windows-server-2008 – 密码验证失败 – NTLMv2

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 密码验证失败 – NTLMv2前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
环境:

> Windows 2000 sp4编辑:域控制器,Win2008服务器没有信任设置
> Windows XP机器
> Windows 2008 Server
> Netapp NAS

问题:

我们有一个共享文件夹,它使用Windows 2008 AD驻留在NAS上,并通过适当的权限设置进行身份验证.当Windows 2000计算机尝试打开驻留在Win2008计算机上的共享时,系统会提示输入用户名和密码.输入凭证后,它会不断重新提交凭据.

重要细节:

Windows 2000计算机可以ping XP机器和Windows 2008 Server

Windows 2008计算机只能使用NTLMv2

Windows 2000计算机最初设置为NTLM,但最近如果为了尝试连接到共享而进行协商,则最近切换到NTLMv2.

我相信它会出现,我们因为合同义务而使用Windows 2000

问题:

为什么在这种情况下密码验证失败?

为Win2000机器设置GPO以使其使用NTLMv2后,我们使用SECEDIT更新GPO而无需重新启动.有谁知道这是否足够或是否需要重新启动?

UPDATE

我们检查了两个2008域控制器以查找错误代码.我们收到了:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

我知道这是通过THIS文章的身份验证错误

“The value provided as the current password is not correct”

我们知道这个密码是正确的,但由于这两个域(Win2000和Win2008)没有信任设置,需要使用哪个认证帐户?一个驻留在Win2000托管域上的?

更新2

我已经对NTLMv2进行了一些研究,如果谈判的事情发生在我身上,整个过程都需要这些设置.我偶然发现了以下信息:from the following source:

所以我的问题仍然是如果谈判和处理NTLMv2时会话安全的真正含义是什么?我的想法是会话安全性是这里的关键词.

我们的2008服务器设置为5级
我们的2000服务器设置为1级

2000服务器在任何情况下都不能从级别1更改,因为不幸的是它会破坏许多传统设备的身份验证.所以对我而言,这个问题听起来就像是会议通过NTLM的第3级问题.

Credit:richardkok

我觉得我几乎就在那里,但我很难处理它.

这里的关键是理解微软在说“NTLMv2会话安全性如果已经谈判”时的含义

只是略过设置,它读起来就像“如果可以使用NTLMv2”,但事实上,它并不意味着完全没有.

本质上它意味着“使用NTLMv1,如果可以的话,使用这个NTLMv2组件 – 称为’会话安全’”会话安全性是NTLMv2引入的一项功能,如您链接到的那篇文章所述 – http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

因此,通过包含使用会话安全性使您的连接更加安全,在一天结束时,您发送的哈希是一个NTLMv1哈希.并且,正如您发布的表所示 – NTLMv2未发送.

那是什么意思呢?嗯,这意味着您在2000服务器上设置的GPO设置为“发送NTLMv1”,并且Windows 2008服务器上的GPO设置为“仅接受NTLMv2”.您的解决方案在于修改任何一个盒子上的GPO,首选方法可能是提升2k服务器的安全级别以支持NTLMv2.不幸的是,如果这会破坏连接,如上所述,唯一的选择是更改2008服务器的GPO以允许NTLMv1

猜你在找的Windows相关文章