补丁更新后服务器远程连接报错及解决方法

问题描述:

326日晚上,按照惯例进行系统补丁更新操作,补丁如下:

KB3002657 KB3030377 KB3032323 KB3033889

KB3033929 KB3034344 KB3035126 KB3035131

KB3035132 KB3039066 KB3046049 KB3032359

 






更新并重启后,发现域外本地windows7系统的计算机无法远程登录域内平台上的windows server2008R2服务器(或表现为域外计算机访问域内08R2服务器的共享文件夹失败),只能连接域内03R2的服务器,但域外XP系统都是可以远程到的。而且,云平台的08R2服务器是能正常连接的。

错误界面如下

 KB3002657补丁更新后windows7/08R2服务器远程连接异常(凭据验证失败)的修复_第1张图片

问题解决过程:

首先:查看计算机日志,没有发现比较可疑或者明显相关的报错

其次:怀疑与系统补丁更新有关,查找资料寻找相关的解决方案如下:

方法一×

1.找到开始--- 运行-- 输入 gpedit.msc,打开本地组策略编辑器

2.然后依次找到菜单,计算机配置--- 管理模板---凭据分配---- 允许分配保存的凭据用于NTLM服务器身份验证

3.手动在本地计算机保存远程连接的凭据  

参考:http://jingyan.baidu.com/article/4ae03de320129f3eff9e6bb8.html

 

问题依然存在!

方法二(√)

1.找到开始--- 运行-- 输入 gpedit.msc,打开本地组策略编辑器

2.计算机配置---windows设置---安全设置---本地策略---安全选项

3.双击打开右边的网络安全:LAN管理身份验证级别,选择发送LMNTLM相应(&--确定,默认是未配置的。

KB3002657补丁更新后windows7/08R2服务器远程连接异常(凭据验证失败)的修复_第2张图片

问题得到解决!

方法三(√)

1. 打开注册表编辑器;

2. 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa  

3. 选择菜单“编辑”,“添加数值”;  

4. 数值名称中输入:LMCompatibilityLevel,数值类型为:DWORD,单击确定;

5.修改LMCompatibilityLevel键值为“0”。

键值说明:

0 - 发送 LM NTLM响应;  

1 - 发送 LM NTLM响应;  

2 - 仅发送 NTLM响应;  

3 - 仅发送 NTLMv2响应;(Windows2000有效)  

4 - 仅发送 NTLMv2响应,拒绝 LM(Windows2000有效)  

5 - 仅发送 NTLMv2响应,拒绝 LM NTLM(Windows2000有效)

 

 

 

问题分析:

微软暂时没有相关的解释,可能是有于系统补丁更新后,修改了计算机的默认验证机制,以提高系统访问的安全性等级。其中可选用的验证机制有LMNTLMNTLMv2三种及其组合。

KB3002657补丁更新后windows7/08R2服务器远程连接异常(凭据验证失败)的修复_第3张图片

说明如下:

KB3002657补丁更新后windows7/08R2服务器远程连接异常(凭据验证失败)的修复_第4张图片

根据查找的资料显示,是由于KB3002657这个补丁引起的。

更新了补丁后,08R2的系统的验证机制修改成了仅发送NTLMv2响应了(相关注册表键值),导致非加入域的07版本以上的系统无法使用LM或者NTLM方式进行验证。

建议:

1.补丁更新时间不应太早,否则出了问题就做小白鼠了;

2.如果在系统补丁更新重启后遇到问题可以收索相应的补丁号,查找更新修复的漏洞内容,才能更好更快地定位问题所在;

3.可在补丁更新前就了解本次更新修复的内容,提前做好规避方法。

 

详见3月12日丁更新修复说明:http://www.xp71.com/jiaochen/dnrjjc/6393.html