Поделиться через

Доверие между доменом Windows NT и доменом Active Directory невозможно установить или не работает должным образом.

  • Статья

В этой статье описываются проблемы с конфигурацией доверия между доменом на основе Windows NT 4.0 и доменом на основе Active Directory.

Исходный номер базы знаний: 889030

Симптомы

Если вы пытаетесь настроить доверие между доменом на основе Microsoft Windows NT 4.0 и доменом на основе Active Directory, может возникнуть любой из следующих симптомов:

  • Доверие не установлено.
  • Доверие устанавливается, но доверие не работает должным образом.

Кроме того, вы можете получить любое из следующих сообщений об ошибках:

Следующая ошибка возникла при попытке присоединиться к домену "Domain_Name": учетная запись не авторизована для входа из этой станции.

Отказано в доступе.

Не удается связаться с контроллером домена.

Сбой входа: неизвестное имя пользователя или неправильный пароль.

При использовании средства выбора объектов в Пользователи и компьютеры Active Directory для добавления пользователей из домена NT 4.0 в домен Active Directory может появиться следующее сообщение об ошибке:

Элементы не соответствуют текущему поиску. Проверьте параметры поиска и повторите попытку.

Причина

Эта проблема возникает из-за проблемы конфигурации в одной из следующих областей:

  • Разрешение имен
  • Параметры безопасности
  • Права пользователя
  • Членство в группах для Microsoft Windows 2000 или Microsoft Windows Server 2003

Чтобы правильно определить причину проблемы, необходимо устранить неполадки в конфигурации доверия.

Решение

Если при использовании средства выбора объектов в Пользователи и компьютеры Active Directory отображается сообщение об ошибке "Элементы не соответствуют текущему поиску", убедитесь, что контроллеры домена в домене NT 4.0 включают всех пользователей в доступ к этому компьютеру право сетевого пользователя. В этом сценарии средство выбора объектов пытается подключиться анонимно через доверие. Чтобы проверить эти параметры, выполните действия, описанные в разделе "Метод 3. Проверка прав пользователя".

Чтобы устранить проблемы с конфигурацией доверия между доменом windows NT 4.0 и Active Directory, необходимо проверить правильную конфигурацию следующих областей:

  • Разрешение имен
  • Параметры безопасности
  • Права пользователя
  • Членство в группах для Microsoft Windows 2000 или Microsoft Windows Server 2003

Для этого воспользуйтесь указанными ниже методами.

Метод один. Проверка правильной конфигурации разрешения имен

Шаг 1. Создание файла LMHOSTS

Создайте файл LMHOSTS на основных контроллерах домена, чтобы обеспечить возможность разрешения междоменных имен. Файл LMHOSTS — это текстовый файл, который можно редактировать с помощью любого текстового редактора, например Блокнота. Файл LMHOSTS на каждом контроллере домена должен содержать TCP/IP-адрес, доменное имя и запись \0x1b другого контроллера домена.

После создания файла LMHOSTS выполните следующие действия.

  1. Измените файл таким образом, чтобы он содержал текст, аналогичный следующему тексту:

    1.1.1.1 <NT_4_PDC_Name #DOM> :<NT_4_Domain_Name>#PRE
    1.1.1.1 "<NT_4_Domain> \0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name #DOM> :<Windows_2000_Domain_Name>#PRE
    2.2.2.2 "<2000_Domain> \0x1b"#PRE

    Примечание.

    Для записи \0x1b должно быть всего 20 символов и пробелов между кавычками (""). Добавьте пробелы после имени домена, чтобы он использовал 15 символов. 16-й символ — это обратная косая черта, за которой следует значение "0x1b", и это делает в общей сложности 20 символов.

  2. После завершения изменений файла LMHOSTS сохраните файл в папке %SystemRoot% \System32\Drivers\Etc на контроллерах домена. Дополнительные сведения о файле LMHOSTS см. в примере файла Lmhosts.sam, расположенного в папке %SystemRoot% \System32\Drivers\Etc.

Шаг 2. Загрузка файла LMHOSTS в кэш

  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите cmdи нажмите кнопку ОК.

