Pastaba
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti prisijungti arba pakeisti katalogus.
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti pakeisti katalogus.
Kodėl verta tai apsvarstyti
Senų NT4 kriptografijos algoritmų leidimas gali kelti rimtą grėsmę saugai ir gali būti signalas, kad aplinkoje vis dar gali būti naudojama sena ir nesaugi aparatūra ar programinė įranga (pvz., NT4 arba senesni SAMBA SMB klientai). Visos šiuo metu palaikomos OS šio parametro nebepalaiko.
Peržiūrėkite klientų inžinierių, paaiškinantį problemą
Kontekstas ir geriausios praktikos
Pagal numatytuosius parametrus "Windows Server 2008" arba naujesnė versija draudžia klientams, naudojantiems ne "Microsoft" operacines sistemas arba "Windows NT 4.0" operacines sistemas, nustatyti saugius kanalus naudojant silpnus "Windows NT 4.0" stiliaus kriptografijos algoritmus. Bet kokia nuo saugos kanalo priklausanti operacija, kurią paleidžia klientai, naudojantys senesnes "Windows" operacinės sistemos versijas arba naudojančias ne "Microsoft" operacines sistemas, kurios nepalaiko sudėtingų šifravimo algoritmų, nepavyks domeno valdiklyje, kuriame veikia "Windows Server 2008", "Windows Server 2008 R2" arba "Windows Server 2012" su numatytaisiais parametrais.
"Windows Server 2008 R2" ir naujesnės versijos nepalaiko patikimumo ryšių su "Windows NT 4.0" net naudojant NT4Crypto parametrą. Šis apribojimas apima (neapsiriboja) šias saugaus kanalo operacijas: - Patikimumo ryšių nustatymas ir palaikymas – Prisijungimas prie domeno – domeno autentifikavimas – SMB seansai
Siūlomi veiksmai
Norėdami išspręsti šią problemą, atlikite vieną iš šių veiksmų:
- Išjunkite parametrą AllowNTCrypto registre.
- Įeikite į paveiktus domeno valdiklius.
- Pasirinkite Pradžia, vykdyti, įveskite regedit.exe, tada pasirinkite Gerai.
- Registro rengyklėje eikite į HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Parametrai. - Pakeiskite AllowNT4Crypto reikšmę į 0.
- Pakartokite šiuos veiksmus su kiekvienu paveikto domeno valdikliu.
- Išjunkite parametrą AllowNTCrypto numatytųjų domeno valdiklių strategijos GPO.
- Prisijunkite prie "Windows Server 2008" pagrįsto domeno valdiklio.
- Pasirinkite Pradžia, vykdyti, įveskite gpmc.msc, tada pasirinkite Gerai.
- Konsolėje Grupės strategija Valdymas išplėskite Forest: DomainName, expand Domains, expand DomainName, and then expand Domain Controllers.
- Dešiniuoju pelės mygtuku spustelėkite Numatytoji domeno valdiklių strategija, tada pasirinkite Redaguoti.
- Konsolėje Grupės strategija Valdymo rengyklė išplėskite Kompiuterio konfigūracija, išplėskite Strategijos, išplėskite Administravimo šablonai, tada išplėskite Sistema.
- Pasirinkite Grynasis prisijungimas.
- Dukart spustelėkite Leisti kriptografijos algoritmus, suderinamus su Windows NT 4.0.
- Dialogo lange pasirinkite Išjungta, tada pasirinkite Gerai.
Sužinokite daugiau
Daugiau informacijos apie šį veikimą, žr . Net Logon paslaugos Windows Server 2008 ir Windows Server 2008 R2 domeno valdikliai neleidžia naudoti senesnių kriptografijos algoritmų, kurie yra suderinami su Windows NT 4.0 pagal numatytuosius parametrus, https://support.microsoft.com/kb/942564
Daugiau informacijos apie atitinkamo GPO modifikavimą žr . Saugos strategijų modifikavimas numatytojo domeno valdiklių strategijoje, adresu https://technet.microsoft.com/library/cc731654.aspx.