AskOverflow.Dev

AskOverflow.Dev Logo AskOverflow.Dev Logo

AskOverflow.Dev Navigation

  • 主页
  • 系统&网络
  • Ubuntu
  • Unix
  • DBA
  • Computer
  • Coding
  • LangChain

Mobile menu

Close
  • 主页
  • 系统&网络
    • 最新
    • 热门
    • 标签
  • Ubuntu
    • 最新
    • 热门
    • 标签
  • Unix
    • 最新
    • 标签
  • DBA
    • 最新
    • 标签
  • Computer
    • 最新
    • 标签
  • Coding
    • 最新
    • 标签
主页 / server / 问题 / 432280
Accepted
JMeterX
JMeterX
Asked: 2012-09-27 09:45:39 +0800 CST2012-09-27 09:45:39 +0800 CST 2012-09-27 09:45:39 +0800 CST

密码验证失败 - NTLMv2

  • 772

环境:

  • Windows 2000 sp4编辑:与 Win2008 Server 没有信任设置的域控制器
  • Windows XP 机器
  • Windows 2008 服务器
  • 网络存储

问题:

我们有一个共享文件夹驻留在 NAS 上,使用 Windows 2008 AD 进行身份验证并设置适当的权限。当 Windows 2000 机器试图打开驻留在 Win2008 机器上的共享时,会提示输入用户名和密码。输入凭据后,它会不断重新询问凭据。

重要细节:

Windows 2000机器可以ping通XP机器和Windows 2008 Server

Windows 2008 机器被强制只能使用 NTLMv2

Windows 2000 计算机最初设置为 NTLM,但最近NTLMv2 if negotiated为了尝试连接到共享而切换为 NTLM。

我确信它会出现,我们使用 Windows 2000 是因为合同义务

问题:

为什么在这种情况下密码验证失败?

在为 Win2000 机器设置 GPO 以使其使用 NTLMv2 后,我们使用 SECEDIT 更新 GPO 而无需重新启动。 有谁知道这是否足够或是否需要重新启动?


更新

我们检查了两个 2008 域控制器以查找错误代码。我们收到了:

Microsoft_Auth_Package_V1_0
0xc000006a
Event ID: 4776

我通过这篇文章知道这是一个身份验证错误

“作为当前密码提供的值不正确”

我们知道这个密码是正确的,但是由于这两个域(Win2000 和 Win2008)没有信任设置,需要使用什么身份验证帐户?驻留在 Win2000 托管域中的一个?


更新 2

我已经对 NTLMv2 和整个过程所需的设置进行了一些研究if negotiated。我偶然发现了以下信息:来自以下来源:

客户端 服务器端

所以我的问题仍然是处理 NTLMv2 时if negotiated的真正含义是什么?session security我的想法是会话安全是这里的关键词。

我们的2008服务器设置为5级 我们2000的服务器设置为1级

2000 服务器在任何情况下都不能从级别 1 更改,因为不幸的是它会破坏对许多旧设备的身份验证。所以对我来说,这听起来像是问题在第 3 级,会话正在通过 NTLM。

NTLM 流程 图片来源:richardkok

我觉得我快到了,但我很难通过它来处理。

windows-server-2008
  • 1 1 个回答
  • 7489 Views

1 个回答

  • Voted
  1. Best Answer
    Univ426
    2012-09-28T07:51:16+08:002012-09-28T07:51:16+08:00

    这里的关键是理解微软所说的“NTLMv2 session security if negotiatied”是什么意思

    只是浏览一下设置,它看起来像“如果可以就使用 NTLMv2”,但实际上,它根本不是那个意思。

    本质上它的意思是“使用 NTLMv1,如果可以的话,使用这个 NTLMv2 组件 - 称为'会话安全'”会话安全是 NTLMv2 引入的一项功能,如您链接到的那篇文章中所述 - http://technet .microsoft.com/en-us/magazine/2006.08.securitywatch.aspx

    因此,虽然通过使用会话安全性使您的连接更加安全,但归根结底,您发送的散列是 NTLMv1 散列。而且,正如您发布的表格所示 - 未发送 NTLMv2。

    那是什么意思呢?那么,这意味着您在 2000 服务器上设置的 GPO 设置为“发送 NTLMv1”,而在 Windows 2008 服务器上设置的 GPO 设置为“仅接受 NTLMv2”。您的解决方案在于修改任一框上的 GPO,首选方法可能是升级 2k 服务器的安全级别以支持 NTLMv2。不幸的是,如果这会像前面提到的那样中断连接,唯一的选择是更改 2008 服务器的 GPO 以允许 NTLMv1

    • 3

相关问题

  • 文件复制到分支机构

  • 对于 ASP.Net 应用程序,Windows 64 位相对于 32 位的主要优势是什么?

  • Windows Server 2008 Hyper-V 虚拟化服务器的最佳 RAID 配置?

  • 远程连接 sql server 不工作,但如果防火墙禁用它呢?

  • 无法从 SQL Server 2008 备份数据库

Sidebar

Stats

  • 问题 205573
  • 回答 270741
  • 最佳答案 135370
  • 用户 68524
  • 热门
  • 回答
  • Marko Smith

    新安装后 postgres 的默认超级用户用户名/密码是什么?

    • 5 个回答
  • Marko Smith

    SFTP 使用什么端口?

    • 6 个回答
  • Marko Smith

    命令行列出 Windows Active Directory 组中的用户?

    • 9 个回答
  • Marko Smith

    什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同?

    • 3 个回答
  • Marko Smith

    如何确定bash变量是否为空?

    • 15 个回答
  • Martin Hope
    Tom Feiner 如何按大小对 du -h 输出进行排序 2009-02-26 05:42:42 +0800 CST
  • Martin Hope
    Noah Goodrich 什么是 Pem 文件,它与其他 OpenSSL 生成的密钥文件格式有何不同? 2009-05-19 18:24:42 +0800 CST
  • Martin Hope
    Brent 如何确定bash变量是否为空? 2009-05-13 09:54:48 +0800 CST
  • Martin Hope
    cletus 您如何找到在 Windows 中打开文件的进程? 2009-05-01 16:47:16 +0800 CST

热门标签

linux nginx windows networking ubuntu domain-name-system amazon-web-services active-directory apache-2.4 ssh

Explore

  • 主页
  • 问题
    • 最新
    • 热门
  • 标签
  • 帮助

Footer

AskOverflow.Dev

关于我们

  • 关于我们
  • 联系我们

Legal Stuff

  • Privacy Policy

Language

  • Pt
  • Server
  • Unix

© 2023 AskOverflow.DEV All Rights Reserve