  2. В командной строке введите NBTSTAT -Rи нажмите клавишу ВВОД. Эта команда загружает файл LMHOSTS в кэш.

  3. В командной строке введите NBTSTAT -cи нажмите клавишу ВВОД. Эта команда отображает кэш. Если файл написан правильно, кэш аналогичен следующему:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    Если файл не заполняет кэш правильно, перейдите к следующему шагу.

Шаг 3. Убедитесь, что поиск LMHOSTS включен на компьютере под управлением Windows NT 4.0

Если файл не заполняет кэш правильно, убедитесь, что поиск LMHOSTS включен на компьютере под управлением Windows NT 4.0. Для этого выполните следующие шаги.

  1. Нажмите кнопку "Пуск", наведите указатель на параметры и щелкните панель управления.
  2. Дважды щелкните "Сети", перейдите на вкладку "Протоколы" и дважды щелкните протокол TCP/IP.
  3. Щелкните вкладку "Адрес WINS" и установите флажок "Включить поиск LMHOSTS".
  4. Перезагрузите компьютер.
  5. Повторите действия в разделе "Загрузка файла LMHOSTS в кэш".
  6. Если файл не заполняет кэш правильно, убедитесь, что файл LMHOSTS находится в папке %SystemRoot%\System32\Drivers\Etc и правильно отформатирован.

Например, файл должен быть отформатирован так же, как и в следующем примере форматирования:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \0x1b"#PRE

Примечание.

В кавычках ("") должно быть всего 20 символов и пробелов для записи доменного имени и \0x1b.

Шаг 4. Использование команды Ping для проверки подключения

Когда файл правильно заполняет кэш на каждом сервере, используйте Ping команду на каждом сервере для проверки подключения между серверами. Для этого выполните следующие шаги.

  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите cmdи нажмите кнопку ОК.

  2. В командной строке введите Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>и нажмите клавишу ВВОД. Ping Если команда не работает, убедитесь, что правильные IP-адреса перечислены в файле LMHOSTS.

  3. В командной строке введите net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>и нажмите клавишу ВВОД. Ожидается, что вы получите следующее сообщение об ошибке:

    "Произошла системная ошибка 5. Доступ запрещен

    Если команда net view возвращает следующее сообщение об ошибке или любое другое связанное сообщение об ошибке, убедитесь, что правильные IP-адреса перечислены в файле LMHOSTS:

    Произошла системная ошибка 53. Сетевой путь не найден

Кроме того, службу имен Windows (WINS) можно настроить для включения функций разрешения имен без использования файла LMHOSTS.

Метод два: просмотр параметров безопасности

Как правило, сторона Active Directory в конфигурации доверия имеет параметры безопасности, которые вызывают проблемы с подключением. Однако параметры безопасности должны быть проверены на обеих сторонах доверия.

Шаг 1. Просмотр параметров безопасности в Windows 2000 Server и Windows Server 2003

В Windows 2000 Server и Windows Server 2003 параметры безопасности могут применяться или настраиваться групповой политикой, локальной политикой или примененным шаблоном безопасности.

Чтобы избежать неточных считывания, необходимо использовать правильные средства для определения текущих значений параметров безопасности.

Чтобы получить точное чтение текущих параметров безопасности, используйте следующие методы:

  • В Windows 2000 Server используйте оснастку "Конфигурация безопасности" и "Анализ".

  • В Windows Server 2003 используйте оснастку "Конфигурация безопасности и анализ" или оснастку "Результирующий набор политик" (RSoP).

После определения текущих параметров необходимо определить политику, применяющую параметры. Например, необходимо определить групповую политику в Active Directory или локальные параметры, которые задают политику безопасности.

В Windows Server 2003 политика, которая задает значения безопасности, определяется средством RSoP. Однако в Windows 2000 необходимо просмотреть групповую политику и локальную политику, чтобы определить политику, содержащую параметры безопасности:

  • Чтобы просмотреть параметры групповой политики, необходимо включить выходные данные журнала для клиента конфигурации безопасности Microsoft Windows 2000 во время обработки групповой политики.

  • Просмотрите Просмотр событий входа приложения и найдите идентификатор события 1000 и идентификатор события 1202.

