你目前正处于脱机状态,正在等待 Internet 重新连接

RPC 终结点映射程序客户端身份验证可以防止用户和组添加到信任的目录林

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3073942
启用 RPC 终结点映射程序客户端身份验证可以防止安全主体 (用户和组从受信任的目录林) 添加到信任目录林中的域本地组。其他组件和受启用 RPC 终结点映射程序客户端身份验证的操作有关的信息,请参阅下面的 ASKDS 博客文章:
症状
请考虑以下情形:
  • 域控制器已启用 Microsoft 远程过程调用 (RPC) 终结点映射程序客户端身份验证。
  • 建立两个活动目录林之间的 活动目录(AD) 传递的单向林信任。
  • 您尝试将用户或组从受信任的林中添加到信任林中的域的一个本地域组。
在此方案中,您将收到以下错误消息:

活动目录域控制器必须找到在下列域中的所选的对象不可用:

<trusted-forest></trusted-forest>

确保活动目录控制器可用,然后再次尝试选中对象。

您收到此消息,如下面的屏幕快照中所示:



启用增强的日志记录时,您收到的日志记录信息不提供包含除错误之外的任何其他信息从受信任的林中的域控制器不可用的状态。网络监视跟踪并提供更多详细信息。
原因
当启用 RPC 终结点映射程序客户端身份验证时,不接受未经身份验证的 RPC 通信,从信任的活动目录林。
解决方案
重要:仔细按照本节中的步骤操作。如果错误地修改了注册表,可能会出现严重问题。在修改之前, 有关还原注册表备份 避免出现问题

若要解决此问题,请使用下列方法之一。

方法 1

如果通过组策略应用的设置,更改通过组策略"禁用"信任活动目录林中的所有域控制器上的以下设置:

计算机配置管理模板系统远程过程调用"RPC 终结点映射程序客户端身份验证"->

注意:将设置更改为"未配置"将会删除注册表项中,并解决问题将保持不变。

进行完此更改后,信任林中的所有域控制器必须重新都启动以使更改生效。

方法 2

警告如果使用注册表编辑器或其他方法错误地修改了注册表,可能会出现严重问题。这些问题可能要求您重新安装操作系统。Microsoft 不能保证这些问题能够得到解决。修改注册表的风险由您自己承担。

从信任林中每个域控制器中删除下面的注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients

如果它存在,删除以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution

验证组策略设置不会覆盖这些更改。之后更改了这些设置,以使更改生效,必须重新启动信任林中的所有域控制器。
更多信息
阅读有关的问题的启用 RPC 终结点映射程序客户端的身份验证,尤其是在域控制器上,可能会导致以下博客:

属性

文章 ID:3073942 - 上次审阅时间:10/20/2015 01:54:00 - 修订版本: 2.0

  • kbmt KB3073942 KbMtzh
反馈
t.com/ms.js'><\/script>");