser formatado de forma semelhante à seguinte formatação de exemplo:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Observação

Deve haver um total de 20 caracteres e espaços entre aspas (" ") para o nome de domínio e a entrada \0x1b.

Etapa 4: Usar o comando Ping para testar a conectividade

Quando o arquivo preencher o cache corretamente em cada servidor, use o Ping comando em cada servidor para testar a conectividade entre os servidores. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, Executar, digite cmde clique em OK.

  2. No prompt de comando, digite Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>e pressione ENTER. Se o Ping comando não funcionar, certifique-se de que os endereços IP corretos estejam listados no arquivo LMHOSTS.

  3. No prompt de comando, digite net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>e pressione ENTER. Espera-se que você receba a seguinte mensagem de erro:

    Ocorreu um erro de sistema 5. Acesso negado

    Se o comando net view retornar a seguinte mensagem de erro ou qualquer outra mensagem de erro relacionada, certifique-se de que os endereços IP corretos estejam listados no arquivo LMHOSTS:

    O erro do sistema 53 ocorreu. O caminho da rede não foi encontrado

Como alternativa, o WINS (Serviço de Cadastramento na Internet) do Windows pode ser configurado para habilitar a funcionalidade de resolução de nomes sem usar um arquivo LMHOSTS.

Método dois: exibir configurações de segurança

Normalmente, o lado do Active Directory da configuração de confiança tem configurações de segurança que causam problemas de conectividade. No entanto, as configurações de segurança devem ser inspecionadas em ambos os lados da confiança.

Etapa 1: Exibir configurações de segurança no Windows 2000 Server e no Windows Server 2003

No Windows 2000 Server e no Windows Server 2003, as configurações de segurança podem ser aplicadas ou definidas pela Diretiva de Grupo, uma diretiva local ou um modelo de segurança aplicado.

Você deve usar as ferramentas corretas para determinar os valores atuais das configurações de segurança para evitar leituras imprecisas.

Para obter uma leitura precisa das configurações de segurança atuais, use os seguintes métodos:

  • No Windows 2000 Server, use o snap-in Configuração e Análise de Segurança.

  • No Windows Server 2003, use o snap-in Configuração e Análise de Segurança ou o snap-in RSoP (Conjunto de Diretivas Resultante).

Depois de determinar as configurações atuais, você deve identificar a política que está aplicando as configurações. Por exemplo, você deve determinar a Diretiva de Grupo no Active Directory ou as configurações locais que definem a diretiva de segurança.

No Windows Server 2003, a diretiva que define os valores de segurança é identificada pela ferramenta RSoP. No entanto, no Windows 2000, você deve exibir a Diretiva de Grupo e a diretiva local para determinar a diretiva que contém as configurações de segurança:

  • Para exibir as configurações de Diretiva de Grupo, você deve habilitar a saída de log para o Cliente de Configuração de Segurança do Microsoft Windows 2000 durante o processamento da Diretiva de Grupo.

  • Exiba o Visualizador de Eventos de login do aplicativo e localize a ID do Evento 1000 e a ID do evento 1202.

As três seções a seguir identificam o sistema operacional e listam as configurações de segurança que você deve verificar para o sistema operacional nas informações coletadas:

Windows 2000

Certifique-se de que as configurações a seguir estejam definidas conforme mostrado.

Restrito Anônimo:

Restrições adicionais para conexões anônimas
 "Nenhuma. Confie nas permissões padrão"

Compatibilidade LM:

Nível de autenticação do LAN Manager "Enviar somente resposta NTLM"

Assinatura SMB, Criptografia SMB ou ambos:

Assine digitalmente as comunicações com o cliente (sempre) DISABLED
Assinar digitalmente as comunicações do cliente (quando possível) ENABLED
Assinar digitalmente as comunicações do servidor (sempre) DISABLED
Assinar digitalmente as comunicações do servidor (quando possível) ENABLED
Canal seguro: criptografar ou assinar digitalmente dados de canal seguro (sempre) DISABLED
Canal seguro: criptografe digitalmente os dados do canal seguro (quando possível) DISABLED
Canal seguro: Assine digitalmente os dados do canal seguro (quando possível) DISABLED
Canal seguro: Exigir chave de sessão forte (Windows 2000 ou posterior) DISABLED
Windows Server 2003

Certifique-se de que as configurações a seguir estejam definidas conforme mostrado.