Следующие три раздела определяют операционную систему и перечисляют параметры безопасности, которые необходимо проверить для операционной системы в собранных сведениях:

Windows 2000

Убедитесь, что указанные ниже параметры настроены, как показано ниже.

ОграничитьAnonymous:

Дополнительные ограничения для анонимных подключений
 "Нет. Использование разрешений по умолчанию"

Совместимость LM:

Уровень проверки подлинности LAN Manager "Отправить только ответ NTLM"

Подписывание SMB, шифрование SMB или оба:

Цифровой подписывая клиентские коммуникации (всегда) ОТКЛЮЧЕНО
Цифровой подписывая клиентские коммуникации (когда это возможно) ВКЛЮЧЕНО
Обмен данными сервера цифровой подписи (всегда) ОТКЛЮЧЕНО
Обмен данными сервера цифровой подписи (когда это возможно) ВКЛЮЧЕНО
Безопасный канал: цифровое шифрование или подпись данных безопасного канала (всегда) ОТКЛЮЧЕНО
Безопасный канал: цифровое шифрование данных безопасного канала (когда это возможно) ОТКЛЮЧЕНО
Безопасный канал: цифровая подпись данных безопасного канала (когда это возможно) ОТКЛЮЧЕНО
Безопасный канал: требуется сильный (Windows 2000 или более поздней версии) сеансовый ключ ОТКЛЮЧЕНО
Windows Server 2003

Убедитесь, что указанные ниже параметры настроены, как показано ниже.

RestrictAnonymous и RestrictAnonymousSam:

Сетевой доступ: разрешить трансляцию анонимного SID в имя ВКЛЮЧЕНО
Сетевой доступ: не разрешать перечисление учетных записей SAM анонимными пользователями ОТКЛЮЧЕНО
Сетевой доступ: не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями ОТКЛЮЧЕНО
Сетевой доступ: разрешать применение разрешений «Для всех» к анонимным пользователям ВКЛЮЧЕНО
Доступ к сети: именованные каналы можно получить анонимно ВКЛЮЧЕНО
Сетевой доступ: ограничение анонимного доступа к именованным каналам и общим папкам ОТКЛЮЧЕНО

Примечание.

По умолчанию значение сетевого доступа: разрешить анонимный параметр преобразования sid/Name отключен в Windows Server 2008.

Совместимость LM:

Сетевая безопасность: уровень проверки подлинности LAN Manager "Отправить только ответ NTLM"

Подписывание SMB, шифрование SMB или оба:

Клиент сети Microsoft: использовать цифровую подпись (всегда) ОТКЛЮЧЕНО
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера) ВКЛЮЧЕНО
Сервер сети Microsoft: использовать цифровую подпись (всегда) ОТКЛЮЧЕНО
Сервер сети Microsoft: использовать цифровую подпись (с согласия клиента) ВКЛЮЧЕНО
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала ОТКЛЮЧЕНО
Член домена: цифровое шифрование данных безопасного канала (когда это возможно) ВКЛЮЧЕНО
Член домена: данные безопасного канала цифрового подписывания (когда это возможно) ВКЛЮЧЕНО
Член домена: требовать стойкий сеансовый ключ (Windows 2000 или выше) ОТКЛЮЧЕНО

После правильной настройки параметров необходимо перезагрузить компьютер. Параметры безопасности не применяются, пока компьютер не перезагрузится.

После перезагрузки компьютера подождите 10 минут, чтобы убедиться, что применяются все политики безопасности и настроены действующие параметры. Рекомендуется ждать 10 минут, так как обновления политики Active Directory происходят каждые 5 минут на контроллере домена, а обновление может изменять значения параметров безопасности. Через 10 минут используйте средство настройки безопасности и анализа или другого средства для проверки параметров безопасности в Windows 2000 и Windows Server 2003.

Windows NT 4.0

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому убедитесь, что вы внимательно выполните следующие действия. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт: 322756 Как создать резервную копию и восстановить реестр в Windows.

В Windows NT 4.0 текущие параметры безопасности должны быть проверены с помощью средства Regedt32 для просмотра реестра. Для этого выполните следующие шаги.

  1. Нажмите кнопку "Пуск", нажмите кнопку "Запустить", введите regedt32 и нажмите кнопку "ОК".

