`

win7无法访问server2003共享解决方案

 
阅读更多
Windows7无法访问Windows2003共享的解决方案
2010年10月25日 星期一 14:58

Windows 7 从Beta版到之后发布的稳定版本,与之前其他版本的操作系统之间会出现一些较异常的问题。

今天要解决的是Windows7无法访问Windows2003共享的问题

【问题描述】:

Windows 7 无法访问Windows2003共享,出现“系统错误 86。网络密码不正确”,但是这些问题都是正确的,经分析问题可能出现在用户身份验证上。

【解决方法】:

首先,我们先确认防火墙是否阻止网络共享,“控制面板-系统和安全-windows防火墙-允许的程序里打开了文件和打印机共享;”。

 

其次,“本地安全策略”,将“网络安全:LAN管理器身份验证级别”项的值“没有定义”改为“发送LM & NTLM响应”;

最后,经过这样的修改后,windows 7就可以成功访问网络共享了

http://support.microsoft.com/kb/823659

  1. 网络安全:Lan Manager 身份验证级别
  2. 背景

    LAN Manager (LM) 身份验证是用于验证 Windows 客户端以进行网络操作(包括域加入、访问网络资源以及用户或计算机身份验证)的协议。LM 身份验证级别可确定在客户端和服务器计算机之间协商哪个质询/响应身份验证协议。确切地说,LM 身份验证级别可确定客户端会尝试协商或服务器会接受哪些身份验证协议。设置的 LmCompatibilityLevel 值可确定将哪种质询/响应身份验证协议用于网络登录。该值会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别,具体请参见下表。

    可能的设置包括以下内容。
    收起该表格展开该表格
    值 设置 说明
    0 发送 LM 和 NTLM 响应 客户端使用 LM 和 NTLM 身份验证而从不使用 NTLMv2 会话安全;域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
    1 发送 LM 和 NTLM - 若协商使用 NTLMv2 会话安全 客户端使用 LM 和 NTLM 身份验证并使用 NTLMv2 会话安全(如果服务器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
    2 仅发送 NTLM 响应 客户端只使用 NTLM 身份验证并使用 NTLMv2 会话安全(如果服务器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
    3 仅发送 NTLMv2 响应 客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全(如果服务器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份验证。
    4 仅发送 NTLMv2 响应/拒绝 LM 客户端只使用 NTLMv2 身份验证并在服务器支持时使用 NTLMv2 会话安全。域控制器拒绝 LM,而只接受 NTLM 和 NTLMv2 身份验证。
    5 仅发送 NTLMv2 响应/拒绝 LM 和 NTLM 客户端只使用 NTLMv2 身份验证并使用 NTLMv2 会话安全(如果服务器支持);域控制器拒绝 LM 和 NTLM(它们只接受 NTLMv2 身份验证)。
    注意:在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,目录服务客户端在通过 NTLM 身份验证向 Windows Server 2003 服务器验证身份时使用 SMB 签名。但是,目录服务客户端在通过 NTLMv2 身份验证向这些服务器验证身份时并不使用 SMB 签名。另外,Windows 2000 服务器不响应来自这些客户端的 SMB 签名请求。

    检查 LM 身份验证级别 必须更改服务器上的策略以允许使用 NTLM,或者必须配置客户端计算机以支持 NTLMv2。

    如果要连接到的目标计算机上的策略设置为“(5) 仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”,那么必须降低该计算机上的设置,或者对安全性进行设置使其与要从中进行连接的源计算机的设置相同。

    找到可以更改 LAN Manager 身份验证级别的正确位置,以便将客户端和服务器设置为同一级别。找到设置 LAN Manager 身份验证级别的策略后,如果您希望与运行较早版本 Windows 的计算机建立连接,请将该值至少降低到“(1) 发送 LM 和 NTLM - 若协商则使用 NTLMv2 会话安全”。不兼容设置的一个结果便是:如果服务器需要 NTLMv2(值 5),但客户端配置为仅使用 LM 和 NTLMv1(值 0),则尝试身份验证的用户会因使用了无效密码而无法登录,同时会因此增加无效密码计数。如果配置了帐户锁定,则可能最终会锁定该用户。

