Kun Windows NT 4.0 -tietokone yrittää muodostaa suojauskanavan toimialueen Windows Server 2008 -ohjauskoneeseen NETLOGON-palvelun avulla, toiminto saattaa epäonnistua

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 942564 - Näytä tuotteet, joita tämä artikkeli koskee.
Tärkeää Tässä artikkelissa käsitellään rekisterin muokkaamista. Muista varmuuskopioida rekisteri ennen sen muokkaamista. Varmista, että osaat palauttaa rekisterin, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta, palauttamisesta ja muokkaamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ssä ja Windows Server 2003:ssa
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Oire

Kun Windows NT 4.0 -tietokone yrittää muodostaa suojauskanavan toimialueen Windows Server 2008 -ohjauskoneeseen NETLOGON-palvelun avulla, toiminto saattaa epäonnistua. Laitteisto tai ohjelmisto ei välttämättä pysty muodostamaan suojauskanavaa toimialueen Windows Server 2008 -ohjauskoneeseen, jos laitteisto tai ohjelmisto käyttää Windows NT 4.0:ssa käytettyjä kryptografisia algoritmeja.

Tässä tilanteessa saattaa ilmetä seuraavia ongelmia.

Ongelma 1

Toimialueelle ei voi kirjautua Windows NT 4.0 -tietokoneesta, jota toimialueen Windows Server 2008 -ohjauskone palvelee. Näyttöön saattaa tulla jokin seuraavista virhesanomista sen mukaan, ovatko toimialueen kirjautumistilin tunnistetiedot Windows NT 4.0 -tietokoneen välimuistissa:

Virhesanoma 1
Et voi kirjautua järjestelmään, sillä toimialue Toimialueen Nimi ei ole käytettävissä.
Virhesanoma 2
Toimialueen ohjauskoneeseen ei saada yhteyttä. Olet kirjautuneena sisään käyttäen puskuroituja käyttäjätietoja. Viimeisimmän kirjautumisen jälkeen tehdyt profiilimuutokset eivät ehkä ole käytettävissä.

Ongelma 2

Windows NT 4.0 -toimialueiden ja Windows Server 2008 -toimialueiden välinen luottamussuhde ei välttämättä toimi. Saatat onnistua muodostamaan ensimmäisen luottamussuhteen onnistuneesti. Kun yrität vahvistaa luottamussuhteen käyttämällä MMC (Microsoft Management Console) -konsolin Domain.msc-laajennusta, vahvistus saattaa epäonnistua. Lisäksi näyttöön tulee seuraavankaltainen virhesanoma:
Toiminto epäonnistui, virhekoodi 317 (0x0000013d)

Ongelma 3

SAMBA SMB -asiakas ei pysty tekemään toimialueelle liittymistoimintoa toimialueen Windows Server 2008 -ohjauskoneelle. Vaihtoehtoisesti SAMBA Server Message Block (SMB) -asiakas ei pysty muodostamaan suojauskanavaa toimialueen Windows Server 2008 -ohjauskoneeseen.

Lisäksi suojauskanavapyynnön käsittelevä toimialueen Windows Server 2008 -ohjauskone palauttaa seuraavan virhekoodin:
Hex (Heksadesimaali): 0x4F1h
Decimal (Kymmenjärjestelmä): 1265
Symbolic Error (Symbolinen virhe): ERROR_DOWNGRADE_DETECTED
Short Error (Lyhyt virhe): "STATUS_DOWNGRADE_DETECTED"
Friendly Error: The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you. (Selkokielinen virhe: Järjestelmä havaitsi mahdollisen yrityksen murtaa tietoturva. Varmista, että pystyt ottamaan yhteyttä palvelimeen, joka todensi sinut.)
Huomautus STATUS_DOWNGRADE_DETECTED-virheellä on useita pääsyitä. Tämän vuoksi tämän virheen saaminen ei välttämättä tarkoita, että on ilmennyt ongelma 3.

Ongelma 4

SMB-tallennuslaite ei välttämättä pysty muodostamaan suojauskanavaa toimialueen Windows Server 2008 -ohjauskoneeseen heikkojen kryptografisten algoritmien avulla.

Huomautus SMB-tallennuslaitteita kutsutaan myös IP-tallennuslaitteiksi.

