我们最近将组策略设置“网络安全:配置允许 Kerberos 的加密类型”更改为仅包括 AES-128、AES-256 和未来加密类型,删除了启用 RC4 的旧选择。该域是 2008 R2 功能级别,有一个 12R2 DC 和一个 16 DC。现在 DC 无法复制。我在 GPO 中重新启用了 RC4,但我们的两个 DC 都无法更新到新的 GPO,并显示一条错误消息,提示它们无法进行身份验证。
有什么想法吗?目前,网络对于用户来说基本上处于瘫痪状态。
答案1
编辑 :
尝试(注释中有解释)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\ 值名称:SupportedEncryptionTypes 类型:REG_DWORD 值数据:2147483647(十进制)
解释 :
- 在我的测试 DC 上,我已将相关策略配置为允许所有加密类型。查看保存 GPO 项目的文件夹:C:\Windows\SYSVOL\sysvol\domain\policies\ 有一个新创建的以其对象名称命名的文件夹。如果我打开此文件夹,然后转到计算机 > Microsoft > Windows NT > Secedit > GptTmpl.ini < 打开此文件,您可以在那里看到我的策略设置的注册表设置。在我的情况下,它是:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\ 值名称:SupportedEncryptionTypes 类型:REG_DWORD 值数据:2147483647(十进制)
-您可以尝试将该注册表项设置为该值,它应该执行与 GPO 对象相同的操作。
-不要忘记将策略限制为您想要的加密类型,因为注册表设置启用了所有加密类型。