El servicio Net Logon en Windows Server 2008 y en los controladores de dominio de Windows Server 2008 R2 no permite el uso de algoritmos de criptografía antiguos que son compatibles con Windows NT 4.0 de forma predeterminada

Nota Windows NT 4.0 es pasado el Microsoft admite el período de ciclo de vida. Escenarios que son relevantes para Windows NT 4.0 no se han probado y no se admiten oficialmente. La siguiente información es sólo informativa y se proporciona para facilitar una transición más fácil desde sistemas Windows NT 4.0. Para obtener más información acerca de la Microsoft directiva ciclo de vida de soporte técnico, visite el siguiente sitio Web de Microsoft:Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008, la operación puede fallar. Hardware o software podrán establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008 si el hardware o el software utiliza los algoritmos de criptografía que se utilizan en Windows NT 4.0.

En este escenario, puede experimentar los síntomas siguientes.

Síntoma 1

No puede iniciar sesión a un dominio desde un equipo basado en Windows NT 4.0 que es atendido por un controlador de dominio basado en Windows Server 2008. Dependiendo de si se almacenan en caché las credenciales de la cuenta de inicio de sesión de dominio en el equipo basado en Windows NT 4.0, puede recibir uno de los mensajes de error siguientes:

mensaje de error 1 mensaje de error 2

Síntoma 2

Las confianzas que existen entre dominios de Windows NT 4.0 y dominios de Windows Server 2008 no funcionen. Puede crear correctamente la confianza inicial. Sin embargo, cuando intenta validar la confianza mediante el complemento Domain.msc Microsoft Management Console (MMC), la validación puede fallar. Además, recibirá el siguiente mensaje de error:

Síntoma 3

Un cliente SAMBA SMB no puede realizar una operación de combinación de dominio a un controlador de dominio basado en Windows Server 2008. O bien, un cliente de bloque de mensajes de servidor de SAMBA (SMB) no puede establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008.

Además, el controlador de dominio basado en Windows Server 2008 que procesa la solicitud de canal de seguridad devuelve el código de error siguiente: Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que experimenta un síntoma 3.

Síntoma 4

Un dispositivo de almacenamiento SMB no podrán usar algoritmos débiles para establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008.

Nota Los dispositivos de almacenamiento SMB también conocido como son dispositivos de almacenamiento IP.

En el controlador de dominio de autenticación, se graban los errores siguientes en el registro del sistema:

Error 1 Nota AuDomainName representa el nombre de la autenticación del controlador de dominio.

error 2
Actualmente, experimenta el síntoma 4 en el siguiente dispositivo de almacenamiento SMB:

• EMC Celerra

Póngase en contacto con el fabricante del dispositivo para ver si hay disponible una actualización para este problema.

Además, es posible que no se puede establecer un canal de seguridad de Hewlett-Packard (HP) Advanced Server para OpenVMS a un controlador de dominio basado en Windows Server 2008. Específicamente, el controlador de dominio basado en Windows Server 2008 devuelve el siguiente código de error a la solicitud OpenVMS NetrServerAuthenticate: Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que experimenta un síntoma 4.

Este problema se produce porque el comportamiento predeterminado de la directiva Permitir algoritmos compatibles con Windows NT 4.0 en controladores de dominio basados en Windows Server 2008. Esta directiva está configurada para evitar que los sistemas operativos Windows y los clientes de terceros utilizando algoritmos de criptografía débil para establecer canales de seguridad NETLOGON para controladores de dominio basados en Windows Server 2008.

Para evitar este problema, asegúrese de que los equipos cliente utilizan los algoritmos de criptografía que son compatibles con Windows Server 2008. Quizás tenga que solicitar actualizaciones de software de los proveedores de producto.