Todennuksen suorittavan toimialueen ohjauskoneen järjestelmälokiin kirjataan seuraavankaltaiset virheet:

Error 1 (Virhe 1)
Log Name: (Lokinimi:) System (Järjestelmä)
Source: (Lähde:) NETLOGON
Date: (Päivämäärä:) päivämäärä: aika
Event ID: (Tapahtuman tunnus:) 5805
Task Category: (Tehtävän luokka:) None (Ei mitään)
Level: (Taso:) Error (Virhe)
User: (Käyttäjä:) N/A (-)
Computer: (Tietokone:) TodennustoimialueenNimi
Description: (Kuvaus:) The session setup from the computer <asiakastietokone> failed to authenticate. (Istunnon asettamiselle koneelta asiakastietokone ei annettu oikeuksia.) The following error occurred: (Virhe:) Access is denied. (Käyttö estetty.)
HuomautusTodennustoimialueenNimi edustaa todennuksen suorittavan toimialueen ohjauskoneen nimeä.

Virhe 2
Log Name: (Lokinimi:) System (Järjestelmä)
Source: (Lähde:) NETLOGON
Date: (Päivämäärä:) Päivämäärä: Aika
Event ID: (Tapahtuman tunnus:) 5722
Task Category: (Tehtävän luokka:) None (Ei mitään)
Level: (Taso:) Error (Virhe)
Keywords: (Avainsanat:) Classic (Perinteinen)
User: (Käyttäjä:) N/A (-)
Computer: (Tietokone:) TodennustoimialueenNimi
Description: (Kuvaus:) The session setup from the computer AsiakastietokoneenNimi failed to authenticate. (Istunnon asettamiselle koneelta AsiakastietokoneenNimi ei annettu oikeuksia.) The name(s) of the account(s) referenced in the security database is AsiakastietokoneenNimi$. (Suojaustietokannassa viitatun tilin nimi on AsiakastietokoneenNimi$.) The following error occurred: (Virhe:) The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you. (Järjestelmä havaitsi mahdollisen yrityksen murtaa tietoturva. Varmista, että pystyt ottamaan yhteyttä palvelimeen, joka todensi sinut.)

Tällä hetkellä ongelma 4 ilmenee seuraavassa SMB-tallennuslaitteessa:
  • EMC Celerra
Ota yhteyttä laitteen valmistajaan ja selvitä, onko tämän ongelman korjaava päivitys saatavana.

Lisäksi et välttämättä pysty muodostamaan suojauskanavaa Hewlett-Packard (HP) Advanced Server for OpenVMS:stä toimialueen Windows Server 2008 -ohjauskoneeseen. Tarkemmin sanottuna toimialueen Windows Server 2008 -ohjauskone palauttaa OpenVMS NetrServerAuthenticate -pyynnölle seuraavan virhekoodin:
Hex (Heksadesimaali): 0x4F1h
Decimal (Kymmenjärjestelmä): 1265
Symbolic Error (Symbolinen virhe): ERROR_DOWNGRADE_DETECTED
Short Error (Lyhyt virhe): "STATUS_DOWNGRADE_DETECTED"
Friendly Error: The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you. (Selkokielinen virhe: Järjestelmä havaitsi mahdollisen yrityksen murtaa tietoturva. Varmista, että pystyt ottamaan yhteyttä palvelimeen, joka todensi sinut.)
Huomautus STATUS_DOWNGRADE_DETECTED-virheellä on useita pääsyitä. Tämän vuoksi tämän virheen saaminen ei välttämättä tarkoita, että on ilmennyt ongelma 4.

Syy

Tämä ongelma aiheutuu toimialueen Windows Server 2008 -ohjauskoneen Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytännön oletusarvon mukaisesta toiminnasta. Tämä käytäntö on määritetty estämään Windows-käyttöjärjestelmiä ja kolmannen osapuolen asiakkaita käyttämästä heikkoja kryptografisia algoritmeja muodostettaessa NETLOGON-suojauskanavia toimialueen Windows Server 2008 -ohjauskoneisiin.

Workaround

Voit kiertää tämän ongelman varmistamalla, että asiakastietokoneet käyttävät Windows Server 2008:n kanssa yhteensopivia kryptografisia algoritmeja. Saatat joutua pyytämään ohjelmistopäivityksiä tuotevalmistajilta.

