補丁更新後服務器遠程連接報錯及解決方法
問題描述:
3月26日晚上,按照慣例進行系統補丁更新操作,補丁如下:
KB3002657 KB3030377 KB3032323 KB3033889
KB3033929 KB3034344 KB3035126 KB3035131
KB3035132 KB3039066 KB3046049 KB3032359
更新並重啓後,發現域外本地windows7系統的計算機無法遠程登錄域內平臺上的windows server2008R2服務器(或表現爲域外計算機訪問域內08R2服務器的共享文件夾失敗),只能連接域內03R2的服務器,但域外XP系統都是可以遠程到的。而且,雲平臺的08R2服務器是能正常連接的。
錯誤界面如下
問題解決過程:
首先:查看計算機日誌,沒有發現比較可疑或者明顯相關的報錯
其次:懷疑與系統補丁更新有關,查找資料尋找相關的解決方案如下:
方法一(×):
1.找到開始--- 運行-- 輸入 gpedit.msc,打開本地組策略編輯器
2.然後依次找到菜單,計算機配置--- 管理模板---憑據分配---- 允許分配保存的憑據用於NTLM服務器身份驗證
3.手動在本地計算機保存遠程連接的憑據
參考:http://jingyan.baidu.com/article/4ae03de320129f3eff9e6bb8.html
問題依然存在!
方法二(√):
1.找到開始--- 運行-- 輸入 gpedit.msc,打開本地組策略編輯器
2.計算機配置---windows設置---安全設置---本地策略---安全選項
3.雙擊打開右邊的網絡安全:LAN管理身份驗證級別,選擇發送LM和NTLM相應(&)--確定,默認是未配置的。
問題得到解決!
方法三(√):
1. 打開註冊表編輯器;
2. 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
3. 選擇菜單“編輯”,“添加數值”;
4. 數值名稱中輸入:LMCompatibilityLevel,數值類型爲:DWORD,單擊確定;
5.修改LMCompatibilityLevel鍵值爲“0”。
鍵值說明:
0 - 發送 LM 和 NTLM響應;
1 - 發送 LM 和 NTLM響應;
2 - 僅發送 NTLM響應;
3 - 僅發送 NTLMv2響應;(Windows2000有效)
4 - 僅發送 NTLMv2響應,拒絕 LM;(Windows2000有效)
5 - 僅發送 NTLMv2響應,拒絕 LM 和 NTLM;(Windows2000有效)
問題分析:
微軟暫時沒有相關的解釋,可能是有於系統補丁更新後,修改了計算機的默認驗證機制,以提高系統訪問的安全性等級。其中可選用的驗證機制有LM、NTLM、NTLMv2三種及其組合。
說明如下:
根據查找的資料顯示,是由於KB3002657這個補丁引起的。
更新了補丁後,08R2的系統的驗證機制修改成了僅發送NTLMv2響應了(相關註冊表鍵值),導致非加入域的07版本以上的系統無法使用LM或者NTLM方式進行驗證。
建議:
1.補丁更新時間不應太早,否則出了問題就做小白鼠了;
2.如果在系統補丁更新重啓後遇到問題可以收索相應的補丁號,查找更新修復的漏洞內容,才能更好更快地定位問題所在;
3.可在補丁更新前就瞭解本次更新修復的內容,提前做好規避方法。
詳見微軟3月12日補丁更新修復說明:http://www.xp71.com/jiaochen/dnrjjc/6393.html