Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad a un controlador de dominio de Windows Server 2008, en función, la operación puede producir un error

Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad a un controlador de dominio de Windows Server 2008, en función, la operación puede fallar. Hardware o software puede que no pueda establecer un canal de seguridad a un controlador de Windows Server 2008, en función de dominio si el hardware o el software utiliza los algoritmos de cifrado que se utilizan en Windows NT 4.0.

En este escenario, puede experimentar los síntomas siguientes.

Síntoma 1

No se inicie sesión en un dominio desde un equipo basado en Windows NT 4.0 que es atendido por un controlador de dominio de Windows Server 2008, en función. En función de si las credenciales de la cuenta de inicio de sesión de dominio se almacenan en caché en el equipo basado en Windows NT 4.0, es posible que recibas uno de los siguientes mensajes de error:

el mensaje de error 1 mensaje de error 2

Síntoma 2

Es posible que no funcionen confianzas que existir entre dominios de Windows NT 4.0 y los dominios de Windows Server 2008. Puede crear correctamente la confianza inicial. Sin embargo, al intentar validar la confianza mediante el complemento Domain.msc Microsoft Management Console (MMC), la validación puede fallar. Además, recibirá el mensaje de error siguientes:

Síntoma 3

Un cliente SMB de SAMBA no puede realizar una operación de combinación de dominio para un controlador de dominio de Windows Server 2008, en función. O bien, un cliente de bloque de mensajes de servidor (SMB) SAMBA no puede establecer un canal de seguridad a un controlador de dominio de Windows Server 2008-basado.

Además, el controlador de Windows Server 2008-basado dominio que procesa la solicitud del canal de seguridad devuelve el código de error siguiente: Tenga en cuenta El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 3.

Síntoma 4

Un dispositivo de almacenamiento SMB no podrán usar algoritmos de criptografía poco segura para establecer un canal de seguridad a un controlador de dominio de Windows Server 2008-basado.

Tenga en cuenta Dispositivos de almacenamiento SMB también se conoce como dispositivos de almacenamiento IP.

En el controlador de dominio realiza la autenticación, los siguientes errores se registran en el registro de sistema:

error 1 Tenga en cuenta AuDomainName representa el nombre del controlador de dominio de autenticación.

Error de 2
Actualmente, tiene síntomas 4 en el siguiente dispositivo de almacenamiento SMB:

• EMC Celerra

Con el fabricante de dispositivos Vea si está disponible una actualización de este problema.

Además, quizá no puedas establecer un canal de seguridad de Hewlett-Packard (HP) Advanced Server para OpenVMS con un controlador de dominio de Windows Server 2008-basado. En concreto, el controlador de dominio de Windows Server 2008, en función devuelve el siguiente código de error a la solicitud OpenVMS NetrServerAuthenticate: Tenga en cuenta El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 4.

Este problema se produce debido del comportamiento predeterminado de la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 en controladores de dominio basado Windows Server 2008. Esta directiva está configurada para evitar que sistemas operativos Windows y los clientes de otros fabricantes utilizar algoritmos de criptografía poco segura para establecer canales de seguridad NETLOGON en controladores de dominio Windows Server 2008, en función.

Para solucionar este problema, asegúrese de que los equipos cliente utilizan los algoritmos de cifrado que son compatibles con Windows Server 2008. Tendrá que solicitar actualizaciones de software de los proveedores de productos.

