home *** CD-ROM | disk | FTP | other *** search
/ The CICA Windows Explosion! / The CICA Windows Explosion! - Disc 2.iso / nt / ntkb.zip / NTKB.EXE / Q103 / 0 / 28.TXT < prev    next >
Text File  |  1993-10-06  |  8KB  |  202 lines
  1. DOCUMENT:Q103028  05-OCT-1993  [W_NTAS]
  2. TITLE   :Network Access Validation with Windows for Workgroups
  3. PRODUCT :Microsoft Windows NT Advanced Server
  4. PROD/VER:3.10
  5. OPER/SYS:WINDOWS
  6. KEYWORDS:
  7.  
  8. --------------------------------------------------------------------
  9. The information in this article applies to:
  10.  
  11.  - Microsoft Windows NT Advanced Server version 3.1
  12.  - Microsoft Windows NT operating system version 3.1
  13.  - Microsoft Windows for Workgroups version 3.1
  14. --------------------------------------------------------------------
  15.  
  16. SUMMARY
  17. =======
  18.  
  19. Windows for Workgroups 3.1 does not provide domain information when it
  20. issues network commands. The following is an example of how Windows NT
  21. Advanced Server treats Windows for Workgroups 3.1 clients in this
  22. situation.
  23.  
  24. Example
  25. -------
  26.  
  27. I am logged on to my Windows NT workstation and a Windows for
  28. Workgroups 3.1 system with the same account and password. The account
  29. and password match the one in SCRATCH-DOMAIN (the Advanced Server
  30. domain). I can successfully NET USE a share on \\NET (Advanced Server
  31. that is a trusted domain of SCRATCH-DOMAIN) from my Windows for
  32. Workgroups 3.1 system but the same command fails under Windows NT. The
  33. Windows NT client receives the error message "System error 1326 has
  34. occurred. Logon failure: unknown user name or bad password."
  35.  
  36. Configurations
  37. --------------
  38.  
  39. Windows for Workgroups 3.1 workstation:
  40.  
  41.  - Login account: USER1
  42.  - Password:      PSW1
  43.  - Login Domain:  N/A
  44.  
  45. Windows NT workstation:
  46.  
  47.  - Login account: USER1
  48.  - Password:      PSW1
  49.  - Login Domain:  LOCAL1. Not logged on to Advanced Server domain.
  50.  
  51. Advanced Server for Windows NT:
  52.  
  53.  - Server Name: NET
  54.  - Advanced Server Domain: NET-DOMAIN
  55.  - Trust:  NET-DOMAIN Trust SCRATCH-DOMAIN (Therefore, accounts on
  56.    SCRATCH-DOMAIN can be granted permissions in the NET-DOMAIN.)
  57.  - Domain Account Database for NET-DOMAIN does NOT contain an
  58.    account for USER1.
  59.  - Guest Account is DISABLED.
  60.  
  61. Advanced Server for Windows NT:
  62.  
  63.  - Server Name:                       SCRATCH
  64.  - Advanced Server Domain:            SCRATCH-DOMAIN
  65.  - Domain Database contains account:  USER1
  66.  - Domain Database contains password: PSW1
  67.  
  68. In this example, the Windows NT workstation is logged on to its local
  69. workstation domain--not the domain of the Advanced Server. The Windows
  70. for Workgroups 3.1 system is not logged on to any domain.
  71.  
  72. We should first cover some important technical background information.
  73. When two Microsoft network systems communicate over a network, they
  74. use a high-level protocol called server message block (SMB). These
  75. commands are embedded in the transport protocols like NetBEUI or
  76. TCP/IP. When a client executes a NET USE command, it sends out an SMB
  77. Session Setup frame.
  78.  
  79. In Windows NT, the Session Setup SMB (0x73) includes the user account,
  80. encrypted password, and login domain. An Advanced Server will look at
  81. all of this information to determine if the client has permissions to
  82. complete the NET USE command. Windows for Workgroups 3.1 includes only
  83. account and password information--no domain name.
  84.  
  85. The Windows for Workgroups 3.1 client does the following:
  86.  
  87.  - Windows for Workgroups 3.1 client carries out the 
  88.    NET USE X: \\NET\share command.
  89.  - A Windows for Workgroups 3.1 client includes only the user account 
  90.    "USER1" and encrypted password "PSW1." It does not include any domain
  91.    information.
  92.  - \\NET looks at the domain name in the SMB and realizes that it is
  93.    NULL or does not exist.
  94.  - The Advanced Server then attempts to validate the account information 
  95.    on its own SAM (Security Account Manager) domain database, NET-DOMAIN. 
  96.    This is done just like the client had specified the domain name of the 
  97.    Advanced Server.
  98.  - \\NET fails to find a matching account "USER1" in its domain account
  99.    database because it does not exist.
  100.  - It then systematically and simultaneously checks all domains that it 
  101.    trusts until one responds.
  102.  - SCRATCH-DOMAIN is selected because NET-DOMAIN trusts it.
  103.  - \\SCRATCH is a Domain Controller and looks in the Domain database and
  104.    finds an account "USER1" that matches the SMB account "USER1."
  105.  - \\NET asks \\SCRATCH to perform pass-through authentication of the user
  106.    account.
  107.  - The SMB account "USER1" and password "PSW1" are now compared to the
  108.    SAM Domain on the trusted server \\SCRATCH.
  109.  - The passwords match so the "Command Completes Successfully" message
  110.    is generated.
  111.   
  112. The Windows NT client does the following:
  113.  
  114.  - Windows NT client carries out the NET USE X: \\NET\share command.
  115.  - The Windows NT client is logged on to the local workstation domain.
  116.  - It did not log on to the Advanced Server's domain.
  117.  - Therefore, when the NET USE command was carried out, the Session Setup
  118.    SMB information that was sent out was account = "USER1", password = 
  119.    "PSW1" and domain = "LOCAL1."
  120.  - \\NET receives the request and looks at the Domain name.
  121.  - It does not recognize the domain name as its own or one that it
  122.    trusts.
  123.  - It does NOT check any of the domains that it trusts.
  124.  - The Advanced Server \\NET then looks at the SMB Account name
  125.    "USER1".
  126.  - \\NET looks in the SAM Domain Database for "USER1" and it does not
  127.    find a match.
  128.  - \\NET now checks the Guest account because the user is unknown.
  129.  - The Guest account is DISABLED in this case on \\NET.
  130.  - Windows NT client receives the error message "System error 1326 has 
  131.    occurred. Logon failure: unknown user name or bad password."
  132.  
  133. The real answer here is to have all workstations, both Windows NT and
  134. Windows for Workgroups 3.1, log on to an Advanced Server domain. In
  135. order to login, the user must specify their correct domain, account
  136. and password. After this is done, all NET USE type commands will pass
  137. the correct domain password. To do this in Windows for Workgroups 3.1,
  138. you must specify a MS LAN Manager login in the Network Control Panel
  139. application.
  140.  
  141. MORE INFORMATION
  142. ================
  143.  
  144. Both Windows NT and MS LAN Manager clients do provide domain
  145. information. This problem only exist on Windows for Workgroups 3.1
  146. clients.
  147.  
  148. Windows NT Workaround
  149. ---------------------
  150.  
  151. There is one workaround that can be used in these cases. From the
  152. Windows NT workstation, carry out the following command
  153.  
  154.    NET USE X: \\NET\SHARE /USER:SCRATCH-DOMAIN\USER1 PSW1
  155.  
  156. where:
  157.  
  158.     - \\NET = The computer name of the Advanced Server being accessed.
  159.     - \SHARE = The share name.
  160.     - /USER: command line parameter that lets you specify the domain,
  161.       account and password that should be specified in the Session Setup
  162.       SMB.
  163.     - SCRATCH-DOMAIN = Domain name of the Advanced Server where the user
  164.       account resides.
  165.     - \USER1 = Account to be validated against.
  166.     - PSW1 = Password that matches account on the domain.
  167.  
  168. At a Windows NT command prompt, type the following for more
  169. information:
  170.  
  171.    NET USE /?
  172.  
  173. For information on trust relationships, user permissions, and domain
  174. logins, please see your Windows NT Advanced Server "Concepts and
  175. Planning" guide. For additional information, query on the following
  176. words in the Microsoft Knowledge Base:
  177.  
  178.    algorithm and access and validation
  179.  
  180.    -or-
  181.  
  182.    authentication and pass-through
  183.  
  184. Additional reference words: 3.10 
  185. KBCategory:
  186. KBSubCategory: netsrv
  187.  
  188. =============================================================================
  189.  
  190. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
  191. PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS
  192. ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
  193. OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  IN NO
  194. EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
  195. ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
  196. CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
  197. MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
  198. POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
  199. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
  200. SO THE FOREGOING LIMITATION MAY NOT APPLY.
  201.  
  202. Copyright Microsoft Corporation 1993.