Jos et pysty asentamaan ohjelmistopäivityksiä, koska siitä seuraa palvelun keskeytyminen, toimi seuraavasti:
  1. Kirjaudu toimialueen Windows Server 2008 -ohjauskoneeseen.
  2. Napsauta Start (Käynnistä) -painiketta, valitse Run (Suorita), kirjoita gpmc.msc ja valitse sitten OK.
  3. Laajenna Group Policy Management (Ryhmäkäytäntöjen hallinta) -konsolissa Forest: (Toimialuepuuryhmä:) ToimialueenNimi, laajenna ToimialueenNimi), laajenna Domain Controllers (toimialueen ohjauskoneet), napsauta hiiren kakkospainikkeella Default Domain Controllers Policy (Toimialueen ohjauskoneiden oletuskäytäntö) ja valitse sitten Edit (Muokkaa).
  4. Laajenna Group Policy Management Editor (Ryhmäkäytäntöjen hallintaeditori) -konsolissa Computer Configuration (Tietokoneasetukset), Policies (Käytännöt), Administrative Templates (Hallintamallit), System (Järjestelmä) ja Net Logon (Verkkokirjautuminen). Kaksoisnapsauta sitten Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit).
  5. Valitse Properties (Ominaisuudet) -valintaikkunassa Enabled (Käytössä) ja valitse sitten OK.

    Huomautuksia
    • Oletusarvon mukaan seuraavien ryhmäkäytäntöobjektien Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytännön asetus on Not Configured (Ei määritetty):
      • Default Domain Policy (Toimialueen oletuskäytäntö)
      • Default Domain Controllers Policy (Toimialueen ohjauskoneiden oletuskäytäntö)
      • Local Computer Policy (Paikallisen tietokoneen käytäntö)
      Oletusarvon mukaan toimialueen Windows Server 2008 -ohjauskoneiden Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytäntö estää ohjelmallisesti yhteyksiä käyttämästä Windows NT 4.0:ssa käytettyjä kryptografisia algoritmeja. Tämän vuoksi jäsentietokoneen tai toimialueen ohjauskoneen käytössä olevia käytäntöasetuksia luetteloivat työkalut eivät tunnista Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytäntöä, ellet eksplisiittisesti ota käytäntöä käyttöön tai poista sitä käytöstä.
    • Toimialueen Windows 2000 Server- ja Windows Server 2003 -ohjauskoneilla ei ole Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytäntöä. Tämän vuoksi toimialueen ohjauskoneet, joiden käyttöjärjestelmä on vanhempi kuin Windows Server 2008, hyväksyvät suojauskanavapyynnöt asiakastietokoneilta, vaikka asiakastietokoneet käyttävät Windows NT 4.0:ssa käytettyjä vanhoja kryptografisia algoritmeja. Jos toimialueen Windows Server 2008 -ohjauskoneet lähettävät suojauskanavapyyntöjä ajoittain, tulokset ovat epäyhtenäiset.
  6. Asenna ongelman korjaavat kolmannen osapuolen ohjelmistopäivitykset tai poista yhteensopimattomia kryptografisia algoritmeja käyttävät asiakastietokoneet.
  7. Toista vaiheet 1?4.
  8. Valitse Properties (Ominaisuudet) -valintaikkunassa Disabled (Poistettu käytöstä) ja valitse sitten OK.

    Tärkeää Tietoturvasyistä tämän käytännön asetukseksi pitää palauttaa Disabled (Poistettu käytöstä).

Tila

Tämä toiminta ei ole virhe.

Enemmän tietoa

Aiheeseen liittyvä ongelma tietokoneissa, joiden käyttöjärjestelmä on Windows 2000 tai Windowsin uudempi versio