Si no puede instalar las actualizaciones de software porque se producirá una interrupción del servicio, siga estos pasos:

1. Inicie sesión en un controlador de dominio de Windows Server 2008-basado.
2. Haga clic en inicio , haga clic en Ejecutar , escriba gpmc.msc y, a continuación, haga clic en ACEPTAR .
3. En la consola de administración de directivas de grupo , expanda bosque: DomainName, expanda DomainName, expanda los controladores de dominio , haga clic con el botón secundario del mouse en predeterminada directiva de controladores de dominio y, a continuación, haga clic en Editar .
4. En la consola Editor de administración de directiva de grupo , expanda Configuración del equipo , expanda directivas , expanda Plantillas administrativas , expanda sistema , haga clic en Inicio de sesión de red y, a continuación, haga doble clic en los algoritmos de criptografía permitir son compatibles con Windows NT 4.0 .
5. En el cuadro de diálogo Propiedades , haga clic en la opción de habilitada y, a continuación, haga clic en ACEPTAR .
   
   las notas
   • De forma predeterminada, se establece la opción No configurado para la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 en los siguientes objetos de directiva de grupo (GPO):
     • Directiva predeterminada de dominio
     • Directiva de controladores de dominio predeterminada
     • Directiva de equipo local
     De forma predeterminada, el comportamiento de la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 en controladores de dominio basado Windows Server 2008 es mediante programación impedir las conexiones desde mediante algoritmos de cifrado que se utilizan en Windows NT 4.0. Por lo tanto, las herramientas que enumerar la configuración de directiva en vigor en un equipo miembro o en un controlador de dominio no detectará la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 a menos que explícitamente habilita o deshabilita la directiva.
   • Los controladores de dominio basados en Windows 2000 Server y los controladores de dominio basado en Windows Server 2003 no tienen la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 . Por lo tanto, anterior a Windows Server 2008, en función controladores Aceptar las solicitudes de canal de seguridad de los equipos cliente incluso si los equipos cliente utilizan los algoritmos de cifrado antiguo que se utilizan en Windows NT 4.0. Si las solicitudes de canal de seguridad intervalos se procesan por controladores de dominio basado Windows Server 2008, experimentará resultados incoherentes.
6. Instalar actualizaciones de software de terceros que solucionar el problema o quitar los equipos cliente que utilizan algoritmos de cifrado incompatibles.
7. Repita los pasos del 1 al 4.
8. En el cuadro de diálogo Propiedades , haga clic en la opción deshabilitado y, a continuación, haga clic en ACEPTAR .
   
   importante Por motivos de seguridad, debe establecer la opción para esta directiva en deshabilitada .

Este comportamiento es por diseño.

Un problema relacionado en los equipos que ejecutan Windows 2000 o versiones posteriores de Windows

La capacidad de los equipos cliente que ejecutan Windows 2000 o versiones posteriores de Windows para establecer canales de seguridad a controladores de dominio basado Windows Server 2008 no se verán afectadas por la directiva de algoritmos de criptografía permitir son compatibles con Windows NT 4.0 . Sin embargo, cuando estos equipos cliente utiliza la función NetJoinDomain junto con la opción de combinación NETSETUP_JOIN_UNSECURE contra un controlador de dominio de Windows Server 2008-basado, el controlador de dominio devuelve el código de error siguiente:Este problema se produce cuando la configuración de directiva está deshabilitada o No configurada .

Tenga en cuenta El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que experimenta este problema.

Puede experimentar este problema en los equipos que ejecutan los sistemas operativos siguientes:

• Windows 2000
• Windows XP
• Windows Server 2003
• La versión de Windows Vista

Tenga en cuenta No se ven afectados los equipos que ejecutan Windows Vista con Service Pack 1 (SP1) o versiones posteriores de Windows Vista.

La función NetJoinDomain se utiliza junto con la opción NETSETUP_JOIN_UNSECURE en las siguientes situaciones. (Esta función también se utiliza en otros escenarios.)

• Se utiliza servicios de implementación de Windows (WDS) o servicios de instalación remota (RIS) para instalar un sistema operativo Windows.
• Utilice la herramienta de migración de Active Directory (ADMT) para realizar la migración de cuenta de equipo de un operating system de Windows.

Microsoft está investigando este problema y publicará más información aquí cuando esté disponible.

