本文有助于修复尝试将受信任的林中的用户或组添加到受信任林中的域的本地域组中时发生的错误。
原始 KB 数: 3073942
启用 RPC 终结点映射器客户端身份验证可防止将安全主体(即用户和组)添加到信任林中的本地域组。 有关启用 RPC 终结点映射器客户端身份验证影响的其他组件和操作的信息,请参阅以下 ASKDS 博客文章:
未经身份验证的 RPC 客户端的限制:在人脸上打出域的组策略
现象
假设出现了下面这种情景:
- 域控制器已启用Microsoft远程过程调用(RPC)终结点映射器客户端身份验证。
- 在两个 Active Directory 林之间建立单向可传递林信任。
- 尝试将受信任的林中的用户或组添加到信任林中域的本地域组中。
在这种情况下,会收到以下错误消息:
在以下域中查找所选对象的Active Directory 域控制器不可用:
<trusted-forest>
确保 Active Directory 控制器可用,并尝试再次选择对象。
如以下屏幕截图所示,你会收到此消息:
启用增强日志记录时,收到的日志记录信息不提供任何其他信息,但指出受信任的林中的域控制器不可用的错误除外。 网络监视跟踪不提供其他详细信息。
原因
启用 RPC 终结点映射器客户端身份验证后,不接受来自受信任 Active Directory 林的未经身份验证的 RPC 流量。
解决方法
重要
请认真遵循本部分所述的步骤。 如果注册表修改不正确,可能会发生严重问题。 在修改注册表之前,请备份注册表,以便在出现问题时可以还原。
若要解决此问题,请使用以下任一方法。
方法 1
如果通过组策略应用了设置,请在受信任的 Active Directory 林的所有域控制器上将以下设置更改为“已禁用”:
计算机配置 -> 管理模板 -> 系统 -> 远程过程调用“RPC 终结点映射器客户端身份验证”
注意
将设置更改为“未配置”不会删除注册表项,并且问题将仍然存在。
进行此更改后,必须重新启动信任林中的所有域控制器才能使更改生效。
方法 2
警告
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生严重问题。 这些问题可能需要重新安装操作系统才能解决。 Microsoft 不能保证可以解决这些问题。 您应自行承担修改注册表的风险。
从信任林中的每个域控制器中删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients
如果存在,请删除以下注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
验证组策略设置是否不重写这些更改。 更改这些设置后,必须重新启动信任林中的所有域控制器,以便更改生效。
详细信息
阅读以下博客,了解启用 RPC 终结点映射器客户端身份验证(尤其是域控制器上)可能引起的问题:
未经身份验证的 RPC 客户端的限制:在人脸上打出域的组策略