Windows 95 和 Windows NT 4.0 互操作性问题。

摘要
Windows Server 2003 域控制器执行有助于防止域控制器通信受到攻击或篡改的默认安全设置。某些下层 Windows 系统无法满足这些安全要求，因此如果没有管理干预，就不能与 Windows Server 2003 域控制器进行通信。同样，在默认情况下，无法满足这些安全要求的非 Windows 系统将不能与 Windows Server 2003 域控制器进行通信。

受影响的 Windows 系统包括：Windows for Workgroups、未安装 DS 客户端程序包的 Windows 95 计算机、Service Pack 4 之前版本的 Windows NT 4.0 计算机，以及一些设备，包括 Pocket PC 2002 及以前版本（基于 Windows CE .NET 版本 4.1 或更低版本）。受影响的非 Windows 系统可能包括 Apple Mac OS X 和 SAMBA 客户端。

SMB 签名
默认情况下，Windows Server 2003 域控制器要求所有客户端对基于 SMB 的通信进行数字签名。SMB 协议用于提供文件共享、打印共享、各种远程管理功能，以及某些下层客户端的登录身份验证。Windows for Workgroups、未安装 DS 客户端程序包的 Windows 95 计算机、Service Pack 3 之前版本的 Windows NT 4.0 计算机以及包括 Pocket PC 2002 及以前版本（基于 Windows CE .NET 版本 4.1 或更低版本）在内的一些设备无法执行 SMB 签名，因此在默认情况下，这些系统无法连接到 Windows Server 2003 域控制器。同样，如果非 Windows 系统执行的 SMB 协议不支持 SMB 签名，则在默认情况下也无法连接到 Windows Server 2003 域控制器。例如 Apple Mac OS X 和其他 SAMBA 客户端可能不支持 SMB 签名。请与您的 SMB 客户端供应商联系，以确定是否支持 SMB 签名。如果无法升级这些客户端以支持 SMB 签名，则可以通过在域控制器 OU 的“Default Domain Controller”GPO 中禁用以下安全策略来删除 SMB 签名要求：

计算机配置\Windows 设置\安全设置\本地策略\安全选项\Microsoft 网络服务器：数字签字的通信（总是）

下文提供如何修改此设置的详细指导。

警告：禁用此安全设置会将所有域控制器通信暴露给“中间人”类型的攻击。因此，强烈建议升级您的客户端而不是禁用此安全设置。Windows 95 执行 SMB 签名所需的 DS Client Pack 可以通过 Windows 2000 Server 光盘的 \clients\win9x 子目录获得。

安全通道签名
默认情况下，Windows Server 2003 域控制器要求对所有安全通道通信进行签名或加密。基于 Windows NT 的计算机使用安全通道进行域成员与域控制器之间的通信，以及具有信任关系的域控制器之间的通信。Service Pack 4 之前的 Windows NT 4.0 计算机不能对安全通道通信进行签名或加密。如果 SP4 之前的 Windows NT 4.0 计算机必须加入该域，或者该域必须信任包含 SP4 之前的域控制器的域，那么可以通过在 Default Domain Controller GPO 中禁用以下安全策略来删除安全通道签名要求：

计算机配置\Windows 设置\安全设置\本地策略\安全选项\域成员：对安全通道数据进行数字加密或签名（总是）

下文提供如何修改此设置的详细指导。

警告：禁用此安全设置会将所有域控制器通信暴露给“中间人”类型的攻击。因此，强烈建议升级您的客户端而不是禁用此安全设置。

修改 DEFAULT DOMAIN CONTROLLER GPO
要确保所有域控制器均已强制相同的 SMB 和安全通道签名要求，请遵照以下步骤定义 Default Domain Controller GPO 中的安全设置：
1.	登录到已安装 Active Directory 用户和计算机管理单元的计算机。
2.	开始 --> 运行 --> DSA.MSC
3.	展开包含 Windows Server 2003 域控制器的域。
4.	在 Domain Controllers OU 上右键单击，然后单击“属性”。
5.	单击“组策略”选项卡，选择“Default Domain Controller Policy”，然后单击“编辑”。
6.	展开“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“安全选项”
7.	在结果窗格中，双击要修改的安全选项。例如，Microsoft 网络服务器：数字签名的通信（总是）或域成员：对安全通道数据进行数字加密或签名（总是）。
8.	选中“定义这个策略设置”框。
9.	根据需要禁用或启用安全设置，然后单击“确定”。