Når en Windows NT 4.0-baseret computer forsøger at bruge NETLOGON-tjenesten til at oprette en sikkerhedskanal til en Windows Server 2008-baseret domænecontroller, lykkes det måske ikke

Artikel-id: 942564 - Få vist de produkter, som denne artikel refererer til.
Vigtigt! Denne artikel indeholder oplysninger om redigering af registreringsdatabasen. Husk at oprette en sikkerhedskopi af registreringsdatabasen, før du ændrer den. Sørg for, at du ved, hvordan registreringsdatabasen gendannes, hvis der opstår et problem. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer, gendanner og redigerer registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Sådan sikkerhedskopieres, redigeres og gendannes registreringsdatabasen i Windows XP og Windows Server 2003
Udvid alle | Skjul alle

På denne side

Symptomer

Når en Windows NT 4.0-baseret computer forsøger at bruge NETLOGON-tjenesten til at oprette en sikkerhedskanal til en Windows Server 2008-baseret domænecontroller, lykkes det måske ikke. Hardware eller software kan måske ikke oprette en sikkerhedskanal til en Windows Server 2008-baseret domænecontroller, hvis hardwaren eller softwaren bruger de kryptografiske algoritmer, der bruges i Windows NT 4.0.

I dette scenario kan du opleve følgende symptomer.

Symptom 1

Du kan ikke logge på et domæne fra en Windows NT 4.0-baseret computer, der er bygget på en Windows Server 2008-baseret domænecontroller. Afhængigt af, om legitimationsoplysningerne for domænelogonkontoen er cachelagret på den Windows NT 4.0-baserede computer, modtager du måske en af følgende fejlmeddelelser:

Fejlmeddelelse 1
Systemet kan ikke logge dig på nu, da domænet domænenavn ikke er tilgængeligt.
Fejlmeddelelse 2
En domænecontroller for dit domæne kunne ikke kontaktes. Du er logget på ved hjælp af cachelagrede kontooplysninger. Ændringer, der er foretaget af din profil siden sidste gang, du loggede på, er måske ikke tilgængelige.

Symptom 2

Tillidsforhold mellem Windows NT 4.0-domæner og Windows Server 2008-domæner fungerer måske ikke. Det lykkes dig måske at oprette den indledende tillid. Men når du forsøger at validere tilliden ved hjælp af MMC-snap-in'en Domain.msc (Microsoft Management Console), lykkes valideringen måske ikke. Desuden vises der en fejlmeddelelse i stil med følgende:
Handlingen mislykkedes med fejlkoden 317 (0x0000013d)

Symptom 3

En SAMBA SMB-klient kan ikke udføre en domænemedlemskabshandling for en Windows Server 2008-baseret domænecontroller. Eller en SAMBA SMB-klient (Server Message Block) kan ikke oprette en sikkerhedskanal til en Windows Server 2008-baseret domænecontroller.

Derudover returnerer den Windows Server 2008-baserede domænecontroller, der behandler anmodningen om sikkerhedskanalen, følgende fejlkode:
Hex: 0x4F1h
Decimal: 1265
Symbolsk fejl: ERROR_DOWNGRADE_DETECTED
Kort fejlbeskrivelse: STATUS_DOWNGRADE_DETECTED
Hele fejlbeskrivelsen: Der er registreret et muligt forsøg på at svække sikkerheden. Kontroller, at du kan kontakte den server, der har godkendt dig.
Bemærk! Der kan være flere grundlæggende årsager til fejlen STATUS_DOWNGRADE_DETECTED. Denne fejl angiver derfor ikke nødvendigvis, at du oplever symptom 3.

Symptom 4

En SMB-lagerenhed kan måske ikke bruge svage kryptografiske algoritmer til at oprette en sikkerhedskanal til en Windows Server 2008-baseret domænecontroller.

Bemærk! SMB-lagerenheder kaldes også IP-lagerenheder.

På den godkendende domænecontroller logføres følgende fejlmeddelelser i systemloggen:

Fejl 1
Lognavn: System
Kilde: NETLOGON
Dato: Dato: Klokkeslæt
Hændelses-id: 5805
Opgavekategori: Ingen
Niveau: Fejl
Bruger: Ikke tilgængelig
Computer: Godkendende_domænenavn
Beskrivelse: Sessionsoprettelsen fra computeren <klientcomputer> blev ikke godkendt. Der opstod følgende fejl: Adgang nægtet.
Bemærk!Godkendende_domænenavn repræsenterer navnet på den godkendende domænecontroller.

