Die Anforderung, dass ein globaler Katalogserver zur Verfügung, um Anmeldeversuche werden deaktivieren

Zusammenfassung

Platzierung von globalen Katalogservern an Remotestandorten erwünscht ist in der Regel Benutzer anmelden, Suche und anderen Maßnahmen, die die Kommunikation mit globalen Katalogservern verbessern und wide Area Network (WAN) Netzwerkverkehr zu reduzieren. Jedoch im Zusammenhang mit administrativen Eingriffen, die Hardware und andere reduzieren Aufwand in einigen Situationen nicht an einem entfernten Standort einen globalen Katalogserver suchen möchten. Die Funktionen der Sicherungsdomänencontroller (BDC) in der Microsoft Windows NT 4.0-Umgebung im Wesentlichen duplizieren. Dies ist besonders wichtig in einer Umgebung, die eine große Anzahl von Websites, die wesentlich höhere Hardware-Kosten auftreten können, wenn die Größe der Websites, Hardware und Verwaltung nicht rechtfertigen. Das Problem ist wie zuvor in diesem Artikel erwähnt, den Domänencontroller authentifiziert den Benutzer benötigt kontaktieren Sie einen globalen Katalogserver, um zu bestimmen, ob der Benutzer Mitglied einer universellen Gruppe. Also wenn remote-Standort einen globalen Katalogserver und ein globalen Katalogserver nicht (aus verschiedenen Gründen erreichbar) funktioniert Anmeldeanfrage des Benutzers (auf der Grundlage der Regeln erwähnt) nicht.


Windows 2003 bietet eine Alternative Einstellung unten Zwischenspeichern der universellen genannt. Wenn dies für eine Site aktiviert ist, können Benutzer zwar ein globaler Katalogserver online anmelden, wenn der globale Katalogserver offline bei der nächsten Anmeldung wird weiterhin.

Weitere Informationen zum Zwischenspeichern von universellen Gruppen lesen Sie globaler Katalogprozesse und Aktivitäten auf der folgenden Microsoft-Website:

Weitere Informationen

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows


Um einen globalen Katalogserver an einem Standort überflüssig und Benutzer Anmeldeanfragen potenzielle Dienstverweigerungsangriffe zu vermeiden, gehen Sie Anmeldung ermöglichen, wenn ein globaler Katalogserver nicht verfügbar ist.

Für Windows 2000

  1. Starten Sie Registrierungseditor (Regedt32.exe).
  2. Suchen und klicken Sie dann auf den folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Klicken Sie im Menü Bearbeiten auf Schlüssel hinzufügen, und fügen Sie den folgenden Registrierungsschlüssel:

    Schlüsselname: IgnoreGCFailures
    Hinweis Windows 2000 bietet dieser Schlüssel für Diagnosezwecke. Gibt es keinen spezifischen Wert für diesen Schlüssel angeben. Das Vorhandensein oder das fehlen dieses Schlüssels wird getestet.
  4. Beenden Sie den Registrierungseditor.
  5. Starten Sie den Domänencontroller neu.

Für Windows 2003

  1. Registrierungseditor (Regedit.exe) zu starten.
  2. Suchen und klicken Sie dann auf den folgenden Schlüssel in der Registrierung:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Im Menü Bearbeiten auf neu, klicken Sie auf DWORD-Wertund fügen Sie den folgenden Registrierungsschlüssel:

    Schlüsselname: IgnoreGCFailures
    Wert: 1
  4. Beenden Sie den Registrierungseditor.
  5. Starten Sie den Domänencontroller neu.
Diese Einstellung muss auf dem Domänencontroller festgelegt werden, die die erste Authentifizierung des Benutzers ausführt.

Hinweis Diese Einstellung bewirkt, dass Sicherheitslücken auch universelle Gruppen verwendet werden.


Wichtig Wenn diese Einstellung aktiviert ist, sollten universelle Gruppen nicht verwendet werden, da ein Benutzer Mitglied einer universellen Gruppe und den Zugriff auf eine Ressource verweigert, die Taste schaltet Enumeration universeller Gruppen universelle Gruppen-SID nicht das Zugriffstoken des Benutzers hinzugefügt und der Benutzer Zugriff auf die Ressource haben könnte.
Eigenschaften

Artikelnummer: 241789 – Letzte Überarbeitung: 10.01.2017 – Revision: 1

Feedback