RestrictAnonymous e RestrictAnonymousSam:

Acesso à rede: permitir SID anônimo/Conversão de nomes ENABLED
Acesso à rede: não permitir enumeração anônima de contas SAM DISABLED
Acesso à rede: Não permitir enumeração anônima de contas SAM e compartilhamentos DISABLED
Acesso à rede: Permitir que as permissões Todos se apliquem a usuários anônimos ENABLED
Acesso à rede: pipes nomeados podem ser acessados anonimamente ENABLED
Acesso à rede: Restringir o acesso anônimo a pipes nomeados e compartilhamentos DISABLED

Observação

Por padrão, o valor da configuração Acesso à rede: Permitir conversão anônima de SID/nome é DESABILITADO no Windows Server 2008.

Compatibilidade LM:

Segurança de rede: Nível de autenticação do LAN Manager "Enviar somente resposta NTLM"

Assinatura SMB, Criptografia SMB ou ambos:

Cliente de rede Microsoft: Assinar comunicações digitalmente (sempre) DISABLED
Cliente de rede Microsoft: Assinar comunicações digitalmente (se o servidor concordar) ENABLED
Servidor de rede Microsoft: assinar comunicações digitalmente (sempre) DISABLED
Servidor de rede Microsoft: assinar comunicações digitalmente (se o cliente concordar) ENABLED
Membro do domínio: Criptografar ou assinar digitalmente os dados de canal seguro (sempre) DISABLED
Membro do domínio: criptografar digitalmente os dados do canal seguro (quando possível) ENABLED
Membro do domínio: assinar digitalmente dados de canal seguro (quando possível) ENABLED
Membro do domínio: Requer uma chave de sessão forte (Windows 2000 ou posterior) DISABLED

Depois que as configurações estiverem configuradas corretamente, você deverá reiniciar o computador. As configurações de segurança não são impostas até que o computador seja reiniciado.

Depois que o computador for reiniciado, aguarde 10 minutos para verificar se todas as diretivas de segurança foram aplicadas e se as configurações efetivas foram definidas. Recomendamos que você aguarde 10 minutos porque as atualizações de política do Active Directory ocorrem a cada 5 minutos em um controlador de domínio e a atualização pode alterar os valores de configuração de segurança. Após 10 minutos, use a Configuração e Análise de Segurança ou outra ferramenta para examinar as configurações de segurança no Windows 2000 e no Windows Server 2003.

Windows NT 4.0

Importante

Esta seção, método ou tarefa contém etapas que descrevem como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com atenção. Para proteção acrescida, faça backup do Registro antes de modificá-lo. Em, é possível restaurar o Registro caso ocorra um problema. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: 322756 Como fazer backup e restaurar o registro no Windows

No Windows NT 4.0, as configurações de segurança atuais devem ser verificadas usando a ferramenta Regedt32 para exibir o Registro. Para fazer isso, siga estas etapas:

  1. Clique em Iniciar, clique em Executar, digite regedt32 e clique em OK.

  2. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada Compatibilidade LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada EnableSecuritySignature (servidor):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada RequireSecuritySignature (servidor):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Expanda as seguintes subchaves do Registro e exiba o valor atribuído à entrada RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Método três: verificar os direitos do usuário

Para verificar os direitos de usuário necessários em um computador baseado no Windows 2000, siga estas etapas:

  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Política de Segurança Local.
  2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.
  3. No painel direito, clique duas vezes em Acessar este computador da rede.
  4. Clique para marcar a caixa de seleção Configuração de Diretiva Local ao lado do grupo Todos na lista Atribuído a e clique em OK.
  5. Clique duas vezes em Negar acesso a este computador a partir da rede.
  6. Verifique se não há grupos principais na lista Atribuído a e clique em OK. Por exemplo, certifique-se de que Todos, Usuários Autenticados e outros grupos não estejam listados.
  7. Clique em OK e saia da Política de Segurança Local.

Para verificar os direitos de usuário necessários em um computador baseado no Windows Server 2003, siga estas etapas:

  1. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Política de Segurança do Controlador de Domínio.

  2. Expanda Políticas Locais e clique em Atribuição de Direitos de Usuário.

  3. No painel direito, clique duas vezes em Acessar este computador da rede.

  4. Verifique se o grupo Todos está na lista Acessar este computador na rede .

    Se o grupo Todos não estiver listado, siga estas etapas:

    1. Clique em Adicionar Usuário ou Grupo.
    2. Na caixa Nomes de usuário e grupo, digite Todos e clique em OK.

  5. Clique duas vezes em Negar acesso a este computador a partir da rede.

  6. Verifique se não há grupos principais na lista Negar acesso a este computador na lista de rede e clique em OK. Por exemplo, certifique-se de que Todos, Usuários Autenticados e outros grupos não estejam listados.

  7. Clique em OK e feche a Política de Segurança do Controlador de Domínio.

Para verificar os direitos de usuário necessários em um computador baseado no Windows NT Server 4.0, siga estas etapas:

  1. Clique em Iniciar, aponte para Programas, aponte para Ferramentas Administrativas e clique em Gerenciador de Usuários para Domínios.

