El servicio de inicio de sesión de red en Windows Server 2008 y en los controladores de dominio de Windows Server 2008 R2 no permite el uso de algoritmos de criptografía antiguos que son compatibles con Windows NT 4.0 de forma predeterminada

Seleccione idioma Seleccione idioma
Id. de artículo: 942564 - Ver los productos a los que se aplica este artículo
Importante Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de que hacer una copia de seguridad del registro antes de modificarlo. Compruebe que sabe restaurar el Registro en caso de que se produzca algún problema. Para obtener más información acerca de cómo realizar una copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756Cómo realizar una copia de seguridad y restaurar el registro de Windows
Expandir todo | Contraer todo

En esta página

Síntomas

Nota Windows NT 4.0 es pasado el Microsoft admite el período del ciclo de vida. Escenarios que son relevantes para Windows NT 4.0 no se han probado y no se admiten. La siguiente información es sólo informativa y se proporciona para facilitar una transición más fácil desde sistemas Windows NT 4.0. Para obtener más información acerca de la Microsoft directiva ciclo de vida de soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/lifecycle
Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad a un controlador de dominio basado en Windows Server 2008, la operación puede fallar. Hardware o software no pueda establecer un canal de seguridad en un controlador de dominio basado en Windows Server 2008, si el hardware o el software utiliza los algoritmos de criptografía que se utilizan en Windows NT 4.0.

En este escenario, puede experimentar los síntomas siguientes.

Síntoma 1

No puede iniciar sesión en un dominio desde un equipo basado en Windows NT 4.0 que es atendido por un controlador de dominio basado en Windows Server 2008. Dependiendo de si se almacenan en caché las credenciales de cuenta de inicio de sesión de dominio en el equipo basado en Windows NT 4.0, puede recibir uno de los mensajes de error siguiente:

Mensaje de error 1
El sistema no puede iniciar su sesión ahora porque el dominio DomainName no está disponible.
Mensaje de error 2
No se pudo establecer contacto con un controlador de dominio para su dominio. Ha iniciado una sesión utilizando información de cuenta almacenada en caché. Los cambios en su perfil desde la última vez que inició la sesión pueden no estar disponibles.

Síntoma 2

Las confianzas que existen entre dominios de Windows NT 4.0 y dominios de Windows Server 2008 no funcionen. Puede crear correctamente la confianza inicial. Sin embargo, cuando intenta validar la confianza mediante el complemento Domain.msc Microsoft Management Console (MMC), la validación se puede producir un error. Además, recibirá mensaje de error siguientes:
La operación falló con un código de error 317 (0x0000013d)

Síntoma 3

Un cliente SAMBA SMB no puede realizar una operación de unión de dominio a un controlador de dominio basado en Windows Server 2008. O bien, un cliente SAMBA bloque de mensajes del servidor (SMB) no puede establecer un canal de seguridad en un controlador de dominio basado en Windows Server 2008.

Además, el controlador de dominio basado en Windows Server 2008 que procesa la solicitud de canal de seguridad devuelve el código de error siguiente:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error en el corto: "STATUS_DOWNGRADE_DETECTED"
Error descriptivo: El sistema ha detectado un posible intento de poner en peligro la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 3.

Síntoma 4

Un dispositivo de almacenamiento SMB puede ser no se puede utilizar algoritmos de criptografía débil para establecer un canal de seguridad en un controlador de dominio basado en Windows Server 2008.

Nota Dispositivos de almacenamiento de información SMB también se conoce como son dispositivos de almacenamiento IP.

En el controlador de dominio de autenticación, se registran los errores siguientes en el registro del sistema:

Error 1
Nombre del registro: sistema
Origen: NETLOGON
Date: Date: Time
ID. de suceso: 5805
Categoría de tareas: ninguno
Nivel: error
Usuario: N/d
Equipo: AuDomainName
Descripción: No se puede autenticar la configuración de sesión desde el equipo < equipo cliente >. Se ha producido el siguiente error: acceso denegado.
NotaAuDomainName representa el nombre del controlador de dominio de autenticación.

Error 2
Nombre del registro: sistema
Origen: NETLOGON
Date: Date: Time
ID. de suceso: 5722
Categoría de tareas: ninguno
Nivel: error
Palabras clave: clásico
Usuario: N/d
Equipo: AuDomainName
Descripción: No se puede autenticar la configuración de sesión desde el equipo ClientComputerName. Los nombres de las cuentas que se hace referencia en la base de datos de seguridad es ClientComputerName $. Se ha producido el siguiente error: el sistema ha detectado un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.

