Ошибка аутентификации пароля - NTLMv2
Окружающая среда:
- Windows 2000 с пакетом обновления 4 (SP4) РЕДАКТИРОВАТЬ: Контроллер домена без настройки доверия с сервером Win2008
- Машины с Windows XP
- Windows 2008 Server
- Сетевое хранилище NetApp
Проблема:
У нас есть общая папка, которая находится на NAS с использованием Windows 2008 AD для аутентификации с соответствующей настройкой разрешений. Когда машина Windows 2000 пытается открыть общий ресурс, находящийся на машине Win2008, ему предлагается ввести имя пользователя и пароль. При вводе учетных данных он постоянно повторно запрашивает учетные данные.
Важные детали:
Машина с Windows 2000 может пинговать как машины XP, так и Windows 2008 Server.
Компьютер с Windows 2008 должен использовать только NTLMv2.
Компьютер с Windows 2000 изначально был настроен на NTLM, но недавно был переключен на NTLMv2 if negotiated с целью подключения к общему ресурсу.
Я уверен, что это произойдет, мы используем Windows 2000 из-за договорных обязательств.
Вопросы:
Почему в этом случае не удается выполнить аутентификацию по паролю?
После настройки GPO для машины Win2000 для использования NTLMv2 мы использовали SECEDIT для обновления GPO без перезагрузки. Кто-нибудь знает, достаточно ли этого или потребуется перезагрузка?
ОБНОВИТЬ
Мы проверили оба контроллера домена 2008 года, чтобы найти код ошибки. Мы получили:
Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776
Я знаю, что это ошибка аутентификации через ЭТОТ статья
«В качестве текущего пароля указано неверное значение»
Мы знаем, что этот пароль правильный, но, поскольку эти два домена (Win2000 и Win2008) не имеют настройки доверия, какую учетную запись аутентификации необходимо использовать? Тот, который находится в домене Win2000?
Обновление 2
Я провел некоторое исследование NTLMv2 и настроек, которые требуются в целом if negotiated дело дошло до меня. Я наткнулся на следующую информацию:из следующего источника:
Итак, мой вопрос по-прежнему if negotiated и каков истинный смысл session security при работе с NTLMv2? Я думаю, что ключевыми словами здесь является безопасность сеанса.
Наш сервер 2008 установлен на уровень 5 Наш сервер 2000 установлен на уровень 1
Сервер 2000 ни при каких обстоятельствах нельзя изменить с уровня 1, поскольку, к сожалению, это нарушит аутентификацию многих устаревших устройств. Мне кажется, что проблема находится на уровне 3, когда сеанс проходит через NTLM.
Я чувствую, что почти у цели, но мне трудно это пережить.
Ключевым моментом здесь является понимание того, что Microsoft имеет в виду, когда говорит «безопасность сеанса NTLMv2 при согласовании».
Просто бегло по настройке, она читается как «Используйте NTLMv2, если можете», но на самом деле это вовсе не означает этого.
По сути, это означает «Используйте NTLMv1, и, если можете, используйте этот компонент NTLMv2, называемый« Безопасность сеанса »». Безопасность сеанса - это функция, которая была введена в NTLMv2, как описано в той статье, на которую вы ссылаетесь - http://technet.microsoft.com/en-us/magazine/2006.08.securitywatch.aspx
Таким образом, хотя ваше соединение становится более безопасным за счет включенного использования безопасности сеанса, в конце концов, отправляемый вами хеш является хешем NTLMv1. И, как указано в опубликованной вами таблице, NTLMv2 не отправляется.
Так что это значит? Что ж, это означает, что для объекта групповой политики, который вы установили на сервере 2000, установлено значение «Отправить NTLMv1», а для объекта групповой политики на сервере Windows 2008 установлено значение «Принимать только NTLMv2». Ваше решение заключается в изменении ваших GPO на любом из серверов, предпочтительный метод, вероятно, заключается в повышении уровня безопасности сервера 2k для поддержки NTLMv2. К сожалению, если это нарушит подключение, как уже упоминалось, единственной альтернативой будет изменение объекта групповой политики сервера 2008 года, чтобы разрешить NTLMv1.