    例如,您可能必须查看域控制器,或者查看域控制器的策略。

    查看域控制器
    注意:您可能必须在所有域控制器上重复以下过程。
    1. 单击“开始”,指向“程序”,然后单击“管理工具”。
    2. 在“本地安全设置”下,展开“本地策略”。
    3. 单击“安全选项”。
    4. 双击“网络安全:LAN Manager 身份验证级别”,然后单击列表中的适当值。
    如果“有效设置”与“本地设置”相同,则表明已在此级别上更改了策略。如果这两个设置不同,则必须检查域控制器的策略以确定是否在此处定义了“网络安全:LAN Manager 身份验证级别”设置。如果未在此处定义,请查看域控制器的策略。

    查看域控制器的策略
    1. 单击“开始”,指向“程序”,然后单击“管理工具”。
    2. 在“域控制器安全”策略中,展开“安全设置”,然后展开“本地策略”。
    3. 单击“安全选项”。
    4. 双击“网络安全:LAN Manager 身份验证级别”,然后单击列表中的适当值。
    注意
    • 您可能还必须检查在网站级别、域级别或组织单位 (OU) 级别链接的策略,以确定必须配置 LAN Manager 身份验证级别的位置。
    • 如果将某一组策略设置作为默认域策略来执行,则该策略将应用于域中的所有计算机。
    • 如果将某一组策略设置作为默认域控制器的策略来执行,则该策略仅适用于域控制器的 OU 中的服务器。
    • 最好在策略应用程序层次结构中所需范围的最低实体中设置 LAN Manager 身份验证级别。
    请在进行更改后刷新该策略。(如果更改是在本地安全设置级别进行的,则此更改会立即生效。但是,在进行测试之前必须重新启动客户端。)

    默认情况下,组策略设置在域控制器上每 5 分钟更新一次。要在 Windows 2000 或更高版本上立即强制更新策略设置,请使用 gpupdate 命令。

    gpupdate /force 命令可更新本地组策略设置和基于 Active Directory 目录服务的组策略设置,包括安全设置。此命令取代了现已过时的 secedit 命令的 /refreshpolicy 选项。

    gpupdate 命令使用以下语法:
    gpupdate [/target:{computer|user}] [/force] [/wait:value] [/logoff] [/boot]

    通过使用 gpupdate 命令手动重新应用所有策略设置,可以应用新的组策略对象 (GPO)。为此,请在命令提示符处键入以下内容,然后按 Enter:
    GPUpdate /Force
    查看应用程序事件日志以确保成功应用了策略设置。

    在 Windows XP 和 Windows Server 2003 上,可以使用“策略的结果集”管理单元来查看有效设置。为此,请单击“开始”,单击“运行”,键入 rsop.msc,然后单击“确定”。

    如果对策略进行更改后问题仍然存在,请重新启动基于 Windows 的服务器,然后验证问题是否已解决。

    注意:如果您有多台基于 Windows 2000 的域控制器和/或多台基于 Windows Server 2003 的域控制器,则可能必须复制 Active Directory 以确保这些域控制器能够立即获得更新的更改。

    或者,该设置可能看起来像被设置为本地安全策略中的最低设置。如果可以通过安全数据库进行设置,则还可以通过在注册表中编辑以下注册表子项中的 LmCompatibilityLevel 项来设置 LAN Manager 身份验证级别:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
    Windows Server 2003 有一个仅使用 NTLMv2 的新默认设置。默认情况下,基于 Windows Server 2003 和基于 Windows 2000 Server SP3 的域控制器已启用“Microsoft 网络服务器:数字签名的通信(总是)”策略。此设置要求 SMB 服务器执行 SMB 数据包签名。 已经对 Windows Server 2003 进行了更改,原因是任何组织中的域控制器、文件服务器、网络结构服务器和 Web 服务器均要求采用不同的设置,以最大程度地提高其安全性。

    如果您想在网络中实施 NTLMv2 身份验证,请一定要确保将域中的所有计算机都设置为使用此身份验证级别。如果对 Windows 95 或 Windows 98 以及 Windows NT 4.0 应用了 Active Directory Client Extension,则此客户端扩展将使用 NTLMv2 中提供的改进的身份验证功能。 因为运行以下任何操作系统的客户端计算机都不受 Windows 2000 组策略对象的影响,所以您可能需要手动配置这些客户端:
    • Microsoft Windows NT 4.0
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98
    • Microsoft Windows 95
    注意:如果启用了“网络安全:不要在下次更改密码时存储 LAN Manager 的哈希值”策略或设置了“NoLMHash”注册表项,则未安装目录服务客户端的 Windows 95 和 Windows 98 客户端在密码更改后将无法登录到域。