Actualmente, experimentar síntoma 4 en el dispositivo de almacenamiento de información SMB siguiente:
  • Celerra de EMC
Póngase en contacto con el fabricante del dispositivo para ver si hay disponible una actualización para este problema.

Además, es posible que no se puede establecer un canal de seguridad de Hewlett-Packard (HP) Advanced Server para OpenVMS a un controlador de dominio basado en Windows Server 2008. Específicamente, el controlador de dominio basado en Windows Server 2008 devuelve el siguiente código de error a la solicitud de OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error en el corto: "STATUS_DOWNGRADE_DETECTED"
Error descriptivo: El sistema ha detectado un posible intento de poner en peligro la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 4.

Síntoma 5

Un controlador de dominio principal (PDC) de Windows NT 4.0 no puede crear una confianza externa entre sí y un emulador PDC ejecuta Windows Server 2008 R2. No se puede tener acceso a los servidores que ejecutan Windows Server 2008 R2 mediante el uso de una confianza de dominio basado en Windows NT 4.0. Los miembros de Windows NT 4.0 que están en un dominio basado en Windows NT 4.0 también no pueden obtener acceso a los controladores de dominio que ejecutan Windows Server 2008 R2 mediante el uso de una relación de confianza. Este comportamiento se produce incluso si se creó la relación de confianza entre un PDC ejecuta Windows NT 4.0 y un PDC que ejecuta Windows Server 2008 o Windows Server 2003.

Los siguientes errores se registran en el registro del sistema en un controlador de dominio principal que se ejecuta Windows NT 4.0 después de crea la relación de confianza:

Tipo de suceso: error
Origen del suceso: NETLOGON
Categoría del suceso: ninguno
ID. de suceso: 5722
Fecha: <Date>
Tiempo: <Time>
Usuario: N/d
Equipo: <Computer name>
Descripción: La configuración de sesión desde el equipo <Computer name> no se pudo autenticar. El nombre de la cuenta a la que se hace referencia en la base de datos de seguridad es <Database name>. Se ha producido el siguiente error: acceso denegado.

Tipo de suceso: error
Origen del suceso: NETLOGON
Categoría del suceso: ninguno
ID. de suceso: 5721
Fecha: <Date >
Tiempo: <Time>
Usuario: N/d
Equipo: <Computer name>
Descripción: La configuración de sesión para el controlador de dominio de Windows NT <unknown>para dominio<Database name> error porque el controlador de dominio de Windows NT no tiene una cuenta de equipo <Computer name>.

Los siguientes errores se registran en el registro del sistema en el controlador de dominio principal que se ejecuta Windows Server 2008 R2 después de crea la confianza:

Tipo de suceso: error
Origen del suceso: NETLOGON
Categoría del suceso: ninguno
ID. de suceso: 3210
Fecha: <Date >
Tiempo: <Time>M
Usuario: N/d
Equipo: <Computer name>
Descripción: Este equipo no se pudo autenticar con <Computer name>, un controlador de dominio de Windows para el dominio <Domain>, y por lo tanto este equipo puede denegar las solicitudes de inicio de sesión. Esta incapacidad para autenticarse puede estar causada por otro equipo de la misma red utilizando el mismo nombre o la contraseña para esta cuenta de equipo no reconoce. Si vuelve a aparece este mensaje, póngase en contacto con el administrador del sistema.

Cuando intenta validar la confianza mediante Domain.msc, recibir mensaje de error siguientes:
"Comprobación de confianza entre el dominio southridgevideo y cpandl dominio no tuvo éxito porque: acceso denegado. Para reparar una confianza para un dominio anterior a Windows 2000 debe quitar y volver a agregar la relación de confianza en ambos lados."
Utilizar un equipo miembro basado en Windows NT 4.0 en el dominio basado en Windows NT 4.0 a través de una confianza validada. Cuando se intenta obtener acceso a un recurso que se encuentra en un controlador de dominio que se está ejecutando Windows Server 2008 R2, recibirá mensaje de error siguientes:
"Error en la relación de confianza entre el dominio principal y el dominio de confianza".

Causa

Este problema se produce porque el comportamiento predeterminado de la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los controladores de dominio basados en Windows Server 2008. Esta directiva está configurada para evitar que los sistemas operativos Windows y clientes de otros fabricantes utilicen algoritmos de criptografía débil para establecer canales de seguridad NETLOGON para controladores de dominio basados en Windows Server 2008.

