> Windows 2000 sp4编辑:域控制器,Win2008服务器没有信任设置
> Windows XP机器
> Windows 2008 Server
> Netapp NAS
问题:
我们有一个共享文件夹,它使用Windows 2008 AD驻留在NAS上,并通过适当的权限设置进行身份验证.当Windows 2000计算机尝试打开驻留在Win2008计算机上的共享时,系统会提示输入用户名和密码.输入凭证后,它会不断重新提交凭据.
重要细节:
Windows 2000计算机可以ping XP机器和Windows 2008 Server
Windows 2008计算机只能使用NTLMv2
Windows 2000计算机最初设置为NTLM,但最近如果为了尝试连接到共享而进行协商,则最近切换到NTLMv2.
我相信它会出现,我们因为合同义务而使用Windows 2000
问题:
为什么在这种情况下密码验证失败?
为Win2000机器设置GPO以使其使用NTLMv2后,我们使用SECEDIT更新GPO而无需重新启动.有谁知道这是否足够或是否需要重新启动?
UPDATE
Microsoft_Auth_Package_V1_0 0xc000006a Event ID: 4776
“The value provided as the current password is not correct”
我们知道这个密码是正确的,但由于这两个域(Win2000和Win2008)没有信任设置,需要使用哪个认证帐户?一个驻留在Win2000托管域上的?
更新2
我已经对NTLMv2进行了一些研究,如果谈判的事情发生在我身上,整个过程都需要这些设置.我偶然发现了以下信息:from the following source:
所以我的问题仍然是如果谈判和处理NTLMv2时会话安全的真正含义是什么?我的想法是会话安全性是这里的关键词.
我们的2008服务器设置为5级
我们的2000服务器设置为1级
2000服务器在任何情况下都不能从级别1更改,因为不幸的是它会破坏许多传统设备的身份验证.所以对我而言,这个问题听起来就像是会议通过NTLM的第3级问题.
我觉得我几乎就在那里,但我很难处理它.
只是略过设置,它读起来就像“如果可以使用NTLMv2”,但事实上,它并不意味着完全没有.
本质上它意味着“使用NTLMv1,如果可以的话,使用这个NTLMv2组件 – 称为’会话安全’”会话安全性是NTLMv2引入的一项功能,如您链接到的那篇文章所述 – http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx
因此,通过包含使用会话安全性使您的连接更加安全,在一天结束时,您发送的哈希是一个NTLMv1哈希.并且,正如您发布的表所示 – NTLMv2未发送.
那是什么意思呢?嗯,这意味着您在2000服务器上设置的GPO设置为“发送NTLMv1”,并且Windows 2008服务器上的GPO设置为“仅接受NTLMv2”.您的解决方案在于修改任何一个盒子上的GPO,首选方法可能是提升2k服务器的安全级别以支持NTLMv2.不幸的是,如果这会破坏连接,如上所述,唯一的选择是更改2008服务器的GPO以允许NTLMv1
