Služba Přihlašování k síti v systému Windows Server 2008 a na řadičích domény systému Windows Server 2008 R2 nepovoluje použití starší kryptografické algoritmy, které jsou kompatibilní se systémem Windows NT 4.0 ve výchozím nastavení

Překlady článku Překlady článku
ID článku: 942564 - Produkty, které se vztahují k tomuto článku.
Důležité Tento článek obsahuje informace o úpravě registru. Ujistěte se před úpravami je nutné zálohovat registr. Ujistěte se, že víte, jak registr obnovit v případě, že dojde k potížím. Další informace o zálohování, obnovení a úpravách registru získáte článku znalostní báze Microsoft Knowledge Base:
322756 Postup při zálohování a obnovení registru v systému Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Poznámka: Windows NT 4.0 je minulosti Microsoft podporovat časově omezené období. Scénáře, které jsou relevantní pro systém Windows NT 4.0 nebyly testovány a nejsou podporovány. Následující informace je pouze informativní a slouží k usnadnění usnadnění přechodu z systémy Windows NT 4.0. Další informace o nástroji Microsoft zásady časově omezené podpory, navštivte následující Web společnosti Microsoft:
http://support.microsoft.com/lifecycle
Při pokusí použít přihlašovací služba NETLOGON vytvořit kanál zabezpečení na řadiči domény se systémem Windows Server 2008, operace v počítači se systémem Windows NT 4.0 může selhat. Hardware nebo software nemusí být možné vytvořit kanál zabezpečení na řadiči domény se systémem Windows Server 2008, pokud hardware nebo software používá kryptografické algoritmy, používané v systému Windows NT 4.0.

V tomto scénáři můžete zaznamenat následující příznaky.

Příznak 1

Se nelze přihlásit k doméně z počítače se systémem Windows NT 4.0, která je obsluhována řadiče domény se systémem Windows Server 2008. V závislosti na tom, zda pověření přihlašovací účet domény jsou ukládány do mezipaměti v počítači se systémem Windows NT 4.0 můžete obdržet jednu z následujících chybových zpráv:

Chybová zpráva 1
Systém vás nemůže přihlásit, protože doména Název_domény není k dispozici.
Chybová zpráva 2
Řadič domény pro doménu není kontaktován. Jste byli přihlášeni pomocí informací o účtu uložených v mezipaměti. Změny v profilu po posledním přihlášení nemusí být k dispozici.

Příznak 2

Vztahy důvěryhodnosti, které existují mezi doménami systému Windows NT 4.0 a doménami systému Windows Server 2008 nemusí fungovat. Může úspěšně vytvořit počáteční vztah důvěryhodnosti. Při pokusu o ověření vztahu důvěryhodnosti pomocí modulu snap-in konzoly MMC (Domain.msc konzola Microsoft Management Console), může však selhání ověření. Dále se zobrazí následující chybová zpráva:
Operace se nezdařila s kódem chyby 317 (0x0000013d)

Příznak 3

Klient SMB systému SAMBA, nelze provést operace připojení k řadiči domény se systémem Windows Server 2008. Nebo klient server SAMBA SMB (Server Message Block) nelze vytvořit kanál zabezpečení na řadiči domény se systémem Windows Server 2008.

Řadič domény se systémem Windows Server 2008, který zpracuje žádost o kanálu zabezpečení navíc vrátí následující kód chyby:
Hex: 0x4F1h
Desetinné: 1265
Symbolické Chyba: ERROR_DOWNGRADE_DETECTED
Krátké Chyba: "STATUS_DOWNGRADE_DETECTED"
Srozumitelné chybové: Systém zjistil možný pokus o ohrožení zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
Poznámka: "status_downgrade_detected" chyby zahrnuje několik základních příčin. Proto tato chyba neznamená nutně, že se jedná o třetí příznak.

Příznak 4

SMB zařízení úložiště nelze vytvořit kanál zabezpečení na řadiči domény se systémem Windows Server 2008 pomocí algoritmů slabé šifrování.

Poznámka: SMB paměťová zařízení jsou také známé jako IP paměťová zařízení.