Importante Las confianzas de Windows NT 4.0 no pueden crearse entre dominios basados en Windows Server 2008 R2 y dominios basados en Windows NT 4.0. Los pasos de solución que se documentan más adelante en este artículo se aplican a Windows Server 2008. Los cambios de seguridad en Windows Server 2008 R2 impidan una confianza entre dominios basados en Windows Server 2008 R2 y dominios de Windows NT 4.0. Este comportamiento es por diseño.

Solución

Para evitar este problema, asegúrese de que los equipos cliente utilizan los algoritmos de criptografía que son compatibles con Windows Server 2008. Quizás tenga que solicitar actualizaciones de software de los proveedores de producto.

Si no puede instalar las actualizaciones de software porque se producirá una interrupción del servicio, siga estos pasos:
  1. Inicie sesión en un controlador de dominio basado en Windows Server 2008.
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba gpmc.msc y haga clic en Aceptar.
  3. En la consola de Administración de directivas de grupo, expanda bosque: DomainName, expanda DomainName, expanda Los controladores de dominio, haga clic con el botón secundario del mouse en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Modificar.
  4. En la consola Editor de administración de directivas de grupo, expanda Configuración del equipo, expanda directivas de, expanda Plantillas administrativas, expanda sistema, haga clic en Inicio de sesión de red y, a continuación, haga doble clic en Permitir algoritmos de criptografía compatibles con Windows NT 4.0.
  5. En el cuadro de diálogo Propiedades, haga clic en la opción habilitado y, a continuación, haga clic en Aceptar.

    Notas
    • De forma predeterminada, la opción No configurado es la configuración de directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los siguientes objetos de directiva de grupo (GPO):
      • Directiva predeterminada de dominio
      • Directiva predeterminada de controladores de dominio
      • Directiva de equipo local
      De forma predeterminada, el comportamiento de la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los controladores de dominio basado en Windows Server 2008 es mediante programación impedir conexiones utilizando algoritmos de criptografía que se utilizan en Windows NT 4.0. Por lo tanto, herramientas de enumerar las opciones de directiva efectiva en un equipo miembro o en un controlador de dominio no detectará la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 a menos que explícitamente habilitar o deshabilitar la directiva.
    • Los controladores de dominio basados en Windows 2000 Server y los controladores de dominio basados en Windows Server 2003 no tienen la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0. Por lo tanto, anteriores a Windows Server 2008-controladores de dominio de aceptan solicitudes de canal de seguridad de los equipos cliente incluso si los equipos cliente utilizan los algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0. Si los controladores de dominio basados en Windows Server 2008 intermitentemente procesa las solicitudes de canal de seguridad, experimentará resultados incoherentes.
  6. Instalar las actualizaciones de software de terceros que solucionar el problema o quitar los equipos cliente que utilizan algoritmos de criptografía incompatible.
  7. Repita los pasos del 1 al 4.
  8. En el cuadro de diálogo Propiedades, haga clic en la opción deshabilitado y, a continuación, haga clic en Aceptar.

    Importante Por motivos de seguridad, debe establecer la opción para esta directiva a deshabilitado.

Estado

Este comportamiento es por diseño.

Más información

Un problema relacionado en los equipos que ejecutan Windows 2000 o versiones posteriores de Windows

La capacidad de los equipos cliente que ejecutan Windows 2000 o versiones posteriores de Windows para establecer canales de seguridad para controladores de dominio basados en Windows Server 2008 no se verán afectadas por la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0. Sin embargo, cuando estos equipos cliente utilizan la función NetJoinDomain junto con la opción para unirse a NETSETUP_JOIN_UNSECURE contra un controlador de dominio basado en Windows Server 2008, el controlador de dominio devuelve el código de error siguiente:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error en el corto: "STATUS_DOWNGRADE_DETECTED"
Error descriptivo: El sistema ha detectado un posible intento de poner en peligro la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Este problema se produce cuando la configuración de directiva está deshabilitada o No configurada.

Nota El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que experimenten este problema.

Puede experimentar este problema en equipos que ejecutan sistemas operativos siguientes:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • La versión de lanzamiento de Windows Vista
Nota Los equipos que ejecutan Windows Vista con Service Pack 1 (SP1) o versiones posteriores de Windows Vista no se ven afectados.

