共用方式為

無法建立 Windows NT 網域與 Active Directory 網域之間的信任,或無法如預期般運作

  • 發行項

本文說明 Windows NT 4.0 型網域與 Active Directory 型網域之間的信任設定問題。

原始 KB 編號: 889030

徵兆

如果您嘗試設定Microsoft Windows NT 4.0 型網域與 Active Directory 型網域之間的信任,您可能會遇到下列任一徵兆:

  • 未建立信任。
  • 信任已建立,但信任無法如預期般運作。

此外,您可能會收到下列任何錯誤訊息:

嘗試加入網域 「Domain_Name」時發生下列錯誤:帳戶未獲授權從此月臺登入。

存取遭拒。

無法連絡任何域控制器。

登入失敗:未知的使用者名稱或密碼錯誤。

當您在 Active Directory 使用者和電腦 中使用物件選擇器,將 NT 4.0 網域中的使用者新增至 Active Directory 網域時,您可能會收到下列錯誤訊息:

沒有專案符合目前的搜尋。 請檢查您的搜尋參數,然後再試一次。

原因

發生此問題的原因是下列任何一個區域中的組態問題:

  • 名稱解析
  • 安全性設定
  • 用戶權力
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的群組成員資格

若要正確識別問題的原因,您必須針對信任設定進行疑難解答。

解決方法

如果您在 Active Directory 使用者和電腦 中使用物件選擇器時收到「沒有符合目前搜尋的專案」錯誤訊息,請確定 NT 4.0 網域中的域控制器包含 [從網络使用者權力存取這部計算機] 中的 [所有人]。 在此案例中,對象選擇器會嘗試以匿名方式連線到信任。 若要確認這些設定,請遵循<方法三:驗證用戶權力>一節中的步驟。

若要針對 Windows NT 4.0 型網域與 Active Directory 之間的信任設定問題進行疑難解答,您必須確認下列區域的正確設定:

  • 名稱解析
  • 安全性設定
  • 用戶權力
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的群組成員資格

若要這麼做,請使用下列方法。

方法一:驗證名稱解析的正確設定

步驟 1:建立 LMHOSTS 檔案

在主要域控制器上建立 LMHOSTS 檔案,以提供跨域名解析功能。 LMHOSTS 檔案是一個文字檔,您可以使用任何文本編輯器進行編輯,例如記事本。 每個域控制器上的 LMHOSTS 檔案必須包含 TCP/IP 位址、功能變數名稱,以及其他域控制器的 \0x1b 專案。

建立 LMHOSTS 檔案之後,請遵循下列步驟:

  1. 修改檔案,使其包含類似下列文字的文字:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name> #PRE
    1.1.1.1 “<NT_4_Domain \0x1b> ”#PRE
    2.2.2.2 <Windows_2000_PDC_Name> #DOM:<Windows_2000_Domain_Name> #PRE
    2.2.2.2 “<2000_Domain \0x1b> ”#PRE

    注意

    \0x1b 專案引號 (“ ”) 之間必須總共有 20 個字元和空格。 在域名後面新增空格,使其使用15個字元。 第 16 個字元是反斜杠,後面接著 「0x1b」 值,這總共會產生 20 個字元。

  2. 當您完成 LMHOSTS 檔案的變更時,請將檔案儲存至 域控制器上的 %SystemRoot% \System32\Drivers\Etc 資料夾。 如需 LMHOSTS 檔案的詳細資訊,請檢視位於 %SystemRoot% \System32\Drivers\Etc 資料夾中的 Lmhosts.sam 範例檔案。

步驟 2:將 LMHOSTS 檔案載入快取

  1. 依序按一下 [ 開始] 和 [ 執行]、輸入 cmd,然後按一下 [ 確定]。

  2. 在命令提示字元中,輸入 NBTSTAT -R,然後按 ENTER。 此命令會將 LMHOSTS 檔案載入快取。

  3. 在命令提示字元中,輸入 NBTSTAT -c,然後按 ENTER。 此命令會顯示快取。 如果正確寫入檔案,快取會類似下列內容:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    如果檔案未正確填入快取,請繼續進行下一個步驟。

步驟 3:確定 Windows NT 4.0 型電腦上已啟用 LMHOSTS 查閱

如果檔案未正確填入快取,請確定 Windows NT 4.0 型電腦上已啟用 LMHOSTS 查閱。 若要這樣做,請遵循下列步驟:

  1. 按兩下 [開始],指向 [設定],然後按兩下 [控制台]。
  2. 按兩下 [網络],按兩下 [ 通訊協定 ] 索引標籤,然後按兩下 [ TCP/IP 通訊協定]。
  3. 按兩下 [WINS 位址] 索引標籤,然後按下以選取 [啟用 LMHOSTS 查閱] 複選框。
  4. 重新啟動電腦。
  5. 重複<將 LMHOSTS 檔案載入快取>一節中的步驟。
  6. 如果檔案未正確填入快取,請確定 LMHOSTS 檔案位於 %SystemRoot%\System32\Drivers\Etc 資料夾中,且檔案的格式正確。

例如,檔案的格式必須類似下列範例格式:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 “NT4DomainName \0x1b”#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 “W2KDomainName \0x1b”#PRE

注意

功能變數名稱和 \0x1b專案在引號內必須總共有 20 個字元和空格。

步驟 4:使用 Ping 命令來測試連線能力

當檔案在每個伺服器上正確填入快取時,請使用 Ping 每部伺服器上的 命令來測試伺服器之間的連線能力。 若要這樣做,請遵循下列步驟:

  1. 依序按一下 [ 開始] 和 [ 執行]、輸入 cmd,然後按一下 [ 確定]。

  2. 在命令提示字元中,輸入 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>,然後按 ENTER。 Ping如果命令無法運作,請確定 LMHOSTS 檔案中會列出正確的 IP 位址。

  3. 在命令提示字元中,輸入 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>,然後按 ENTER。 您應該收到下列錯誤訊息:

    發生系統錯誤 5。 存取遭拒

    如果 net view 命令傳回下列錯誤訊息或任何其他相關的錯誤訊息,請確定 LMHOSTS 檔案中會列出正確的 IP 位址:

    發生系統錯誤 53。 找不到網路路徑

或者,Windows 因特網名稱服務 (WINS) 可以設定為啟用名稱解析功能,而不需使用 LMHOSTS 檔案。

方法二:檢視安全性設定

一般而言,信任組態的 Active Directory 端具有會導致連線問題的安全性設定。 不過,必須在信任的兩端檢查安全性設定。

步驟 1:在 Windows 2000 Server 和 Windows Server 2003 上檢視安全性設定

在 Windows 2000 Server 和 Windows Server 2003 中,安全性設定可由組策略、本機原則或套用的安全性範本套用或設定。

您必須使用正確的工具來判斷安全性設定的目前值,以避免讀數不正確。

若要取得目前安全性設定的準確讀取,請使用下列方法:

  • 在 Windows 2000 Server 中,使用安全性設定和分析嵌入式管理單元。

  • 在 Windows Server 2003 中,使用安全性設定和分析嵌入式管理單元,或使用原則結果集 (RSoP) 嵌入式管理單元。

決定目前的設定之後,您必須識別套用設定的原則。 例如,您必須判斷 Active Directory 中的組策略,或設定安全策略的本機設定。

在 Windows Server 2003 中,RSoP 工具會識別設定安全性值的原則。 不過,在 Windows 2000 中,您必須檢視組策略和本機原則,以判斷包含安全性設定的原則:

  • 若要檢視組策略設定,您必須在組策略處理期間啟用Microsoft Windows 2000 安全性設定客戶端的記錄輸出。

  • 檢視應用程式登入 事件檢視器 並尋找事件標識碼 1000 和事件標識碼 1202。

下列三個區段會識別作業系統,並列出您必須在所收集的信息中驗證操作系統的安全性設定:

Windows 2000

請確定已設定下列設定,如下所示。

RestrictAnonymous:

匿名連線的其他限制
 “無。 依賴默認許可權”

LM 兼容性:

LAN Manager 驗證層級 「僅傳送 NTLM 回應」

SMB 簽署、SMB 加密或兩者:

數位簽署客戶端通訊(一律) DISABLED
數位簽署客戶端通訊(可能的話) ENABLED
數位簽署伺服器通訊(一律) DISABLED
數位簽署伺服器通訊(可能的話) ENABLED
安全通道:數位加密或簽署安全通道資料(一律) DISABLED
安全通道:數位加密安全通道資料(可能的話) DISABLED
安全通道:數位簽署安全通道資料(可能的話) DISABLED
安全通道:需要強式 (Windows 2000 或更新版本) 會話密鑰 DISABLED
Windows Server 2003

請確定已設定下列設定,如下所示。

RestrictAnonymous 和 RestrictAnonymousSam:

網路存取: 允許匿名 SID/名稱轉譯 ENABLED
網路存取: 不允許 SAM 帳戶的匿名列舉 DISABLED
網路存取: 不允許 SAM 帳戶和共用的匿名列舉 DISABLED
網路存取: 讓 Everyone 權限套用到匿名使用者 ENABLED
網路存取:匿名存取命名管道 ENABLED
網路存取:限制具名管道和共用的匿名存取 DISABLED

注意

根據預設,網路存取的值:在 Windows Server 2008 中允許匿名 SID/名稱轉譯設定為 DISABLED。

LM 兼容性:

網路安全性: LAN Manager 驗證等級 「僅傳送 NTLM 回應」

SMB 簽署、SMB 加密或兩者:

Microsoft 網路用戶端: 數位簽章通訊 (一律) DISABLED
Microsoft 網路用戶端:數位簽章用戶端的通訊 (如果伺服器同意) ENABLED
Microsoft 網路伺服器: 數位簽章通訊 (一律) DISABLED
Microsoft 網路伺服器:數位簽章伺服器的通訊 (如果用戶端同意) ENABLED
網域成員: 安全通道資料加以數位加密或簽章 (自動) DISABLED
網域成員:數位加密安全通道資料(可能的話) ENABLED
網域成員:數字簽署安全通道資料(可能的話) ENABLED
網域成員: 要求增強式 (Windows 2000 或更新) 工作階段金鑰 DISABLED

設定正確之後,您必須重新啟動電腦。 在重新啟動電腦之前,不會強制執行安全性設定。

計算機重新啟動之後,請等候10分鐘,確定已套用所有安全策略並設定有效設定。 建議您等候 10 分鐘,因為域控制器上每隔 5 分鐘就會發生 Active Directory 原則更新,而且更新可能會變更安全性設定值。 10 分鐘之後,請使用安全性設定和分析或其他工具來檢查 Windows 2000 和 Windows Server 2003 中的安全性設定。

Windows NT 4.0

重要

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需如何備份和還原登錄的詳細資訊,請按下列文章編號以檢視Microsoft知識庫中的文章: 322756 如何在 Windows 中備份和還原登錄

在 Windows NT 4.0 中,必須使用 Regedt32 工具來檢視登錄,來驗證目前的安全性設定。 若要這樣做,請遵循下列步驟:

  1. 按兩下 [開始],按兩下 [執行],輸入 regedt32,然後按兩下 [ 確定]。

  2. 展開下列登錄子機碼,然後檢視指派給 RestrictAnonymous 專案的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 展開下列登錄子機碼,然後檢視指派給 LM 相容性專案的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 展開下列登錄子機碼,然後檢視指派給 EnableSecuritySignature (server) 專案的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 展開下列登錄子機碼,然後檢視指派給 RequireSecuritySignature (server) 專案的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 展開下列登錄子機碼,然後檢視指派給 RequireSignOrSeal 專案的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 展開下列登錄子機碼,然後檢視指派給 SealSecureChannel 專案的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 展開下列登錄子機碼,然後檢視指派給 SignSecureChannel 專案的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 展開下列登錄子機碼,然後檢視指派給 RequireStrongKey 專案的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法三:驗證用戶權力

若要確認 Windows 2000 計算機上所需的用戶權力,請遵循下列步驟:

  1. 按兩下 [開始],指向 [ 程式],指向 [系統管理工具],然後按兩下 [ 本機安全策略]。
  2. 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]。
  3. 在右窗格中,按兩下 [從網络存取這部計算機]。
  4. 按兩下即可選取 [指派給] 清單中 [所有人] 群組旁的 [本機原則設定] 複選框,然後按兩下 [確定]。
  5. 按兩下 [ 拒絕從網络存取這部計算機]。
  6. 確認 [指派給] 列表中沒有原則群組,然後按兩下 [確定]。 例如,請確定未列出 [所有人]、[已驗證的使用者] 和其他群組。
  7. 按兩下 [ 確定],然後結束 [本機安全策略]。

若要確認 Windows Server 2003 計算機上所需的用戶權力,請遵循下列步驟:

  1. 按兩下 [開始],指向 [系統管理工具],然後按兩下 [ 域控制器安全策略]。

  2. 展開 [ 本機原則],然後按兩下 [ 用戶權力指派]。

  3. 在右窗格中,按兩下 [從網络存取這部計算機]。

  4. 請確定 [所有人] 群組位於 [從網络 存取這部計算機] 清單中。

    如果未列出 Everyone 群組,請遵循下列步驟:

    1. 按一下 [加入使用者或群組]
    2. 在 [ 使用者和組名] 方塊中,輸入 [所有人],然後按兩下 [ 確定]。

  5. 按兩下 [ 拒絕從網络存取這部計算機]。

  6. 確認 [拒絕從網络清單存取這部計算機] 中沒有任何原則群組,然後按兩下 [確定]。 例如,請確定未列出 [所有人]、[已驗證的使用者] 和其他群組。

  7. 按兩下 [ 確定],然後關閉域控制器安全策略。

若要確認 Windows NT Server 4.0 計算機上所需的用戶權力,請遵循下列步驟:

  1. 按兩下 [開始],指向 [ 程式],指向 [系統管理工具],然後按兩下 [ 網域的使用者管理員]。

  2. 在 [原則 ] 功能表上,按兩下 [ 用戶權力]。

  3. 在 [ 右] 列表中,按兩下 [ 從網络存取這部計算機]。

  4. 在 [ 授與給] 方塊中,確定已新增 [所有人] 群組。

    如果未新增 Everyone 群組,請遵循下列步驟:

    1. 按一下新增
    2. 在 [ 名稱] 清單中,按兩下 [ 所有人],按兩下 [新增],然後按兩下 [ 確定]。

  5. 按兩下 [ 確定],然後結束使用者管理員。

方法四:驗證群組成員資格

如果網域之間已設定信任,但您無法將原則使用者群組從某個網域新增至另一個網域,因為對話方塊找不到其他網域物件,則「Windows 2000 前相容存取」群組可能沒有正確的成員資格。

在 Windows 2000 型域控制器和 Windows Server 2003 型域控制器上,確定已設定必要的群組成員資格。

若要在 Windows 2000 型域控制器上執行這項操作,請遵循下列步驟:

  1. 按一下 [開始],依序指向 [程式] 及 [系統管理工具],然後按一下 [Active Directory 使用者及電腦]

  2. 按兩下 [內建],然後按兩下 [Windows 2000 前相容存取群組]。

  3. 按兩下 [ 成員] 索引標籤,然後確定 [每個人都] 群組位於 [成員 ] 清單中。

  4. 如果 [所有人] 群組不在 [成員 ] 列表中,請遵循下列步驟:

    1. 依序按一下 [ 開始] 和 [ 執行]、輸入 cmd,然後按一下 [ 確定]。
    2. 在命令提示字元中,輸入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add,然後按 ENTER。

若要確定 Windows Server 2003 型域控制器上已設定必要的群組成員資格,您必須知道是否已停用「網路存取:讓所有人許可權套用至匿名使用者」原則設定。 如果您不知道,請使用組策略對象編輯器來判斷「網路存取:讓所有人許可權套用至匿名使用者」原則設定的狀態。 若要這樣做,請遵循下列步驟:

  1. 按一下 [開始],再按一下 [執行],輸入 gpedit.msc,然後按一下 [確定]

  2. 展開下列資料夾:

    本機計算機原則
    電腦設定
    Windows 設定
    安全性設定
    本機原則

  3. 單擊 [ 安全性選項],然後按兩下 [ 網络存取:讓所有人許可權套用至右窗格中的匿名使用者 ]。

  4. 請注意,如果 [安全性設定] 資料行中的值為 [已停用] 或 [已啟用]。

若要確定 Windows Server 2003 型域控制器上已設定必要的群組成員資格,請遵循下列步驟:

  1. 按一下 [開始],依序指向 [程式] 及 [系統管理工具],然後按一下 [Active Directory 使用者及電腦]

  2. 按兩下 [內建],然後按兩下 [Windows 2000 前相容存取群組]。

  3. 按兩下 [成員] 索引標籤。

  4. 如果網络 存取:讓所有人許可權套用至匿名用戶 原則設定已停用,請確定 [所有人]、[匿名登入] 群組位於 [成員 ] 清單中。 如果 [網络存取:讓所有人許可權套用至匿名使用者] 原則設定已啟用,請確定 [所有人] 群組位於 [成員 ] 列表中。

  5. 如果 [所有人] 群組不在 [成員 ] 列表中,請遵循下列步驟:

    1. 依序按一下 [ 開始] 和 [ 執行]、輸入 cmd,然後按一下 [ 確定]。
    2. 在命令提示字元中,輸入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add,然後按 ENTER。

方法五:驗證透過網路裝置的連線能力,例如防火牆、交換器或路由器

如果您收到類似下列錯誤訊息的錯誤訊息,且您已確認 LMHOST 檔案正確無誤,問題可能是由已封鎖域控制器之間埠的防火牆、路由器或交換器所造成:

無法連絡域控制器

若要針對網路裝置進行疑難解答,請使用 PortQry 命令行埠掃描器 2.0 版來測試域控制器之間的埠。

如需 PortQry 第 2 版的詳細資訊,請按下列文章編號,以檢視Microsoft知識庫中的文章:

832919 PortQry 2.0 版的新功能

如需如何設定埠的詳細資訊,請按下列文章編號,以檢視Microsoft知識庫中的文章:

179442 如何設定網域和信任的防火牆

方法六:收集其他資訊以協助針對問題進行疑難解答

如果先前的方法無法協助您解決問題,請收集下列其他資訊,以協助您針對問題的原因進行疑難解答:

  • 在兩個域控制器上啟用 Netlogon 記錄。 如需如何完成 Netlogon 記錄的詳細資訊,請按下列文章編號以檢視Microsoft知識庫中的文章: 109626 啟用 Net Logon 服務的偵錯記錄

  • 同時擷取這兩個域控制器上發生問題的追蹤。

其他相關資訊

下列組策略物件清單會提供對應登錄專案的位置,以及適用操作系統中的組策略:

  • The RestrictAnonymous GPO:

    • Windows NT 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 組策略: 計算機設定\Windows 設定\安全性設定\ 安全性選項 匿名連線的其他限制
    • Windows Server 2003 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項網络存取:不允許匿名列舉 SAM 帳戶和共用

  • The RestrictAnonymousSAM GPO:

    • Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 組策略: 計算機設定\Windows 設定\安全性設定安全性選項網络存取:不允許匿名列舉 SAM 帳戶和共用

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項網络存取:讓所有人許可權套用至匿名使用者

  • LM 兼容性 GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項:LAN Manager 驗證層級

    • Windows Server 2003 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項\網络安全性:LAN Manager 驗證層級

  • EnableSecuritySignature (用戶端) GPO:

    • Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 組策略: 計算機設定\Windows 設定\安全性設定 \安全性選項:數位簽署用戶端通訊(可能的話)
    • Windows Server 2003 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項\Microsoft網络用戶端:數位簽署通訊(如果伺服器同意)

  • RequireSecuritySignature (用戶端) GPO:

    • Windows 2000 和 Windows Server 2003 登錄位置: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 組策略: 計算機設定\Windows 設定\安全性設定\安全性選項:數位簽署用戶端通訊(一律)
    • Windows Server 2003: 計算機設定\Windows 設定\安全性設定\安全性選項\Microsoft網络用戶端:數位簽署通訊(一律)

  • EnableSecuritySignature (伺服器) GPO:

    • Windows NT 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 組策略: 數位簽署伺服器通訊(可能的話)
    • Windows Server 2003 組策略: Microsoft網络伺服器:數位簽署通訊(如果用戶端同意)

  • RequireSecuritySignature (伺服器) GPO:

    • Windows NT 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 組策略: 數位簽署伺服器通訊(一律)
    • Windows Server 2003 組策略:Microsoft網络伺服器: 數位簽署通訊(一律)

  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 組策略: 數位加密或簽署安全通道數據(一律)
    • Windows Server2003 組策略:網域成員: 數位加密或簽署安全通道數據(一律)

  • The SealSecureChannel GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 組策略:安全通道: 數位加密安全通道數據(可能的話)
    • Windows Server 2003 組策略:網域成員: 數位加密安全通道數據(可能的話)

  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 組策略:安全通道: 數字簽署安全通道數據(可能的話)
    • Windows Server 2003 組策略:網域成員: 數字簽署安全通道數據(可能的話)

  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 登錄位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 組策略:安全通道: 需要強式 (Windows 2000 或更新版本) 會話密鑰
    • Windows Server 2003 組策略:網域成員: 需要強式 (Windows 2000 或更新版本) 會話密鑰

Windows Server 2008

在執行 Windows Server 2008 的域控制器上,允許與 Windows NT 4.0 原則設定相容的密碼編譯演算法的預設行為可能會導致問題。 此設定可防止 Windows 作業系統和第三方用戶端使用弱式密碼編譯演算法,將 NETLOGON 安全性通道建立至 Windows Server 2008 型域控制器。

參考資料

如需詳細資訊,請按下列文章編號,以檢視Microsoft知識庫中的文章:

823659當您修改安全性設定和用戶權力指派時,可能發生的用戶端、服務和程式不相容