通过

无法建立 Windows NT 域与 Active Directory 域之间的信任,或者无法按预期工作

本文介绍基于 Windows NT 4.0 的域与基于 Active Directory 的域之间的信任配置问题。

原始 KB 编号: 889030

现象

如果尝试在基于 Windows NT 4.0 的Microsoft域和基于 Active Directory 的域之间设置信任,则可能会遇到以下任一症状:

  • 未建立信任。
  • 信任已建立,但信任无法按预期工作。

此外,可能会收到以下任何错误消息:

尝试加入域“Domain_Name时发生以下错误:该帐户无权从此工作站登录。

拒绝访问。

无法联系任何域控制器。

登录失败:未知用户名或密码错误。

在 Active Directory 用户和计算机中使用对象选取器将用户从 NT 4.0 域添加到 Active Directory 域时,可能会收到以下错误消息:

没有与当前搜索匹配的项目。 检查搜索参数,然后重试。

原因

出现此问题的原因是以下任一区域中的配置问题:

  • 名称解析
  • 安全设置
  • 用户权限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的组成员身份

若要正确识别问题的原因,必须对信任配置进行故障排除。

解决方法

如果在Active Directory 用户和计算机中使用对象选取器时收到“无项目与当前搜索匹配”错误消息,请确保 NT 4.0 域中的域控制器包括来自网络用户权限的“访问此计算机”中的每个人。 在此方案中,对象选取器尝试跨信任匿名连接。 若要验证这些设置,请按照“方法三:验证用户权限”部分中的步骤进行操作。

若要排查基于 Windows NT 4.0 的域和 Active Directory 之间的信任配置问题,必须验证以下方面的正确配置:

  • 名称解析
  • 安全设置
  • 用户权限
  • Microsoft Windows 2000 或 Microsoft Windows Server 2003 的组成员身份

为此,请使用以下方法。

方法 1:验证名称解析的正确配置

步骤 1:创建 LMHOSTS 文件

在主域控制器上创建 LMHOSTS 文件,以提供跨域名解析功能。 LMHOSTS 文件是一个文本文件,可以使用任何文本编辑器(如记事本)进行编辑。 每个域控制器上的 LMHOSTS 文件必须包含 TCP/IP 地址、域名和其他域控制器的 \0x1b 条目。

创建 LMHOSTS 文件后,请执行以下步骤:

  1. 修改文件,使其包含类似于以下文本的文本:

    1.1.1.1 <NT_4_PDC_Name> #DOM:<NT_4_Domain_Name> #PRE
    1.1.1.1 “<NT_4_Domain \0x1b> ”#PRE
    2.2.2.2 <Windows_2000_PDC_Name #DOM> :<Windows_2000_Domain_Name> #PRE
    2.2.2.2 “<2000_Domain \0x1b> ”#PRE

    注意

    \0x1b 条目的引号 (“ ”) 之间必须总共有 20 个字符和空格。 在域名后面添加空格,使其使用 15 个字符。 第 16 个字符是后跟“0x1b”值的反斜杠,这总共包含 20 个字符。

  2. 完成对 LMHOSTS 文件的更改后,请将该文件 保存到域控制器上的 %SystemRoot% \System32\Drivers\Etc 文件夹。 有关 LMHOSTS 文件的详细信息,请查看位于 %SystemRoot% \System32\Drivers\Etc 文件夹中的 Lmhosts.sam 示例文件。

步骤 2:将 LMHOSTS 文件加载到缓存中

  1. 单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定”

  2. 在命令提示符下,键入 NBTSTAT -R,然后按 Enter。 此命令将 LMHOSTS 文件加载到缓存中。

  3. 在命令提示符下,键入 NBTSTAT -c,然后按 Enter。 此命令显示缓存。 如果文件正确写入,则缓存类似于以下内容:

    NT4PDCName <03> UNIQUE 1.1.1.1 -1
    NT4PDCName <00> UNIQUE 1.1.1.1 -1
    NT4PDCName <20> UNIQUE 1.1.1.1 -1
    NT4DomainName <1C> GROUP 1.1.1.1 -1
    NT4DomainName <1B> UNIQUE 1.1.1.1 -1
    W2KPDCName <03> UNIQUE 2.2.2.2 -1
    W2KPDCName <00> UNIQUE 2.2.2.2 -1
    W2KPDCName <20> UNIQUE 2.2.2.2 -1
    W2KDomainName <1C> GROUP 2.2.2.2 -1
    W2KDomainName <1B> UNIQUE 2.2.2.2 -1

