密码authentication失败 – NTLMv2
环境:
- Windows 2000 SP4 编辑:与Win2008服务器没有信任安装的域控制器
- Windows XP机器
- Windows 2008 Server
- Netapp NAS
问题:
我们有一个共享文件夹驻留在使用Windows 2008 AD进行身份validation的NAS上,并具有适当的权限设置。 当Windows 2000机器试图打开驻留在Win2008机器上的共享时,会提示input用户名和密码。 一旦input凭证,它不断重新要求凭证。
重要细节:
- 你如何应用代理设置而不是每个用户?
- 将组策略环回应用于特定计算机上的任何用户
- 如何从batch file编辑本地安全策略?
- “作为服务login”究竟意味着什么?
- 限制用户通过GPO保存他们的桌面,我的文档,我的音乐,我的video,我的图片等
Windows 2000机器可以ping XP和Windows 2008 Server
Windows 2008机器强制只使用NTLMv2
Windows 2000计算机最初设置为NTLM,但NTLMv2 if negotiated为了尝试连接到共享而NTLMv2 if negotiated ,则最近已将其切换为NTLMv2 if negotiated 。
我相信它会出现,因为合同义务,我们正在使用Windows 2000
问题:
为什么在这种情况下密码validation失败?
为Win2000机器设置GPO以使其使用NTLMv2之后,我们使用SECEDIT更新GPO而无需重新启动。 有谁知道这是否足够或将需要重新启动?
UPDATE
我们检查了两个2008年域控制器,以find一个错误代码。 我们收到了:
Microsoft_Auth_Package_V1_0 0xc000006a Event ID: 4776
我知道这是通过这篇文章authentication错误
“作为当前密码提供的值不正确”
我们知道这个密码是正确的,但是由于这两个域(Win2000&Win2008)没有信任设置,需要使用哪个authentication帐户? 一个驻留在Win2000托pipe的域?
更新2
我已经对NTLMv2进行了一些研究,并且if negotiated东西正在接近我的if negotiated ,整个过程需要的设置。 我偶然发现了以下信息: 来自以下来源:
那么我的问题是如何if negotiated以及在处理NTLMv2时session security的真正含义呢? 我的想法是会话安全是这里的关键字。
我们的2008服务器设置为5级我们的2000服务器设置为1级
在任何情况下,2000服务器都不能从级别1改变,遗憾的是,它将会破坏许多传统设备的身份validation。 所以对我来说,这听起来像问题是在3级会议正在通过NTLM。
信用:richardkok
我觉得我已经快要到了,但是我正在经历一个困难时期。
这里的关键是了解当微软说“NTLMv2会话安全,如果谈判”时微软意味着什么
只是略读设置,就像“如果可以的话使用NTLMv2”,但实际上并不意味着。
本质上,它的意思是“使用NTLMv1,如果可以的话,使用这个NTLMv2组件 – 称为”会话安全“。会话安全性是NTLMv2引入的一项function,如链接到http:// technet的文章.microsoft.com / EN-US /杂志/ 2006.08.securitywatch.aspx
所以,当你的连接通过包括会话安全的使用变得更安全的时候,在一天结束时,你发送的散列是一个NTLMv1散列。 而且,正如你发布的表所示 – NTLMv2没有发送。
那么这是什么意思? 那么,这意味着您在2000服务器上设置的GPO设置为“发送NTLMv1”,并且Windows 2008服务器上的GPO设置为“仅接受NTLMv2”。 你的解决scheme在于修改你的GPO,最好的方法可能是增加2K服务器的安全级别来支持NTLMv2。 不幸的是,如果这将打破上述的连接性,唯一的select是将2008服务器的GPO更改为允许NTLMv1