如何互訪ntlm2伺服器
① win7不能訪問window2003共享的文件(高分)
因為Windows 7 從Beta版到之後發布的穩定版本,與之前其他版本的操作系統之間會出現一些較異常的問題。
解決方法
首先,我們先確認防火牆是否阻止網路共享,「控制面板-系統和安全-windows防火牆-允許的程序里打開了文件和列印機共享;」。
其次,「本地安全策略」,將「網路安全:LAN管理器身份驗證級別」項的值「沒有定義」改為「發送LM & NTLM響應」;
最後,經過這樣的修改後,windows 7就可以成功訪問網路共享了
http://support.microsoft.com/kb/823659
網路安全:Lan Manager 身份驗證級別
背景
LAN Manager (LM) 身份驗證是用於驗證 Windows 客戶端以進行網路操作(包括域加入、訪問網路資源以及用戶或計算機身份驗證)的協議。LM 身份驗證級別可確定在客戶端和伺服器計算機之間協商哪個質詢/響應身份驗證協議。確切地說,LM 身份驗證級別可確定客戶端會嘗試協商或伺服器會接受哪些身份驗證協議。設置的 LmCompatibilityLevel 值可確定將哪種質詢/響應身份驗證協議用於網路登錄。該值會影響客戶端使用的身份驗證協議級別、協商的會話安全級別以及伺服器接受的身份驗證級別,具體請參見下表。
可能的設置包括以下內容。
收起該表格展開該表格
值 設置 說明
0 發送 LM 和 NTLM 響應 客戶端使用 LM 和 NTLM 身份驗證而從不使用 NTLMv2 會話安全;域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
1 發送 LM 和 NTLM - 若協商使用 NTLMv2 會話安全 客戶端使用 LM 和 NTLM 身份驗證並使用 NTLMv2 會話安全(如果伺服器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
2 僅發送 NTLM 響應 客戶端只使用 NTLM 身份驗證並使用 NTLMv2 會話安全(如果伺服器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
3 僅發送 NTLMv2 響應 客戶端只使用 NTLMv2 身份驗證並使用 NTLMv2 會話安全(如果伺服器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
4 僅發送 NTLMv2 響應/拒絕 LM 客戶端只使用 NTLMv2 身份驗證並在伺服器支持時使用 NTLMv2 會話安全。域控制器拒絕 LM,而只接受 NTLM 和 NTLMv2 身份驗證。
5 僅發送 NTLMv2 響應/拒絕 LM 和 NTLM 客戶端只使用 NTLMv2 身份驗證並使用 NTLMv2 會話安全(如果伺服器支持);域控制器拒絕 LM 和 NTLM(它們只接受 NTLMv2 身份驗證)。
注意:在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,目錄服務客戶端在通過 NTLM 身份驗證向 Windows Server 2003 伺服器驗證身份時使用 SMB 簽名。但是,目錄服務客戶端在通過 NTLMv2 身份驗證向這些伺服器驗證身份時並不使用 SMB 簽名。另外,Windows 2000 伺服器不響應來自這些客戶端的 SMB 簽名請求。
檢查 LM 身份驗證級別 必須更改伺服器上的策略以允許使用 NTLM,或者必須配置客戶端計算機以支持 NTLMv2。
如果要連接到的目標計算機上的策略設置為「(5) 僅發送 NTLMv2 響應\拒絕 LM 和 NTLM」,那麼必須降低該計算機上的設置,或者對安全性進行設置使其與要從中進行連接的源計算機的設置相同。
找到可以更改 LAN Manager 身份驗證級別的正確位置,以便將客戶端和伺服器設置為同一級別。找到設置 LAN Manager 身份驗證級別的策略後,如果您希望與運行較早版本 Windows 的計算機建立連接,請將該值至少降低到「(1) 發送 LM 和 NTLM - 若協商則使用 NTLMv2 會話安全」。不兼容設置的一個結果便是:如果伺服器需要 NTLMv2(值 5),但客戶端配置為僅使用 LM 和 NTLMv1(值 0),則嘗試身份驗證的用戶會因使用了無效密碼而無法登錄,同時會因此增加無效密碼計數。如果配置了帳戶鎖定,則可能最終會鎖定該用戶。
例如,您可能必須查看域控制器,或者查看域控制器的策略。
查看域控制器
注意:您可能必須在所有域控制器上重復以下過程。
單擊「開始」,指向「程序」,然後單擊「管理工具」。
在「本地安全設置」下,展開「本地策略」。
單擊「安全選項」。
雙擊「網路安全:LAN Manager 身份驗證級別」,然後單擊列表中的適當值。
如果「有效設置」與「本地設置」相同,則表明已在此級別上更改了策略。如果這兩個設置不同,則必須檢查域控制器的策略以確定是否在此處定義了「網路安全:LAN Manager 身份驗證級別」設置。如果未在此處定義,請查看域控制器的策略。