Fejl 2
Lognavn: System
Kilde: NETLOGON
Dato: Dato: Klokkeslæt
Hændelses-id: 5722
Opgavekategori: Ingen
Niveau: Fejl
Nøgleord: Classic
Bruger: Ikke tilgængelig
Computer: Godkendende_domænenavn
Beskrivelse: Sessionsoprettelsen fra computeren klientcomputernavn blev ikke godkendt. Navnet på den eller de konti, der henvises til i sikkerhedsdatabasen, er klientcomputernavn$. Der opstod følgende fejl: Der er registreret et muligt forsøg på at svække sikkerheden. Kontroller, at du kan kontakte den server, der har godkendt dig.

Du oplever i øjeblikket symptom 4 på følgende SMB-lagerenhed:
  • EMC Celerra
Kontakt forhandleren af enheden for at se, om der findes en opdatering til dette problem.

Du kan måske heller ikke oprette en sikkerhedskanal fra HP (Hewlett-Packard) Advanced Server for OpenVMS til en Windows Server 2008-baseret domænecontroller. Det er især den Windows Server 2008-baserede domænecontroller, der returnerer følgende fejlkode til anmodningen OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Decimal: 1265
Symbolsk fejl: ERROR_DOWNGRADE_DETECTED
Kort fejlbeskrivelse: STATUS_DOWNGRADE_DETECTED
Hele fejlbeskrivelsen: Der er registreret et muligt forsøg på at svække sikkerheden. Kontroller, at du kan kontakte den server, der har godkendt dig.
Bemærk! Der kan være flere grundlæggende årsager til fejlen STATUS_DOWNGRADE_DETECTED. Denne fejl angiver derfor ikke nødvendigvis, at du oplever symptom 4.
Tilbage til toppen | Send feedback

Årsag

Dette problem opstår på grund af standardfunktionsmåden for politikken Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0 på Windows Server 2008-baserede domænecontrollere. Denne politik er konfigureret til at forhindre, at Windows-operativsystemer og tredjepartsklienter bruger svage kryptografiske algoritmer til at oprette NETLOGON-sikkerhedskanaler til Windows Server 2008-baserede domænecontrollere.
Tilbage til toppen | Send feedback

Workaround

Hvis du vil løse dette problem, skal du sikre dig, at klientcomputere bruger de kryptografiske algoritmer, der er kompatible med Windows Server 2008. Du skal måske bede produktforhandlerne om softwareopdateringer.

Hvis du ikke kan installere softwareopdateringer, fordi tjenesten afbrydes, skal du følge disse trin:
  1. Log på en Windows Server 2008-baseret domænecontroller.
  2. Klik på Start, klik på Kør, skriv gpmc.msc, og klik derefter på OK.
  3. Udvid Skov: domænenavn i konsollen Administration af gruppepolitik, udvid domænenavn, udvid Domænecontrollere, højreklik på Standardpolitik for domænecontrollere, og klik derefter på Rediger.
  4. Udvid Computerkonfiguration i konsollen Redigeringsprogram til administration af gruppepolitik, udvid Politikker, udvid Administrative skabeloner, udvid System, klik på Netlogon, og dobbeltklik derefter på Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0.
  5. Klik på indstillingen Aktiveret i dialogboksen Egenskaber, og klik derefter på OK.

    Bemærk!
    • Indstillingen Ikke konfigureret er som standard angivet for politikken Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0 i følgende gruppepolitikobjekter:
      • Standarddomænepolitik
      • Standardpolitik for domænecontrollere
      • Lokal computerpolitik
      Politikken Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0 i Windows Server 2008-baserede domænecontrollere skal som standard forhindre forbindelser via kryptografiske algoritmer, der bruges i Windows NT 4.0. Værktøjer, der angiver numre for effektive politikindstillinger på en medlemscomputer eller på en domænecontroller, registrerer derfor ikke politikken Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0, medmindre du udtrykkeligt aktiverer eller deaktiverer politikken.
    • Windows 2000 Server-baserede domænecontrollere og Windows Server 2003-baserede domænecontrollere har ikke indstillingen Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0. Domænecontrollere, der er ældre end Windows Server 2008-baserede domænecontrollere, accepterer derfor anmodninger om sikkerhedskanaler fra klientcomputere, selvom klientcomputere bruger de gamle kryptografiske algoritmer, der bruges i Windows NT 4.0. Hvis anmodninger om sikkerhedskanaler behandles periodisk af Windows Server 2008-baserede domænecontrollere, få du uensartede resultater.
  6. Installer opdateringer til tredjepartssoftware, der løser problemet, eller fjern klientcomputere, der bruger inkompatible kryptografiske algoritmer.
  7. Gentag trin 1-4.
  8. Klik på indstillingen Deaktiveret i dialogboksen Egenskaber, og klik derefter på OK.

