Windows-Server-2008

密碼驗證失敗 - NTLMv2

  • March 27, 2015

環境:

  • Windows 2000 sp4**編輯:**與 Win2008 伺服器沒有信任設置的域控制器
  • Windows XP 機器
  • 視窗 2008 伺服器
  • Netapp NAS

問題:

我們有一個位於 NAS 上的共享文件夾,使用 Windows 2008 AD 進行身份驗證,並設置了正確的權限。當 Windows 2000 機器試圖打開 Win2008 機器上的共享時,系統會提示它輸入使用者名和密碼。輸入憑據後,它會不斷重新請求憑據。

重要細節:

Windows 2000 機器可以 ping XP 機器和 Windows 2008 Server

Windows 2008 機器被要求只能使用 NTLMv2

Windows 2000 機器最初設置為 NTLM,但最近切換到NTLMv2 if negotiated嘗試連接到共享。

我確信它會出現,由於契約義務,我們正在使用 Windows 2000

問題:

為什麼在這種情況下密碼身份驗證失敗?

在為 Win2000 機器設置 GPO 以使其使用 NTLMv2 後,我們使用 SECEDIT 更新 GPO 而無需重新啟動。 有誰知道這是否足夠或需要重新啟動?


更新

我們檢查了兩個 2008 域控制器以找到錯誤程式碼。我們收到了:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

我通過這篇文章知道這是一個身份驗證錯誤

“作為目前密碼提供的值不正確”

我們知道這個密碼是正確的,但是由於這兩個域(Win2000 和 Win2008)沒有信任設置,需要使用什麼身份驗證帳戶?一個駐留在 Win2000 託管域上?


更新 2

我已經對 NTLMv2 以及整個if negotiated事情對我而言所需的設置進行了一些研究。我偶然發現了以下資訊:來自以下來源:

客戶端 伺服器端

所以我的問題仍然是處理 NTLMv2 時if negotiated的真正含義是什麼?session security我的想法是會話安全是這裡的關鍵詞。

我們的 2008 伺服器設置為 5 級 我們的 2000 伺服器設置為 1 級

2000 伺服器在任何情況下都不能從級別 1 更改,因為不幸的是它會破壞對許多舊設備的身份驗證。所以對我來說,聽起來問題是在會話通過 NTLM 的第 3 級。

NTLM 的流程 信用:理查德科克

我覺得我快到了,但我很難處理它。

這裡的關鍵是理解微軟所說的“NTLMv2 session security if negotiated”是什麼意思

只是瀏覽一下設置,它讀起來就像“如果可以的話,請使用 NTLMv2”,但實際上,它根本不是這個意思。

本質上它的意思是“使用 NTLMv1,如果可以的話,使用這個 NTLMv2 組件 - 稱為’會話安全’”會話安全是 NTLMv2 引入的一項功能,如您連結到的那篇文章中所述 - http://technet .microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

因此,雖然通過使用會話安全性使您的連接更加安全,但歸根結底,您發送的散列是 NTLMv1 散列。而且,正如您發布的表格所示 - 未發送 NTLMv2。

那是什麼意思?嗯,這意味著您在 2000 伺服器上設置的 GPO 設置為“發送 NTLMv1”,而 Windows 2008 伺服器上的 GPO 設置為“僅接受 NTLMv2”。您的解決方案在於修改任一機器上的 GPO,首選方法可能是升級 2k 伺服器的安全級別以支持 NTLMv2。不幸的是,如果這會破壞前面提到的連接,唯一的選擇是更改 2008 伺服器的 GPO 以允許 NTLMv1

引用自:https://serverfault.com/questions/432280