    许多第三方 CIFS 服务器(如 Novell Netware 6)都无法识别 NTLMv2 而只使用 NTLM。因此,高于 2 的级别都不允许进行连接。

    有关如何手动配置 LAN Manager 身份验证级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    147706 (http://support.microsoft.com/kb/147706/ ) 如何在 Windows NT 上禁用 LM 身份验证
    175641 (http://support.microsoft.com/kb/175641/ ) LMCompatibilityLevel 及其效果
    299656 (http://support.microsoft.com/kb/299656/ ) 如何阻止 Windows 在 Active Directory 和本地 SAM 数据库中存储密码的 LAN Manager 哈希
    312630 (http://support.microsoft.com/kb/312630/ ) Outlook 不断提示您提供登录凭据
    有关 LM 身份验证级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    239869 (http://support.microsoft.com/kb/239869/ ) 如何启用 NTLM 2 身份验证
  3. 危险配置

    以下是有害的配置设置:
    • 以明文形式发送密码和拒绝 NTLMv2 协商的非限制性设置
    • 阻止不兼容的客户端或域控制器协商通用身份验证协议的限制性设置
    • 要求在运行早于 Windows NT 4.0 Service Pack 4 (SP4) 版本的成员计算机和域控制器上进行 NTLMv2 身份验证
    • 要求在未安装 Windows 目录服务客户端的 Windows 95 客户端或 Windows 98 客户端上进行 NTLMv2 身份验证。
    • 在基于 Windows Server 2003 或 Windows 2000 Service Pack 3 的计算机上,如果单击以选中 Microsoft 管理控制台“组策略编辑器”管理单元中的“要求 NTLMv2 会话安全”复选框,并将 LAN Manager 身份验证级别降为 0,那么这两项设置将发生冲突,并且您可能会在 Secpol.msc 文件或 GPEdit.msc 文件中收到以下错误消息:
      Windows 无法打开本地策略数据库。打开数据库时出现了一个未知错误。
      有关安全配置和分析工具的更多信息,请参见 Windows 2000 或 Windows Server 2003“帮助”文件。

      有关如何在 Windows 2000 和 Windows Server 2003 上分析安全级别的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      313203 (http://support.microsoft.com/kb/313203/ ) 如何在 Windows 2000 中分析系统安全
      816580 (http://support.microsoft.com/kb/816580/ ) 如何在 Windows Server 2003 中分析系统安全
  4. 修改此设置的原因
    • 您想要提高组织中客户端和域控制器支持的最低的通用身份验证协议。
    • 在业务需要安全的身份验证的情况下,您希望禁止对 LM 和 NTLM 协议的协商。
  5. 禁用此设置的原因

    已将客户端或服务器身份验证要求(或两者同时)提高到了通过通用协议也无法进行身份验证的程度。
  6. 符号名称:

    LmCompatibilityLevel
  7. 注册表路径:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
  8. 兼容性问题的示例
    • Windows Server 2003:默认情况下,Windows Server 2003 NTLMv2 的“发送 NTLM 响应”设置已启用。因此,在初始安装后,当您尝试连接到基于 Windows NT 4.0 的群集或基于 LanManager V2.1 的服务器(如 OS/2 Lanserver)时,Windows Server 2003 将收到“Access Denied”错误消息。在尝试从较早版本的客户端连接到基于 Windows Server 2003 的服务器时,也会发生此问题。
    • 应该安装 Windows 2000 安全汇总包 1 (SRP1)。SRP1 会强制使用 NTLM 版本 2 (NTLMv2)。此汇总包是在 Windows 2000 Service Pack 2 (SP2) 之后发布的。有关 SRP1 的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

      311401 (http://support.microsoft.com/kb/311401/ ) 2002 年 1 月版 Windows 2000 安全累积软件包 1 (SRP1)
    • 即使 Microsoft Outlook 客户端已经登录到域,这些客户端也可能会收到要求提供凭据的提示。用户提供凭据后,将收到下面的错误消息:
      The logon credentials supplied were incorrect.Make sure your username and domain are correct, then type your password again.
      即使将“登录网络安全性”设置设为“Passthrough”或“密码验证”,您也可能会在启动 Outlook 时收到要求提供凭据的提示。键入正确的凭据后,可能会收到下面的错误消息:
      The login credentials supplied were incorrect.
      网络监视器跟踪可能会显示全局编录发出的远程过程调用 (RPC) 失败,状态为 0x5。状态 0x5 表示“拒绝访问”。
    • Windows 2000:网络监视器捕获功能可能会在 TCP/IP 上的 NetBIOS (NetBT) 服务器消息块 (SMB) 会话期间显示以下错误:
      SMB R Search Directory Dos error, (5) ACCESS_DENIED (109) STATUS_LOGON_FAILURE (91) Invalid user identifier
    • Windows 2000:如果具有 NTLMv2 级别 2 或更高级别的 Windows 2000 域受到 Windows NT 4.0 域的信任,则资源域中基于 Windows 2000 的成员计算机可能会遇到身份验证错误。

      有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      305379 (http://support.microsoft.com/kb/305379/ ) 在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题
    • Windows 2000 和 Windows XP:默认情况下,Windows 2000 和 Windows XP 将“LAN Manager 身份验证级别本地安全策略”选项设置为 0。设置为 0 表示“发送 LM 和 NTLM 响应”。

      注意:基于 Windows NT 4.0 的群集必须使用 LM 才能进行管理。
    • Windows 2000:如果两个节点都是 Windows NT 4.0 Service Pack 6a (SP6a) 域的一部分,则 Windows 2000 群集不能对一个加入节点进行身份验证。

      有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      305379 (http://support.microsoft.com/kb/305379/ ) 在 Windows NT 4.0 域中具有高于 2 的 NTLM 2 级别的 Windows 2000 中出现身份验证问题
    • IIS Lockdown Tool (HiSecWeb) 将 LMCompatibilityLevel 的值设为 5,并将 RestrictAnonymous 的值设为 2。
    • Macintosh 服务

      User Authentication Module (UAM):Microsoft UAM (User Authentication Module) 提供了一种对登录到 Windows AFP (AppleTalk Filing Protocol) 服务器所使用的密码进行加密的方法。Apple User Authentication Module (UAM) 仅提供最简单的加密或者根本不加密。因此,在 LAN 或 Internet 上,您的密码很容易被截获。虽然没有要求 UAM,但它确实可以为运行 Macintosh 服务的 Windows 2000 服务器提供加密的身份验证。此版本包括对 NTLMv2 128 位加密身份验证和与 MacOS X 10.1 兼容的版本的支持。

      默认情况下,Windows Server 2003 Services for Macintosh 服务器仅允许使用 Microsoft 身份验证。

      有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      834498 (http://support.microsoft.com/kb/834498/ ) Macintosh 客户端无法连接到 Windows Server 2003 上的 Mac 服务
      838331 (http://support.microsoft.com/kb/838331/ ) Mac OS X 用户无法打开基于 Windows Server 2003 服务器上的 Macintosh 共享文件夹
    • Windows Server 2008、Windows Server 2003、Windows XP 和 Windows 2000:如果将 LMCompatibilityLevel 值配置为 0 或 1,然后将 NoLMHash 值配置为 1,则可能会拒绝应用程序和组件通过 NTLM 进行访问。此问题是由于计算机被配置为启用 LM 而非使用 LM 存储的密码造成的。

      如果将 NoLMHash 值配置为 1,则必须将 LMCompatibilityLevel 值配置为 2 或更大的值。
分享到:
评论

相关推荐

    Windows7无法访问Windows2003共享的解决方案

    "Windows7无法访问Windows2003共享的解决方案" 本文将详细介绍 Windows7 无法访问 Windows2003 共享的解决方案。这个问题可能会导致工作效率的下降,影响工作的进行。下面我们将一步步解决这个问题。 问题描述 在...

    win7无法访问局域网2003系统共享的文件 解决方法

    ### Win7无法访问局域网...通过以上详细的步骤说明和注意事项,我们不仅解决了Win7无法访问Windows Server 2003系统共享文件的问题,还提供了一些扩展的解决方案思路,希望能帮助遇到类似问题的朋友快速找到解决办法。

    win 7无法访问共享

    然而,有时用户会遇到“Win 7无法访问共享”的问题,这不仅影响工作效率,也可能导致数据访问受阻。本文将深入探讨这一现象背后的原因及解决方案,帮助读者理解并解决类似问题。 ### Win 7无法访问共享的根本原因 ...

    解决共享文件打印机XP访问win7提示指定的网络名不再可用的终极解决方案来自微软官方资料

    解决xp访问win7共享时提示指定的网络名不再可用 更多详情请移步微软官方 https://support.microsoft.com/zh-cn/help/2696547/detect-enable-disable-smbv1-smbv2-smbv3-in-windows-and-windows-server

    win7系统局域网共享设置解决方案

    《Win7系统局域网共享设置解决方案》 局域网共享设置是Windows操作系统中的一个重要环节,尤其在多台计算机需要相互协作的环境中。然而,对于Win7系统来说,尽管其网络功能得到了提升,但在默认设置下,Win7与XP...