V ověřujícím řadiči domény jsou do systémového protokolu zaznamenány následující chyby:

Chyba: 1
Název protokolu: systém
Zdroj: NETLOGON
Datum: Datum: Čas
ID události: 5805
Kategorie úkolů: žádný
Úroveň: Chyba
Uživatel: není k dispozici
Počítač: AuDomainName
Popis: Ověření nastavení relace z počítače <client computer=""> se nezdařilo. Došlo k následující chybě: přístup byl odepřen.</client>
Poznámka: AuDomainName představuje název ověřovací řadič domény.

Chyba 2
Název protokolu: systém
Zdroj: NETLOGON
Datum: Datum: Čas
ID události: 5722
Kategorie úkolů: žádný
Úroveň: Chyba
Klíčová slova: klasická
Uživatel: není k dispozici
Počítač: AuDomainName
Popis: Nastavení relace z počítače Název_klientského_počítače ověření se nezdařilo. Názvy účtů, databáze zabezpečení odkazuje je Název_klientského_počítače$. Došlo k následující chybě: systém zjistil možný pokus o ohrožení zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.

V současné době dochází příznak 4 následující zařízení úložiště SMB:
  • EMC Celerra
Obraťte se na dodavatele zařízení a zjistěte, zda je aktualizace tohoto problému je k dispozici.

Navíc nelze vytvořit kanál zabezpečení od společnosti Hewlett-Packard (HP), Advanced Server pro OpenVMS k řadiči domény se systémem Windows Server 2008. Konkrétně řadič domény se systémem Windows Server 2008 vrací následující kód chyby OpenVMS NetrServerAuthenticate požadavku:
Hex: 0x4F1h
Desetinné: 1265
Symbolické Chyba: ERROR_DOWNGRADE_DETECTED
Krátké Chyba: "STATUS_DOWNGRADE_DETECTED"
Srozumitelné chybové: Systém zjistil možný pokus o ohrožení zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
Poznámka: "status_downgrade_detected" chyby zahrnuje několik základních příčin. Proto tato chyba neznamená nutně, že dochází k příznaku 4.

Příznak 5

Windows NT 4.0 primární řadič domény (PDC) nelze vytvořit externí vztah důvěryhodnosti mezi sebe a emulátor primárního řadiče domény se systémem Windows Server 2008 R2. Servery se systémem Windows Server 2008 R2 nelze získat přístup pomocí vztahu důvěryhodnosti domény se systémem Windows NT 4.0. Členy systému Windows NT 4.0, které jsou v doméně se systémem Windows NT 4.0 také přístupný řadiče domény se systémem Windows Server 2008 R2 pomocí vztahu důvěryhodnosti. K tomuto chování dochází i v případě, že vytvoření vztahu důvěryhodnosti mezi primární řadič domény se systémem Windows NT 4.0 a primární řadič domény se systémem Windows Server 2008 nebo Windows Server 2003.

V systémovém protokolu v primárním řadiči domény se systémem Windows NT 4.0, po vytvoření vztahu důvěryhodnosti jsou zaznamenány následující chyby:

Typ události: Chyba
Zdroj události: NETLOGON
Kategorie události: žádný
ID události: 5722
Datum: <date></date>
Čas: <time></time>
Uživatel: není k dispozici
Počítač: <computer name=""></computer>
Popis: Nastavení relace z počítače <computer name=""></computer> ověření se nezdařilo. Je název databáze zabezpečení odkazuje na účet <database name=""></database>. Došlo k následující chybě: přístup byl odepřen.

Typ události: Chyba
Zdroj události: NETLOGON
Kategorie události: žádný
ID události: 5721
Datum: <date></date>
Čas: <time></time>
Uživatel: není k dispozici
Počítač: <computer name=""></computer>
Popis: Nastavení relace řadiče domény systému Windows NT <unknown> domény<b00></b00></unknown><database name=""></database> se nezdařilo, protože řadič domény systému Windows NT nemá účet pro počítač <computer name=""></computer>.

