Gelen Kimlik Doğrulama Yöntemleri

• HKLM\System\CurrentControlSet\Control\LSA\LMCompatibilityLevel
  
  
• HKLM\System\CurrentControlSet\Control\LSA\NoLMHash
  
  

• Ağ güvenliği: LAN Yöneticisi kimlik doğrulama düzeyi
  
  
• Ağ güvenliği: Sonraki parola değişiminde LAN Manager karma değerini depolama
  
  

Yanlış bilgi sağlanması ağdaki bilgisayarlar arasındaki iletişimin bozulmasına neden olabilir.

Bu güvenlik ayarları hakkında daha fazla bilgi için, bkz:

• "Ağ güvenliği: LAN Manager kimlik doğrulama düzeyi" (https://go.microsoft.com/fwlink/?LinkId=17765) (Bu sayfa İngilizce içeriğe sahip olabilir.)
  
  
• "Ağ güvenliği: Sonraki parola değişiminde LAN Manager karma değerini depolama" (https://go.microsoft.com/fwlink/?LinkId=17766) (Bu sayfa İngilizce içeriğe sahip olabilir.)
  
  

Sunucu Rollerini Seç'te Etki Alanı Denetleyicisi (Active Directory) rolü seçildiğinde, ek bir seçenek görüntülenir. Aşağıdaki seçenek, etki alanı denetleyicilerine özeldir:

Windows Server 2003 Service Pack 1 veya yenisini çalıştırmayan RAS sunucusuna bağlanmak için RAS veya VPN kullanan bilgisayarlar

Internet Kimlik Doğrulama Hizmeti (IAS) sunucuları ve Yönlendirme ve Uzaktan Erişim'i çalıştıran sunucular, kullanıcıların kimlik doğrulamasını yalnızca NTLMv2 kabul eden etki alanı denetleyicilerle yapabilmek için, Windows Server 2003 Service Pack 1 (SP1) çalıştırmaları ve yalnızca PEAP-MSCHAPv2 kimlik doğrulamasını desteklemeleri gerekir.

IAS sunucuları ve Yönlendirme ve Uzaktan Erişim çalıştıran sunucular, istemcilerinin etki alanı kimlik bilgilerini doğrulamak için NTLM'yi kullanır. Bu, IAS veya Yönlendirme ve Uzaktan Erişim istemcilerinin kimliğini doğrulaması gereken etki alanı denetleyicilerinin, yalnızca NTLMv2 kimlik doğrulamasını kabul edecek şekilde yapılandırılamayacağı anlamına gelir. Ancak, Windows Server 2003 SP1'den itibaren, bir etki alanı denetleyicisinin IAS sunucularından ve Yönlendirme ve Uzaktan Erişim çalıştıran sunuculardan NTLM kabul etmesi mümkün, ancak geri kalan herkesten yalnızca NTLMv2'yi kabul edebilir. PEAP-MSCHAPv2'nin sunduğu güvenlik koruması NTLMv2'ye eşdeğer olduğundan, bu durum, Windows Server 2003 SP1, IAS veya Yönlendirme ve Uzaktan Erişim çalıştıran ve PEAP-MSCHAPv2 kullanan sunucularda varsayılan olarak geçerlidir. Windows Server 2003 SP1 ve IAS veya Yönlendirme ve Uzaktan Erişim çalıştıran sunucu, istemcilerin kimliğini doğrulamak için PPP-MSCHAPv2 kullanıyorsa, bu muafiyet varsayılan olarak uygulanmaz.

Windows Server 2003 SP1 ve IAS veya Yönlendirme ve Uzaktan Erişim çalıştıran sunucularda bu varsayılan muafiyeti önlemek için, etki alanı denetleyicisinde aşağıdaki kayıt defteri değerinin ayarlanması gerekir:

HKLM\System\CurrentControlSet\LSA\DisallowMsvChapv2

Etki alanı denetleyicisinde bu kayıt defteri değeri ayarlanmışsa ve etki alanı denetleyicisi yalnızca NTLMv2'yi kabul edecek şekilde yapılandırıldıysa, sunucuların tümü Windows Server 2003 SP1 çalıştırıyor olsa da, etki alanı denetleyicisi IAS veya Yönlendirme ve Uzaktan Erişim istemcileri için kimlik doğrulaması yapamaz. Bu nedenle, etki alanı denetleyicisinde DisallowMsvChapv2 kayıt defteri değeri ayarlandıysa ve etki alanı denetleyicisinin IAS veya Yönlendirme ve Uzaktan Erişim istemcilerini yapılandırması gerekiyorsa, IAS veya Yönlendirme ve Uzaktan Erişim çalıştıran tüm sunucular aynı zamanda Windows Server 2003 SP1 çalıştırıyor olsalar da, Gelen Kimlik Doğrulama Yöntemleri sayfasında Windows Server 2003 Service Pack 1 veya yenisini çalıştırmayan RAS sunucusuna bağlanmak için RAS veya VPN kullanan bilgisayarlar onay kutusunun seçilmesi gerekir. Bu onay kutusunun seçilmesi, etki alanı denetleyicisinin yalnızca NTLMv2'yi kabul edecek şekilde yapılandırılmasını önlediğinden, DisallowMsvChapv2 kayıt defteri değerinin ayarlanması önerilir.