Si no puede instalar las actualizaciones de software porque se producirá una interrupción del servicio, siga estos pasos:

1. Inicie sesión en un controlador de dominio basado en Windows Server 2008.
2. Haga clic en Inicio , haga clic en Ejecutar , escriba gpmc.msc y haga clic en Aceptar .
3. En la consola de Administración de directivas de grupo , expanda bosque: DomainName, expanda DomainName, expanda Domain Controllers , haga clic con el botón secundario en Directiva controladores de dominio predeterminada y, a continuación, haga clic en Modificar .
4. En la consola Editor de administración de directiva de grupo , expanda Configuración del equipo , expanda directivas , expanda Plantillas administrativas , expanda sistema , haga clic en Inicio de sesión de red y haga doble clic en Permitir algoritmos compatibles con Windows NT 4.0 .
5. En el cuadro de diálogo Propiedades , haga clic en la opción habilitado y, a continuación, haga clic en Aceptar .
   
   notas
   • De forma predeterminada, la opción No configurada está establecida para la directiva Permitir algoritmos compatibles con Windows NT 4.0 en los siguientes objetos de directiva de grupo (GPO):
     • Directiva predeterminada de dominio
     • Directiva predeterminada de controladores de dominio
     • Directiva de equipo local
     De forma predeterminada, el comportamiento de la directiva Permitir algoritmos compatibles con Windows NT 4.0 en controladores de dominio basado en Windows Server 2008 es mediante programación impedir conexiones utilizando algoritmos de criptografía que se utilizan en Windows NT 4.0. Por lo tanto, las herramientas que enumerar la configuración de directiva efectiva en un equipo miembro o en un controlador de dominio no detectará la directiva Permitir algoritmos compatibles con Windows NT 4.0 a menos que explícitamente habilita o deshabilita la directiva.
   • Controladores de dominio basados en Windows 2000 y controladores de dominio basados en Windows Server 2003 no tienen la directiva Permitir algoritmos compatibles con Windows NT 4.0 . Por lo tanto, anteriores a Windows Server 2008-controladores de dominio de aceptan solicitudes de canal de seguridad de los equipos cliente incluso si los equipos cliente utilizan los algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0. Si las solicitudes de canal de seguridad intermitentemente son procesadas por controladores de dominio basados en Windows Server 2008, experimentará resultados incoherentes.
6. Instalar actualizaciones de software de terceros que solucionar el problema, o quitar equipos cliente que utilizan algoritmos de cifrado incompatibles.
7. Repita los pasos 1 a 4.
8. En el cuadro de diálogo Propiedades , haga clic en la opción deshabilitado y, a continuación, haga clic en Aceptar .
   
   importante Por motivos de seguridad, debe establecer la opción para esta directiva en deshabilitada .

Este comportamiento es por diseño.

Un problema relacionado en los equipos que ejecutan Windows 2000 o versiones posteriores de Windows

La capacidad de los equipos cliente que ejecutan Windows 2000 o versiones posteriores de Windows para establecer canales de seguridad para controladores de dominio basados en Windows Server 2008 no se verán afectadas por la directiva Permitir algoritmos compatibles con Windows NT 4.0 . Sin embargo, cuando estos equipos cliente utilizan la función NetJoinDomain junto con la opción de combinación NETSETUP_JOIN_UNSECURE contra un controlador de dominio basado en Windows Server 2008, el controlador de dominio devuelve el código de error siguiente:Este problema se produce cuando la configuración de directiva está deshabilitada o No configurada .

Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que experimenten este problema.

Puede experimentar este problema en equipos que ejecutan los sistemas operativos siguientes:

• Windows 2000
• Windows XP
• Windows Server 2003
• La versión de Windows Vista

Nota Los equipos que ejecutan Windows Vista con Service Pack 1 (SP1) o versiones posteriores de Windows Vista no se ven afectados.

Se utiliza la función NetJoinDomain junto con la opción NETSETUP_JOIN_UNSECURE en los siguientes escenarios. (Esta función también se utiliza en otros escenarios).

• Utilizar servicios de implementación de Windows (WDS) o servicios de instalación remota (RIS) para instalar un sistema operativo Windows.
• Utilice la herramienta de migración para Active Directory (ADMT) para realizar la migración de cuenta de equipo de un operating system de Windows.