  2. No menu Políticas , clique em Direitos do Usuário.

  3. Na lista Direita, clique em Acessar este computador da rede.

  4. Na caixa Conceder a, verifique se o grupo Todos foi adicionado.

    Se o grupo Todos não for adicionado, siga estas etapas:

    1. Clique em Adicionar.
    2. Na lista Nomes, clique em Todos, clique em Adicionar e clique em OK.

  5. Clique em OK e saia do Gerenciador de usuários.

Método quatro: verificar a associação ao grupo

Se uma relação de confiança for configurada entre os domínios, mas você não puder adicionar grupos de usuários principais de um domínio para o outro porque a caixa de diálogo não localiza os outros objetos de domínio, o grupo "Acesso compatível com versões anteriores ao Windows 2000" poderá não ter a associação correta.

Nos controladores de domínio baseados no Windows 2000 e nos controladores de domínio baseados no Windows Server 2003, verifique se as associações de grupo necessárias estão configuradas.

Para fazer isso nos controladores de domínio baseados no Windows 2000, siga estas etapas:

  1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Clique em Interno e clique duas vezes em Grupo de acesso compatível com pré-Windows 2000.

  3. Clique na guia Membros e verifique se o grupo Todos está na lista Membros .

  4. Se o grupo Todos não estiver na lista Membros , siga estas etapas:

    1. Clique em Iniciar, Executar, digite cmde clique em OK.
    2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde pressione ENTER.

Para garantir que as associações de grupo necessárias estejam configuradas nos controladores de domínio baseados no Windows Server 2003, você deve saber se a configuração de diretiva "Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos" está desabilitada. Se você não souber, use o Editor de Objeto de Política de Grupo para determinar o estado da configuração de política "Acesso à rede: permitir que todos se apliquem a usuários anônimos". Para fazer isso, siga estas etapas:

  1. Clique em Iniciar e em Executar, digite gpedit.msc e clique em OK.

  2. Expanda as seguintes pastas:

    Política de Computador Local
    Configurações do Computador
    Configurações do Windows
    Configurações de Segurança
    Políticas locais

  3. Clique em Opções de Segurança e, em seguida, clique em Acesso à rede: permitir que as permissões de Todos se apliquem a usuários anônimos no painel direito.

  4. Observe se o valor na coluna Configuração de Segurança for Desabilitado ou Habilitado.

Para garantir que as associações de grupo necessárias estejam configuradas nos controladores de domínio baseados no Windows Server 2003, siga estas etapas:

  1. Clique em Iniciar, aponte para Programas, Ferramentas administrativas e clique em Usuários e computadores do Active Directory.

  2. Clique em Interno e clique duas vezes em Grupo de acesso compatível com pré-Windows 2000.

  3. Clique na guia Membros .

  4. Se a configuração de política Acesso à rede: permitir que as permissões de Todos se apliquem a usuários anônimos estiver desabilitada , verifique se o grupo Todos, Logon Anônimo está na lista Membros . Se a configuração de política "Acesso à rede: permitir que todas as permissões se apliquem a usuários anônimos" estiver habilitada, verifique se o grupo Todos está na lista Membros .

  5. Se o grupo Todos não estiver na lista Membros , siga estas etapas:

    1. Clique em Iniciar, Executar, digite cmde clique em OK.
    2. No prompt de comando, digite net localgroup "Pre-Windows 2000 Compatible Access" everyone /adde pressione ENTER.

Método cinco: verificar a conectividade por meio de dispositivos de rede, como firewalls, switches ou roteadores

Se você recebeu mensagens de erro semelhantes à seguinte mensagem de erro e verificou que os arquivos LMHOST estão corretos, o problema pode ser causado por um firewall, roteador ou comutador que bloqueou portas entre os controladores de domínio:

Nenhum controlador de domínio pôde ser contatado

Para solucionar problemas de dispositivos de rede, use o PortQry Command Line Port Scanner versão 2.0 para testar as portas entre seus controladores de domínio.

Para obter mais informações sobre o PortQry versão 2, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:

832919 Novos recursos e funcionalidades no PortQry versão 2.0

Para obter mais informações sobre como as portas devem ser configuradas, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

179442 Como configurar um firewall para domínios e relações de confiança

Método seis: reúna informações adicionais para ajudar a solucionar o problema

Se os métodos anteriores não ajudarem a resolver o problema, colete as seguintes informações adicionais para ajudá-lo a solucionar a causa do problema:

  • Habilite o log do Netlogon em ambos os controladores de domínio. Para obter mais informações sobre como concluir o log do Netlogon, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft: 109626 Habilitando o log de depuração para o serviço de Logon de Rede

  • Capture um rastreamento em ambos os controladores de domínio ao mesmo tempo em que o problema ocorre.

