Windows7无法访问Windows2003共享的解决方案

Windows7从Beta版到之后发布的稳定版本，与之前其他版本的操作系统之间会出现一些较异常的问题。今天要解决的是Windows7无法访问Windows2003共享的问题【问题描述】：Windows7无法访问Windows2003共享，出现“系统错误86。网络密码不正确”，但是这些问题都是正确的，经分析问题可能出现在用户身份验证上。【解决方法】：首先，我们先确认防火墙是否阻止网络共享，“控制面板-系统和安全-windows防火墙-允许的程序里打开了文件和打印机共享；”。其次，“本地安全策略”，将“网络安全：LAN管理器身份验证级别”项的值“没有定义”改为“发送LM&NTLM响应”；最后，经过这样的修改后，windows7就可以成功访问网络共享了网络安全：LanManager身份验证级别b.背景LANManager(LM)身份验证是用于验证Windows客户端以进行网络操作（包括域加入、访问网络资源以及用户或计算机身份验证）的协议。LM身份验证级别可确定在客户端和服务器计算机之间协商哪个质询/响应身份验证协议。确切地说，LM身份验证级别可确定客户端会尝试协商或服务器会接受哪些身份验证协议。设置的LmCompatibilityLevel值可确定将哪种质询/响应身份验证协议用于网络登录。该值会影响客户端使用的身份验证协议级别、协商的会话安全级别以及服务器接受的身份验证级别，具体请参见下表。可能的设置包括以下内容。收起该表格展开该表格值设置说明0发送LM和NTLM响应客户端使用LM和NTLM身份验证而从不使用NTLMv2会话安全；域控制器接受LM、NTLM和NTLMv2身份验证。1发送LM和NTLM-若协商使用NTLMv2会话安全客户端使用LM和NTLM身份验证并使用NTLMv2会话安全（如果服务器支持）；域控制器接受LM、NTLM和NTLMv2身份验证。2仅发送NTLM响应客户端只使用NTLM身份验证并使用NTLMv2会话安全（如果服务器支持）；域控制器接受LM、NTLM和NTLMv2身份验证。3仅发送NTLMv2响应客户端只使用NTLMv2身份验证并使用NTLMv2会话安全（如果服务器支持）；域控制器接受LM、NTLM和NTLMv2身份验证。4仅发送NTLMv2响应/拒绝LM客户端只使用NTLMv2身份验证并在服务器支持时使用NTLMv2会话安全。域控制器拒绝LM，而只接受NTLM和NTLMv2身份验证。5仅发送NTLMv2响应/拒绝LM和NTLM客户端只使用NTLMv2身份验证并使用NTLMv2会话安全（如果服务器支持）；域控制器拒绝LM和NTLM（它们只接受NTLMv2身份验证）。注意：在Windows95、Windows98和Windows98SecondEdition中，目录服务客户端在通过NTLM身份验证向WindowsServer2003服务器验证身份时使用SMB签名。但是，目录服务客户端在通过NTLMv2身份验证向这些服务器验证身份时并不使用SMB签名。另外，Windows2000服务器不响应来自这些客户端的SMB签名请求。检查LM身份验证级别必须更改服务器上的策略以允许使用NTLM，或者必须配置客户端计算机以支持NTLMv2。如果要连接到的目标计算机上的策略设置为“(5)仅发送NTLMv2响应\拒绝LM和NTLM”，那么必须降低该计算机上的设置，或者对安全性进行设置使其与要从中进行连接的源计算机的设置相同。找到可以更改LANManager身份验证级别的正确位置，以便将客户端和服务器设置为同一级别。找到设置LANManager身份验证级别的策略后，如果您希望与运行较早版本Windows的计算机建立连接，请将该值至少降低到“(1)发送LM和NTLM-若协商则使用NTLMv2会话安全”。不兼容设置的一个结果便是：如果服务器需要NTLMv2（值5），但客户端配置为仅使用LM和NTLMv1（值0），则尝试身份验证的用户会因使用了无效密码而无法登录，同时会因此增加无效密码计数。如果配置了帐户锁定，则可能最终会锁定该用户。例如，您可能必须查看域控制器，或者查看域控制器的策略。查看域控制器注意：您可能必须在所有域控制器上重复以下过程。1.单击“开始”，指向“程序”，然后单击“管理工具”。2.在“本地安全设置”下，展开“本地策略”。3.单击“安全选项”。4.双击“网络安全:LANManager身份验证级别”，然后单击列表中的适当值。如果“有效设置”与“本地设置”相同，则表明已在此级别上更改了策略。如果这两个设置不同，则必须检查域控制器的策略以确定是否在此处定义了“网络安全:LANManager身份验证级别”设置。如果未在此处定义，请查看域控制器的策略。查看域控制器的策略5.单击“开始”，指向“程序”，然后单击“管理工具”。6.在“域控制器安全”策略中，展开“安全设置”，然后展开“本地策略”。7.单击“安全选项”。8.双击“网络安全:LANManager身份验证级别”，然后单击列表中的适当值。注意o您可能还必须检查在网站级别、域级别或组织单位(OU)级别链接的策略，以确定必须配置LANManager身份验证级别的位置。o如果将某一组策略设置作为默认域策略来执行，则该策略将应用于域中的所有计算机。o如果将某一组策略设置作为默认域控制器的策略来执行，则该策略仅适用于域控制器的OU中的服务器。o最好在策略应用程序层次结构中所需范围的最低实体中设置LANManager身份验证级别。请在进行更改后刷新该策略。（如果更改是在本地安全设置级别进行的，则此更改会立即生效。但是，在进行测试之前必须重新启动客户端。）