V systémovém protokolu na primární řadič domény se systémem Windows Server 2008 R2, po vytvoření vztahu důvěryhodnosti jsou zaznamenány následující chyby:

Typ události: Chyba
Zdroj události: NETLOGON
Kategorie události: žádný
ID události: 3210
Datum: <date></date>
Čas: <time></time>M
Uživatel: není k dispozici
Počítač: <computer name=""></computer>
Popis: Tento počítač nemůže být ověřen u <computer name=""></computer>, řadič domény pro doménu systému Windows <domain></domain>, a proto tento počítač může odmítnou požadavek na přihlášení. Neschopnost ověření může být způsobena jiným počítačem ve stejné síti se stejným názvem, nebo heslo pro tento účet počítače nebyl rozpoznán. Pokud se tato zpráva zobrazí znovu, obraťte se na vašeho správce systému.

Při pokusu o ověření vztahu důvěryhodnosti pomocí Domain.msc, zobrazí se následující chybová zpráva:
"Neúspěšné ověření vztahu důvěryhodnosti mezi domény southridgevideo a cpandl domény protože: přístup byl odepřen. Chcete-li opravit vztah důvěryhodnosti domény starší než Windows 2000 musíte odebrat a znovu přidat důvěryhodnosti na obou stranách."
Pomocí počítače se systémy Windows NT 4.0 v doméně se systémem Windows NT 4.0 přes ověřený důvěryhodnosti. Při pokusu o přístup k prostředku, který je umístěn v řadiči domény se systémem Windows Server 2008 R2, zobrazí se následující chybová zpráva:
"Vztah důvěryhodnosti mezi primární doménou a důvěryhodnou doménou selhal."

Příčina

K tomuto problému dochází z důvodu výchozí chování Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady v řadičích domény se systémem Windows Server 2008. Tato zásada nakonfigurována zabránit kanály zabezpečení NETLOGON na řadiči domény se systémem Windows Server 2008 pomocí algoritmů slabé šifrování operační systémy Windows a klienti třetích stran.

Důležité Mezi doménami se systémem Windows Server 2008 R2 a doménami se systémem Windows NT 4.0 nelze vytvořit vztahy důvěryhodnosti systému Windows NT 4.0. Kroky řešení, které jsou popsány dále v tomto článku se vztahuje pouze na Windows Server 2008. Změny zabezpečení, které jsou v systému Windows Server 2008 R2 zabránit vztah důvěryhodnosti mezi doménami se systémem Windows Server 2008 R2 a doménami se systémem Windows NT 4.0. Toto chování je záměrné.

Jak potíže obejít

Chcete-li tento problém vyřešit, ujistěte se, že klientské počítače pomocí kryptografie algoritmy, které jsou kompatibilní s Windows Server 2008. Bude pravděpodobně vyžadovat aktualizace softwaru od dodavatele produktu.

Pokud aktualizace softwaru nelze nainstalovat, protože dojde k výpadku služby, postupujte takto:
  1. Přihlaste se k řadiči domény se systémem Windows Server 2008.
  2. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ GPMC.msca klepněte na tlačítko OK.
  3. V Zásady skupiny řízení konzola, rozbalte položku Doménové struktury: Název_domény, rozbalte položku Název_domény, rozbalte položku Řadiče domény, klepněte pravým tlačítkem myši Výchozí zásada řadičů doménya klepněte na tlačítko Upravit.
  4. V Editor pro správu Zásady skupiny konzola, rozbalte položku Konfigurace počítače, rozbalte položku Zásady, rozbalte položku Šablony pro správu, rozbalte položku Systém, klepněte na tlačítko Přihlašování k sítia potom poklepejte na Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0.
  5. V Vlastnosti Dialogové okno, klepněte Povoleno možnost a potom klepněte na tlačítko OK.

