Active-Directory

林功能級別升級後無法更改域密碼

  • July 24, 2018

將具有 Server 2003 域控制器的域升級到 Server 2016 後,林功能級別預設保持在 2003。

將林功能級別升級到 2016 時,如果該域上仍有 Windows XP 機器,則可能會出現問題(是的,很久以來應該沒有任何機器,但這種情況仍然會發生)。

我看到的問題是:

  1. 無法更改域密碼
  2. 無法將電腦加入域(或起飛並重新加入)
  3. 從 XP 工作站看不到新 Server 2016 DC 上的共享文件夾

域上的任何 Windows 10 工作站都沒有問題,而所有 XP 工作站都有問題。

這是什麼原因以及如何解決這個問題?

經過長時間的研究找到了一個解決方案,並希望分享這個解決方案,因為它不容易找到(XP 支持早已不復存在,這並不奇怪)。

  1. 首先,如果您的域上仍有任何 XP 工作站,建議不要將林功能級別升級到 2008 年以後。

  2. 如果您確實進行了升級,這裡有一個解決方案。

這 3 個問題的原因是 Windows XP 僅支持 SMB 1,即 Microsoft SMB 網路協議的第一版。按照今天的標準,它被認為是不安全的,並且更高版本的 Windows 工作站和伺服器作業系統具有 SMB 2 或更高版本。

當您升級林功能級別時,Windows 會做出一些假設並刪除已棄用的服務。Server 2012 和 2016 刪除了對 SMB 1 的支持。(事實上,該功能仍預設安裝,如您在“添加/刪除功能”螢幕中所見,但已禁用。)

但是,您可以通過系統資料庫編輯啟用 SMB 1:

SMB 1 的驅動程序名稱是“srv.sys”,而 SMB 2 的驅動程序名稱是“srv2.sys”。

在系統資料庫中,可以在以下位置進行配置:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DependOnService

對於 SMB 2 及更高版本(這將不支持 XP),將以下值放入此鍵:

SamSS Srv2

對於 SMB 1(支持 XP)

SamSS Srv

重新啟動伺服器,您應該一切順利。這需要在域中的每個域控制器上完成。

參考:

SpiceWorks Server 2012 BPA

Spiceworks XP 客戶端在 2012 域上

引用自:https://serverfault.com/questions/923278