    Win7系统局域网共享设置解决方案.docx

    《Win7系统局域网共享设置解决方案》 在信息技术领域,局域网共享设置是日常工作中常见的需求,尤其是在企业环境中。Windows 7系统虽然在功能上比XP有所增强,但在网络共享方面却让一些习惯于XP系统的人感到困扰。...

    XP与WIN7局域网共享设置的解决方案.docx

    《XP与WIN7局域网共享设置的解决方案》 在信息技术日益发达的今天,局域网共享成为日常工作和生活中常见的需求。然而,XP系统和WIN7系统在局域网共享方面存在一定的兼容性问题,这给用户带来了困扰。本文旨在解决这...

    win 7 共享问题解决

    在安装了 Ghost 版的 Windows 7 之后,用户可能无法访问局域网内的共享资源,每次尝试访问时都提示“错误代码:0x800704b3网络路径键入不正确、不存在或者网络提供程序当前不可用”。这种情况下,用户需要检查和设置...

    Win7系统局域网共享设置解决方案

    为了解决Win7与XP之间的局域网共享问题,需要遵循一系列步骤和注意事项。 首先,确保你拥有管理员权限的账户,这是进行任何系统配置的基础。其次,所有连接到局域网的计算机需处于同一IP段,例如192.168.1.X,且...

    XP与WIN7局域网共享设置解决方案很好用归类.pdf

    《XP与WIN7局域网共享设置解决方案》 在信息技术领域,尤其是在企业环境中,局域网(LAN)的共享设置是日常操作的重要组成部分。XP和WIN7作为两个不同世代的操作系统,它们之间的资源共享有时会遇到一些挑战。这篇...

    Win7系统局域网共享设置解决方案及常见问题.pdf

    默认配置下,Win7系统间的共享访问以及与XP系统的互访可能存在问题。本文将详细介绍解决这一问题的步骤和注意事项。 首先,确保共享设置的基础条件得到满足。这包括使用具有管理员权限的账户,所有计算机处于同一IP...

    Win7和XP共享解决方法

    ### Win7和XP系统间共享解决方案详析 在IT领域,不同操作系统间的资源共享一直是一个备受关注的话题,尤其在Windows XP与Windows 7之间,由于两者操作系统内核的差异,实现共享并非易事。本文将深入解析如何在...

    Win7系统与XP系统局域网共享设置解决方案文件.pdf

    《Win7系统与XP系统局域网共享设置详解》 在信息技术日新月异的今天,Windows 7和Windows XP这两个不同的操作系统版本在局域网共享方面可能存在一些兼容性问题。尽管Win7系统在网络功能上有所提升,但对于习惯于XP...

    Win7系统局域网共享设置解决方案及常见问题.doc

    综上所述,解决Win7与XP系统间局域网共享问题需要对系统设置进行多方面调整,包括网络配置、服务启用、安全策略等。按照以上步骤操作,大部分情况下可以实现两系统间的正常共享。不过,由于不同版本的系统可能存在的...

    win7局域网解决方案.docx

    【Win7局域网解决方案】 在Windows 7操作系统中,相较于Windows XP,网络功能得到了显著增强,但在默认配置下,可能会遇到局域网共享访问的问题。尤其是当Win7与XP系统混合在一个网络环境中时,相互之间的共享访问...

    win7连接网络打印机解决办法

    解决方案 要连接 Win7 网络打印机,我们需要: 1. 启用网络发现。 2. 确保 DNS Client、SSDP Discovery 和 Server 服务是开启的。 3. 启用 Server 服务。 4. 启用 Workstation 服务。 5. 启用 Computer Browser ...

    Windows7无法访问局域网共享文件服务器(提示密码错误).docx

    在局域网环境中,Windows 7 用户经常遇到无法访问基于Windows Server 2003 或 Windows XP 的共享文件服务器的问题。这类问题通常表现为用户在尝试登录时收到“未知的错误用户名和密码,请重新输入”的提示。这种情况...

    Windows7局域网共享设置解决方案.pdf

    Windows 7 局域网共享设置解决方案 Windows 7 的网络功能比 XP 有了进一步的增强,使用起来也相对清晰。但是由于做了很多表面优化的工作,使得底层的网络设置对于习惯了 XP 系统的人来说变得很不适应,其中局域网...

Global site tag (gtag.js) - Google Analytics