默认情况下，组策略设置在域控制器上每5分钟更新一次。要在Windows2000或更高版本上立即强制更新策略设置，请使用gpupdate命令。gpupdate/force命令可更新本地组策略设置和基于ActiveDirectory目录服务的组策略设置，包括安全设置。此命令取代了现已过时的secedit命令的/refreshpolicy选项。gpupdate命令使用以下语法：gpupdate[/target:{computer|user}][/force][/wait:value][/logoff][/boot]通过使用gpupdate命令手动重新应用所有策略设置，可以应用新的组策略对象(GPO)。为此，请在命令提示符处键入以下内容，然后按Enter：GPUpdate/Force查看应用程序事件日志以确保成功应用了策略设置。在WindowsXP和WindowsServer2003上，可以使用“策略的结果集”管理单元来查看有效设置。为此，请单击“开始”，单击“运行”，键入rsop.msc，然后单击“确定”。如果对策略进行更改后问题仍然存在，请重新启动基于Windows的服务器，然后验证问题是否已解决。注意：如果您有多台基于Windows2000的域控制器和/或多台基于WindowsServer2003的域控制器，则可能必须复制ActiveDirectory以确保这些域控制器能够立即获得更新的更改。或者，该设置可能看起来像被设置为本地安全策略中的最低设置。如果可以通过安全数据库进行设置，则还可以通过在注册表中编辑以下注册表子项中的LmCompatibilityLevel项来设置LANManager身份验证级别：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LsaWindowsServer2003有一个仅使用NTLMv2的新默认设置。默认情况下，基于WindowsServer2003和基于Windows2000ServerSP3的域控制器已启用“Microsoft网络服务器:数字签名的通信(总是)”策略。此设置要求SMB服务器执行SMB数据包签名。已经对WindowsServer2003进行了更改，原因是任何组织中的域控制器、文件服务器、网络结构服务器和Web服务器均要求采用不同的设置，以最大程度地提高其安全性。如果您想在网络中实施NTLMv2身份验证，请一定要确保将域中的所有计算机都设置为使用此身份验证级别。如果对Windows95或Windows98以及WindowsNT4.0应用了ActiveDirectoryClientExtension，则此客户端扩展将使用NTLMv2中提供的改进的身份验证功能。因为运行以下任何操作系统的客户端计算机都不受Windows2000组策略对象的影响，所以您可能需要手动配置这些客户端：oMicrosoftWindowsNT4.0oMicrosoftWindowsMillenniumEditionoMicrosoftWindows98oMicrosoftWindows95注意：如果启用了“网络安全:不要在下次更改密码时存储LANManager的哈希值”策略或设置了“NoLMHash”注册表项，则未安装目录服务客户端的Windows95和Windows98客户端在密码更改后将无法登录到域。许多第三方CIFS服务器（如NovellNetware6）都无法识别NTLMv2而只使用NTLM。因此，高于2的级别都不允许进行连接。有关如何手动配置LANManager身份验证级别的更多信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：147706()如何在WindowsNT上禁用LM身份验证175641()LMCompatibilityLevel及其效果299656()如何阻止Windows在ActiveDirectory和本地SAM数据库中存储密码的LANManager哈希312630()Outlook不断提示您提供登录凭据有关LM身份验证级别的更多信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：239869()如何启用NTLM2身份验证c.危险配置以下是有害的配置设置：o以明文形式发送密码和拒绝NTLMv2协商的非限制性设置o阻止不兼容的客户端或域控制器协商通用身份验证协议的限制性设置o要求在运行早于WindowsNT4.0ServicePack4(SP4)版本的成员计算机和域控制器上进行NTLMv2身份验证o要求在未安装Windows目录服务客户端的Windows95客户端或Windows98客户端上进行NTLMv2身份验证。o在基于WindowsServer2003或Windows2000ServicePack3的计算机上，如果单击以选中Microsoft管理控制台“组策略编辑器”管理单元中的“要求NTLMv2会话安全”复选框，并将LANManager身份验证级别降为0，那么这两项设置将发生冲突，并且您可能会在Secpol.msc文件或GPEdit.msc文件中收到以下错误消息：Windows无法打开本地策略数据库。打开数据库时出现了一个未知错误。有关安全配置和分析工具的更多信息，请参见Windows2000或WindowsServer2003“帮助”文件。有关如何在Windows2000和WindowsServer2003上分析安全级别的更多信息，请单击下面的文章编号，以查看Microsoft知识库中相应的文章：313203()如何在Windows2000中分析系统安全816580()