請在所有受影響的網域控制站上，停用 AllowNT4Crypto 設定

為何要考慮到這一點

允許舊版的 NT4 加密演算法很可能會面臨嚴重資安風險，且可能是種訊號，即在環境中，可能仍在太過老舊且不安全的硬體或軟體（如 NT4 或較舊版的 SAMBA SMB 用戶端）。 此外，所有目前支援的作業系統，甚至不再遵守此設定。

觀賞客戶工程師如何解釋問題

內容與最佳做法

依預設，Windows Server 2008 或更新版本禁止用戶端執行非 Microsoft 作業系統或 Windows NT 4.0 作業系統，會使用弱式 Windows NT 4.0 樣式加密演算法，來建立安全頻道。 相較於 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 等設為預設設定的網域控制台，透過用戶端來執行較舊版本的 Windows 作業系統，或執行未支援加密演算法的非 Microsoft 作業系統，都會啟動任何安全通道依存作業，都會導致失敗。

即使有使用 NT4Crypto 設定，Windows Server 2008 R2 和較新的版本也沒有支援與 Windows NT 4.0 建立信任關係。 此限制包含但不限於下列安全通道作業：- 建立並維持信任關係 - 網域加入 - 網域驗證 - SMB 工作階段

建議動作

若要解決此問題，請執行下列其中一個動作：

1. 登錄中停用 AllowNTCrypto 設定。
   1. 登入至受影響的網域控制站。
   2. 按一下開始，按一下執行，鍵入 regedit.exe，然後按一下確定。
   3. 在登錄編輯程式中，請導覽至 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      參數。
   4. 請將 AllowNT4Crypto 的值變更為 0。
   5. 對所有受影響的網域控制站重複這些步驟。
2. 請在預設網域控制站原則群組原則物件 (GPO) 中，停用 AllowNTCrypto 設定。
   1. 登入至以 Windows Server 2008 為主的網域控制站。
   2. 按一下開始，按一下執行，鍵入 gpmc.msc，然後按一下確定。
   3. 在 [群組原則管理主控台] 中，展開樹系： DomainName，展開網域，展開 DomainName，然後展開網域控制站。
   4. 請在預設網域控制站原則按右鍵，然後按一下編輯。
   5. 在群組原則管理編輯器主控台中，展開電腦設定，再展開原則，接著展開管理範本，然後展開系統。
   6. 按一下網路登入。
   7. 按兩下 允許與 Windows NT 4.0 相容的加密演算法。
   8. 請在對話方塊中，按一下停用選項，然後按一下確定。

深入瞭解

有關此行為的詳細資訊，請至https://support.microsoft.com/kb/942564參閱 Windows Server 2008 和 Windows Server 2008 R2 網域控制站上的 Net Logon 服務。依預設，不允許使用與 Windows NT 4.0 相容的舊版加密演算法

有關修改相關群組原則物件 (GPO) 的詳細資訊，請至https://technet.microsoft.com/library/cc731654.aspx參閱 修改預設網域控制站原則中的安全性原則。