Allow cryptography algorithms compatible with Windows NT 4.0 (Salli Windows NT 4.0:n kanssa yhteensopivat kryptografiset algoritmit) -käytäntö ei vaikuta asiakastietokoneiden, joiden käyttöjärjestelmä on Windows 2000 tai Windowsin uudempi versio, kykyyn muodostaa suojauskanavia toimialueen Windows Server 2008 -ohjauskoneisiin. Kun nämä asiakastietokoneet käyttävät NetJoinDomain-funktiota yhdessä NETSETUP_JOIN_UNSECURE-liittymisasetuksen kanssa toimialueen Windows Server 2008 -ohjauskoneelle, toimialueen ohjauskone kuitenkin palauttaa seuraavan virhekoodin:
Hex (Heksadesimaali): 0x4F1h
Decimal (Kymmenjärjestelmä): 1265
Symbolic Error (Symbolinen virhe): ERROR_DOWNGRADE_DETECTED
Short Error (Lyhyt virhe): "STATUS_DOWNGRADE_DETECTED"
Friendly Error: The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you. (Selkokielinen virhe: Järjestelmä havaitsi mahdollisen yrityksen murtaa tietoturva. Varmista, että pystyt ottamaan yhteyttä palvelimeen, joka todensi sinut.)
Tämä ongelma ilmenee, kun käytäntöasetus on Disabled (Poistettu käytöstä) tai Not Configured (Ei määritetty).

Huomautus STATUS_DOWNGRADE_DETECTED-virheellä on useita pääsyitä. Tämän vuoksi tämän virheen saaminen ei välttämättä tarkoita, että on ilmennyt tämä ongelma.

Tämä ongelma voi ilmetä tietokoneissa, joiden käyttöjärjestelmä on jokin seuraavista:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Windows Vistan julkaisuversio.
Huomautus Tämä ongelma ei koske tietokoneita, joiden käyttöjärjestelmä on Windows Vista Service Pack 1 (SP1) tai Windows Vistan uudempi versio.

NetJoinDomain-funktiota käytetään yhdessä NETSETUP_JOIN_UNSECURE-asetuksen kanssa seuraavissa tilanteissa. (Tätä funktiota käytetään myös muissa tilanteissa.)
  • Windows-käyttöjärjestelmä asennetaan Windows Deployment Services (WDS)- tai Remote Installation Services (RIS) -palveluiden avulla.
  • Teet Windows-käyttöjärjestelmän tietokonetilin siirtämisen Active Directory Migration Tool (ADMT) -työkalun avulla.
Microsoft tutkii tätä ongelmaa ja julkaisee lisätietoja tässä artikkelissa, kun tiedot ovat saatavana.

Näiden ongelmien vianmääritys

Kun et pysty muodostamaan suojauskanavaa asiakastietokoneesta toimialueen Windows Server 2008 -ohjauskoneeseen, tee ongelman vianmääritys seuraavasti:
  1. Jos asiakastietokoneen käyttöjärjestelmä on Windows NT 4.0, päivitä Windows NT 4.0 -käyttöjärjestelmä Windows 2000 -käyttöjärjestelmäksi tai uudemmaksi versioksi. Jos et pysty tekemään päivitystä, tee ongelman kiertämistä käsittelevässä osassa kuvatut toimet.
  2. Jos asiakastietokoneen käyttöjärjestelmä on Windows 2000 tai Windowsin uudempi versio ja asiakastietokone suorittaa suojaamattoman toimialueelle liittymisen toiminnon, tee ongelman kiertämistä käsittelevässä osassa kuvatut toimet.
  3. Jos asiakastietokoneen käyttöjärjestelmä on Windows 2000 tai Windowsin uudempi versio, etkä ole varma, suorittaako asiakastietokone suojaamattoman toimialueelle liittymisen toiminnon, tarkastele %systemroot%\Debug\Netsetup.log-tiedostoa. Jos asiakastietokone suorittaa suojaamattoman liittymisen toiminnon, seuraavankaltaiset tiedot on kirjattu:
    11/09 02:21:04 Failed to validate machine account for Tietokonenimi against SPN_Name: 0xc0000388 (9.11. 02:21:04 Kohteen Tietokonenimi vahvistaminen kohteen SPN-nimi kanssa ei onnistunut: 0xc0000388)
    11/09 02:21:04 NetpJoinDomain: w9x: status of validating account: 0x4f1 (9.11. 02:21:04 NetpJoinDomain: w9x: vahvistavan tilin tila: 0x4f1)
    Huomautus NETLOGON-palvelu suoritetaan vain tietokoneessa, joka liittyy toimialueelle.
  4. Jos asiakastietokoneen käyttöjärjestelmä ei ole Windows, toimi seuraavasti:
    1. Selvitä, mikä toimialueen ohjauskone käsittelee suojauskanavapyynnöt.

