域控制器升级到 Windows Server 2016 后,NTLM 身份验证失败。应用程序服务器正在运行 Server 2012 R2。我们在 2012 上还剩下一个域控制器,NTLM 在该控制器上运行良好。当我切换到其中一台 2016 服务器时,它失败了。这似乎是问题所在:
https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-make-remote-sam-calls (感谢 RichM 在 2019 年发现这一点)。
我想知道的是:如果我将应用程序服务器升级到 Windows Server 2016,是否也能解决我的问题,或者我是否会遇到与 2012 R2 上的应用服务器相同的问题?
答案1
由于我们对您的网络没有完整的了解,因此很难准确回答您的问题。
话虽如此,由于您在使用 NTLM 时遇到问题,这听起来像是一个超越 Kerberos 的好机会,除非您需要 NTLM 来实现向后兼容。
如果您确实需要 NTLM 工作,我建议您进行一些故障排除并找出根本原因。以下是我想到的一些提示:
- 验证您的应用是否与 Windows Server 2016 兼容。
- 审查组政策。
- 分析日志。
干杯!