查看域控制器的策略
單擊「開始」,指向「程序」,然後單擊「管理工具」。
在「域控制器安全」策略中,展開「安全設置」,然後展開「本地策略」。
單擊「安全選項」。
雙擊「網路安全:LAN Manager 身份驗證級別」,然後單擊列表中的適當值。
注意
您可能還必須檢查在網站級別、域級別或組織單位 (OU) 級別鏈接的策略,以確定必須配置 LAN Manager 身份驗證級別的位置。
如果將某一組策略設置作為默認域策略來執行,則該策略將應用於域中的所有計算機。
如果將某一組策略設置作為默認域控制器的策略來執行,則該策略僅適用於域控制器的 OU 中的伺服器。
最好在策略應用程序層次結構中所需范圍的最低實體中設置 LAN Manager 身份驗證級別。
請在進行更改後刷新該策略。(如果更改是在本地安全設置級別進行的,則此更改會立即生效。但是,在進行測試之前必須重新啟動客戶端。)
默認情況下,組策略設置在域控制器上每 5 分鍾更新一次。要在 Windows 2000 或更高版本上立即強制更新策略設置,請使用 gpupdate 命令。
gpupdate /force 命令可更新本地組策略設置和基於 Active Directory 目錄服務的組策略設置,包括安全設置。此命令取代了現已過時的 secedit 命令的 /refreshpolicy 選項。
gpupdate 命令使用以下語法:
gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]
通過使用 gpupdate 命令手動重新應用所有策略設置,可以應用新的組策略對象 (GPO)。為此,請在命令提示符處鍵入以下內容,然後按 Enter:
GPUpdate /Force
查看應用程序事件日誌以確保成功應用了策略設置。
在 Windows XP 和 Windows Server 2003 上,可以使用「策略的結果集」管理單元來查看有效設置。為此,請單擊「開始」,單擊「運行」,鍵入 rsop.msc,然後單擊「確定」。
如果對策略進行更改後問題仍然存在,請重新啟動基於 Windows 的伺服器,然後驗證問題是否已解決。
注意:如果您有多台基於 Windows 2000 的域控制器和/或多台基於 Windows Server 2003 的域控制器,則可能必須復制 Active Directory 以確保這些域控制器能夠立即獲得更新的更改。
或者,該設置可能看起來像被設置為本地安全策略中的最低設置。如果可以通過安全資料庫進行設置,則還可以通過在注冊表中編輯以下注冊表子項中的 LmCompatibilityLevel 項來設置 LAN Manager 身份驗證級別:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Windows Server 2003 有一個僅使用 NTLMv2 的新默認設置。默認情況下,基於 Windows Server 2003 和基於 Windows 2000 Server SP3 的域控制器已啟用「Microsoft 網路伺服器:數字簽名的通信(總是)」策略。此設置要求 SMB 伺服器執行 SMB 數據包簽名。 已經對 Windows Server 2003 進行了更改,原因是任何組織中的域控制器、文件伺服器、網路結構伺服器和 Web 伺服器均要求採用不同的設置,以最大程度地提高其安全性。
如果您想在網路中實施 NTLMv2 身份驗證,請一定要確保將域中的所有計算機都設置為使用此身份驗證級別。如果對 Windows 95 或 Windows 98 以及 Windows NT 4.0 應用了 Active Directory Client Extension,則此客戶端擴展將使用 NTLMv2 中提供的改進的身份驗證功能。 因為運行以下任何操作系統的客戶端計算機都不受 Windows 2000 組策略對象的影響,所以您可能需要手動配置這些客戶端:
Microsoft Windows NT 4.0
Microsoft Windows Millennium Edition
Microsoft Windows 98
Microsoft Windows 95
注意:如果啟用了「網路安全:不要在下次更改密碼時存儲 LAN Manager 的哈希值」策略或設置了「NoLMHash」注冊表項,則未安裝目錄服務客戶端的 Windows 95 和 Windows 98 客戶端在密碼更改後將無法登錄到域。
許多第三方 CIFS 伺服器(如 Novell Netware 6)都無法識別 NTLMv2 而只使用 NTLM。因此,高於 2 的級別都不允許進行連接。
有關如何手動配置 LAN Manager 身份驗證級別的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
147706 (http://support.microsoft.com/kb/147706/ ) 如何在 Windows NT 上禁用 LM 身份驗證
