文章編號: 181171 - 上次校閱: 2006年8月8日 - 版次: 2.0

使用 TCP/IP 來控制安全通道

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
本文曾發行於 CHT181171
重要:本文包含編輯登錄的資訊。在編輯系統登錄之前,請確定萬一發生問題時,您知道如何復原系統登錄。如需還原作業的相關資訊,請參閱 Regedit.exe 中的〈還原登錄〉線上說明主題,或 Regedt32.exe 中的〈還原登錄機碼〉線上說明主題。

在此頁中

全部展開 | 全部摺疊

結論

Windows NT 網路上有幾個程序需要工作站與伺服器使用網域控制站來建立安全通道,使用者驗證是其中一種程序。一般人常誤解此安全通道是使用最近的網域控制站來形成。實際上,執行 Windows NT Workstation 或 Server 的電腦會使用第一個網域控制站來建立安全通道以回應登入要求。因為有許多因素會影響回應的速度 -- 包括網路速度、工作量、名稱解析方法與 WINS 註冊順序 -- 安全通道很有可能是由數個網路躍點之遙的網域控制站所建立。這種情形很難令人滿意,因此,就變成有必要試圖控制安全通道的形成。

本文將告訴您五種控制由哪一個網域控制站來設定安全通道的方法。
回此頁最上方

解決方案

方法 1:M-節點式名稱解析



Windows NT 總是首先會用廣播來設定安全通道;然而,在等候回應時並不會總是等到整個逾時期間期滿。經由明確設定要首先廣播的節點類型 (M-節點),我們就會等候久一點,讓本機網域控制站有更多時間可以回應我們對安全通道的要求。只有當我們的本機子網路上有網域控制站時這個方法才能生效。如果本機子網路上沒有網域控制站,我們仍然會查詢 WINS (如果有指定) 以取得網域控制站清單。

如果有指定 WINS 位址,H-節點就是 Windows NT 用戶端預設的節點類型。如果沒有指定 WINS 位址,預設值是修改的 B-節點。H-節點會先使用 WINS 伺服器然後再廣播以進行名稱解析。M-節點會先在本機子網路上廣播。

警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝 Windows。Microsoft 不保證可以解決不當使用登錄編輯器所造成的錯誤。請自行承擔使用登錄編輯器的風險。

若需如何編輯登錄的資訊,請檢視登錄編輯器 (Regedit.exe) 的〈變更機碼與數值〉線上說明主題,或檢視 Regedt32.exe 中的〈新增及刪除登錄中的資訊〉與〈編輯登錄資料〉線上說明主題。請注意:您應該先將登錄備份,再開始編輯。

  1. 執行 Regedt32 並瀏覽至下面機碼:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters\DhcpNodeType


    注意:上述登錄機碼是一個完整的路徑;有時為了讓人方便閱讀會折行顯示。
  2. 將它變更為代表混合式節點或 M-節點的 0x00000004。

    可能的值如下:
    代表交互式節點或 H-節點的 0x00000008 代表混合式節點或 M-節點的 0x00000004 代表點對點 WINS 或 P-節點的 0x00000002 代表廣播節點或 B-節點的 0x00000001
-或-

如果所討論的用戶端有使用 DHCP,請使用 DHCP 來變更 DHCP 用戶端的節點類型。然而,這樣做會變更由此領域服務之所有電腦的節點類型。


變更節點類型之後,請重新啟動電腦以便讓變更生效。
回此頁最上方

方法 2:LMHOSTS 檔



當執行 Windows NT 的電腦在設定安全通道時,它會使用 NetBIOS 1C 項目來代表需要連絡的網域。如果是執行 Windows NT Server 或 Workstation 的電腦,這會是它自己的網域。如果是網域控制站,它就需要連絡所有信任的網域。如果要新增 1C 來代表慣用的網域控制站,請確認有選取 TCP/IP 的 [啟用 LMHOSTS 對應] 屬性。在 %SystemRoot%\system32\drivers\etc 目錄中編輯或建立 LMHOSTS 檔。替您想要控制安全通道的網域新增一個項目。此項目看起來應該像這樣: 
IP_ADDRESS_OF_DC  "DOMAIN         \0x1C" #PRE

網域名稱必須補上足夠的字元讓它成為 15 個字元。引號中應該要確實有 20 個字元。為了避免可能會有衍生自非 ASCII 字元與隱藏副檔名的問題,我們建議不要使用 Notepad.exe。Edit.com 是一個真正的 ASCII 編輯器,我們強烈建議使用此編輯器。LMHOSTS 檔的底部需要空出幾行空白。

當新增項目完成時,請使用 NBTSTAT -R (必須要大寫) 以及 NBTSTAT -c 來確認此項目已經存在 NetBIOS 快取中。

提示:

當您單獨使用 LMHOSTS 檔時,就必須重新啟動電腦來建立新的安全通道;然而,您可以搭配下列方法來使用 LMHOSTS 檔,以便將安全通道指向所要的伺服器。

注意:如果預先載入 1C 項目,並且無法連線至該伺服器,那麼就無法連線至任何網域控制站。這可能會造成 5719 錯誤並/或以快取憑證登入。

回此頁最上方

方法 3:NLTEST





NLTEST (包含在 Windows NT Server 4.0 Resource Kit 中) 可讓我們判斷安全通道是使用哪一個來設定的,並且還可以迫使它重新建立安全通道。如果要判斷您的安全通道是使用哪一個來設定的,請在命令提示字元下輸入:

NLTEST /SC_QUERY:<DOMAIN_NAME_TO_CHECK>

如果要重新建立安全通道,請使用下面參數:

NLTEST /SC_RESET:<DOMAIN_NAME_TO_RESET>

NLTEST 要重新建立安全通道所做的第一件事就是查詢網路以取得網域的 1C 清單。經由使用 NLTEST 與 LMHOSTS 檔來預先載入慣用網域控制站的 1C 項目,我們就可以控制要解析的 1C 項目為何。如果網路已經變動並且不再選擇遠距或緩慢的網域控制站,您也可以使用 NLTEST。

使用 NLTEST 時不需重新啟動電腦。

回此頁最上方

方法 4:SETPRFDC





Setprfdc.exe 包含在 Windows NT 4.0 Service Pack 4 中。SETPRFDC 會利用對 Netlogon.dll 檔的新增項目來告訴它應該要試圖使用哪一個來設定安全通道。使用方法: 

SETPRFDC &lt;TrustedDomain&gt; &lt;ListOfDcsInTrustedDomain&gt;


SETPRFDC 可讓您依照想要使用的順序來提供網域控制站清單。

使用 SETPRFDC 時不需重新啟動電腦。

您必須手動將 Setprfdc.exe 從 Service Pack 4 CD-ROM 複製到 %windir%\System32 資料夾。如果有下載 Service Pack 4,您必須以「/x」參數來解壓縮 SP4 檔,然後手動將 Setprfdc.exe 複製到 %windir%\System32 資料夾。

注意:只有 Service Pack 4 的完整下載版本才有 Setprfdc.exe,Service Pack 4 的標準下載版本中沒有此工具可用。
回此頁最上方

方法 5:NETDOM



NETDOM (包含在 Windows NT Server 4.0 Resource Kit 中) 可讓我們從指令行來控制許多網域或帳戶功能。但在此處我們只討論有關安全通道的功能。

請輸入下面指令來重設工作站或成員伺服器:

NETDOM /Domain:mydomain MEMBER mycomputer /JOINDOMAIN

請輸入下面指令來重設備份網域控制站:

NETDOM BDC mybdc /RESET

請輸入下面指令來重設信任關係:

NETDOM /Domain:MyResourceDomain /User:MyResourceDomain\AUser /Password:apassword MASTER MyMasterDomain MyPassword /TRUST

NETDOM 在重新建立新的安全通道時也會查詢 1C 清單。如果在 LMHOSTS 檔中預先載入慣用的網域控制站,就可以控制安全通道的位置。

如需 NETDOM 的詳細資訊,請參閱 Resource Kit 中的 Netdom.hlp 檔。
回此頁最上方

其他相關資訊

若需詳細資訊,請參閱 Microsoft Knowledge Base 中的下列文件:

TCP/IP 節點類型:

文件編號:167640? (http://support.microsoft.com/kb/167640/EN-US/ )
標題:Automatically Changing the Node Type of a Windows NT Workstation

LMHOSTS 檔:

文件編號:101927? (http://support.microsoft.com/kb/101927/EN-US/ )
標題:The Lmhosts File for TCP/IP in Windows

文件編號:105997? (http://support.microsoft.com/kb/105997/EN-US/ )
標題:Differences Between the HOSTS and LMHOSTS Files in Windows NT

NLTEST:

文件編號:165202? (http://support.microsoft.com/kb/165202/EN-US/ )
標題:WinNT Client Logon in Resource and Master Domain Environment

NETDOM:

文件編號:175024? (http://support.microsoft.com/kb/175024/EN-US/ )
標題:Resetting Domain Member Secure Channel

文件編號:150518? (http://support.microsoft.com/kb/150518/EN-US/ )
標題:NetLogon Service Fails when Secure Channel Not Functioning

文件編號:175025? (http://support.microsoft.com/kb/175025/EN-US/ )
標題:How to Build and Reset a Trust Relationship from a Command Line
回此頁最上方

?考

本文件是根據 Microsoft Knowledge Base 文件編號 Q181171 翻譯的。若要參考原始英文文件內容,請至以下網址:

http://support.microsoft.com/support/kb/articles/Q181/1/71.asp (http://support.microsoft.com/kb/181171/en-us?ln=en-us&sd=gn&fr=0)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
回此頁最上方
關鍵字:?
kbinfo KB181171
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。