簡介:
安裝域控有提示NT4相容的演算法。
在所有受影響的域控制器上禁用 AllowNT4Crypto 設定 |Microsoft學習
允許舊的 NT4 加密演算法可能會帶來嚴重的安全風險,並且可能是一個訊號,表明環境中可能仍在使用非常陳舊且不安全的硬體或軟體(如 NT4 或較舊的 SAMBA SMB 客戶端)。此外,所有當前支援的作業系統甚至不再支援此設定。
背景和最佳實踐
預設情況下,Windows Server 2008 或更高版本禁止執行非 Microsoft 作業系統或 Windows NT 4.0 作業系統的客戶端使用弱 Windows NT 4.0 樣式的加密演算法建立安全通道。執行較舊版本的 Windows 作業系統或執行不支援強加密演算法的非 Microsoft 作業系統的客戶端啟動的任何依賴於安全通道的操作都將在執行 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的域控制器上失敗。
Windows Server 2008 R2 及更高版本不支援與 Windows NT 4.0 的信任關係,即使使用 NT4Crypto 設定也是如此。此限制包括但不限於以下安全通道操作: - 建立和維護信任關係 - 域加入 - 域身份驗證 - SMB 會話
建議的操作
若要解決此問題,請執行下列操作之一:
- 在登錄檔中禁用 AllowNTCrypto 設定。
- 登入到受影響的域控制器。
- 單擊“開始”,單擊“執行”,鍵入 regedit.exe,然後單擊“確定”。
- 在登錄檔編輯器中,導航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Parameters。 - 將 AllowNT4Crypto 的值更改為 0。
- 對每個受影響的域控制器重複這些步驟。
- 禁用預設域控制器策略 GPO 中的 AllowNTCrypto 設定。
- 登入到基於 Windows Server 2008 的域控制器。
- 單擊“開始”,單擊“執行”,鍵入 gpmc.msc,然後單擊“確定”。
- 在組策略管理控制檯中,依次展開“林:域名”、“域”、“域名”和“域控制器”。
- 右鍵單擊“預設域控制器策略”,然後單擊“編輯”。
- 在組策略管理編輯器控制檯中,依次展開“計算機配置”、“策略”、“管理模板”和“系統”。
- 單擊“網路登入”。
- 雙擊“允許與 Windows NT 4.0 相容的加密演算法”。
- 在對話方塊中,單擊“已禁用”選項,然後單擊“確定”。
我的操作
配置域控前修改登錄檔無效,安裝域控後編輯域控的預設策略來禁用吧。