Rpc Endpoint Mapper-Clientauthentifizierung verhindert, dass Benutzer und Gruppen der vertrauenden Gesamtstruktur hinzugefügt werden
Dieser Artikel hilft bei der Behebung eines Fehlers, der auftritt, wenn Sie versuchen, einen Benutzer oder eine Gruppe aus einer vertrauenswürdigen Gesamtstruktur zu einer lokalen Domänengruppe einer Domäne in einer vertrauenden Gesamtstruktur hinzuzufügen.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 3073942
Das Aktivieren der CLIENTauthentifizierung für rpc-Endpunktzuordnung verhindert, dass Sicherheitsprinzipale (d. h. Benutzer und Gruppen aus vertrauenswürdigen Gesamtstrukturen) einer lokalen Domänengruppe in der vertrauenden Gesamtstruktur hinzugefügt werden. Informationen zu anderen Komponenten und Vorgängen, die von der Aktivierung der RPC Endpoint Mapper-Clientauthentifizierung betroffen sind, finden Sie im folgenden ASKDS-Blogbeitrag:
Einschränkungen für nicht authentifizierte RPC-Clients: Die Gruppenrichtlinie, die Ihrer Domäne ins Gesicht schlägt
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
- Auf Domänencontrollern ist die Clientauthentifizierung des Endpunktzuordnungsclients von Microsoft Remote Procedure Call (RPC) aktiviert.
- Sie richten eine unidirektionale, transitive Gesamtstrukturvertrauensstellung von Active Directory zwischen zwei Active Directory-Gesamtstrukturen ein.
- Sie versuchen, einen Benutzer oder eine Gruppe aus der vertrauenswürdigen Gesamtstruktur einer lokalen Domänengruppe einer Domäne in der vertrauenden Gesamtstruktur hinzuzufügen.
In diesem Szenario wird die folgende Fehlermeldung angezeigt:
Die Active Directory-Domäne Controller, die zum Suchen der ausgewählten Objekte in den folgenden Domänen erforderlich sind, sind nicht verfügbar:
<vertrauenswürdige Gesamtstruktur>
Stellen Sie sicher, dass die Active Directory-Controller verfügbar sind, und versuchen Sie erneut, die Objekte auszuwählen.
Sie erhalten diese Meldung wie im folgenden Screenshot:
Wenn Sie die erweiterte Protokollierung aktivieren, enthalten die erhaltenen Protokollierungsinformationen keine zusätzlichen Informationen mit Ausnahme von Fehlern, die angeben, dass Domänencontroller aus der vertrauenswürdigen Gesamtstruktur nicht verfügbar sind. Netzwerküberwachungsablaufverfolgungen bieten keine zusätzlichen Details.
Ursache
Wenn die Clientauthentifizierung des RPC-Endpunktzuordnungs-Clients aktiviert ist, wird nicht authentifizierter RPC-Datenverkehr aus der vertrauenswürdigen Active Directory-Gesamtstruktur nicht akzeptiert.
Lösung
Wichtig
Führen Sie die in diesem Abschnitt beschriebenen Schritte sorgfältig aus. Durch eine fehlerhafte Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Sichern Sie die Registrierung, bevor Sie sie ändern, damit Sie sie bei Bedarf wiederherstellen können.
Verwenden Sie eine der folgenden Methoden, um dieses Problem zu beheben.
Methode 1
Wenn Einstellungen über Gruppenrichtlinie angewendet wurden, ändern Sie die folgende Einstellung auf allen Domänencontrollern der vertrauenswürdigen Active Directory-Gesamtstruktur über Gruppenrichtlinie in "Deaktiviert":
Computerkonfiguration –> Administrative Vorlagen –> System –> Remoteprozeduraufruf "RPC Endpoint Mapper Client Authentication"
Hinweis
Wenn Sie die Einstellung in "Nicht konfiguriert" ändern, werden die Registrierungseinträge nicht entfernt, und das Problem bleibt bestehen.
Nachdem Sie diese Änderung vorgenommen haben, müssen alle Domänencontroller in der vertrauenden Gesamtstruktur neu gestartet werden, damit die Änderungen wirksam werden.
Methode 2
Warnung
Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Entfernen Sie den folgenden Registrierungseintrag von jedem Domänencontroller in der vertrauenden Gesamtstruktur:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Wenn vorhanden, entfernen Sie auch den folgenden Registrierungseintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Stellen Sie sicher, dass Gruppenrichtlinie Einstellungen diese Änderungen nicht außer Kraft setzen. Alle Domänencontroller in der vertrauenden Gesamtstruktur müssen neu gestartet werden, nachdem diese Einstellungen geändert wurden, damit die Änderungen wirksam werden.
Weitere Informationen
Lesen Sie den folgenden Blog zu den Problemen, die sich aus der Aktivierung der RPC-Endpunktzuordnungsclientauthentifizierung ergeben können, insbesondere auf Domänencontrollern:
Einschränkungen für nicht authentifizierte RPC-Clients: Die Gruppenrichtlinie, die Ihrer Domäne ins Gesicht schlägt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für