无法Windows NT Active Directory 域和 Active Directory 域之间的信任,或无法如期工作

本文介绍基于 Windows NT 4.0 的域和基于 Active Directory 的域之间的信任配置问题。

适用于:  Windows 10 – 所有版本,Windows Server 2012 R2
原始 KB 编号:  889030

症状

如果您尝试在基于 Microsoft Windows NT 4.0 的域和基于 Active Directory 的域之间建立信任,可能会遇到以下症状之一:

  • 未建立信任。
  • 建立信任,但信任未如预期工作。

此外,您可能会收到以下任何错误消息:

尝试加入域"Domain_Name"时 发生以下错误: 帐户无权从此工作站登录。

访问被拒绝。

无法联系任何域控制器。

登录失败:用户名未知或密码错误。

使用 Active Directory 用户和计算机中的对象选取器将用户从 NT 4.0 域添加到 Active Directory 域时,您可能会收到以下错误消息:

没有与当前搜索匹配的项。 请检查搜索参数,然后重试。

原因

出现此问题是因为以下任一区域出现配置问题:

  • 名称解析
  • 安全设置
  • 用户权限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的组成员身份

若要正确确定问题的原因,您必须对信任配置进行故障排除。

解决方案

如果在 Active Directory 用户和计算机中使用对象选取器时收到"没有与当前搜索匹配的项目"错误消息,请确保 NT 4.0 域中的域控制器包括从网络用户权限访问此计算机中的每个人。 在此方案中,对象选取器尝试通过信任以匿名方式连接。 若要验证这些设置,请按照"方法三:验证用户权限"部分中的步骤操作。

若要解决基于 Windows NT 4.0 的域和 Active Directory 之间的信任配置问题,必须验证以下区域的正确配置:

  • 名称解析
  • 安全设置
  • 用户权限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的组成员身份

为此,请使用以下方法。

方法一:验证名称解析的正确配置

步骤 1:创建 LMHOSTS 文件

在主域控制器上创建 LMHOSTS 文件以提供跨域名解析功能。 LMHOSTS 文件是一个文本文件,您可以使用任何文本编辑器(如文本编辑器)记事本。 每个域控制器上的 LMHOSTS 文件必须包含 TCP/IP 地址、域名和其他域控制器的 \0x1b 条目。

创建 LMHOSTS 文件后,请按照以下步骤操作:

  1. 修改文件,以便它包含类似于以下文本的文本:

    1.1.1.1 <NT_4_PDC_Name> <NT_4_Domain_Name> #DOM:#PRE
    1.1.1.1 " <NT_4_Domain> \ 0x1b"#PRE
    2.2.2.2 <Windows_2000_PDC_Name> <Windows_2000_Domain_Name> #DOM:#PRE
    2.2.2.2 "<2000_Domain> \ 0x1b"#PRE

    备注

    对于该条目,引号和" (") 之间必须0x1b \ 空格。 在域名后添加空格,以便使用 15 个字符。 第 16 个字符是后跟"0x1b"值的反杠,这总共包含 20 个字符。

  2. 完成对 LMHOSTS 文件的更改后,将该文件保存到域控制器上的 %SystemRoot% \ System32 \ Drivers Etc \ 文件夹中。 有关 LMHOSTS 文件详细信息,请参阅位于 %SystemRoot% System32 Drivers Etc 文件夹中的 Lmhosts.sam \ \ \ 示例文件。

步骤 2:将 LMHOSTS 文件加载到缓存中

  1. 单击 "开始",单击 "运行",键入 cmd, 然后单击"确定 "。

  2. 在命令提示符下,键入 NBTSTAT -R ,然后按 Enter。 此命令将 LMHOSTS 文件加载至缓存中。

  3. 在命令提示符下,键入 NBTSTAT -c ,然后按 Enter。 此命令显示缓存。 如果文件写入正确,则缓存类似于以下内容:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    如果文件未正确填充缓存,请继续执行下一步。

步骤 3:确保在基于 Windows NT 4.0 的计算机上启用 LMHOSTS 查找

如果文件未正确填充缓存,请确保在基于 4.0 的 Windows NT启用了 LMHOSTS 查找。 为此,请按照下列步骤操作:

  1. 单击“开始”,指向“设置”,然后单击“控制面板”。
  2. 双击"网络", 单击"协议" 选项卡,然后双击 "TCP/IP 协议"。
  3. 单击 WINS 地址选项卡 ,然后单击以选中启用 LMHOSTS 查找 复选框。
  4. 重启计算机。
  5. 重复"将 LMHOSTS 文件加载到缓存"部分中的步骤。
  6. 如果文件未正确填充缓存,请确保 LMHOSTS 文件位于 %SystemRoot% System32 Drivers Etc 文件夹中,并且该文件 \ \ \ 的格式正确。

例如,该文件的格式必须类似于以下示例格式:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 "NT4DomainName \ 0x1b"#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 "W2KDomainName \ 0x1b"#PRE

备注

对于"域名"和"0x1b"条目,引号 ( ) 中必须包含 20 个字符 \ 和0x1b空格。

步骤 4:使用 Ping 命令测试连接性

当文件在每个服务器上正确填充缓存时,请使用每台服务器上 Ping 的命令测试服务器之间的连接。 为此,请按照下列步骤操作:

  1. 单击 "开始",单击 "运行",键入 cmd, 然后单击"确定 "。

  2. 在命令提示符下,键入 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To> ,然后按 Enter。 如果该命令不起作用,请确保 LMHOSTS 文件中列出了正确的 Ping IP 地址。

  3. 在命令提示符下,键入 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To> ,然后按 Enter。 预计您会收到以下错误消息:

    发生系统错误 5。 访问被拒绝

    如果 net view 命令返回以下错误消息或其他任何相关错误消息,请确保 LMHOSTS 文件中列出了正确的 IP 地址:

    发生系统错误 53。 找不到网络路径

或者,Windows INTERNET 名称服务 (WINS) 配置为启用名称解析功能,而无需使用 LMHOSTS 文件。

方法二:查看安全设置

通常,信任配置的 Active Directory 端具有导致连接问题的安全设置。 但是,必须在信任双方检查安全设置。

步骤 1:查看 Windows 2000 Server 和 Windows Server 2003 上的安全设置

在 Windows 2000 Server 和 Windows Server 2003 中,安全设置可能由组策略、本地策略或应用的安全模板应用或配置。

必须使用正确的工具确定安全设置的当前值,以避免不准确的读数。

若要准确读取当前安全设置,请使用以下方法:

  • 在 Windows 2000 Server 中,使用安全配置和分析管理单元。

  • 在 Windows Server 2003 中,使用安全配置和分析管理单元或 RSoP 策略的结果集 (RSoP) 管理单元。

确定当前设置后,必须确定应用设置的策略。 例如,您必须确定 Active Directory 中的组策略或设置安全策略的本地设置。

在 Windows Server 2003 中,设置安全值的策略由 RSoP 工具标识。 但是,在 Windows 2000 中,您必须查看组策略和本地策略,以确定包含安全设置的策略:

  • 若要查看组策略设置,您必须在组策略处理期间为 Microsoft Windows 2000 安全配置客户端启用日志记录输出。

  • 查看应用程序登录事件查看器并查找事件 ID 1000 和事件 ID 1202。

以下三个部分标识操作系统,并列出在已收集的信息中必须为操作系统验证的安全设置:

Windows 2000

确保以下设置已配置,如下所示。

RestrictAnonymous:

匿名连接的其他限制
"无。 依赖默认权限"

LM 兼容性:

LAN 管理器身份验证级别 "仅发送 NTLM 响应"

SMB 签名、SMB 加密或两者:

对客户端通信进行数字签名 (始终) 已禁用
对客户端通信 (进行数字签名(如果可能) 已启用
对服务器通信进行数字签名 (始终) 已禁用
对服务器通信 (进行数字签名(如果可能) 已启用
安全通道:对安全通道数据进行数字签名或签名 (始终) 已禁用
安全通道:对安全通道 (进行数字加密(如果可能) 已禁用
安全通道:对安全通道 (进行数字签名(如果可能) 已禁用
安全通道:需要 (Windows 2000 或更高版本) 会话密钥 已禁用
Windows Server 2003

确保以下设置已配置,如下所示。

RestrictAnonymous 和 RestrictAnonymousSam:

网络访问:允许匿名 SID/名称转换 已启用
网络访问:不允许 SAM 帐户的匿名枚举 已禁用
网络访问:不允许 SAM 帐户和共享匿名枚举 已禁用
网络访问:允许所有人权限应用于匿名用户 已启用
网络访问:可以匿名访问命名管道 已启用
网络访问:限制匿名访问命名管道和共享 已禁用

备注

默认情况下,"网络访问: 允许匿名 SID/名称转换"设置的值在 Windows Server 2008 中处于禁用状态。

LM 兼容性:

网络安全:LAN 管理器身份验证级别 "仅发送 NTLM 响应"

SMB 签名、SMB 加密或两者:

Microsoft 网络客户端:对通信进行数字签名 (始终) 已禁用
Microsoft 网络客户端:如果服务器同意 (对通信进行数字签名) 已启用
Microsoft 网络服务器:对通信进行数字签名 (始终) 已禁用
Microsoft 网络服务器:如果客户端同意 (对通信进行数字签名) 已启用
域成员:始终对安全通道数据进行 (签名) 已禁用
域成员:尽可能对安全通道 (加密安全通道) 已启用
域成员:如果可以 (,请对安全通道数据进行数字签名) 已启用
域成员:需要 (Windows 2000 或更高版本) 会话密钥 已禁用

正确配置设置后,必须重新启动计算机。 在重新启动计算机之前,不会强制实施安全设置。

计算机重新启动后,请等待 10 分钟,以确保应用所有安全策略并配置有效设置。 建议您等待 10 分钟,因为 Active Directory 策略更新每 5 分钟在域控制器上发生一次,并且更新可能会更改此设置值。 10 分钟后,使用安全配置和分析或其他工具检查 Windows 2000 和 Windows Server 2003 中的安全设置。

Windows NT 4.0

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 若要详细了解如何备份和还原注册表,请单击以下文章编号以查看 Microsoft 知识库中的文章:322756如何在 Windows

在 Windows NT 4.0 中,必须使用 Regedt32 工具查看注册表来验证当前安全设置。 为此,请按照下列步骤操作:

  1. 单击 "开始",单击 "运行",键入 regedt32, 然后单击"确定 "。

  2. 展开以下注册表子项,然后查看分配给 RestrictAnonymous 条目的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 展开以下注册表子项,然后查看分配给 LM 兼容性条目的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 展开以下注册表子项,然后查看分配给 EnableSecuritySignature 服务器注册表项 (的值) 条目:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 展开以下注册表子项,然后查看分配给 RequireSecuritySignature 服务器注册表项 (的值) 项:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 展开以下注册表子项,然后查看分配给 RequireSignOrSeal 项的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 展开以下注册表子项,然后查看分配给"一个SecureSecureChannel"项的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 展开以下注册表子项,然后查看分配给 SignSecureChannel 项的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 展开以下注册表子项,然后查看分配给 RequireStrongKey 项的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法三:验证用户权限

若要验证基于 Windows 2000 的计算机上所需的用户权限,请按照以下步骤操作:

  1. 单击 "开始",指向 "程序",指向"管理工具",然后单击"本地安全策略"。
  2. 展开 "本地策略", 然后单击"用户权限分配"。
  3. 在右窗格中,双击"从 网络访问此计算机"。
  4. 单击以选中"分配到"列表中的"每个人"组旁边的"本地策略设置 "复选框, 然后单击"确定 "。
  5. 双击拒绝 从网络访问此计算机
  6. 确认"分配到"列表中没有原则组,然后单击"确定 "。 例如,确保未列出"任何人"、"经过身份验证的用户"和其他组。
  7. 单击 "确定",然后退出"本地安全策略"。

若要验证基于 Windows Server 2003 的计算机上所需的用户权限,请按照以下步骤操作:

  1. 单击 "开始",指向"管理工具", 然后单击"域控制器安全策略"。

  2. 展开 "本地策略", 然后单击"用户权限分配"。

  3. 在右窗格中,双击"从 网络访问此计算机"。

  4. 确保"任何人"组位于"从网络 访问此计算机" 列表中。

    如果未列出"每个人"组,请按照以下步骤操作:

    1. 单击 "添加用户或组"。
    2. 在"用户和组名称" 框中,键入 "任何人",然后单击"确定 "。
  5. 双击拒绝 从网络访问此计算机

  6. 确认"拒绝从网络访问此计算机"列表中没有原则 ,然后单击"确定 "。 例如,确保未列出"任何人"、"经过身份验证的用户"和其他组。

  7. 单击 "确定",然后关闭域控制器安全策略。

若要验证基于 Windows NT Server 4.0 的计算机上所需的用户权限,请按照以下步骤操作:

  1. 单击 "开始",指向 "程序",指向"管理工具",然后单击"域的用户管理器"。

  2. 在"策略" 菜单上,单击"用户权限"。

  3. 在"右侧"列表中,单击 "从网络访问此计算机"。

  4. "授予给 "框中,确保已添加"任何人"组。

    如果未添加 Everyone 组,请按照以下步骤操作:

    1. 单击“添加”。
    2. 在"名称"列表中,单击"任何人",再单击 "添加",然后单击"确定 "。
  5. 单击 "确定",然后退出"用户管理器"。

方法四:验证组成员身份

如果在域之间设置了信任,但无法将原则用户组从一个域添加到另一个域,因为对话框找不到其他域对象,则"Windows 2000 年前兼容访问"组可能没有正确的成员身份。

在基于 Windows 2000 的域控制器和基于 Windows Server 2003 的域控制器上,确保配置了所需的组成员身份。

若要在基于 Windows 2000 的域控制器上执行此操作,请按照以下步骤操作:

  1. 单击 "开始",指向 "程序",指向"管理工具",然后单击 "Active Directory 用户和计算机"。

  2. 单击 "内置", 然后双击 "Windows 2000 兼容访问组"。

  3. 单击" 成员 "选项卡,然后确保"任何人"组位于"成员 " 列表中。

  4. 如果"每个人"组不在"成员 " 列表中,请按照以下步骤操作:

    1. 单击 "开始",单击 "运行",键入 cmd, 然后单击"确定 "。
    2. 在命令提示符下,键入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add ,然后按 Enter。

若要确保在基于 Windows Server 2003 的域控制器上配置所需的组成员身份,您必须知道是否禁用了"网络访问:允许所有人权限应用于匿名用户"策略设置。 如果不知道,请使用组策略对象编辑器确定"网络访问:允许所有人权限应用于匿名用户"策略设置的状态。 为此,请按照下列步骤操作:

  1. 依次单击“开始”、“运行”,键入 gpedit.msc,然后单击“确定”。

  2. 展开以下文件夹:

    本地计算机策略
    计算机配置
    Windows 设置
    安全设置
    本地策略

  3. 单击 "安全选项",然后单击右窗格中的"网络访问 允许所有人"权限应用于匿名用户。

  4. 请注意,"设置"列中 的值"已禁用"还是"已启用"。

若要确保在基于 Windows Server 2003 的域控制器上配置所需的组成员身份,请按照以下步骤操作:

  1. 单击 "开始",指向 "程序",指向"管理工具",然后单击 "Active Directory 用户和计算机"。

  2. 单击 "内置", 然后双击 "Windows 2000 兼容访问组"。

  3. 单击“成员”选项卡。

  4. 如果 禁用了"网络访问: 允许所有人将权限应用于匿名用户"策略设置,请确保"所有人"和"匿名登录"组位于" 成员" 列表中。 如果启用了"网络访问: 允许所有人将权限应用于匿名用户"策略设置,请确保"任何人"组位于"成员 " 列表中。

  5. 如果"每个人"组不在"成员 " 列表中,请按照以下步骤操作:

    1. 单击 "开始",单击 "运行",键入 cmd, 然后单击"确定 "。
    2. 在命令提示符下,键入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add ,然后按 Enter。

方法 5:验证通过网络设备(如防火墙、交换机或路由器)的连接

如果您收到类似于以下错误消息的错误消息,并且已验证 LMHOST 文件是否正确,则问题可能是由域控制器之间的阻止端口的防火墙、路由器或交换机导致的:

无法联系任何域控制器

若要对网络设备进行故障排除,请使用 PortQry 命令行端口扫描程序 2.0 版测试域控制器之间的端口。

有关 PortQry 版本 2 的信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:

832919 PortQry 版本 2.0 中的新增特性和功能

若要详细了解如何配置端口,请单击以下文章编号以查看 Microsoft 知识库中的文章:

179442 如何为域和信任配置防火墙

方法 6:收集其他信息以帮助解决问题

如果前面的方法没有帮助您解决问题,请收集以下附加信息,以帮助您排查问题的原因:

  • 在两个域控制器上启用 Netlogon 日志记录。 若要详细了解如何完成 Netlogon 日志记录,请单击以下文章编号以查看 Microsoft 知识库中的文章 :109626 为 Net Logon 服务启用调试日志记录

  • 在问题发生时捕获两个域控制器上的跟踪。

更多信息

以下 GPO (组策略) 提供了相应注册表项和组策略在适用操作系统中的位置:

  • The RestrictAnonymous GPO:

    • Windows NT注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 组策略:计算机配置 \ Windows 设置安全设置安全选项 匿名 \ \ 连接的其他限制
    • WindowsServer 2003 组策略:计算机配置 \ Windows 设置安全设置安全选项 \ \ 网络访问: 不允许 SAM 帐户和共享匿名枚举
  • The RestrictAnonymousSAM GPO:

    • WindowsServer 2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • WindowsServer 2003 组策略:计算机配置 \ Windows 设置 \ 安全设置安全选项 网络访问: 不允许 SAM 帐户和共享匿名枚举
  • The EveryoneIncludesAnonymous GPO:

    • WindowsServer 2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • WindowsServer 2003 组策略:计算机配置 \ Windows 设置 \ 安全设置 \ 安全选项 网络访问:允许所有人权限应用于匿名用户
  • LM 兼容性 GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 组策略:计算机配置Windows 设置 \ \ 安全设置 \ 安全选项:LAN 管理器身份验证级别

    • WindowsServer 2003 组策略:计算机配置 \ Windows 设置 \ 安全设置 \ 安全选项 \ 网络安全:LAN 管理器身份验证级别

  • EnableSecuritySignature (GPO) :

    • Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 组策略:计算机配置Windows 设置安全设置选项:尽可能对客户端 (\ \ \ 进行数字签名)
    • WindowsServer 2003 组策略:计算机配置Windows 设置安全设置安全选项 Microsoft 网络客户端:如果服务器同意 (对通信进行 \ \ \ \ 数字签名)
  • RequireSecuritySignature (GPO) :

    • Windows 2000 和 Windows Server 2003 注册表位置:HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 组策略:*计算机配置\Windows 设置\安全设置* 安全选项:对客户端通信进行数字签名 (始终)
    • Windows服务器 2003:计算机配置\Windows 设置\安全设置\安全选项\Microsoft 网络客户端:对通信进行数字签名 (始终)
  • EnableSecuritySignature (GPO) :

    • Windows NT注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 组策略:尽可能对服务器 (进行数字签名)
    • WindowsServer 2003 组策略 :Microsoft 网络 服务器:如果客户端同意 (对通信进行数字签名)
  • RequireSecuritySignature (GPO) :

    • Windows NT注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 组策略:对服务器通信进行数字签名 (始终)
    • WindowsServer 2003 组策略 :Microsoft 网络服务器: 对通信进行数字签名 (始终)
  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:始终对安全通道数据进行数字签名 (签名)
    • WindowsServer2003 组策略:域成员:始终对安全通道数据进行 (签名)
  • 一个使用SecureSecureChannel GPO 的 GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:安全通道:尽可能对安全通道 数据进行 (加密)
    • WindowsServer 2003 组策略:域成员:尽可能对安全通道数据进行 (加密)
  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:安全通道:尽可能对安全通道 (进行数字签名)
    • WindowsServer 2003 组策略:域成员:尽可能对安全通道 (进行数字签名)
  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:安全通道:需要强 (Windows 2000) 会话密钥
    • WindowsServer 2003 组策略:域成员:需要 (Windows 2000 或更高版本) 会话密钥

Windows Server 2008

在运行 Windows Server 2008 的域控制器上,允许与 Windows NT 4.0 兼容的加密算法策略设置的默认行为可能会导致问题。 此设置可防止 Windows 操作系统和第三方客户端使用弱加密算法建立到基于 Windows Server 2008 的域控制器的 NETLOGON 安全通道。

参考

有关详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章:

823659 修改安全设置和用户权限分配时可能会出现的客户端、服务和程序不兼容情况