    如果文件未正确填充缓存,请继续执行下一步。

步骤 3:确保在基于 Windows NT 4.0 的计算机上启用了 LMHOSTS 查找

如果文件未正确填充缓存,请确保在基于 Windows NT 4.0 的计算机上启用 LMHOSTS 查找。 为此,请按照下列步骤进行操作:

  1. 单击“开始”,指向“设置”,然后单击控制面板
  2. 双击“网络”,单击协议”选项卡,然后双击“TCP/IP 协议”。
  3. 单击“WINS 地址”选项卡,然后单击以选中“启用 LMHOSTS 查找”复选框。
  4. 重新启动计算机。
  5. 重复“将 LMHOSTS 文件加载到缓存”部分中的步骤。
  6. 如果文件未正确填充缓存,请确保 LMHOSTS 文件位于 %SystemRoot%\System32\Drivers\Etc 文件夹中,并且文件的格式正确。

例如,必须格式化该文件,类似于以下示例格式:

1.1.1.1 NT4PDCName #DOM:NT4DomainName#PRE
1.1.1.1 “NT4DomainName \0x1b”#PRE
2.2.2.2 W2KPDCName #DOM:W2KDomainName#PRE
2.2.2.2 “W2KDomainName \0x1b”#PRE

注意

域名和 \0x1b 条目的引号 (“ ”) 内必须总共有 20 个字符和空格。

步骤 4:使用 Ping 命令测试连接性

当文件在每个服务器上正确填充缓存时,请使用 Ping 每台服务器上的命令测试服务器之间的连接。 为此,请按照下列步骤进行操作:

  1. 单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定”

  2. 在命令提示符下,键入 Ping <Name_Of_Domain_Controller_You_Want_To_Connect_To>,然后按 Enter。 Ping如果命令不起作用,请确保 LMHOSTS 文件中列出了正确的 IP 地址。

  3. 在命令提示符下,键入 net view <Name_Of_Domain_Controller_You_Want_To_Connect_To>,然后按 Enter。 你会收到以下错误消息:

    发生系统错误 5。 拒绝访问

    如果 net view 命令返回以下错误消息或任何其他相关错误消息,请确保 LMHOSTS 文件中列出了正确的 IP 地址:

    发生了系统错误 53。 找不到网络路径

或者,可以将 Windows Internet 名称服务(WINS)配置为在不使用 LMHOSTS 文件的情况下启用名称解析功能。

方法 2:查看安全设置

通常,信任配置的 Active Directory 端具有导致连接问题的安全设置。 但是,必须在信任双方检查安全设置。

步骤 1:查看 Windows 2000 Server 和 Windows Server 2003 上的安全设置

在 Windows 2000 Server 和 Windows Server 2003 中,安全设置可由组策略、本地策略或应用的安全模板应用或配置。

必须使用正确的工具来确定安全设置的当前值,以避免读取不准确。

若要获取当前安全设置的准确读取,请使用以下方法:

  • 在 Windows 2000 Server 中,使用安全配置和分析管理单元。

  • 在 Windows Server 2003 中,使用安全配置和分析管理单元或策略结果集(RSoP)管理单元。

确定当前设置后,必须标识应用设置的策略。 例如,必须确定 Active Directory 中的组策略,或设置安全策略的本地设置。

在 Windows Server 2003 中,设置安全值的策略由 RSoP 工具标识。 但是,在 Windows 2000 中,必须查看组策略和本地策略,以确定包含安全设置的策略:

  • 若要查看组策略设置,必须在组策略处理期间为 Microsoft Windows 2000 安全配置客户端启用日志记录输出。

  • 查看应用程序登录事件查看器并查找事件 ID 1000 和事件 ID 1202。

以下三个部分标识操作系统,并列出必须在收集的信息中验证操作系统的安全设置:

Windows 2000

确保按如下所示配置以下设置。

RestrictAnonymous:

匿名连接的其他限制
 “无。 依赖于默认权限”

LM 兼容性:

LAN 管理器身份验证级别 “仅发送 NTLM 响应”

SMB 签名、SMB 加密或两者兼有:

对客户端通信进行数字签名(始终) DISABLED
数字签名客户端通信(如果可能) ENABLED
对服务器通信进行数字签名(始终) DISABLED
数字签名服务器通信(如果可能) ENABLED
安全通道:对安全通道数据进行数字加密或签名(始终) DISABLED
安全通道:数字加密安全通道数据(如果可能) DISABLED
安全通道:对安全通道数据进行数字签名(如果可能) DISABLED
安全通道:需要强(Windows 2000 或更高版本)会话密钥 DISABLED
Windows Server 2003

