补丁更新后服务器远程连接报错及解决方法
问题描述:
3月26日晚上,按照惯例进行系统补丁更新操作,补丁如下:
KB3002657 KB3030377 KB3032323 KB3033889
KB3033929 KB3034344 KB3035126 KB3035131
KB3035132 KB3039066 KB3046049 KB3032359
更新并重启后,发现域外本地windows7系统的计算机无法远程登录域内平台上的windows server2008R2服务器(或表现为域外计算机访问域内08R2服务器的共享文件夹失败),只能连接域内03R2的服务器,但域外XP系统都是可以远程到的。而且,云平台的08R2服务器是能正常连接的。
错误界面如下
问题解决过程:
首先:查看计算机日志,没有发现比较可疑或者明显相关的报错
其次:怀疑与系统补丁更新有关,查找资料寻找相关的解决方案如下:
方法一(×):
1.找到开始--- 运行-- 输入 gpedit.msc,打开本地组策略编辑器
2.然后依次找到菜单,计算机配置--- 管理模板---凭据分配---- 允许分配保存的凭据用于NTLM服务器身份验证
3.手动在本地计算机保存远程连接的凭据
参考:http://jingyan.baidu.com/article/4ae03de320129f3eff9e6bb8.html
问题依然存在!
方法二(√):
1.找到开始--- 运行-- 输入 gpedit.msc,打开本地组策略编辑器
2.计算机配置---windows设置---安全设置---本地策略---安全选项
3.双击打开右边的网络安全:LAN管理身份验证级别,选择发送LM和NTLM相应(&)--确定,默认是未配置的。
问题得到解决!
方法三(√):
1. 打开注册表编辑器;
2. 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa;
3. 选择菜单“编辑”,“添加数值”;
4. 数值名称中输入:LMCompatibilityLevel,数值类型为:DWORD,单击确定;
5.修改LMCompatibilityLevel键值为“0”。
键值说明:
0 - 发送 LM 和 NTLM响应;
1 - 发送 LM 和 NTLM响应;
2 - 仅发送 NTLM响应;
3 - 仅发送 NTLMv2响应;(Windows2000有效)
4 - 仅发送 NTLMv2响应,拒绝 LM;(Windows2000有效)
5 - 仅发送 NTLMv2响应,拒绝 LM 和 NTLM;(Windows2000有效)
问题分析:
微软暂时没有相关的解释,可能是有于系统补丁更新后,修改了计算机的默认验证机制,以提高系统访问的安全性等级。其中可选用的验证机制有LM、NTLM、NTLMv2三种及其组合。
说明如下:
根据查找的资料显示,是由于KB3002657这个补丁引起的。
更新了补丁后,08R2的系统的验证机制修改成了仅发送NTLMv2响应了(相关注册表键值),导致非加入域的07版本以上的系统无法使用LM或者NTLM方式进行验证。
建议:
1.补丁更新时间不应太早,否则出了问题就做小白鼠了;
2.如果在系统补丁更新重启后遇到问题可以收索相应的补丁号,查找更新修复的漏洞内容,才能更好更快地定位问题所在;
3.可在补丁更新前就了解本次更新修复的内容,提前做好规避方法。
详见微软3月12日补丁更新修复说明:http://www.xp71.com/jiaochen/dnrjjc/6393.html