    Vigtigt! Af sikkerhedsmæssige hensyn skal du angive indstillingen for denne politik til Deaktiveret igen.
Tilbage til toppen | Send feedback

Status

Denne funktionsmåde er tilsigtet.
Tilbage til toppen | Send feedback

Yderligere Information

Et relateret problem på computere, der kører Windows 2000 eller nyere versioner af Windows

Hvorvidt klientcomputere, der kører Windows 2000 eller nyere versioner af Windows, kan oprette sikkerhedskanaler til Windows Server 2008-baserede domænecontrollere, påvirkes ikke af politikken Tillad kryptografiske algoritmer, der er kompatible med Windows NT 4.0. Men når disse klientcomputere bruger funktionen NetJoinDomain sammen med medlemsindstillingen NETSETUP_JOIN_UNSECURE over for en Windows Server 2008-baserede domænecontroller, returnerer domænecontrolleren følgende fejlkode:
Hex: 0x4F1h
Decimal: 1265
Symbolsk fejl: ERROR_DOWNGRADE_DETECTED
Kort fejlbeskrivelse: STATUS_DOWNGRADE_DETECTED
Hele fejlbeskrivelsen: Der er registreret et muligt forsøg på at svække sikkerheden. Kontroller, at du kan kontakte den server, der har godkendt dig.
Dette problem opstår, når politikindstillingen er Deaktiveret eller Ikke konfigureret.

Bemærk! Der kan være flere grundlæggende årsager til fejlen STATUS_DOWNGRADE_DETECTED. Denne fejl angiver derfor ikke nødvendigvis, at du oplever dette problem.

Du kan opleve dette problem på computere, der kører følgende operativsystemer:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Den offentliggjorte version af Windows Vista
Bemærk! Computere, der kører Windows Vista med SP1 (Service Pack 1) eller nyere versioner af Windows Vista, påvirkes ikke.

Funktionen NetJoinDomain bruges sammen med indstillingen NETSETUP_JOIN_UNSECURE i følgende scenarier. Denne funktion bruges også i andre scenarier.
  • Du bruger WDS (Windows Deployment Services) eller RIS (Remote Installation Services) til at installere et Windows-operativsystem.
  • Du bruger ADMT (Active Directory Migration Tool) til at overflytte computerkonti i et Windows-operativsystem.
Microsoft undersøger dette problem og udsender flere oplysninger i denne artikel, når oplysningerne bliver tilgængelige.
Tilbage til toppen | Send feedback

Sådan foretages der fejlfinding af disse problemer

Når du ikke kan oprette en sikkerhedskanal fra en klientcomputer til en Windows Server 2008-baserede domænecontroller, skal du følge disse trin for at foretage fejlfinding af problemet:
  1. Hvis klientcomputeren kører Windows NT 4.0, skal du opgradere Windows NT 4.0 til Windows 2000 eller nyere versioner. Hvis du ikke kan udføre opgraderingen, skal du følge trinnene i afsnittet Løsning.
  2. Hvis klientcomputeren kører Windows 2000 eller en nyere version af Windows, og klientcomputeren udfører en ikke-sikret domænemedlemshandling, skal du følge trinnene i afsnittet Løsning for at opnå en midlertidig løsning.
  3. Hvis klientcomputeren kører Windows 2000 eller en nyere version af Windows, og du ikke er sikker på, om klientcomputeren udfører en ikke-sikret medlemshandling, skal du undersøge filen %systemroot%\Debug\Netsetup.log. Hvis klientcomputeren udfører en ikke-sikret medlemshandling, logføres der oplysninger i stil med følgende:
    11/09 02:21:04 Det lykkedes ikke at validere computerkontoen for computernavn i forhold til SPN_navn: 0xc0000388
    11/09 02:21:04 NetpJoinDomain: w9x: status for validering af konto: 0x4f1
    Bemærk! NETLOGON-tjenesten kører kun på en computer, der bliver medlem af et domæne.
  4. Hvis klientcomputeren ikke kører Windows, skal du følge disse trin:
    1. Find ud af, hvilken domænecontroller der behandler anmodninger om sikkerhedskanaler.

