Når en Windows NT 4.0-basert datamaskin forsøker å bruke NETLOGON-tjenesten til å opprette en sikkerhetskanal til en Windows Server 2008-basert domenekontroller, kan operasjonen mislykkes

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 942564 - Vis produkter som denne artikkelen gjelder for.
Viktig!  Denne artikkelen inneholder informasjon om hvordan du endrer registret. Husk å ta sikkerhetskopi av registret før du endrer det. Du må vite hvordan du gjenoppretter registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer, gjenoppretter og endrer registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003
Vis alt | Skjul alt

På denne siden

Symptom

Når en Windows NT 4.0-basert datamaskin forsøker å bruke NETLOGON-tjenesten til å opprette en sikkerhetskanal til en Windows Server 2008-basert domenekontroller, kan operasjonen mislykkes. Maskin- eller programvare kan kanskje ikke opprette en sikkerhetskanal til en Windows Server 2008-basert domenekontroller hvis maskin- eller programvaren bruker kryptografialgoritmene som brukes i Windows NT 4.0.

I dette scenariet kan følgende symptomer oppstå.

Symptom 1

Du kan ikke logge på et domene fra en Windows NT 4.0-basert datamaskin som betjenes av en Windows Server 2008-basert domenekontroller. Avhengig av om legitimasjonen for domenepåloggingskontoen hurtigbufres på den Windows NT 4.0-baserte datamaskinen, kan du få en av følgende feilmeldinger:

Feilmelding 1
Systemet kan ikke logge deg på nå fordi domenet domenenavn ikke er tilgjengelig.
Feilmelding 2
A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on may not be available.

Symptom 2

Klareringer som eksisterer mellom Windows NT 4.0-domener og Windows Server 2008-domener, fungerer kanskje ikke. Det kan hende du kan opprette den første klareringen. Når du prøver å validere klareringen ved hjelp av snapin-modulen Domain.msc Microsoft Management Console (MMC), kan valideringen mislykkes. I tillegg får du følgende feilmelding:
Operasjonen mislyktes med feilkode 317 (0x0000013d)

Symptom 3

En SAMBA SMB-klient kan ikke utføre en domenetilkoblingsoperasjon til en Windows Server 2008-basert domenekontroller. Eller en SAMBA SMB-klient (SMB = servermeldingsblokk) kan ikke opprette en sikkerhetskanal til en Windows Server 2008-basert domenekontroller.

I tillegg returnerer den Windows Server 2008-baserte domenekontrolleren som behandler sikkerhetskanalforespørselen, følgende feilkode:
Hex: 0x4F1h
Decimal: 1265
Symbolic Error: ERROR_DOWNGRADE_DETECTED
Short Error: "STATUS_DOWNGRADE_DETECTED"
Friendly Error: Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
Obs!  Feilen "STATUS_DOWNGRADE_DETECTED" har flere rotårsaker. Denne feilen angir derfor ikke nødvendigvis at du opplever symptom 3.

Symptom 4

En SMB-lagringsenhet kan kanskje ikke bruke svake kryptografialgoritmer til å opprette en sikkerhetskanal til en Windows Server 2008-basert domenekontroller.

Obs!  SMB-lagringsenheter er også kjent som IP-lagringsenheter.

På godkjenningsdomenekontrolleren logges følgende feil i systemloggen:

Feil 1
Loggnavn: System
Kilde: NETLOGON
Dato: Dato: Klokkeslett
Hendelses-ID: 5805
Oppgavekategori: Ingen
Nivå: Feil
Bruker: Ikke tilgjengelig
Datamaskin: AuDomainName
Beskrivelse: Opprettelsen av økten fra <klientdatamaskin> ble ikke godkjent. Følgende feil oppstod: Ingen tilgang.
Obs!  AuDomainName representerer navnet på godkjenningsdomenekontrolleren.

Feil 2
Loggnavn: System
Kilde: NETLOGON
Dato: Dato: Klokkeslett
Hendelses-ID: 5722
Oppgavekategori: Ingen
Nivå: Feil
Nøkkelord: Klassisk
Bruker: Ikke tilgjengelig
Datamaskin: AuDomainName
Beskrivelse: Opprettelsen av økten fra klientdatamaskinnavn ble ikke godkjent. Kontoen(e) sikkerhetsdatabasen refererer til, er klientdatamaskinnavn. Følgende feil oppstod: Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.

For øyeblikket opplever du symptom 4 på følgende SMB-lagringsenhet:
  • EMC Celerra
Kontakt leverandøren av enheten for å høre om en oppdatering for problemet er tilgjengelig.

I tillegg kan du kanskje ikke opprette en sikkerhetskanal fra Hewlett-Packard (HP) Advanced Server for OpenVMS til en Windows Server 2008-basert domenekontroller. Den Windows Server 2008-baserte domenekontrolleren returnerer følgende feilkode til OpenVMS NetrServerAuthenticate-forespørselen:
Hex: 0x4F1h
Decimal: 1265
Symbolic Error: ERROR_DOWNGRADE_DETECTED
Short Error: "STATUS_DOWNGRADE_DETECTED"
Friendly Error: Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
Obs!  Feilen "STATUS_DOWNGRADE_DETECTED" har flere rotårsaker. Denne feilen angir derfor ikke nødvendigvis at du opplever symptom 4.

Årsak

Dette problemet oppstår på grunn av standardvirkemåten til policyen Allow cryptography algorithms compatible with Windows NT 4.0 på Windows Server 2008-baserte domenekontrollere. Denne policyen er konfigurert til å forhindre Windows-operativsystemer og tredjepartsklienter i å bruke svake kryptografialgoritmer til å opprette NETLOGON-sikkerhetskanaler til Windows Server 2008-baserte domenekontrollere.

Workaround

Hvis du vil omgå dette problemet, kontrollerer du at klientdatamaskiner bruker kryptografialgoritmene som er kompatible med Windows Server 2008. Det kan hende du må be om programvareoppdateringer fra produktleverandørene.

Hvis du ikke kan installere programvareoppdateringer fordi tjenesten ikke virker, følger du denne fremgangsmåten:
  1. Logg på en Windows Server 2008-basert domenekontroller.
  2. Klikk Start, klikk Kjør, skriv inn gpmc.msc, og klikk deretter OK.
  3. I konsollen Group Policy Management utvider du Forest: domenenavn, utvider domenenavn, utvider Domain Controllers, høyreklikker Default Domain Controllers Policy, og klikker deretter Edit.
  4. I konsollen Group Policy Management Editor utvider du Computer Configuration, utvider Policies, utvider Administrative Templates, utvider System, klikker Net Logon og dobbeltklikker deretter Allow cryptography algorithms compatible with Windows NT 4.0.
  5. I dialogboksen Properties klikker du alternativet Enabled og deretter OK.

    Obs! 
    • Som standard er alternativet Not Configured angitt for policyen Allow cryptography algorithms compatible with Windows NT 4.0 i følgende gruppepolicyobjekter (GPO):
      • Default Domain Policy
      • Default Domain Controllers Policy
      • Local Computer Policy
      Som standard er virkemåten for policyen Allow cryptography algorithms compatible with Windows NT 4.0 på Windows Server 2008-baserte domenekontrollere å forhindre tilkoblinger programmatisk fra å bruke kryptografialgoritmer som brukes i Windows NT 4.0. Verktøy som lister opp effektive policyinnstillinger på en medlemsdatamaskin eller på en domenekontroller, vil ikke gjenkjenne policyen Allow cryptography algorithms compatible with Windows NT 4.0 hvis du ikke eksplisitt aktiverer eller deaktiverer policyen.
    • Windows 2000 Server-baserte domenekontrollere og Windows Server 2003-baserte domenekontrollere har ikke policyen Allow cryptography algorithms compatible with Windows NT 4.0. Domenkontrollere som er eldre enn Windows Server 2008, godtar derfor sikkerhetskanalforespørsler fra klientdatamaskiner selv om klientdatamaskinene bruker de gamle kryptografialgoritmene som brukes i Windows NT 4.0. Hvis sikkerhetskanalforespørsler behandles midlertidig av Windows Server 2008-baserte domenekontrollere, vil du få inkonsekvente resultater.
  6. Installer programvareoppdateringer fra tredjepart som løser problemet, eller fjern klientdatamaskinene som bruker inkompatible kryptografialgoritmer.
  7. Gjenta trinn 1 til 4.
  8. I dialogboksen Properties klikker du alternativet Disabled og deretter OK.

