Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda a corrigir um erro que ocorre quando você tenta adicionar um usuário ou um grupo de uma floresta confiável a um grupo de domínio local de um domínio em uma floresta confiante.
Número original do KB: 3073942
Habilitar a autenticação de cliente do Mapeador de Ponto de Extremidade RPC impede que entidades de segurança (ou seja, usuários e grupos de florestas confiáveis) sejam adicionadas a um grupo de domínio local na floresta confiante. Para obter informações sobre outros componentes e operações afetados pela ativação da autenticação de cliente do Mapeador de Ponto de Extremidade RPC, consulte a seguinte postagem no blog do ASKDS:
Restrições para clientes RPC não autenticados: a política de grupo que dá um soco na cara do seu domínio
Sintomas
Considere o cenário a seguir.
- Os controladores de domínio têm a autenticação de cliente do Mapeador de Ponto de Extremidade RPC (Chamada de Procedimento Remoto) da Microsoft habilitada.
- Você estabelece uma relação de confiança de floresta transitiva unidirecional do Active Directory entre duas florestas do Active Directory.
- Você tenta adicionar um usuário ou um grupo da floresta confiável a um grupo de domínio local de um domínio na floresta confiante.
Nesse cenário, você pode receber a seguinte mensagem de erro:
Os Controladores de Domínio do Active Directory necessários para localizar os objetos selecionados nos seguintes domínios não estão disponíveis:
<floresta confiável>
Verifique se os controladores do Active Directory estão disponíveis e tente selecionar os objetos novamente.
Você recebe esta mensagem como na captura de tela a seguir:
Quando você habilita o log avançado, as informações de log recebidas não fornecem nenhuma informação adicional, exceto erros que afirmam que os controladores de domínio da floresta confiável não estão disponíveis. Os rastreamentos de monitoramento de rede não fornecem detalhes adicionais.
Motivo
Quando a autenticação de cliente do Mapeador de Ponto de Extremidade RPC está habilitada, o tráfego RPC não autenticado da floresta confiável do Active Directory não é aceito.
Resolução
Importante
Siga as etapas nesta seção com cuidado. Problemas sérios podem ocorrer se você modificar o Registro incorretamente. Antes de modificá-lo, faça backup do Registro para a restauração em caso de problemas.
Para resolver esse problema, use um dos seguintes métodos.
Método 1
Se as configurações foram aplicadas por meio da Política de Grupo, altere a seguinte configuração para "Desabilitada" por meio da Política de Grupo em todos os controladores de domínio da floresta confiável do Active Directory:
Configuração do computador -> Modelos administrativos -> Sistema -> Chamada de procedimento remoto "Autenticação de cliente do mapeador de ponto de extremidade RPC"
Observação
Alterar a configuração para "Não configurado" não removerá as entradas do registro e o problema persistirá.
Depois de fazer essa alteração, todos os controladores de domínio na floresta confiante devem ser reiniciados para que as alterações entrem em vigor.
Método 2
Aviso
Poderão ocorrer sérios problemas se você modificar o Registro incorretamente com o Editor do Registro ou outro método. Talvez seja necessária a reinstalação do sistema operacional. A Microsoft não pode garantir que esses problemas possam ser resolvidos. Modifique o Registro por sua conta e risco.
Remova a seguinte entrada do Registro de cada controlador de domínio na floresta confiante:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Se existir, remova também a seguinte entrada do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Verifique se as configurações de Diretiva de Grupo não substituem essas alterações. Todos os controladores de domínio na floresta confiante devem ser reiniciados depois que essas configurações forem alteradas para que as alterações entrem em vigor.
Mais informações
Leia o blog a seguir sobre os problemas que podem resultar da habilitação da autenticação de cliente do Mapeador de Ponto de Extremidade RPC, especialmente em controladores de domínio:
Restrições para clientes RPC não autenticados: a política de grupo que dá um soco na cara do seu domínio