Mais informações

A seguinte lista de objetos de Diretiva de Grupo (GPOs) fornece o local da entrada do Registro correspondente e da Diretiva de Grupo nos sistemas operacionais aplicáveis:

  • O GPO RestrictAnonymous:

    • Local do Registro do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Local do Registro do Windows 2000 e do Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de Grupo do Windows 2000: Configuração do Computador\Configurações do Windows\Configurações de Segurança\ Opções de Segurança Restrições adicionais para conexões anônimas
    • Diretiva de Grupo do Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM

  • O GPO RestrictAnonymousSAM:

    • Local do Registro do Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de Grupo do Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança Opções de Segurança Acesso à rede: Não permitir enumeração anônima de contas e compartilhamentos do SAM

  • O GPO EveryoneIncludesAnonymous:

    • Local do Registro do Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Diretiva de Grupo do Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança Acesso à rede: permitir que as permissões de Todos se apliquem a usuários anônimos

  • O GPO de compatibilidade do LM:

    • Local do Registro do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Política de Grupo do Windows 2000: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança: nível de autenticação do LAN Manager

    • Diretiva de Grupo do Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança\Segurança de rede: nível de autenticação do LAN Manager

  • O GPO EnableSecuritySignature (cliente):

    • Local do Registro do Windows 2000 e do Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Diretiva de Grupo do Windows 2000: Configuração do Computador\Configurações do Windows\Configurações de Segurança \Opções de Segurança: Assinar digitalmente a comunicação do cliente (quando possível)
    • Diretiva de Grupo do Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança\Cliente de rede da Microsoft: assinar digitalmente as comunicações (se o servidor concordar)

  • O GPO RequireSecuritySignature (cliente):

    • Local do Registro do Windows 2000 e do Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Diretiva de Grupo do Windows 2000: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança: Assinar digitalmente a comunicação do cliente (sempre)
    • Windows Server 2003: Configuração do Computador\Configurações do Windows\Configurações de Segurança\Opções de Segurança\Cliente de rede da Microsoft: assinar digitalmente as comunicações (sempre)

  • O GPO EnableSecuritySignature (servidor):

    • Local do Registro do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Local do Registro do Windows 2000 e do Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Diretiva de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (quando possível)
    • Diretiva de Grupo do Windows Server 2003: Servidor de rede da Microsoft: assinar digitalmente as comunicações (se o cliente concordar)

  • O GPO RequireSecuritySignature (servidor):

    • Local do Registro do Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Local do Registro do Windows 2000 e do Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Diretiva de Grupo do Windows 2000: assinar digitalmente a comunicação do servidor (sempre)
    • Diretiva de Grupo do Windows Server 2003: Servidor de rede da Microsoft: assinar digitalmente as comunicações (sempre)

  • O GPO RequireSignOrSeal:

    • Local do Registro do Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de Grupo do Windows 2000: criptografar ou assinar digitalmente dados de canal seguro (sempre)
    • Diretiva de Grupo do Windows Server 2003: Membro do domínio: criptografar ou assinar digitalmente dados de canal seguro (sempre)

  • O GPO SealSecureChannel:

    • Local do Registro do Windows NT, Windows 2000 e Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de Grupo do Windows 2000: Canal seguro: criptografar digitalmente os dados do canal seguro (quando possível)
    • Diretiva de Grupo do Windows Server 2003: Membro do domínio: criptografar digitalmente dados de canal seguro (quando possível)

  • O GPO SignSecureChannel:

    • Local do Registro do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de Grupo do Windows 2000: Canal seguro: assinar digitalmente dados de canal seguro (quando possível)
    • Diretiva de Grupo do Windows Server 2003: Membro do domínio: assinar digitalmente dados de canal seguro (quando possível)

  • O GPO RequireStrongKey:

    • Local do Registro do Windows NT, Windows 2000 e Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Diretiva de Grupo do Windows 2000: Canal seguro: Exigir chave de sessão forte (Windows 2000 ou posterior)
    • Diretiva de Grupo do Windows Server 2003: Membro do domínio: Exigir chave de sessão forte (Windows 2000 ou posterior)

Windows Server 2008

Em um controlador de domínio que esteja executando o Windows Server 2008, o comportamento padrão da configuração de diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 pode causar um problema. Essa configuração impede que os sistemas operacionais Windows e os clientes de terceiros usem algoritmos de criptografia fracos para estabelecer canais de segurança NETLOGON para controladores de domínio baseados no Windows Server 2008.

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:

823659 Incompatibilidades de cliente, serviço e programa que podem ocorrer quando você modifica as configurações de segurança e as atribuições de direitos do usuário