m31*_*314 6 active-directory domain-controller
我们最近将组策略设置“网络安全:配置 Kerberos 允许的加密类型”更改为仅包含 AES-128、AES-256 和未来加密类型,删除了启用 RC4 的旧选项。该域是 2008 R2 功能级别,具有一个 12R2 DC 和一个 16 DC。现在 DC 无法复制。我在 GPO 中重新启用了 RC4,但我们的两个 DC 都无法更新到新的 GPO,并出现错误提示它们无法进行身份验证。
有任何想法吗?目前,用户的网络几乎处于瘫痪状态。
小智 6
编辑 :
尝试(评论中的解释)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\ 值名称:SupportedEncryptionTypes 类型:REG_DWORD 值数据:2147483647(十进制)
解释 :
- 在我的测试 DC 上,我已将相关策略配置为允许所有加密类型。查看我保存 GPO 项目的文件夹:C:\Windows\SYSVOL\sysvol\domain\policies\ 有一个以新创建的对象名称命名的文件夹。如果我打开此文件夹,然后转到 Machine > Microsoft > Windows NT > Secedit > GptTmpl.ini < 打开此文件在那里您可以看到我的策略设置的注册表设置。就我而言,它是:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\ 值名称:SupportedEncryptionTypes 类型:REG_DWORD 值数据:2147483647(十进制)
- 您可以尝试将该注册表项设置为该值,它应该与 GPO 对象一样。
- 不要忘记将策略限制为您想要的加密类型,因为注册表设置启用了所有加密类型。
| 归档时间: |
|
| 查看次数: |
411 次 |
| 最近记录: |