  2. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи RestrictAnonymous:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи совместимости LM:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи EnableSecuritySignature (сервер):

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи RequireSecuritySignature (сервер).

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи RequireSignOrSeal:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи SealSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи SignSecureChannel:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. Разверните следующие подразделы реестра и просмотрите значение, назначенное записи RequireStrongKey:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

Метод 3. Проверка прав пользователя

Чтобы проверить необходимые права пользователя на компьютере под управлением Windows 2000, выполните следующие действия.

  1. Нажиме кнопку Пуск, наведите указатель мыши на пункт Программы, а затем — на Администрирование и выберите Локальная политика безопасности.
  2. Разверните локальные политики и выберите пункт "Назначение прав пользователя".
  3. В правой области дважды щелкните Доступ к этому компьютеру из сети.
  4. Установите флажок "Параметр локальной политики" рядом с группой "Все" в списке "Назначено" и нажмите кнопку "ОК".
  5. Дважды щелкните "Запретить доступ к этому компьютеру" из сети.
  6. Убедитесь, что в списке "Назначено" нет групп принципов, а затем нажмите кнопку "ОК". Например, убедитесь, что все пользователи, прошедшие проверку подлинности и другие группы не указаны.
  7. Нажмите кнопку "ОК", а затем закройте локальную политику безопасности.

Чтобы проверить необходимые права пользователя на компьютере под управлением Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку "Пуск", выберите пункт "Администрирование" и выберите политику безопасности контроллера домена.

  2. Разверните локальные политики и выберите пункт "Назначение прав пользователя".

  3. В правой области дважды щелкните Доступ к этому компьютеру из сети.

  4. Убедитесь, что группа "Все" находится на компьютере Access из списка сети .

    Если группа "Все" не указана, выполните следующие действия.

    1. Нажмите кнопку Добавить пользователя или группу.
    2. В поле "Имена пользователей и групп" введите "Все" и нажмите кнопку "ОК".

  5. Дважды щелкните "Запретить доступ к этому компьютеру" из сети.

  6. Убедитесь, что в списке сети нет групп принципов в списке запретов доступа к этому компьютеру, а затем нажмите кнопку "ОК". Например, убедитесь, что все пользователи, прошедшие проверку подлинности и другие группы, не указаны.

  7. Нажмите кнопку "ОК", а затем закройте политику безопасности контроллера домена.

Чтобы проверить необходимые права пользователя на компьютере под управлением Windows NT Server 4.0, выполните следующие действия.

  1. Нажмите кнопку "Пуск", наведите указатель на программы, наведите указатель на администрирование и щелкните "Диспетчер пользователей" для доменов.

  2. В меню "Политики" щелкните "Права пользователя".

  3. В списке справа щелкните Доступ к этому компьютеру из сети.

  4. В поле "Предоставление" убедитесь, что добавлена группа "Все".

    Если группа "Все" не добавлена, выполните следующие действия.

    1. Нажмите кнопку Добавить.
    2. В списке имен нажмите кнопку "Все", нажмите кнопку "Добавить" и нажмите кнопку "ОК".

  5. Нажмите кнопку "ОК", а затем закройте диспетчер пользователей.

Метод четыре. Проверка членства в группах

Если доверие настроено между доменами, но нельзя добавлять группы пользователей принципов из одного домена в другой, так как диалоговое окно не находит другие объекты домена, группа "Доступ с совместимостью с Windows 2000" может не иметь правильного членства.

На контроллерах домена на основе Windows 2000 и контроллерах домена на основе Windows Server 2003 убедитесь, что необходимые членства в группах настроены.

Для этого на контроллерах домена под управлением Windows 2000 выполните следующие действия:

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

  2. Щелкните "Встроенный" и дважды щелкните группу доступа, совместимую с Windows 2000.

  3. Перейдите на вкладку "Участники" , а затем убедитесь, что группа "Все" находится в списке "Участники ".

  4. Если группа "Все" отсутствует в списке участников , выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите команду Выполнить, введите cmdи нажмите кнопку ОК.
    2. В командной строке введите net localgroup "Pre-Windows 2000 Compatible Access" everyone /addи нажмите клавишу ВВОД.