      Bemærk! Du kan bruge hændelseslogfiler og spore logfiler til at fastslå domænecontrolleren.
    2. Kontroller, at NETLOGON-tjenesten er startet. Det kan du gøre ved at benytte følgende fremgangsmåde:
      • Klik på Start, klik på Kør, skriv Services.msc, og klik derefter på OK.
      • Kontroller, at status for NETLOGON-tjenesten er Startet, i konsollen Tjenester.
      • Hvis status ikke er Startet, skal du højreklikke på tjenesten NETLOGON og derefter klikke på Start.
    3. Aktiver logføring af fejlfinding for NETLOGON-tjenesten på den Windows Server 2008-baserede domænecontroller, der behandler anmodninger om sikkerhedskanaler. Det kan du gøre ved at bruge en af følgende metoder:

      Metode 1
      1. Klik på Start, klik på Kør, skriv cmd, og klik derefter på OK.
      2. Skriv følgende kommando ud for kommandoprompten:
        Nltest.exe /DBFLAG:2000FFFF
      Bemærk! Hvis NETLOGON-tjenesten ikke er startet, modtager du fejlmeddelelsen RPC_S_UNKNOWN_IF.

      Metode 2

      Advarsel! Der kan opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt ved hjælp af registreringseditoren eller en anden metode. Disse problemer kan bevirke, at du skal geninstallere operativsystemet. Microsoft kan ikke garantere, at sådanne problemer kan løses. Ændring af registreringsdatabasen sker på egen risiko.
      1. Klik på Start, klik på Kør, skriv regedit, og klik derefter på OK.
      2. Find følgende undernøgle i registreringsdatabasen, og højreklik på den:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Peg på Ny, og klik derefter på Strengværdi.
      4. Skriv DBFLAG, og dobbeltklik derefter på linjen DBFLAG i registreringsdatabasen.
      5. Skriv 2000FFFF i boksen Værdidata i boksen Rediger streng.
      6. Afslut Registreringseditor.
    4. Åbn filen %systemroot%\Debug\Netlogon.log i Notesblok, og søg derefter efter følgende fejlmeddelelse:
      Klienten Navn_på_klientcomputer$ beder om NT4-kryptering, og denne server tillader det ikke.
    5. Hvis du finder denne fejlmeddelelse, bruger klientcomputeren gamle kryptografiske algoritmer, der bruges i Windows NT 4.0, til at oprette en sikkerhedskanal til den Windows Server 2008-baserede domænecontroller.
    6. Deaktiver logføring af fejlfinding for NETLOGON-tjenesten på den Windows Server 2008-baserede domænecontroller. Det kan du gøre ved at skrive følgende kommando i en kommandoprompt:
      Nltest.exe /DBFLAG:0
Tilbage til toppen | Send feedback

Referencer

Du kan finde flere oplysninger om, hvordan du aktiverer logføring af fejlfinding for NETLOGON-tjenesten, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
109626
(http://support.microsoft.com/kb/109626/ )
Aktivering af logføring af fejlfinding for Net Logon-tjenesten. Artiklen er evt. på engelsk.

Du kan finde flere oplysninger om funktionen NetJoinDomain på følgende Microsoft-websted:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
(http://msdn2.microsoft.com/En-US/library/aa370433.aspx)
De tredjepartsprodukter, der omtales i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Microsoft giver ingen garanti, hverken underforstået eller på anden måde, hvad angår disse produkters ydeevne eller pålidelighed.
Tilbage til toppen | Send feedback

Egenskaber

Artikel-id: 942564 - Seneste redigering: 25. april 2008 - Redigering: 1.3
Oplysningerne i denne artikel gælder:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Nøgleord: 
kbprb kbtshoot kbexpertiseadvanced KB942564
Tilbage til toppen | Send feedback

Send feedback

 
Tilbage til toppenTilbage til toppen