Cómo solucionar estos problemas

Al no se puede establecer un canal de seguridad de un equipo cliente a un controlador de dominio de Windows Server 2008, basado, siga estos pasos para solucionar el problema:

1. Si el equipo cliente está ejecutando Windows NT 4.0, actualizar Windows NT 4.0 a Windows 2000 o a versiones posteriores. Si no se puede realizar la actualización, siga los pasos en la sección "solución".
2. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows, y el equipo cliente ejecuta una operación de combinación de dominio no seguro, siga los pasos descritos en la sección "solución" como una solución temporal.
3. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows, y no asegurarse de que si el equipo cliente se realiza una operación de combinación no segura, examine el archivo %systemroot%\Debug\Netsetup.log. Si el equipo cliente está realizando una operación de combinación no segura, se registra información que se parece a las siguientes:
   11/09 02:21:04 No se pudo validar la cuenta de equipo de ComputerName contra SPN_Name: 0xc0000388
   11/09 02:21:04 NetpJoinDomain: w9x: estado de validación de cuenta: 0x4f1
   Tenga en cuenta El servicio NETLOGON se ejecuta sólo en un equipo que se une a un dominio.
4. Si el equipo cliente no se está ejecutando Windows, siga estos pasos:
   1. Determinar qué controlador de dominio está procesando las solicitudes de canal de seguridad.
      
      Tenga en cuenta Puede utilizar los registros de eventos y registros de seguimiento para determinar el controlador de dominio.
   2. Asegúrese de que el servicio NETLOGON se haya iniciado. Para ello, siga estos pasos:
      • Haga clic en inicio , haga clic en Ejecutar escriba Services.msc y, a continuación, haga clic en ACEPTAR .
      • En la consola servicios , asegúrese de que el estado para el servicio NETLOGON es A .
      • Si el estado no es iniciado , haga clic con el botón secundario del mouse en el servicio NETLOGON y, a continuación, haga clic en inicio .
   3. Habilite el registro de depuración para el servicio NETLOGON del controlador de dominio de Windows Server 2008, en función que procesa las solicitudes de canal de seguridad de. Para ello, utilice uno de los métodos siguientes.
      
      método 1
      1. Haga clic en inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en ACEPTAR .
      2. En el símbolo del sistema, escriba el siguiente comando:
         nltest.exe /DBFLAG:2000FFFF
      Tenga en cuenta Si no se inicia el servicio NETLOGON, recibirá un mensaje de error "RPC_S_UNKNOWN_IF".
      
      método 2
      
      Advertencia Pueden producirse problemas graves si modificar el Registro incorrectamente empleando el Editor del Registro o mediante otro método. Estos problemas es posible que exijan la reinstalación del sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
      1. Haga clic en inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en ACEPTAR .
      2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Elija nuevo y, a continuación, haga clic en valor de cadena .
      4. Escriba DBFLAG ; a continuación, haga doble clic en la entrada de registro DBFLAG .
      5. En el cuadro Editar cadena , escriba 2000FFFF en el cuadro de datos de valor .
      6. Salir el Editor del registro.
   4. Abra el archivo de %systemroot%\Debug\Netlogon.log en el bloc de notas y, a continuación, busque el mensaje de error siguiente:
      el cliente ClientComputerName $ está solicitando criptográfico de NT 4.0 y este servidor no permite.
   5. Si encuentra este mensaje de error, el equipo cliente utiliza algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0 para establecer un canal de seguridad para el controlador de dominio de Windows Server 2008, basado.
   6. Deshabilitar registro de depuración para el servicio NETLOGON en el controlador de dominio de Windows Server 2008, en función. Para ello, escriba el siguiente comando en el símbolo del sistema:
      nltest.exe /DBFLAG:0

Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio NETLOGON, haga clic en el siguiente número de artículo para ver el artículo en la base del conocimiento de Microsoft:
Para obtener más información acerca de la función NetJoinDomain , visite el sitio de Web de Microsoft siguiente: Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o en caso contrario, sobre el rendimiento o confiabilidad de estos productos.