175641 (http://support.microsoft.com/kb/175641/ ) LMCompatibilityLevel 及其效果
299656 (http://support.microsoft.com/kb/299656/ ) 如何阻止 Windows 在 Active Directory 和本地 SAM 資料庫中存儲密碼的 LAN Manager 哈希
312630 (http://support.microsoft.com/kb/312630/ ) Outlook 不斷提示您提供登錄憑據
有關 LM 身份驗證級別的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
239869 (http://support.microsoft.com/kb/239869/ ) 如何啟用 NTLM 2 身份驗證
危險配置
以下是有害的配置設置:
以明文形式發送密碼和拒絕 NTLMv2 協商的非限制性設置
阻止不兼容的客戶端或域控制器協商通用身份驗證協議的限制性設置
要求在運行早於 Windows NT 4.0 Service Pack 4 (SP4) 版本的成員計算機和域控制器上進行 NTLMv2 身份驗證
要求在未安裝 Windows 目錄服務客戶端的 Windows 95 客戶端或 Windows 98 客戶端上進行 NTLMv2 身份驗證。
在基於 Windows Server 2003 或 Windows 2000 Service Pack 3 的計算機上,如果單擊以選中 Microsoft 管理控制台「組策略編輯器」管理單元中的「要求 NTLMv2 會話安全」復選框,並將 LAN Manager 身份驗證級別降為 0,那麼這兩項設置將發生沖突,並且您可能會在 Secpol.msc 文件或 GPEdit.msc 文件中收到以下錯誤消息:
Windows 無法打開本地策略資料庫。打開資料庫時出現了一個未知錯誤。
有關安全配置和分析工具的更多信息,請參見 Windows 2000 或 Windows Server 2003「幫助」文件。
有關如何在 Windows 2000 和 Windows Server 2003 上分析安全級別的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
313203 (http://support.microsoft.com/kb/313203/ ) 如何在 Windows 2000 中分析系統安全
816580 (http://support.microsoft.com/kb/816580/ ) 如何在 Windows Server 2003 中分析系統安全
修改此設置的原因
您想要提高組織中客戶端和域控制器支持的最低的通用身份驗證協議。
在業務需要安全的身份驗證的情況下,您希望禁止對 LM 和 NTLM 協議的協商。
禁用此設置的原因
已將客戶端或伺服器身份驗證要求(或兩者同時)提高到了通過通用協議也無法進行身份驗證的程度。
符號名稱:
LmCompatibilityLevel
注冊表路徑:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
兼容性問題的示例
Windows Server 2003:默認情況下,Windows Server 2003 NTLMv2 的「發送 NTLM 響應」設置已啟用。因此,在初始安裝後,當您嘗試連接到基於 Windows NT 4.0 的群集或基於 LanManager V2.1 的伺服器(如 OS/2 Lanserver)時,Windows Server 2003 將收到「Access Denied」錯誤消息。在嘗試從較早版本的客戶端連接到基於 Windows Server 2003 的伺服器時,也會發生此問題。
應該安裝 Windows 2000 安全匯總包 1 (SRP1)。SRP1 會強制使用 NTLM 版本 2 (NTLMv2)。此匯總包是在 Windows 2000 Service Pack 2 (SP2) 之後發布的。有關 SRP1 的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
311401 (http://support.microsoft.com/kb/311401/ ) 2002 年 1 月版 Windows 2000 安全累積軟體包 1 (SRP1)
即使 Microsoft Outlook 客戶端已經登錄到域,這些客戶端也可能會收到要求提供憑據的提示。用戶提供憑據後,將收到下面的錯誤消息:
The logon credentials supplied were incorrect.Make sure your username and domain are correct, then type your password again.
