密碼驗證失敗 - NTLMv2
環境:
- Windows 2000 sp4**編輯:**與 Win2008 伺服器沒有信任設置的域控制器
- Windows XP 機器
- 視窗 2008 伺服器
- Netapp NAS
問題:
我們有一個位於 NAS 上的共享文件夾,使用 Windows 2008 AD 進行身份驗證,並設置了正確的權限。當 Windows 2000 機器試圖打開 Win2008 機器上的共享時,系統會提示它輸入使用者名和密碼。輸入憑據後,它會不斷重新請求憑據。
重要細節:
Windows 2000 機器可以 ping XP 機器和 Windows 2008 Server
Windows 2008 機器被要求只能使用 NTLMv2
Windows 2000 機器最初設置為 NTLM,但最近切換到
NTLMv2 if negotiated
嘗試連接到共享。我確信它會出現,由於契約義務,我們正在使用 Windows 2000
問題:
為什麼在這種情況下密碼身份驗證失敗?
在為 Win2000 機器設置 GPO 以使其使用 NTLMv2 後,我們使用 SECEDIT 更新 GPO 而無需重新啟動。 有誰知道這是否足夠或需要重新啟動?
更新
我們檢查了兩個 2008 域控制器以找到錯誤程式碼。我們收到了:
Microsoft_Auth_Package_V1_0 0xc000006a Event ID: 4776
我通過這篇文章知道這是一個身份驗證錯誤
“作為目前密碼提供的值不正確”
我們知道這個密碼是正確的,但是由於這兩個域(Win2000 和 Win2008)沒有信任設置,需要使用什麼身份驗證帳戶?一個駐留在 Win2000 託管域上?
更新 2
我已經對 NTLMv2 以及整個
if negotiated
事情對我而言所需的設置進行了一些研究。我偶然發現了以下資訊:來自以下來源:
所以我的問題仍然是處理 NTLMv2 時
if negotiated
的真正含義是什麼?session security
我的想法是會話安全是這裡的關鍵詞。我們的 2008 伺服器設置為 5 級 我們的 2000 伺服器設置為 1 級
2000 伺服器在任何情況下都不能從級別 1 更改,因為不幸的是它會破壞對許多舊設備的身份驗證。所以對我來說,聽起來問題是在會話通過 NTLM 的第 3 級。
我覺得我快到了,但我很難處理它。
這裡的關鍵是理解微軟所說的“NTLMv2 session security if negotiated”是什麼意思
只是瀏覽一下設置,它讀起來就像“如果可以的話,請使用 NTLMv2”,但實際上,它根本不是這個意思。
本質上它的意思是“使用 NTLMv1,如果可以的話,使用這個 NTLMv2 組件 - 稱為’會話安全’”會話安全是 NTLMv2 引入的一項功能,如您連結到的那篇文章中所述 - http://technet .microsoft.com/en-us/magazine/2006.08.securitywatch.aspx
因此,雖然通過使用會話安全性使您的連接更加安全,但歸根結底,您發送的散列是 NTLMv1 散列。而且,正如您發布的表格所示 - 未發送 NTLMv2。
那是什麼意思?嗯,這意味著您在 2000 伺服器上設置的 GPO 設置為“發送 NTLMv1”,而 Windows 2008 伺服器上的 GPO 設置為“僅接受 NTLMv2”。您的解決方案在於修改任一機器上的 GPO,首選方法可能是升級 2k 伺服器的安全級別以支持 NTLMv2。不幸的是,如果這會破壞前面提到的連接,唯一的選擇是更改 2008 伺服器的 GPO 以允許 NTLMv1