[Win7] LmCompatibilityLevel

25/02/2013 - 15:45 von Thomas Wildgruber | Report spam
Hi Group,

ich hab mich gerade eine halbe Stunde lang mit einem Laptop abgeàrgert,
welches sich partout nicht mit einem unserer File-Server verbinden wollte.
Es kam jedes mal die Fehlermeldung dass das eingegebene Netzwerkennwort
falsch sei, was aber definitiv nicht stimmt... Es ist das richtige
Kennwort.

Jetzt habe ich einen Workaround gefunden, der sogar funktioniert. Man lege
im Registry Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ ein
REG_DWORD LMCompatibilityLevel[1] mit dem Wert 1 an ... prima und geht.

Was ich aber nicht verstanden habe ist, warum ich das jetzt auf einmal
machen muss? Ich verbinde stàndig irgendwelche Windows 7 Rechner mit
Freigaben unserer W2K3 Fileservern (Active Directory) ohne diesen Hack
durchführen zu müssen.

Was der Workaround macht, ist mir klar aber warum Windows das nicht von
alleine weiß eben noch nicht. Das einzige was ich mir vorstellen kann, wàre
die Windows 7 Version des Clients, welche hier Home Premium war und
normalerweise Professional wàre. Kann es daran liegen oder woher kommt der
plötzliche Umweg über die Registry?

[1] http://technet.microsoft.com/de-de/...60646.aspx

THx & Bye Tom
"One good Whiskey a day, keeps the doctor away"
 

Lesen sie die antworten

#1 Stefan Kanthak
25/02/2013 - 16:54 | Warnen spam
"Thomas Wildgruber" schrieb:

Hi Group,

ich hab mich gerade eine halbe Stunde lang mit einem Laptop abgeàrgert,
welches sich partout nicht mit einem unserer File-Server verbinden wollte.
Es kam jedes mal die Fehlermeldung dass das eingegebene Netzwerkennwort
falsch sei, was aber definitiv nicht stimmt... Es ist das richtige
Kennwort.

Jetzt habe ich einen Workaround gefunden, der sogar funktioniert. Man lege
im Registry Schlüssel HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ ein
REG_DWORD LMCompatibilityLevel[1] mit dem Wert 1 an ... prima und geht.



AUTSCH!
In Windows 7 ist dieser Wert MIT GANZ GROSSER ABSICHT auf 3 gesetzt:
LanManager- und NTLM-Authentifikation ist UNSICHER!

Stell alle Deine Server und Clients auf 3 (oder besser 5) um.
Alles andere ist purer Leichtsinn!

Wenn Anmeldung mit LM-Kennwort, aber nicht dem NTLM-Kennwort geht, dann
sind beide unterschiedlich. Aendere einmal das Kennwort des betroffenen
Kontos, oder besser: setze

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA]
"NoLMHash"=dword:01

und aendere dann das Kennwort.

Siehe <https://support.microsoft.com/kb/299656>
und <https://support.microsoft.com/kb/885409>

[1] http://technet.microsoft.com/de-de/...60646.aspx



Sieh Dir besser folgende MSKB-Artikel an:
<https://support.microsoft.com/kb/982734> aber vergiss diesen wieder!
<https://support.microsoft.com/kb/147706>
<https://support.microsoft.com/kb/239869>
<https://support.microsoft.com/kb/823659>
<https://support.microsoft.com/kb/954387>
<https://support.microsoft.com/kb/960859>
<https://support.microsoft.com/kb/968389>

Stefan
[
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Ähnliche fragen