Příchozí metody ověřování

• HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  
  
• HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
  
  

• Zabezpečení sítě: Úroveň ověřování pro systém LAN Manager
  
  
• Zabezpečení sítě: Neukládat hodnotu hash programu LAN Manager při příští změně hesla
  
  

Zadání nepřesných informací může přerušit komunikaci mezi počítači v síti.

Další informace o těchto nastaveních zabezpečení naleznete zde:

• Network security: Úroveň ověřování pro systém LAN Manager (https://go.microsoft.com/fwlink/?LinkId=17765) (stránka může být v angličtině).
  
  
• Network security: Neukládat hodnotu hash programu LAN Manager při příští změně hesla (https://go.microsoft.com/fwlink/?LinkId=17766) (stránka může být v angličtině).
  
  

Pokud je na stránce Vybrat role serveru vybrána role Řadič domény (Active Directory), zobrazí se další možnost. Následující možnost je specifická pouze pro řadiče domény:

Počítače používající připojení RAS nebo VPN se připojují k serverům RAS s operačním systémem jiným než Windows Server 2003 SP1 nebo novějším

Servery se Službou ověřování v Internetu (IAS) a službou Směrování a vzdálený přístup vyžadují systém Windows Server 2003 s aktualizací Service Pack 1 (SP1) a vyžadují podporu ověřování pouze PEAP-MSCHAPv2, aby bylo možné ověřovat uživatele s řadiči domén, které přijímají pouze protokol NTLMv2.

Servery se službou IAS a službou Směrování a vzdálený přístup používají k ověřování pověření domén svých klientů protokol NTLM. To znamená, že řadiče domén, které potřebují klienty Služby ověřování v Internetu nebo služby Směrování a vzdálený přístup ověřit, nelze nakonfigurovat tak, aby k ověřování přijímaly pouze protokol NTLMv2. Avšak od aktualizace Windows Server 2003 SP1 je možné, aby řadič domény přijímal protokol NTLM ze serverů se Službou ověřování v Internetu (IAS) a službou Směrování a vzdálený přístup, ale od všech ostatních pouze protokol NTLMv2. K této situaci dochází ve výchozím nastavení u serverů se systémem Windows Server 2003 SP1 a službami IAS nebo Směrování a vzdálený přístup, které používají protokol PEAP-MSCHAPv2, protože protokol PEAP-MSCHAPv2 poskytuje ochranu zabezpečení rovnocennou s protokolem NTLMv2. Tato výjimka nenastává ve výchozím nastavení v případě, že server se systémem Windows Server 2003 SP1 a Službou ověřování v Internetu nebo službou Směrování a vzdálený přístup používá k ověřování klientů protokol PPP-MSCHAPv2.

Chcete-li předejít výskytu této výjimky u serverů se systémem Windows Server 2003 SP1 a službou IAS nebo Směrování a vzdálený přístup, můžete v řadiči domény nastavit následující položku registru:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Pokud byla tato hodnota registru nastavena v řadiči domény a řadič domény je nakonfigurován na příjem pouze protokolu NTLMv2, nebude moci ověřovat klienty se Službou ověřování v Internetu nebo službou Směrování a vzdálený přístup, i kdyby všechny tyto servery používaly systém Windows Server 2003 s aktualizací SP1. Z tohoto důvodu je třeba v případě, že byla v řadiči domény nastavena hodnota registru DisallowMsvChapv2 a řadič domény potřebuje ověřit klienty se Službou ověřování v Internetu a službou Směrování a vzdálený přístup, jzaškrtnout políčko Počítače používající připojení RAS nebo VPN se připojují k serverům RAS s operačním systémem jiným než Windows Server 2003 SP1 nebo novějším na stránce Příchozí metody ověřování, i kdyby všechny servery se Službou ověřování v Internetu nebo službou Směrování a vzdálený přístup používaly také systém Windows Server 2003 SP1. Zaškrtnutím tohoto políčka zabráníte řadiči domény, aby byl nakonfigurován na příjem pouze protokolu NTLMv2, proto doporučujeme, aby hodnota registru DisallowMsvChapv2 nebyla nastavena.