    Poznámky
    • Standardně Není nakonfigurováno možnost nastavena pro Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady v následujících Zásady skupiny objektů GPO:
      • Výchozí zásady domény
      • Výchozí zásada řadičů domény
      • Zásady místního počítače
      Ve výchozím nastavení chování Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady v řadičích domény se systémem Windows Server 2008 je programově zabránit připojení pomocí kryptografické algoritmy, které se používají v systému Windows NT 4.0. Proto nezjistí nástroje, které výčet nastavení účinné politiky v počítači člena nebo řadiči domény Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady není-li výslovně povolit nebo zakázat zásady.
    • Řadiče domény se systémem Windows 2000 Server a řadičů domény se systémem Windows Server 2003 není nutné Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady. Proto starší verze systému Windows Server 2008-řadiče domény přijímat požadavky kanálu zabezpečení z klientských počítačů i v případě, že klientské počítače použít staré kryptografické algoritmy, používané v systému Windows NT 4.0. Jestliže požadavky kanálu zabezpečení jsou nepravidelně zpracovány řadičů domény se systémem Windows Server 2008, setkáte se nekonzistentní výsledky.
  6. Instalace aktualizace softwaru třetích stran, které problém vyřešit nebo odebrání klientských počítačů, které používají nekompatibilní kryptografické algoritmy.
  7. Opakujte kroky 1 až 4.
  8. V Vlastnosti Dialogové okno, klepněte Zakázáno možnost a potom klepněte na tlačítko OK.

    Důležité Z bezpečnostních důvodů byste měli nastavit volbu pro tuto zásadu zpět Zakázáno.

Prohlášení

Toto chování je záměrné.

Další informace

Související problém v počítačích se systémem Windows 2000 nebo novější verze systému Windows

Schopnost klientských počítačů se systémem Windows 2000 nebo novější verze systému Windows, k zabezpečení kanály do řadičů domény se systémem Windows Server 2008 se nevztahuje Povolit algoritmus šifrování kompatibilní se systémem Windows NT 4.0 zásady. Při těchto klientských počítačů pomocí však NetJoinDomain Funkce spolu s možností spojení NETSETUP_JOIN_UNSECURE proti řadič domény v řadiči domény se systémem Windows Server 2008 vrací následující kód chyby:
Hex: 0x4F1h
Desetinné: 1265
Symbolické Chyba: ERROR_DOWNGRADE_DETECTED
Krátké Chyba: "STATUS_DOWNGRADE_DETECTED"
Srozumitelné chybové: Systém zjistil možný pokus o ohrožení zabezpečení. Přesvědčte se, zda můžete kontaktovat server, který vás ověřil.
K tomuto problému dochází, pokud je toto nastavení zásad Zakázáno nebo Není nakonfigurováno.

Poznámka: "status_downgrade_detected" chyby zahrnuje několik základních příčin. Proto tato chyba neznamená nutně, že nastanou potíže.

Může dojít k tomuto problému v počítačích používajících následující operační systémy:
  • Systém Windows 2000
  • Systém Windows XP
  • Systém Windows Server 2003
  • Verze systému Windows Vista
Poznámka: Nevyskytuje se u počítačů se systémem Windows Vista s aktualizací Service Pack 1 (SP1) nebo novější verze systému Windows Vista.

Na NetJoinDomain funkce se používá spolu s možností NETSETUP_JOIN_UNSECURE v následujících scénářích. (Tato funkce se používá také v jiných scénářích.)
  • Instalace operačního systému Windows pomocí služby pro nasazení systému Windows (WDS) nebo služby vzdálené instalace (RIS).
  • Active Directory Migration Tool (ADMT) použijete k přenesení účtů počítače z operačního systému Windows.
Lze použít následující balíček opravy hotfix do počítače se systémem Windows XP nebo Windows Server 2003 k řešení tohoto problému:
944043 Popis aktualizace Windows Server 2008 domény jen pro čtení řadič compatibility pack pro klienty systému Windows Server 2003 a pro klienty systému Windows XP a Windows Vista

Řešení těchto problémů.

