Active-Directory
林功能級別升級後無法更改域密碼
將具有 Server 2003 域控制器的域升級到 Server 2016 後,林功能級別預設保持在 2003。
將林功能級別升級到 2016 時,如果該域上仍有 Windows XP 機器,則可能會出現問題(是的,很久以來應該沒有任何機器,但這種情況仍然會發生)。
我看到的問題是:
- 無法更改域密碼
- 無法將電腦加入域(或起飛並重新加入)
- 從 XP 工作站看不到新 Server 2016 DC 上的共享文件夾
域上的任何 Windows 10 工作站都沒有問題,而所有 XP 工作站都有問題。
這是什麼原因以及如何解決這個問題?
經過長時間的研究找到了一個解決方案,並希望分享這個解決方案,因為它不容易找到(XP 支持早已不復存在,這並不奇怪)。
首先,如果您的域上仍有任何 XP 工作站,建議不要將林功能級別升級到 2008 年以後。
如果您確實進行了升級,這裡有一個解決方案。
這 3 個問題的原因是 Windows XP 僅支持 SMB 1,即 Microsoft SMB 網路協議的第一版。按照今天的標準,它被認為是不安全的,並且更高版本的 Windows 工作站和伺服器作業系統具有 SMB 2 或更高版本。
當您升級林功能級別時,Windows 會做出一些假設並刪除已棄用的服務。Server 2012 和 2016 刪除了對 SMB 1 的支持。(事實上,該功能仍預設安裝,如您在“添加/刪除功能”螢幕中所見,但已禁用。)
但是,您可以通過系統資料庫編輯啟用 SMB 1:
SMB 1 的驅動程序名稱是“srv.sys”,而 SMB 2 的驅動程序名稱是“srv2.sys”。
在系統資料庫中,可以在以下位置進行配置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\DependOnService
對於 SMB 2 及更高版本(這將不支持 XP),將以下值放入此鍵:
SamSS Srv2
對於 SMB 1(支持 XP)
SamSS Srv
重新啟動伺服器,您應該一切順利。這需要在域中的每個域控制器上完成。
參考: