在所有受影响的域控制器上禁用 AllowNT4Crypto 设置

为什么考虑这种情况

允许旧的 NT4 加密算法可能是一个严重的安全风险，并且可能是环境中的一个信号，在该环境中，可能仍有非常旧的、不安全的硬件或软件（如 NT4 或较旧的 SAMBA SMB 客户端）。 此外，当前所有受支持的操作系统也不会再接受此设置。

观看客户工程师解释问题

上下文和最佳做法

默认情况下，运行 Windows Server 2008 和更高版本的域控制器禁止运行非 Microsoft 操作系统或 Windows NT 4.0 操作系统的客户端使用弱 Windows NT 4.0系列的加密算法建立安全通道。 由运行旧版 Windows 操作系统或运行不支持强密码算法的非 Microsoft 操作系统的客户端启动的任何依赖于安全通道的操作，在以默认设置运行 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的域控制器上将失败。

即使使用 NT4Crypto 设置，Windows Server 2008 R2 及更高版本也不支持与 Windows NT 4.0 之间的信任关系。 此限制包括但不限于以下安全通道操作：- 建立和维护信任关系 - 域加入 - 域身份验证 - SMB 会话

建议措施

要解决此问题，请执行下列其中一项操作：

1. 在注册表中禁用 AllowNTCrypto 设置。
   1. 登录到受影响的域控制器。
   2. 单击“开始”，单击“运行”，键入“regedit.exe”，然后单击“确定”。
   3. 在“注册表编辑器”中，导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      参数。
   4. 将 AllowNT4Crypto 的值更改为 0。
   5. 对每个受影响的域控制器重复执行上述步骤。
2. 在默认域控制器策略 GPO 中禁用 AllowNTCrypto 设置。
   1. 登录到基于 Windows Server 2008 的域控制器。
   2. 单击“开始”，单击“运行”，键入“gpmc.msc”，然后单击“确定”。
   3. 在组策略管理控制台中，依次展开“林：DomainName”，“域”，“DomainName”，最后展开“域控制器”。
   4. 右键单击“默认域控制器策略”，然后单击“编辑”。
   5. 在组策略管理编辑器控制台中，依次展开“计算机配置”，“策略”，“管理模板”，最后展开“系统”。
   6. 单击“网络登录”。
   7. 双击“允许使用与 Windows NT 4.0 兼容的加密算法”。
   8. 在对话框中，单击“已禁用”选项，然后单击“确定”。

了解详情

有关此行为的详细信息，请参阅默认情况下，Windows Server 2008 和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用与 Windows NT 4.0 兼容的旧加密算法，网址：https://support.microsoft.com/kb/942564

有关修改相关 GPO 的详细信息，请参阅修改默认域控制器策略中的安全策略，网址：https://technet.microsoft.com/library/cc731654.aspx。