Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird ein Fehler behoben, der auftritt, wenn Sie versuchen, einen Benutzer oder eine Gruppe aus einer vertrauenswürdigen Gesamtstruktur zu einer lokalen Domänengruppe einer Domäne in einer vertrauenswürdigen Gesamtstruktur hinzuzufügen.
Ursprüngliche KB-Nummer: 3073942
Durch aktivieren der RPC Endpoint Mapper-Clientauthentifizierung wird verhindert, dass Sicherheitsprinzipale (d. h. Benutzer und Gruppen aus vertrauenswürdigen Gesamtstrukturen) einer lokalen Domänengruppe in der vertrauenswürdigen Gesamtstruktur hinzugefügt werden. Informationen zu anderen Komponenten und Vorgängen, die von der Aktivierung der RPC Endpoint Mapper-Clientauthentifizierung betroffen sind, finden Sie im folgenden ASKDS-Blogbeitrag:
Einschränkungen für nicht authentifizierte RPC-Clients: Die Gruppenrichtlinie, die Ihre Domäne im Gesicht drückt
Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
- Domänencontroller haben die Clientauthentifizierung des Endpunktzuordnungs-Clients von Microsoft Remote Procedure Call (RPC) aktiviert.
- Sie richten eine unidirektionale, transitive Gesamtstrukturvertrauensstellung zwischen zwei Active Directory-Gesamtstrukturen ein.
- Sie versuchen, einen Benutzer oder eine Gruppe aus der vertrauenswürdigen Gesamtstruktur zu einer lokalen Domänengruppe einer Domäne in der vertrauenswürdigen Gesamtstruktur hinzuzufügen.
In diesem Fall wird die folgende Fehlermeldung angezeigt:
Die Active Directory-Domäne Controller, die zum Suchen der ausgewählten Objekte in den folgenden Domänen erforderlich sind, sind nicht verfügbar:
<vertrauenswürdige Gesamtstruktur>
Stellen Sie sicher, dass die Active Directory-Controller verfügbar sind, und versuchen Sie erneut, die Objekte auszuwählen.
Sie erhalten diese Nachricht wie im folgenden Screenshot:
Wenn Sie die erweiterte Protokollierung aktivieren, stellen die empfangenen Protokollierungsinformationen keine zusätzlichen Informationen bereit, mit Ausnahme von Fehlern, die angeben, dass Domänencontroller aus der vertrauenswürdigen Gesamtstruktur nicht verfügbar sind. Netzwerküberwachungsablaufverfolgungen enthalten keine zusätzlichen Details.
Ursache
Wenn die CLIENTauthentifizierung des RPC-Endpunktzuordnungs-Clients aktiviert ist, werden nicht authentifizierte RPC-Datenverkehr aus der vertrauenswürdigen Active Directory-Gesamtstruktur nicht akzeptiert.
Lösung
Wichtig
Folgen Sie den Schritten in diesem Abschnitt sorgfältig. Wird die Registrierung falsch angepasst, können schwerwiegende Probleme auftreten. Bevor Sie sie ändern, sichern Sie die Registrierung zwecks Wiederherstellung für den Fall, dass Probleme auftreten.
Verwenden Sie eine der folgenden Methoden, um dieses Problem zu beheben.
Methode 1
Wenn Einstellungen über Gruppenrichtlinien angewendet wurden, ändern Sie die folgende Einstellung in "Deaktiviert" über Gruppenrichtlinie auf allen Domänencontrollern der vertrauenswürdigen Active Directory-Gesamtstruktur:
Computerkonfiguration - Administrative Vorlagen -> System ->> Remoteprozeduraufruf "RPC Endpoint Mapper Client Authentication"
Notiz
Wenn Sie die Einstellung auf "Nicht konfiguriert" ändern, werden die Registrierungseinträge nicht entfernt, und das Problem bleibt erhalten.
Nachdem Sie diese Änderung vorgenommen haben, müssen alle Domänencontroller in der vertrauenswürdigen Gesamtstruktur neu gestartet werden, damit die Änderungen wirksam werden.
Methode 2
Warnung
Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft gibt keinerlei Garantien dafür ab, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Entfernen Sie den folgenden Registrierungseintrag von jedem Domänencontroller in der vertrauenswürdigen Gesamtstruktur:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Falls vorhanden, entfernen Sie auch den folgenden Registrierungseintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Stellen Sie sicher, dass gruppenrichtlinieneinstellungen diese Änderungen nicht außer Kraft setzen. Alle Domänencontroller in der vertrauenswürdigen Gesamtstruktur müssen neu gestartet werden, nachdem diese Einstellungen geändert wurden, damit die Änderungen wirksam werden.
Weitere Informationen
Lesen Sie den folgenden Blog über die Probleme, die sich aus der Aktivierung der RPC Endpoint Mapper-Clientauthentifizierung ergeben können, insbesondere auf Domänencontrollern:
Einschränkungen für nicht authentifizierte RPC-Clients: Die Gruppenrichtlinie, die Ihre Domäne im Gesicht drückt