Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, güvenilen ormandaki bir kullanıcıyı veya grubu güvenen ormandaki bir etki alanının yerel etki alanı grubuna eklemeye çalıştığınızda oluşan bir hatayı düzeltmeye yardımcı olur.
Özgün KB numarası: 3073942
RPC Uç Noktası Eşleyicisi istemci kimlik doğrulamasının etkinleştirilmesi, güvenlik sorumlularının (güvenilen ormanlardaki kullanıcılar ve gruplar) güvenen ormandaki yerel bir etki alanı grubuna eklenmesini engeller. RPC Endpoint Mapper istemci kimlik doğrulamasını etkinleştirmenin etkilediği diğer bileşenler ve işlemler hakkında bilgi için aşağıdaki ASKDS blog gönderisine bakın:
Kimliği Doğrulanmamış RPC İstemcileri için kısıtlamalar: Etki alanınızın yüzüne yumruk atan grup ilkesi
Belirtiler
Aşağıdaki senaryoyu değerlendirin:
- Etki alanı denetleyicilerinde Microsoft Uzaktan Yordam Çağrısı (RPC) Uç Nokta Eşleyicisi istemci kimlik doğrulaması etkindir.
- İki Active Directory ormanı arasında tek yönlü, geçişli bir Active Directory ormanı güveni oluşturursunuz.
- Güvenilen ormandaki bir kullanıcıyı veya grubu güvenen ormandaki bir etki alanının yerel etki alanı grubuna eklemeye çalışırsınız.
Bu senaryoda aşağıdaki hata iletisini alırsınız:
Aşağıdaki etki alanlarındaki seçili nesneleri bulmak için gereken Active Directory Etki Alanı Denetleyicileri kullanılamaz:
<trusted-forest>
Active Directory Denetleyicilerinin kullanılabilir olduğundan emin olun ve nesneleri yeniden seçmeyi deneyin.
Bu iletiyi aşağıdaki ekran görüntüsünde olduğu gibi alırsınız:
Gelişmiş günlüğü etkinleştirdiğinizde, aldığınız günlük bilgileri, güvenilen ormandaki etki alanı denetleyicilerinin kullanılamadığını belirten hatalar dışında ek bilgi sağlamaz. Ağ izleme izlemeleri ek ayrıntılar sağlamaz.
Neden
RPC Uç Noktası Eşleyicisi istemci kimlik doğrulaması etkinleştirildiğinde, güvenilen Active Directory ormanından gelen kimliği doğrulanmamış RPC trafiği kabul edilmez.
Çözüm
Önemli
Bu bölümdeki adımları dikkatlice izleyin. Kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Değiştirmeden önce, bir sorun olması halinde geri yükleyebilmek için kayıt defterini yedekleyin.
Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın:
1. Yöntem
Ayarlar Grup İlkesi aracılığıyla uygulandıysa, güvenen Active Directory ormanının tüm etki alanı denetleyicilerinde Grup İlkesi aracılığıyla aşağıdaki ayarı "Devre Dışı" olarak değiştirin:
Bilgisayar Yapılandırması -> Yönetim Şablonları -> Sistem -> Uzaktan Yordam Çağrısı "RPC Uç Noktası Eşleyici İstemci Kimlik Doğrulaması"
Not
Ayarın "Yapılandırılmadı" olarak değiştirilmesi kayıt defteri girdilerini kaldırmaz ve sorun devam eder.
Bu değişikliği yaptıktan sonra, değişikliklerin etkili olması için güvenen ormandaki tüm etki alanı denetleyicilerinin yeniden başlatılması gerekir.
2. Yöntem
Uyarı
Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft, bu sorunların çözülebileceğini garanti edemez. Kayıt defterini değiştirmek kendi sorumluluğunuzdadır.
Güvenen ormandaki her etki alanı denetleyicisinden aşağıdaki kayıt defteri girdisini kaldırın:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
Varsa, aşağıdaki kayıt defteri girdisini de kaldırın:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Grup İlkesi ayarlarının bu değişiklikleri geçersiz kılmadığını doğrulayın. Değişikliklerin etkili olması için bu ayarlar değiştirildikten sonra güvenen ormandaki tüm etki alanı denetleyicileri yeniden başlatılmalıdır.
Daha Fazla Bilgi
Özellikle etki alanı denetleyicilerinde RPC Endpoint Mapper istemci kimlik doğrulamasını etkinleştirmenin neden olabileceği sorunlar hakkında aşağıdaki blogu okuyun:
Kimliği Doğrulanmamış RPC İstemcileri için kısıtlamalar: Etki alanınızın yüzüne yumruk atan grup ilkesi