El siguiente paquete de revisión se puede aplicar a los equipos que ejecutan Windows XP o Windows Server 2003 para resolver este problema:

Cómo solucionar estos problemas

Cuando no puede establecer un canal de seguridad desde un equipo cliente a un controlador de dominio basado en Windows Server 2008, siga estos pasos para solucionar el problema:

1. Si el equipo cliente se está ejecutando Windows NT 4.0, actualizar Windows NT 4.0 a Windows 2000 o versiones posteriores. Si no puede realizar la actualización, siga los pasos de la sección "Solución".
2. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows y el equipo cliente ejecuta una operación de combinación no segura de dominio, siga los pasos de la sección "Solución" como solución temporal.
3. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows y no está seguro si el equipo cliente realiza una operación de combinación no segura, examine el archivo %systemroot%\Debug\Netsetup.log. Si el equipo cliente está realizando una operación de combinación no segura, se registra información similar al siguiente:
   11/09/02: 21: 04 Error al validar cuenta de equipo para ComputerName contra SPN_Name: 0xc0000388
   11/09/02: 21: 04 NetpJoinDomain: w9x: estado de validación de cuenta: 0x4f1
   Nota El servicio NETLOGON sólo se ejecuta en un equipo se une a un dominio.
4. Si el equipo cliente no ejecuta Windows, siga estos pasos:
   1. Determinar qué controlador de dominio está procesando las solicitudes de canal de seguridad.
      
      Nota Puede utilizar los registros de sucesos y registros de seguimiento para determinar el controlador de dominio.
   2. Asegúrese de que se ha iniciado el servicio NETLOGON. Para ello, siga estos pasos:
      • Haga clic en Inicio , haga clic en Ejecutar , escriba Services.msc y, a continuación, haga clic en Aceptar .
      • En la consola servicios , asegúrese de que el estado para el servicio NETLOGON es iniciado .
      • Si el estado no está iniciado , haga clic con el botón secundario del mouse en el servicio NETLOGON y, a continuación, haga clic en Inicio .
   3. Habilitar el registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008 que procesa las solicitudes de canal de seguridad. Para ello, utilice uno de los métodos siguientes.
      
      método 1
      1. Haga clic en Inicio , haga clic en Ejecutar , escriba cmd y, a continuación, haga clic en Aceptar .
      2. En el símbolo del sistema, escriba el comando siguiente:
         Nltest.exe /DBFLAG:2000FFFF
      Nota Si no se ha iniciado el servicio NETLOGON, recibirá un mensaje de error "RPC_S_UNKNOWN_IF".
      
      método 2
      
      Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o utilizando otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
      1. Haga clic en Inicio , haga clic en Ejecutar , escriba regedit y, a continuación, haga clic en Aceptar .
      2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Seleccione nuevo y, a continuación, haga clic en Valor alfanumérico .
      4. Escriba DBFLAG y, a continuación, haga doble clic en la entrada de registro DBFLAG .
      5. En el cuadro Editar cadena , escriba 2000FFFF en el cuadro de datos de valor .
      6. Editor de registro de salida.
   4. Abrir el archivo %systemroot%\Debug\Netlogon.log en Bloc de notas y, a continuación, busque el mensaje de error siguiente:
      el cliente ClientComputerName $ está solicitando cifrado de NT4 y este servidor no permite.
   5. Si encuentra este mensaje de error, el equipo cliente está utilizando algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0 para establecer un canal de seguridad para el controlador de dominio basado en Windows Server 2008.
   6. Deshabilitar registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008. Para ello, escriba el comando siguiente en el símbolo del sistema:
      Nltest.exe /DBFLAG:0

Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio NETLOGON, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
Para obtener más información acerca de la función NetJoinDomain , visite el siguiente sitio Web de Microsoft: Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, sobre el rendimiento o confiabilidad de estos productos.