Se utiliza la función NetJoinDomain junto con la opción NETSETUP_JOIN_UNSECURE en los siguientes escenarios. (Esta función también se utiliza en otros escenarios).
  • Utilizar servicios de implementación de Windows (WDS) o servicios de instalación remota (RIS) para instalar un sistema operativo Windows.
  • Utilizar la herramienta de migración para Active Directory (ADMT) para realizar la migración de cuenta de equipo de operating system de Windows.
El paquete de hotfix siguiente puede aplicarse a los equipos que ejecutan Windows XP o Windows Server 2003 para resolver este problema:
944043Descripción del paquete de compatibilidad de controlador de dominio de sólo lectura de Windows Server 2008 para clientes de Windows Server 2003 y para los clientes Windows XP y Windows Vista

Cómo solucionar estos problemas

Cuando no se puede establecer un canal de seguridad desde un equipo cliente en un controlador de dominio basado en Windows Server 2008, siga estos pasos para solucionar el problema:
  1. Si el equipo cliente se está ejecutando Windows NT 4.0, actualizar Windows NT 4.0 a Windows 2000 o versiones posteriores. Si no puede realizar la actualización, siga los pasos de la sección "Solución".
  2. Si el equipo cliente se está ejecutando Windows 2000 o una versión posterior de Windows y el equipo cliente ejecuta una operación de combinación no segura de dominio, siga los pasos de la sección "Solución" como una solución temporal.
  3. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows y no está seguro de que si el equipo cliente es realiza una operación de combinación no segura, examine el archivo %systemroot%\Debug\Netsetup.log. Si el equipo cliente está realizando una operación de combinación no segura, se registra información similar al siguiente:
    11/09/02: 21: 04 No se pudo validar la cuenta de equipo para ComputerName contra SPN_Name: 0xc0000388
    11/09/02: 21: 04 NetpJoinDomain: w9x: estado de validación de cuenta: 0x4f1
    Nota El servicio NETLOGON se ejecuta sólo en un equipo se une a un dominio.
  4. Si el equipo cliente no se está ejecutando Windows, siga estos pasos:
    1. Determinar qué controlador de dominio está procesando solicitudes de canal de seguridad.

      Nota Puede utilizar los registros de sucesos y registros de seguimiento para determinar el controlador de dominio.
    2. Asegúrese de que se inicie el servicio NETLOGON. Para ello, siga estos pasos:
      • Haga clic en Inicio, haga clic en Ejecutar, escriba Services.msc y, a continuación, haga clic en Aceptar.
      • En la consola servicios, asegúrese de que el estado para el servicio NETLOGON es iniciado.
      • Si no, el estado es iniciado, haga clic con el botón secundario del mouse en el servicio NETLOGON y, a continuación, haga clic en Inicio.
    3. Habilite el registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008 que procesa las solicitudes de canal de seguridad. Para ello, utilice uno de los métodos siguientes.

      Método 1
      1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
      2. En el símbolo del sistema, escriba el comando siguiente:
        Nltest.exe /DBFLAG:2000FFFF
      Nota Si no se ha iniciado el servicio NETLOGON, recibirá un mensaje de error "RPC_S_UNKNOWN_IF".

      Método 2

      Advertencia Pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar la solución de esos problemas. Modifique el Registro bajo su responsabilidad.
      1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
      2. Busque y haga clic con el botón secundario en la siguiente subclave del Registro:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Seleccione nuevo y, a continuación, haga clic en Valor de cadena.
      4. Escriba DBFLAG y, a continuación, haga doble clic en la entrada de registro DBFLAG.
      5. En el cuadro <a0>Editar cadena</a0>, escriba 2000FFFF en el cuadro información del valor.
      6. Salir del Editor del registro.
    4. Abra el archivo %systemroot%\Debug\Netlogon.log en el Bloc de notas y, a continuación, busquen mensaje de error siguientes:
      cliente ClientComputerName $ está solicitando criptográfico de NT4 y este servidor no lo permite.
    5. Si encuentra este mensaje de error, el equipo cliente utiliza algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0 para establecer un canal de seguridad en el controlador de dominio basado en Windows Server 2008.
    6. Deshabilite el registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008. Para ello, escriba el comando siguiente en el símbolo del sistema:
      Nltest.exe /DBFLAG:0

Referencias

Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio NETLOGON, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
109626Al habilitar el registro de depuración para el servicio Inicio de sesión de red

Para obtener más información acerca de la función NetJoinDomain, visite el siguiente sitio Web de Microsoft:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, acerca del rendimiento o confiabilidad de estos productos.

Propiedades

Id. de artículo: 942564 - Última revisión: viernes, 9 de abril de 2010 - Versión: 3.0
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palabras clave: 
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 942564

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com