2010年10月25日 星期一 14:58
Windows 7 從Beta版到之後發布的穩定版本,與之前其他版本的操作系統之間會出現一些較異常的問題。
今天要解決的是Windows7無法訪問Windows2003共享的問題
【問題描述】:
Windows 7 無法訪問Windows2003共享,出現“系統錯誤 86。網絡密碼不正確”,但是這些問題都是正確的,經分析問題可能出現在用戶身份驗證上。
【解決方法】:
首先,我們先確認防火牆是否阻止網絡共享,“控制面板-系統和安全-windows防火牆-允許的程序裡打開了文件和打印機共享;”。
其次,“本地安全策略”,將“網絡安全:LAN管理器身份驗證級別”項的值“沒有定義”改為“發送LM & NTLM響應”;
最後,經過這樣的修改後,windows 7就可以成功訪問網絡共享了
http://support.microsoft.com/kb/823659
網絡安全:Lan Manager 身份驗證級別
背景
LAN Manager (LM) 身份驗證是用於驗證 Windows 客戶端以進行網絡操作(包括域加入、訪問網絡資源以及用戶或計算機身份驗證)的協議。LM 身份驗證級別可確定在客戶端和服務器計算機之間協商哪個質詢/響應身份驗證協議。確切地說,LM 身份驗證級別可確定客戶端會嘗試協商或服務器會接受哪些身份驗證協議。設置的 LmCompatibilityLevel 值可確定將哪種質詢/響應身份驗證協議用於網絡登錄。該值會影響客戶端使用的身份驗證協議級別、協商的會話安全級別以及服務器接受的身份驗證級別,具體請參見下表。
可能的設置包括以下內容。
收起該表格展開該表格
值 設置 說明
0 發送 LM 和 NTLM 響應 客戶端使用 LM 和 NTLM 身份驗證而從不使用 NTLMv2 會話安全;域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
1 發送 LM 和 NTLM - 若協商使用 NTLMv2 會話安全 客戶端使用 LM 和 NTLM 身份驗證並使用 NTLMv2 會話安全(如果服務器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
2 僅發送 NTLM 響應 客戶端只使用 NTLM 身份驗證並使用 NTLMv2 會話安全(如果服務器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
3 僅發送 NTLMv2 響應 客戶端只使用 NTLMv2 身份驗證並使用 NTLMv2 會話安全(如果服務器支持);域控制器接受 LM、NTLM 和 NTLMv2 身份驗證。
4 僅發送 NTLMv2 響應/拒絕 LM 客戶端只使用 NTLMv2 身份驗證並在服務器支持時使用 NTLMv2 會話安全。域控制器拒絕 LM,而只接受 NTLM 和 NTLMv2 身份驗證。
5 僅發送 NTLMv2 響應/拒絕 LM 和 NTLM 客戶端只使用 NTLMv2 身份驗證並使用 NTLMv2 會話安全(如果服務器支持);域控制器拒絕 LM 和 NTLM(它們只接受 NTLMv2 身份驗證)。
注意:在 Windows 95、Windows 98 和 Windows 98 Second Edition 中,目錄服務客戶端在通過 NTLM 身份驗證向 Windows Server 2003 服務器驗證身份時使用 SMB 簽名。但是,目錄服務客戶端在通過 NTLMv2 身份驗證向這些服務器驗證身份時並不使用 SMB 簽名。另外,Windows 2000 服務器不響應來自這些客戶端的 SMB 簽名請求。
檢查 LM 身份驗證級別 必須更改服務器上的策略以允許使用 NTLM,或者必須配置客戶端計算機以支持 NTLMv2。
如果要連接到的目標計算機上的策略設置為“(5) 僅發送 NTLMv2 響應\拒絕 LM 和 NTLM”,那麼必須降低該計算機上的設置,或者對安全性進行設置使其與要從中進行連接的源計算機的設置相同。
找到可以更改 LAN Manager 身份驗證級別的正確位置,以便將客戶端和服務器設置為同一級別。找到設置 LAN Manager 身份驗證級別的策略後,如果您希望與運行較早版本 Windows 的計算機建立連接,請將該值至少降低到“(1) 發送 LM 和 NTLM - 若協商則使用 NTLMv2 會話安全”。不兼容設置的一個結果便是:如果服務器需要 NTLMv2(值 5),但客戶端配置為僅使用 LM 和 NTLMv1(值 0),則嘗試身份驗證的用戶會因使用了無效密碼而無法登錄,同時會因此增加無效密碼計數。如果配置了帳戶鎖定,則可能最終會鎖定該用戶。
例如,您可能必須查看域控制器,或者查看域控制器的策略。
查看域控制器
注意:您可能必須在所有域控制器上重復以下過程。
單擊“開始”,指向“程序”,然後單擊“管理工具”。
在“本地安全設置”下,展開“本地策略”。
單擊“安全選項”。
雙擊“網絡安全:LAN Manager 身份驗證級別”,然後單擊列表中的適當值。
如果“有效設置”與“本地設置”相同,則表明已在此級別上更改了策略。如果這兩個設置不同,則必須檢查域控制器的策略以確定是否在此處定義了“網絡安全:LAN Manager 身份驗證級別”設置。如果未在此處定義,請查看域控制器的策略。
查看域控制器的策略
單擊“開始”,指向“程序”,然後單擊“管理工具”。
在“域控制器安全”策略中,展開“安全設置”,然後展開“本地策略”。
單擊“安全選項”。
雙擊“網絡安全:LAN Manager 身份驗證級別”,然後單擊列表中的適當值。
注意
您可能還必須檢查在網站級別、域級別或組織單位 (OU) 級別鏈接的策略,以確定必須配置 LAN Manager 身份驗證級別的位置。
如果將某一組策略設置作為默認域策略來執行,則該策略將應用於域中的所有計算機。
如果將某一組策略設置作為默認域控制器的策略來執行,則該策略僅適用於域控制器的 OU 中的服務器。
最好在策略應用程序層次結構中所需范圍的最低實體中設置 LAN Manager 身份驗證級別。
請在進行更改後刷新該策略。(如果更改是在本地安全設置級別進行的,則此更改會立即生效。但是,在進行測試之前必須重新啟動客戶端。)
默認情況下,組策略設置在域控制器上每 5 分鐘更新一次。要在 Windows 2000 或更高版本上立即強制更新策略設置,請使用 gpupdate 命令。