确保按如下所示配置以下设置。

RestrictAnonymous 和 RestrictAnonymousSam:

网络访问: 允许匿名 SID/名称转换 ENABLED
网络访问: 不允许 SAM 帐户的匿名枚举 DISABLED
网络访问: 不允许 SAM 帐户和共享的匿名枚举 DISABLED
网络访问: 将 Everyone 权限应用于匿名用户 ENABLED
网络访问:可以匿名访问命名管道 ENABLED
网络访问:限制对命名管道和共享的匿名访问 DISABLED

注意

默认情况下,网络访问的值:允许匿名 SID/名称转换设置在 Windows Server 2008 中处于禁用状态。

LM 兼容性:

网络安全: LAN 管理器身份验证级别 “仅发送 NTLM 响应”

SMB 签名、SMB 加密或两者兼有:

Microsoft 网络客户端:对通信进行数字签名(始终) DISABLED
Microsoft 网络客户端:对通信进行数字签名(如果服务器允许) ENABLED
Microsoft 网络服务器:对通信进行数字签名(始终) DISABLED
Microsoft 网络服务器: 对通信进行数字签名(如果客户端允许) ENABLED
域成员: 对安全通道数据进行数字加密或数字签名(始终) DISABLED
域成员:数字加密安全通道数据(如果可能) ENABLED
域成员:对安全通道数据进行数字签名(如果可能) ENABLED
域成员: 需要强(Windows 2000 或更高版本)会话密钥 DISABLED

正确配置设置后,必须重新启动计算机。 在重启计算机之前,不会强制实施安全设置。

计算机重启后,请等待 10 分钟,以确保应用所有安全策略并配置有效设置。 建议等待 10 分钟,因为 Active Directory 策略更新每 5 分钟在域控制器上发生一次,并且更新可能会更改安全设置值。 10 分钟后,使用安全配置和分析或其他工具检查 Windows 2000 和 Windows Server 2003 中的安全设置。

Windows NT 4.0

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章: 322756 如何在 Windows 中备份和还原注册表

在 Windows NT 4.0 中,必须使用 Regedt32 工具来验证当前的安全设置以查看注册表。 为此,请按照下列步骤进行操作:

  1. 单击“开始”,单击“运行,键入 regedt32,然后单击“确定”。

  2. 展开以下注册表子项,然后查看分配给 RestrictAnonymous 条目的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters

  3. 展开以下注册表子项,然后查看分配给 LM 兼容性项的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

  4. 展开以下注册表子项,然后查看分配给 EnableSecuritySignature (server) 条目的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature

  5. 展开以下注册表子项,然后查看分配给 RequireSecuritySignature (server) 条目的值:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature

  6. 展开以下注册表子项,然后查看分配给 RequireSignOrSeal 条目的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  7. 展开以下注册表子项,然后查看分配给 SealSecureChannel 条目的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  8. 展开以下注册表子项,然后查看分配给 SignSecureChannel 条目的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

  9. 展开以下注册表子项,然后查看分配给 RequireStrongKey 条目的值:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

方法三:验证用户权限

若要验证基于 Windows 2000 的计算机所需的用户权限,请执行以下步骤:

  1. 单击“开始”,指向“程序”,指向“管理工具”,并单击“本地安全策略”。
  2. 展开 本地策略,然后单击“ 用户权限分配”。
  3. 在右窗格中,双击“ 从网络访问此计算机”。
  4. 单击以选中“分配给”列表中的“每个人”组旁边的“本地策略设置”复选框,然后单击“确定”。
  5. 双击“ 拒绝从网络访问此计算机”。
  6. 验证“分配给”列表中没有原则组,然后单击“确定”。 例如,请确保未列出“每个人”、“经过身份验证的用户”和其他组。
  7. 单击“确定,然后退出“本地安全策略”。

若要验证基于 Windows Server 2003 的计算机所需的用户权限,请执行以下步骤:

  1. 单击“开始”,指向管理工具,然后单击“域控制器安全策略”。

  2. 展开 本地策略,然后单击“ 用户权限分配”。

  3. 在右窗格中,双击“ 从网络访问此计算机”。

  4. 确保“每个人”组位于“从网络列表访问此计算机”中

    如果未列出“每个人”组,请执行以下步骤:

    1. 单击 “添加用户或组”
    2. 在“ 用户和组名称 ”框中,键入 “每个人”,然后单击“ 确定”。

  5. 双击“ 拒绝从网络访问此计算机”。

  6. 验证“拒绝从网络列表中访问此计算机”中是否有原则组,然后单击“确定”。 例如,请确保未列出“每个人”、“经过身份验证的用户”和其他组。

  7. 单击“确定,然后关闭域控制器安全策略。

若要验证基于 Windows NT Server 4.0 的计算机所需的用户权限,请执行以下步骤:

  1. 单击“开始”,指向程序”,指向“管理工具”,然后单击“的用户管理器”。

  2. “策略 ”菜单上,单击“ 用户权限”。

  3. 右侧 列表中,单击“ 从网络访问此计算机”。

  4. 在“ 授予到 ”框中,确保添加“每个人”组。

    如果未添加“每个人”组,请执行以下步骤:

    1. 单击“添加” 。
    2. “名称”列表中,单击“每个人,单击“添加,然后单击“确定”。

  5. 单击“确定,然后退出用户管理器。

方法 4:验证组成员身份

如果在域之间设置了信任,但无法将原则用户组从一个域添加到另一个域,因为对话框找不到其他域对象,则“预 Windows 2000 兼容访问”组可能没有正确的成员身份。

在基于 Windows 2000 的域控制器和基于 Windows Server 2003 的域控制器上,确保配置所需的组成员身份。

若要在基于 Windows 2000 的域控制器上执行此操作,请执行以下步骤:

  1. 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”

  2. 单击“内置,然后双击 Windows 2000 兼容访问组

  3. 单击“成员”选项卡,并确保“每个人”组位于“成员”列表中。

  4. 如果“每个人”组不在 “成员 ”列表中,请执行以下步骤:

    1. 单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定”
    2. 在命令提示符下,键入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add,然后按 Enter。

为了确保在基于 Windows Server 2003 的域控制器上配置了所需的组成员身份,必须知道是否禁用了“网络访问:让每个人权限应用于匿名用户”策略设置。 如果不知道,请使用组策略对象编辑器来确定“网络访问:让每个人权限应用于匿名用户”策略设置的状态。 为此,请按照下列步骤进行操作:

  1. 依次单击“开始”、“运行”,键入 gpedit.msc,然后单击“确定”

  2. 展开以下文件夹:

    本地计算机策略
    计算机配置
    Windows 设置
    安全设置
    本地策略

  3. 单击 “安全选项”,然后单击“ 网络访问:让每个人权限应用于右窗格中的匿名用户

  4. 请注意,“安全设置”列中的值“已禁用”还是“已启用”。

若要确保基于 Windows Server 2003 的域控制器上配置了所需的组成员身份,请执行以下步骤:

  1. 单击“开始”,依次指向“程序”、“管理工具”,然后单击“Active Directory 用户和计算机”

  2. 单击“内置,然后双击 Windows 2000 兼容访问组

  3. 单击“成员”选项卡。

  4. 如果网络访问:“允许每个人”权限应用于匿名用户策略设置处于禁用状态,请确保“每个人”、“匿名登录”组位于“成员”列表中。 如果启用了“网络访问:让每个人权限应用于匿名用户”策略设置,请确保“每个人”组位于 “成员 ”列表中。

  5. 如果“每个人”组不在 “成员 ”列表中,请执行以下步骤:

    1. 单击“开始” ,再单击“运行” ,键入 cmd,然后单击“确定”
    2. 在命令提示符下,键入 net localgroup "Pre-Windows 2000 Compatible Access" everyone /add,然后按 Enter。

方法 5:验证通过网络设备(例如防火墙、交换机或路由器)的连接

如果收到类似于以下错误消息的错误消息,并且已验证 LMHOST 文件是否正确,则问题可能是防火墙、路由器或已阻止域控制器之间的端口的交换机引起的:

无法联系域控制器

若要对网络设备进行故障排除,请使用 PortQry 命令行端口扫描程序版本 2.0 测试域控制器之间的端口。

有关 PortQry 版本 2 的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:

832919 PortQry 版本 2.0 中的新增特性和功能

有关如何配置端口的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:

179442 如何为域和信任配置防火墙

方法 6:收集其他信息以帮助解决问题

如果上述方法未帮助你解决问题,请收集以下附加信息,帮助你排查问题的原因:

  • 在两个域控制器上启用 Netlogon 日志记录。 有关如何完成 Netlogon 日志记录的详细信息,请单击以下文章编号以查看Microsoft知识库中的文章: 109626 为 Net Logon 服务启用调试日志记录

  • 捕获这两个域控制器上的跟踪,同时出现问题。

详细信息

组策略对象(GPO)的以下列表提供了相应注册表项和适用操作系统中的组策略的位置:

  • The RestrictAnonymous GPO:

    • Windows NT 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters
    • Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows 2000 组策略: 计算机配置\Windows 设置\安全设置\ 安全选项匿名连接的其他限制
    • Windows Server 2003 组策略: 计算机配置\Windows 设置\安全设置\安全选项网络访问:不允许匿名枚举 SAM 帐户和共享

  • The RestrictAnonymousSAM GPO:

    • Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 组策略: 计算机配置\Windows 设置\安全设置安全选项网络访问:不允许匿名枚举 SAM 帐户和共享

  • The EveryoneIncludesAnonymous GPO:

    • Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
    • Windows Server 2003 组策略: 计算机配置\Windows 设置\安全设置\安全选项网络访问:让所有人权限应用于匿名用户

  • LM 兼容性 GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\LMCompatibilityLevel

    • Windows 2000 组策略: 计算机配置\Windows 设置\安全设置\安全选项:LAN 管理器身份验证级别

    • Windows Server 2003 组策略: 计算机配置\Windows 设置\安全设置\安全选项\网络安全:LAN 管理器身份验证级别

  • EnableSecuritySignature (客户端) GPO:

    • Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters\EnableSecuritySignature
    • Windows 2000 组策略: 计算机配置\Windows 设置\安全设置 \安全选项:数字签名客户端通信(如果可能)
    • Windows Server 2003 组策略: 计算机配置\Windows 设置\安全设置\安全选项\Microsoft网络客户端:数字签名通信(如果服务器同意)

  • RequireSecuritySignature (客户端) GPO:

    • Windows 2000 和 Windows Server 2003 注册表位置: HKey_Local_Machine\System\CurrentControlSet\Services\LanManWorkstation\Parameters\RequireSecuritySignature
    • Windows 2000 组策略: 计算机配置\Windows 设置\安全设置\安全选项:数字签名客户端通信(始终)
    • Windows Server 2003: 计算机配置\Windows 设置\安全设置\安全选项\Microsoft网络客户端:数字签名通信(始终)

  • EnableSecuritySignature (服务器) GPO:

    • Windows NT 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
    • Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
    • Windows 2000 组策略: 数字签名服务器通信(如果可能)
    • Windows Server 2003 组策略: Microsoft网络服务器:数字签名通信(如果客户端同意)

  • RequireSecuritySignature (服务器) GPO:

    • Windows NT 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecurityS ignature
    • Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\Require SecuritySignature
    • Windows 2000 组策略: 对服务器通信进行数字签名(始终)
    • Windows Server 2003 组策略: Microsoft网络服务器:数字签名通信(始终)

  • The RequireSignOrSeal GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略: 对安全通道数据进行数字签名或签名(始终)
    • Windows Server2003 组策略:域成员: 数字加密或签名安全通道数据(始终)

  • The SealSecureChannel GPO:

    • Windows NT、Windows 2000 和 Windows Server2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:安全通道: 数字加密安全通道数据(如果可能)
    • Windows Server 2003 组策略:域成员: 数字加密安全通道数据(如果可能)

  • The SignSecureChannel GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略:安全通道: 数字签名安全通道数据(如果可能)
    • Windows Server 2003 组策略:域成员: 数字签名安全通道数据(如果可能)

  • The RequireStrongKey GPO:

    • Windows NT、Windows 2000 和 Windows Server 2003 注册表位置: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Windows 2000 组策略: 安全通道:需要强(Windows 2000 或更高版本)会话密钥
    • Windows Server 2003 组策略:域成员: 需要强(Windows 2000 或更高版本)会话密钥

Windows Server 2008

在运行 Windows Server 2008 的域控制器上,允许与 Windows NT 4.0 策略设置兼容的加密算法的默认行为可能会导致问题。 此设置可防止 Windows 操作系统和第三方客户端使用弱加密算法建立基于 Windows Server 2008 的域控制器的 NETLOGON 安全通道。

参考

有关详细信息,请单击以下文章编号以查看Microsoft知识库中的文章:

823659修改安全设置和用户权限分配时可能发生的客户端、服务和程序不兼容