Чтобы убедиться, что необходимые членства в группах настроены на контроллерах домена на основе Windows Server 2003, необходимо знать, отключен ли параметр политики "Сетевой доступ: Разрешить всем разрешениям применяться к анонимным пользователям". Если вы не знаете, используйте редактор объектов групповой политики, чтобы определить состояние параметра политики "Сетевой доступ: разрешить всем разрешения применяться к анонимным пользователям". Для этого выполните следующие шаги.

  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите gpedit.msc и щелкните ОК.

  2. Разверните следующие папки:

    Политика локального компьютера
    Конфигурация компьютера
    Параметры Windows
    Параметры безопасности
    Локальные политики

  3. Нажмите кнопку "Параметры безопасности", а затем нажмите кнопку "Доступ к сети". Разрешить всем пользователям применяться к анонимным пользователям в правой области.

  4. Обратите внимание, что значение в столбце "Параметр безопасности" отключено или включено.

Чтобы убедиться, что необходимые членства в группах настроены на контроллерах домена на основе Windows Server 2003, выполните следующие действия.

  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory — пользователи и компьютеры.

  2. Щелкните "Встроенный" и дважды щелкните группу доступа, совместимую с Windows 2000.

  3. Перейдите на вкладку "Члены ".

  4. Если сетевой доступ: разрешить всем разрешениям применяться к параметру политики анонимных пользователей , убедитесь, что группа "Все", "Анонимный вход" находится в списке участников . Если включен параметр политики "Сетевой доступ: Разрешить всем разрешениям применяться к анонимным пользователям", убедитесь, что группа "Все" находится в списке участников .

  5. Если группа "Все" отсутствует в списке участников , выполните следующие действия:

    1. Нажмите кнопку Пуск, выберите команду Выполнить, введите cmdи нажмите кнопку ОК.
    2. В командной строке введите net localgroup "Pre-Windows 2000 Compatible Access" everyone /addи нажмите клавишу ВВОД.

Метод пять. Проверка подключения через сетевые устройства, такие как брандмауэры, коммутаторы или маршрутизаторы

Если вы получили сообщения об ошибках, аналогичные следующему сообщению об ошибке, и вы проверили правильность файлов LMHOST, проблема может быть вызвана брандмауэром, маршрутизатором или коммутатором, который заблокировал порты между контроллерами домена:

Не удается связаться с контроллером домена

Чтобы устранить неполадки с сетевыми устройствами, используйте сканер портов командной строки PortQry версии 2.0 для проверки портов между контроллерами домена.

Дополнительные сведения о PortQry версии 2 щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:

832919 Новые функции и функции в PortQry версии 2.0

Дополнительные сведения о том, как должны быть настроены порты, щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт:

179442 Настройка брандмауэра для доменов и отношений доверия

Метод шесть. Сбор дополнительных сведений для устранения неполадок

Если предыдущие методы не помогли устранить проблему, соберите следующие дополнительные сведения, чтобы устранить проблему:

  • Включите ведение журнала Netlogon на обоих контроллерах домена. Дополнительные сведения о том, как завершить ведение журнала Netlogon, щелкните следующий номер статьи, чтобы просмотреть статью в Базе знаний Майкрософт: 109626 Включение ведения журнала отладки для службы net Logon

  • Зафиксировать трассировку на обоих контроллерах домена одновременно, когда возникает проблема.

Дополнительная информация

Следующий список объектов групповой политики (ГОП) предоставляет расположение соответствующей записи реестра и групповую политику в применимых операционных системах:

  • Объект групповой политики RestrictAnonymous:

    • Расположение реестра Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Групповая политика Windows 2000: конфигурация компьютера\Параметры Windows\Параметры безопасности\ Дополнительные ограничения для анонимных подключений
    • Групповая политика Windows Server 2003: конфигурация компьютера\Параметры Windows\Параметры безопасности\Сетевой доступ к параметрам безопасности: не разрешать анонимное перечисление учетных записей SAM и общих папок

  • Объект GPO RestrictAnonymousSAM:

