Bei der Anmeldung eines Windows 95 oder Windows NT-Arbeitsplatzes an einem Windows 2003 Domain-Controller erhält man die Fehlermeldung „Passwort fehlerhaft“ oder „Anmeldung verweigert“

Die verstärkten Sicherheitseinstellungen von Windows 2003 Domaincontrollern sehen vor, dass Benutzer nur erfolgreich mit Domänencontrollern kommunizieren können, wenn Clients sowohl SMB-Signaturen als auch SMB-Verschlüsselung (SMB = Server Message Block) oder Signaturen für den Verkehr über sichere Kanäle verwenden.

Auf Clients, auf denen Windows NT 4.0 ausgeführt wird und SP2 (oder früher) installiert ist, sowie auf Clients mit dem Betriebssystem Windows 95 ist die SMB-Paketsignierung nicht aktiviert. Diese Clients können sich daher einem Windows Server 2003-Domänencontroller gegenüber nicht authentifizieren.

Lösung

Windows NT 4.0:
Aktualisieren Sie das Betriebssystem (dies ist die empfohlene Lösung), oder installieren Sie Service Pack 4 (SP4) oder höher (Microsoft empfiehlt Service Pack 6a).

Windows 95:
Aktualisieren Sie das Betriebssystem (dies ist die empfohlene Lösung), oder installieren Sie den neuesten Active Directory-Client.

Workaround

Obwohl Microsoft von dieser Vorgehensweise abrät kann die SMB-Signierung auf allen Domänencontrollern in einer Domäne deaktiviert werden.

Hierzu öffnen Sie innerhalb der Standard-Domaincontrollerrichtlinie den Ordner „Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen“.

Setzen Sie hier den Wert des Eintrags „Microsoft-Netzwerk (Server) – Kommunikation digital signieren (immer)“ auf DEAKTIVIERT oder NICHT DEFINIERT.