    Viktig!  Av sikkerhetsgrunner bør du sette alternativet for denne policyen tilbake til Disabled.

Status

Dette er den ønskede virkemåten.

Mer informasjon

Et beslektet problem på datamaskiner som kjører Windows 2000 eller senere versjoner av Windows

Muligheten for klientdatamaskiner som kjører Windows 2000 eller senere versjoner av Windows, til å opprette sikkerhetskanaler til Windows Server 2008-baserte domenekontrollere påvirkes ikke av policyen Allow cryptography algorithms compatible with Windows NT 4.0. Når disse klientdatamaskinene bruker NetJoinDomain-funksjonen med tilkoblingsalternativet NETSETUP_JOIN_UNSECURE mot en Windows Server 2008-basert domenekontroller, returnerer imidlertid domenekontrolleren følgende feilkode:
Hex: 0x4F1h
Decimal: 1265
Symbolic Error: ERROR_DOWNGRADE_DETECTED
Short Error: "STATUS_DOWNGRADE_DETECTED"
Friendly Error: Systemet fant et mulig forsøk på å redusere sikkerheten. Kontroller at du kan kontakte serveren som godkjente deg.
Dette problemet oppstår når policyinnstillingen er Disabled eller Not Configured.

Obs!  Feilen "STATUS_DOWNGRADE_DETECTED" har flere rotårsaker. Denne feilen angir derfor ikke nødvendigvis at du opplever dette problemet.

Dette problemet kan oppstå på datamaskiner som kjører følgende operativsystemer:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Den endelige versjonen av Windows Vista
Obs!  Datamaskiner som kjører Windows Vista with Service Pack 1 (SP1) eller senere versjoner av Windows Vista, påvirkes ikke.

NetJoinDomain-funksjonen brukes sammen med alternativet NETSETUP_JOIN_UNSECURE i følgende scenarier. (Denne funksjonen brukes også i andre scenarier.)
  • Du bruker Windows Deployment Services (WDS) eller Remote Installation Services (RIS) til å installere et Windows-operativsystem.
  • Du bruker Active Directory migreringsverktøy (ADMT) til å utføre migrering av datamaskinkonto for et Windows-operativsystem.
Microsoft er i gang med å undersøke problemet og vil publisere mer informasjon i denne artikkelen etter hvert som den blir tilgjengelig.

Feilsøke disse problemene

Når du ikke kan opprette en sikkerhetskanal fra en klientdatamaskin til en Windows Server 2008-basert domenekontroller, følger du denne fremgangsmåten for å feilsøke problemet:
  1. Hvis klientdatamaskinen kjører Windows NT 4.0, oppgraderer du Windows NT 4.0 til Windows 2000 eller senere versjoner. Hvis du ikke kan utføre oppgraderingen, følger du fremgangsmåten i delen Løsning.
  2. Hvis klientdatamaskinen kjører Windows 2000 eller en senere versjon av Windows, og klientdatamaskinen kjører en usikker domenetilkoblingsoperasjon, følger du fremgangsmåten i delen Løsning som en midlertidig løsning.
  3. Hvis klientdatamaskinen kjører Windows 2000 eller en senere versjon av Windows, og du ikke er sikker på om klientdatamaskinen utfører en usikker tilkoblingsoperasjon, undersøker du filen %systemroot%\Debug\Netsetup.log. Hvis klientdatamaskinen utfører en usikker tilkoblingsoperasjon, logges informasjon som ligner på følgende:
    11/09 02:21:04 Failed to validate machine account for datamaskinnavn against SPN-navn: 0xc0000388
    11/09 02:21:04 NetpJoinDomain: w9x: status of validating account: 0x4f1
    Obs!  NETLOGON-tjenesten kjøres bare på en datamaskin som kobles til et domene.
  4. Hvis klientdatamaskinen ikke kjører Windows, følger du denne fremgangsmåten:
    1. Fastslå hvilken domenekontroller som behandler sikkerhetskanalforespørsler.