    • Расположение реестра Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Групповая политика Windows Server 2003: конфигурация компьютера\Параметры Windows\Доступ к сети параметров безопасности: не разрешайте анонимное перечисление учетных записей SAM и общих папок

  • Объект групповой политики "ВсеIncludesAnonymous":

    • Расположение реестра Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Групповая политика Windows Server 2003: конфигурация компьютера\Параметры Windows\Параметры безопасности\Доступ к сети параметров безопасности: разрешить всем разрешения применяться к анонимным пользователям

  • Объект групповой политики совместимости LM:

    • Расположение реестра Windows NT, Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Групповая политика Windows 2000: конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности: уровень проверки подлинности LAN Manager

    • Групповая политика Windows Server 2003: конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\Сетевая безопасность: уровень проверки подлинности LAN Manager

  • Объект групповой политики EnableSecuritySignature (клиент):

    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Групповая политика Windows 2000: конфигурация компьютера\Параметры windows\Параметры безопасности \Параметры безопасности: обмен данными с клиентом цифрового знака (когда это возможно)
    • Групповая политика Windows Server 2003: конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\клиент сети Майкрософт: цифровой знак связи (если сервер согласен)

  • Объект групповой политики RequireSecuritySignature (клиент):

    • Расположение реестра Windows 2000 и Windows Server 2003: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Групповая политика Windows 2000: конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности: обмен данными клиента цифрового знака (всегда)
    • Windows Server 2003: конфигурация компьютера\Параметры Windows\Параметры безопасности\Параметры безопасности\клиент сети Майкрософт: обмен данными с цифровыми знаками (всегда)

  • Объект групповой политики EnableSecuritySignature (сервер):

    • Расположение реестра Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Групповая политика Windows 2000: обмен данными на сервере цифровой подписи (по возможности)
    • Групповая политика Windows Server 2003: сетевой сервер Майкрософт: цифровой подписывая связь (если клиент согласен)

  • Объект групповой политики RequireSecuritySignature (сервер):

    • Расположение реестра Windows NT: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Расположение реестра Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Групповая политика Windows 2000: обмен данными на сервере цифрового подписывания (всегда)
    • Групповая политика Windows Server 2003: сетевой сервер Майкрософт: обмен данными цифрового знака (всегда)

  • Объект групповой политики RequireSignOrSeal:

    • Расположение реестра Windows NT, Windows 2000 и Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповая политика Windows 2000: цифровое шифрование или подпись данных безопасного канала (всегда)
    • Групповая политика Windows Server2003: член домена: цифровое шифрование или подпись данных безопасного канала (всегда)

  • Объект групповой политики SealSecureChannel:

    • Расположение реестра Windows NT, Windows 2000 и Windows Server2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповая политика Windows 2000: безопасный канал: цифровое шифрование данных безопасного канала (по возможности)
    • Групповая политика Windows Server 2003: член домена: цифровое шифрование данных безопасного канала (по возможности)

  • Объект групповой политики SignSecureChannel:

    • Расположение реестра Windows NT, Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповая политика Windows 2000: безопасный канал: цифровая подпись данных безопасного канала (по возможности)
    • Групповая политика Windows Server 2003: член домена: цифровая подпись данных безопасного канала (по возможности)

  • Объект групповой политики RequireStrongKey:

    • Расположение реестра Windows NT, Windows 2000 и Windows Server 2003: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Групповая политика Windows 2000: безопасный канал: требуется сильный (windows 2000 или более поздней версии) сеансовый ключ
    • Групповая политика Windows Server 2003: член домена: требуется сильный (ключ сеанса Windows 2000 или более поздней версии)

Windows Server 2008

На контроллере домена под управлением Windows Server 2008 поведение алгоритмов шифрования, совместимых с параметром политики Windows NT 4.0, может вызвать проблему. Этот параметр запрещает операционным системам Windows и сторонним клиентам использовать слабые алгоритмы шифрования для установки каналов безопасности NETLOGON для контроллеров домена на основе Windows Server 2008.

Ссылки

Дополнительные сведения см. в следующих номерах статей, чтобы просмотреть статьи в Базе знаний Майкрософт:

823659 несовместимости клиентов, служб и программ, которые могут возникать при изменении параметров безопасности и назначений прав пользователей