RPC 端點對應程式用戶端驗證可避免使用者和群組新增到信任的樹系

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:3073942
啟用 RPC 端點對應程式用戶端驗證可避免在安全性原則 (也就是使用者和群組從受信任樹系) 新增到信任的樹系中的本機網域群組。如需有關其他的元件和 RPC 端點對應程式用戶端驗證,進而受到影響的作業的資訊,請參閱下列的 ASKDS 部落格張貼:
徵狀
請考慮下列情況:
  • 網域控制站有啟用的 Microsoft 遠端程序呼叫 (RPC) 端點對應程式用戶端驗證。
  • 您會建立兩個 Active Directory 樹系間的 Active Directory 單向、 可轉移的樹系信任。
  • 您嘗試從受信任的樹系的使用者或群組新增到信任的樹系中網域的本機網域群組。
在這個案例中,您會收到下列錯誤訊息:

在下列網域中選取的物件不能找到所需的使用中的目錄網域控制站:

<trusted-forest></trusted-forest>

請確定使用中的目錄控制站可用,然後再試一次選取的物件。

您會收到這個訊息,如下列螢幕擷取畫面所示:



當您啟用增強型的記錄時,您會收到記錄資訊不提供任何額外的資訊,除了錯誤,來自受信任的樹系的網域控制站並未提供該狀態。網路監視追蹤不會提供其他詳細資料。
發生的原因
啟用 RPC 端點對應程式用戶端驗證時,是不會接受未驗證的 RPC 流量,來自受信任的 Active Directory 樹系。
解決方案
重要仔細遵循本章節中的步驟。如果您不當修改登錄,可能會發生嚴重的問題。在修改前 備份還原登錄 以免發生問題。

若要解決這個問題,請使用下列方法之一。

方法 1

如果透過 「 群組原則套用設定,變更下列設定值為 「 停用 「 透過 「 群組原則的信任的 Active Directory 樹系的所有網域控制站:

-> 遠端程序呼叫 「 RPC 端點對應程式用戶端驗證 」 的系統的系統管理範本的電腦設定

注意[尚未設定] 會移除登錄項目和問題將持續變更設定。

進行這項變更之後,則必須重新啟動在信任的樹系中的所有網域控制站的變更才會生效。

方法 2

警告如果您修改登錄不當使用 「 登錄編輯器,或使用另一種方法,可能會發生嚴重的問題。這些問題可能會要求您重新安裝作業系統。Microsoft 不保證可以解決這些問題。修改登錄請自行承擔風險。

從 [信任的樹系中每個網域控制站中移除下列的登錄項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\RestrictRemoteClients

如果存在的話,也會移除下列的登錄項目:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution

請確認群組原則 」 設定不會覆寫這些變更。信任的樹系中的所有網域控制站必須重新都啟動之後變更這些設定的變更才會生效。
其他相關資訊
請閱讀下列的部落格,有關可能因啟用 RPC 端點對應程式用戶端驗證,特別是在網域控制站上的問題:

警告:本文為自動翻譯

內容

文章識別碼:3073942 - 最後檢閱時間:10/20/2015 01:54:00 - 修訂: 2.0

  • kbmt KB3073942 KbMtzh
意見反應