      Obs!  Du kan bruke hendelseslogger og sporingslogger til å fastslå domenekontrolleren.
    2. Kontroller at NETLOGON-tjenesten er startet. Når du skal gjøre dette, bruker du følgende fremgangsmåte:
      • Klikk Start, klikk Kjør, skriv inn Services.msc, og klikk deretter OK.
      • I Services-konsollen kontrollerer du at statusen for NETLOGON-tjenesten er Started.
      • Hvis statusen ikke er Started, høyreklikker du NETLOGON-tjenesten og klikker Start.
    3. Aktiver feilsøkingslogging for NETLOGON-tjenesten på den Windows Server 2008-baserte domenekontrolleren som behandler sikkerhetskanalforespørsler. Bruk en av følgende metoder for å gjøre dette.

      Metode 1
      1. Klikk Start, klikk Kjør, skriv inn cmd, og klikk deretter OK.
      2. Skriv inn følgende kommando ved ledeteksten:
        Nltest.exe /DBFLAG:2000FFFF
      Obs!  Hvis NETLOGON-tjenesten ikke er startet, får du en feilmelding av typen "RPC_S_UNKNOWN_IF".

      Metode 2

      Advarsel!  Det kan oppstå alvorlige problemer hvis du endrer registret på feil måte, enten ved hjelp av Registerredigering eller en annen metode. Disse problemene kan føre til at du må installere operativsystemet på nytt. Microsoft garanterer ikke at disse problemene kan løses. Registerendring skjer på eget ansvar.
      1. Klikk Start, klikk Kjør, skriv inn regedit, og klikk deretter OK.
      2. Finn og høyreklikk følgende registerundernøkkel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Pek på Ny, og klikk deretter Strengverdi.
      4. Skriv inn DBFLAG, og dobbeltklikk deretter DBFLAG-registeroppføringen.
      5. I boksen Rediger streng skriver du inn 2000FFFF i boksen Verdidata.
      6. Avslutt Registerredigering.
    4. Åpne filen %systemroot%\Debug\Netlogon.log i Notisblokk, og søk deretter etter følgende feilmelding:
      the client klientdatamaskinnavn$ is asking for NT4 crypto and this server disallows it.
    5. Hvis du finner denne feilmeldingen, bruker klientdatamaskinen gamle kryptografialgoritmer som brukes i Windows NT 4.0, til å opprette en sikkerhetskanal til den Windows Server 2008-baserte domenekontrolleren.
    6. Deaktiver feilsøkingslogging for NETLOGON-tjenesten på den Windows Server 2008-baserte domenekontrolleren. Dette gjør du ved å skrive inn følgende kommando ved en ledetekst:
      Nltest.exe /DBFLAG:0

Referanser

Hvis du vil ha mer informasjon om hvordan du aktiverer feilsøkingslogging for NETLOGON-tjenesten, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
109626 Aktivere feilsøkingslogging for Net Logon-tjenesten (denne artikkelen kan være på engelsk)

Hvis du vil ha mer informasjon om NetJoinDomain-funksjonen, kan du gå til følgende Microsoft-webområde:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
Tredjepartsproduktene som er omtalt i denne artikkelen, produseres av selskaper som er uavhengige av Microsoft. Microsoft gir ingen garantier, stilltiende eller på annen måte, om disse produktenes ytelse eller pålitelighet.

Egenskaper

Artikkel-ID: 942564 - Forrige gjennomgang: 25. april 2008 - Gjennomgang: 1.3
Informasjonen i denne artikkelen gjelder:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Nøkkelord: 
kbprb kbtshoot kbexpertiseadvanced KB942564

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com