Входящие методы проверки подлинности

• HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  
  
• HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
  
  

• Сетевая безопасность: уровень проверки подлинности LAN Manager
  
  
• Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля
  
  

Предоставление неточных сведений может нарушить связь между компьютерами в сети.

Дополнительные сведения об этих параметрах безопасности см. в следующих разделах.

• «Сетевая безопасность: уровень проверки подлинности LAN Manager» (https://go.microsoft.com/fwlink/?LinkId=17765)
  
  
• «Сетевая безопасность: не хранить хэш-значения LAN Manager при следующей смене пароля» (https://go.microsoft.com/fwlink/?LinkId=17766)
  
  

Если на странице Выбор ролей сервера выбрана роль Контроллер домена (Active Directory), отображаются дополнительные параметры. Следующий параметр доступен только для контроллеров домена:

Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее

Серверы служб проверки подлинности в Интернете (IAS) и серверы маршрутизации и удаленного доступа (RRAS) требуют наличия Windows Server 2003 с пакетом обновления 1 (SP1) и поддержки проверки подлинности только по протоколу PEAP-MSCHAPv2 для проверки подлинности пользователей на контроллерах домена, принимающих только NTLMv2.

Серверы IAS и RRAS используют NTLM для проверки подлинности учетных данных своих клиентов в домене. Это означает, что контроллеры домена, которые должны проверять подлинность клиентов серверов IAS или RRAS, нельзя настраивать на прием проверки подлинности только по протоколу NTLMv2. Однако, начиная с Windows Server 2003 SP1, контроллеры домена могут принимать NTLM от серверов IAS и RRAS, но во всех других случаях принимается только NTLMv2. Это происходит по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, использующих PEAP-MSCHAPv2, потому что PEAP-MSCHAPv2 обеспечивает такую же защиту, как NTLMv2. Это исключение не делается по умолчанию, если IAS- или RRAS-сервер под управлением Windows Server 2003 SP1 использует PPP-MSCHAPv2 для проверки подлинности клиентов.

Чтобы отключить это исключение по умолчанию для IAS- и RRAS-серверов под управлением Windows Server 2003 SP1, можно настроить на контроллере домене следующий параметр реестра:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Если на контроллере домена установлен этот параметр реестра и этот контроллер домена настроен на прием только NTLMv2, то он не сможет осуществлять проверку подлинности IAS- и RRAS-клиентов, даже если все серверы этих служб работают под управлением Windows Server 2003 SP1. Следовательно, если на контроллере домена, который должен проверять подлинность IAS- и RRAS-клиентов, установлен параметр реестра DisallowMsvChapv2, то флажок Компьютеры, использующие RAS или VPN для подключения к RAS-серверам, не имеющим Windows Server 2003 с пакетом обновления 1 или новее на странице Входящие методы проверки подлинности должен быть установлен, даже если все IAS- и RRAS-серверы работают под управлением Windows Server 2003 SP1. Поскольку установка этого флажка делает невозможным настройку контроллера домена на прием только NTLMv2, рекомендуется не устанавливать параметр реестра DisallowMsvChapv2.