V případě, že nelze vytvořit kanál zabezpečení z klientského počítače na řadič domény se systémem Windows Server 2008, řešení potíží pomocí následujícího postupu:
  1. Pokud klientský počítač se systémem Windows NT 4.0, inovace na systém Windows 2000 nebo novější verze systému Windows NT 4.0. Pokud se upgrade nelze provést, postupujte podle kroků v části "Řešení".
  2. Pokud klientský počítač se systémem Windows 2000 nebo novější verzi systému Windows a klientský počítač spustí operaci spojení nezabezpečené domény, postupujte podle kroků v části "Řešení" jako dočasné řešení.
  3. Pokud klientský počítač se systémem Windows 2000 nebo novější verzi systému Windows a není zkontrolujte zda je klientský počítač provede operaci nezabezpečené připojení, zkontrolujte soubor %systemroot%\Debug\Netsetup.log. Pokud klientský počítač provádí operaci nezabezpečené připojení, je zaznamenána informace, která se podobá následující:
    11/09 02: 21: 04 Účtu počítače pro ověření se nezdařilo. Název_počítače protiSPN_Name: 0xc0000388
    11/09 02: 21: 04 NetpJoinDomain: w9x: stav ověření účtu: 0x4f1
    Poznámka: Služba NETLOGON spustí pouze v počítači, který je připojen k doméně.
  4. Pokud v klientském počítači není spuštěn systém Windows, postupujte takto:
    1. Určete, který řadič domény zpracovává požadavky na zabezpečení kanálu.

      Poznámka: Protokoly událostí a trasování lze určit řadič domény.
    2. Ujistěte se, zda je spuštěna služba NETLOGON. Chcete-li to provést, postupujte takto:
      • Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ Services.msca klepněte na tlačítko OK.
      • V Služby konzola, ujistěte se, že je stav služby NETLOGON Spuštění.
      • Pokud je stav Spuštění, klepněte pravým tlačítkem myši NETLOGON služby a pak klepněte na tlačítko Spustit.
    3. Povolte protokolování ladění služby NETLOGON v řadiči domény se systémem Windows Server 2008, který zpracovává požadavky na zabezpečení kanálu. Chcete-li to provést, použijte jednu z následujících metod.

      Metoda 1
      1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmda klepněte na tlačítko OK.
      2. Na příkazovém řádku zadejte následující příkaz:
        Nltest.exe /DBFLAG:2000FFFF
      Poznámka: Pokud není spuštěna přihlašovací služba NETLOGON, obdržíte chybovou zprávu "rpc_s_unknown_if".

      Metoda 2

      Upozornění Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že tyto potíže lze vyřešit. Úpravy registru provádíte na vlastní nebezpečí.
      1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ regedita klepněte na tlačítko OK.
      2. Vyhledejte a klepněte pravým tlačítkem myši na následující podklíč registru:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Přejděte na Novýa klepněte na tlačítko Řetězcová hodnota.
      4. Typ DBFLAGa poklepejte DBFLAG Položka registru.
      5. V Upravit řetězec Typ pole 2000FFFF v Hodnota dat pole.
      6. Ukončete Editor registru.
    4. V programu Poznámkový blok otevřete soubor %systemroot%\Debug\Netlogon.log a vyhledejte následující chybová zpráva:
      Klient Název_klientského_počítače$ žádá o NT4 crypto a tento server neumožňuje ji.
    5. Najít tuto chybovou zprávu, je klientský počítač pomocí staré kryptografické algoritmy, používané v systému Windows NT 4.0 vytvořit kanál zabezpečení řadiče domény se systémem Windows Server 2008.
    6. Zakážete protokolování ladění služby NETLOGON v řadiči domény se systémem Windows Server 2008. Chcete-li to provést, zadejte následující příkaz na příkazovém řádku:
      Nltest.exe /DBFLAG:0

Odkazy

Další informace o povolení protokolování ladění pro službu NETLOGON klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
109626Povolení protokolování ladění pro službu přihlašování k síti

Další informace o NetJoinDomain funkce, navštivte následující Web společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/aa370433.aspx
Produkty třetích stran popisované v tomto článku vyrábějí společnosti, které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, předpokládanou ani týkající se výkonu nebo spolehlivosti těchto produktů.

Vlastnosti

ID článku: 942564 - Poslední aktualizace: 22. května 2011 - Revize: 5.0
Informace v tomto článku jsou určeny pro produkt:
Klíčová slova: 
kbprb kbtshoot kbexpertiseadvanced kbmt KB942564 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:942564

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com