      Huomautus Voit selvittää toimialueen ohjauskoneen tapahtuma- ja jäljityslokien avulla.
    2. Varmista, että NETLOGON-palvelu on käynnistetty. Voit tehdä tämän seuraavasti:
      • Napsauta Start-painiketta, valitse Run, kirjoita Services.msc ja valitse sitten OK.
      • Varmista Palvelut-konsolissa, että NETLOGON-palvelun tila on Käynnistetty.
      • Jos tila ei ole Käynnistetty, napsauta NETLOGON-palvelua hiiren kakkospainikkeella ja valitse sitten Käynnistä.
    3. Ota NETLOGON-palvelun virheenkorjauksen kirjaaminen käyttöön toimialueen Windows Server 2008 -ohjauskoneessa, joka käsittelee suojauskanavapyynnöt. Voit tehdä tämän jollakin seuraavista tavoista:

      Tapa 1
      1. Napsauta Start (Käynnistä) -painiketta, valitse Run (Suorita), kirjoita tekstikenttään cmd ja valitse sitten OK.
      2. Kirjoita komentokehotteeseen seuraava komento:
        Nltest.exe /DBFLAG:2000FFFF
      Huomautus Jos NETLOGON-palvelua ei ole käynnistetty, näyttöön tulee RPC_S_UNKNOWN_IF-virhesanoma.

      Tapa 2

      Varoitus Vakavia ongelmia saattaa ilmetä, jos muokkaat rekisteriä virheellisesti Rekisterieditorilla tai jollakin muulla tavalla. Näiden ongelmien ilmetessä saatat joutua asentamaan käyttöjärjestelmäsi uudelleen. Microsoft ei takaa, että nämä ongelmat voidaan ratkaista. Muokkaat rekisteriä omalla vastuulla.
      1. Napsauta Start (Käynnistä) -painiketta, valitse Run (Suorita), kirjoita regedit ja valitse sitten OK.
      2. Etsi seuraava rekisterin aliavain ja valitse se:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Valitse New (Uusi) ja valitse sitten String Value (Merkkijonoarvo).
      4. Kirjoita DBFLAG ja kaksoisnapsauta sitten DBFLAG-rekisterimerkintää.
      5. Kirjoita Edit String (Muokkaa merkkijonoa) -kohdassa Value data (Arvon data) -ruutuun 2000FFFF.
      6. Sulje Registry Editor (Rekisterieditori).
    4. Avaa %systemroot%\Debug\Netlogon.log-tiedosto Notepadissa (Muistiossa) ja etsi sitten seuraavaa virhesanomaa:
      the client ClientComputerName$ is asking for NT4 crypto and this server disallows it. (asiakas AsiakastietokoneenNimi$ pyytää NT4-kryptografiaa, eikä tämä palvelin salli sitä.)
    5. Jos löydät tämän virhesanoman, asiakastietokone käyttää Windows NT 4.0:ssa käytettäviä vanhoja kryptografisia algoritmeja muodostaessaan suojauskanavan toimialueen Windows Server 2008 -ohjauskoneeseen.
    6. Poista NETLOGON-palvelun virheenkorjauksen kirjaaminen käytöstä toimialueen Windows Server 2008 -ohjauskoneessa. Voit tehdä tämän kirjoittamalla komentokehotteeseen seuraavan komennon:
      Nltest.exe /DBFLAG:0

Suositukset

Lisätietoja NETLOGON-palvelun virheenkorjauksen kirjaamisen ottamasta käyttöön saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
109626 Net Logon -palvelun virheenkorjauksen kirjaamisen ottaminen käyttöön (tämä artikkeli saattaa olla englanninkielinen)

Lisätietoja NetJoinDomain-funktiosta on seuraavassa Microsoftin verkkosivustossa:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
Tässä artikkelissa käsitellyt kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Microsoft ei anna näiden tuotteiden suorituskykyä tai luotettavuutta koskevaa takuuta.

Ominaisuudet

Artikkelin tunnus: 942564 - Viimeisin tarkistus: 22. huhtikuuta 2008 - Versio: 1.3
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Hakusanat: 
kbprb kbtshoot kbexpertiseadvanced KB942564

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com