即使將「登錄網路安全性」設置設為「Passthrough」或「密碼驗證」,您也可能會在啟動 Outlook 時收到要求提供憑據的提示。鍵入正確的憑據後,可能會收到下面的錯誤消息:
The login credentials supplied were incorrect.
網路監視器跟蹤可能會顯示全局編錄發出的遠程過程調用 (RPC) 失敗,狀態為 0x5。狀態 0x5 表示「拒絕訪問」。
Windows 2000:網路監視器捕獲功能可能會在 TCP/IP 上的 NetBIOS (NetBT) 伺服器消息塊 (SMB) 會話期間顯示以下錯誤:
SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
Windows 2000:如果具有 NTLMv2 級別 2 或更高級別的 Windows 2000 域受到 Windows NT 4.0 域的信任,則資源域中基於 Windows 2000 的成員計算機可能會遇到身份驗證錯誤。
有關更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
305379 (http://support.microsoft.com/kb/305379/ ) 在 Windows NT 4.0 域中具有高於 2 的 NTLM 2 級別的 Windows 2000 中出現身份驗證問題
Windows 2000 和 Windows XP:默認情況下,Windows 2000 和 Windows XP 將「LAN Manager 身份驗證級別本地安全策略」選項設置為 0。設置為 0 表示「發送 LM 和 NTLM 響應」。
注意:基於 Windows NT 4.0 的群集必須使用 LM 才能進行管理。
Windows 2000:如果兩個節點都是 Windows NT 4.0 Service Pack 6a (SP6a) 域的一部分,則 Windows 2000 群集不能對一個加入節點進行身份驗證。
有關更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
305379 (http://support.microsoft.com/kb/305379/ ) 在 Windows NT 4.0 域中具有高於 2 的 NTLM 2 級別的 Windows 2000 中出現身份驗證問題
IIS Lockdown Tool (HiSecWeb) 將 LMCompatibilityLevel 的值設為 5,並將 RestrictAnonymous 的值設為 2。
Macintosh 服務
User Authentication Mole (UAM):Microsoft UAM (User Authentication Mole) 提供了一種對登錄到 Windows AFP (AppleTalk Filing Protocol) 伺服器所使用的密碼進行加密的方法。Apple User Authentication Mole (UAM) 僅提供最簡單的加密或者根本不加密。因此,在 LAN 或 Internet 上,您的密碼很容易被截獲。雖然沒有要求 UAM,但它確實可以為運行 Macintosh 服務的 Windows 2000 伺服器提供加密的身份驗證。此版本包括對 NTLMv2 128 位加密身份驗證和與 MacOS X 10.1 兼容的版本的支持。
默認情況下,Windows Server 2003 Services for Macintosh 伺服器僅允許使用 Microsoft 身份驗證。
有關更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
834498 (http://support.microsoft.com/kb/834498/ ) Macintosh 客戶端無法連接到 Windows Server 2003 上的 Mac 服務
838331 (http://support.microsoft.com/kb/838331/ ) Mac OS X 用戶無法打開基於 Windows Server 2003 伺服器上的 Macintosh 共享文件夾
Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000:如果將 LMCompatibilityLevel 值配置為 0 或 1,然後將 NoLMHash 值配置為 1,則可能會拒絕應用程序和組件通過 NTLM 進行訪問。此問題是由於計算機被配置為啟用 LM 而非使用 LM 存儲的密碼造成的。
如果將 NoLMHash 值配置為 1,則必須將 LMCompatibilityLevel 值配置為 2 或更大的值。