Iniciar Sess�o

Select the product you need help with

Servi�o in�cio de sess�o de rede no Windows Server 2008 e em controladores de dom�nio do Windows Server 2008 R2 n�o permite a utiliza��o de algoritmos de criptografia mais antigos que s�o compat�veis com o Windows NT 4.0, por predefini��o

Artigo: 942564 - Ver produtos para os quais este artigo se aplica.

Ver isen��o de responsabilidades para tradu��o autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Importante Este artigo cont�m informa��es sobre como modificar o registo. Certifique-se que c�pias do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informa��es sobre como efectuar uma c�pia de seguran�a, restaurar e modificar o registo, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

322756

(http://support.microsoft.com/kb/322756/ )

Como efectuar uma c�pia de seguran�a e restaurar o registo no Windows

Expandir tudo | Reduzir tudo

Nesta p�gina

Sintomas

Nota Windows NT 4.0 � passado per�odo de ciclo de vida de suporte do Microsoft. Cen�rios que sejam relevantes para o Windows NT 4.0 n�o foram testados e n�o s�o suportados. As seguintes informa��es � apenas informativas e s�o fornecidas para facilitar uma transi��o f�cil do sistemas Windows NT 4.0. Para mais informa��es acerca do Microsoft pol�tica Ciclo de vida de suporte, visite o seguinte Web site da Microsoft:

http://support.microsoft.com/lifecycle

(http://support.microsoft.com/lifecycle)

Quando tenta utilizar o servi�o NETLOGON para estabelecer um canal de seguran�a para um controlador de dom�nio baseado no Windows Server 2008, a opera��o de um computador baseado no Windows NT 4.0 poder� falhar. Hardware ou software pode ser imposs�vel estabelecer um canal de seguran�a para um controlador de dom�nio baseado no Windows Server 2008 se o hardware ou software utiliza os algoritmos de criptografia que s�o utilizados no Windows NT 4.0.

Neste cen�rio, poder� detectar os sintomas seguintes.

Sintoma 1

N�o consegue iniciar sess�o dom�nio de um computador baseado no Windows NT 4.0 � assistido por um controlador de dom�nio baseado no Windows Server 2008. Dependendo se as credenciais da conta de in�cio de sess�o dom�nio s�o colocados em cache no computador baseado no Windows NT 4.0, poder� receber uma das seguintes mensagens de erro:

Mensagem de erro 1

O sistema n�o consegue iniciar a sua sess�o porque o dom�nio DomainName n�o est� dispon�vel.

Mensagem de erro 2

N�o foi poss�vel contactar um controlador de dom�nio para o dom�nio. Tenha sido iniciada sess�o utilizando informa��es de conta em cache. As altera��es ao seu perfil desde a �ltima vez que iniciou poder�o n�o estar dispon�veis.

Sintoma 2

Fidedignidades que existem entre dom�nios do Windows NT 4.0 e dom�nios do Windows Server 2008 poder�o n�o funcionar. Pode criar com �xito a fidedignidade inicial. No entanto, quando tenta validar a fidedignidade, utilizando o snap-in Consola Domain.msc de gest�o da Microsoft (MMC), a valida��o poder� falhar. Al�m disso, recebe a seguinte mensagem de erro:

A opera��o falhou com o c�digo de erro 317 (0x0000013d)

Sintoma 3

Um cliente SAMBA SMB n�o pode efectuar uma opera��o de associa��o de dom�nio para um controlador de dom�nio baseado no Windows Server 2008. Ou, um cliente SAMBA Server Message Block (SMB) n�o � poss�vel estabelecer um canal de seguran�a para um controlador de dom�nio baseado no Windows Server 2008.

Al�m disso, o controlador de dom�nio baseado no Windows Server 2008 que processa o pedido de canal de seguran�a devolve o c�digo de erro seguinte:

Hex: 0x4F1h
Decimal: 1265
Erro simb�lico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amig�vel: O sistema detectou uma tentativa poss�vel de comprometer a seguran�a. Certifique-se de que pode contactar o servidor que � autenticado.

Nota O erro "STATUS_DOWNGRADE_DETECTED" tem v�rias causas. Por conseguinte, este erro n�o indica necessariamente que ocorrerem sintoma 3.

Sintoma 4

Um dispositivo de armazenamento do SMB poder� n�o conseguir utilizar algoritmos de criptografia fraco para estabelecer um canal de seguran�a para um controlador de dom�nio baseado no Windows Server 2008.

Nota Dispositivos de armazenamento SMB tamb�m s�o conhecidas como dispositivos de armazenamento IP.

No controlador de dom�nio autentica��o, os seguintes erros s�o registados no registo do sistema:

Erro 1

Nome de registo: sistema
Origem: NETLOGON
Date: Date: Time
ID do evento: 5805
Categoria de tarefa: nenhum
N�vel: erro
Utilizador: N/d
Computador: AuDomainName
Descri��o: A configura��o de sess�o do computador < computador cliente > falhou a autentica��o. Ocorreu o seguinte erro: acesso negado.

NotaAuDomainName representa o nome do controlador de dom�nio de autentica��o.

Erro 2

Nome de registo: sistema
Origem: NETLOGON
Date: Date: Time
ID do evento: 5722
Categoria de tarefa: nenhum
N�vel: erro
Palavras-chave: cl�ssico
Utilizador: N/d
Computador: AuDomainName
Descri��o: A configura��o de sess�o do computador ClientComputerName falhou a autentica��o. Os nomes das contas referenciados na base de dados de seguran�a � ClientComputerName $. Ocorreu o seguinte erro: O sistema detectou uma tentativa poss�vel de comprometer a seguran�a. Certifique-se de que pode contactar o servidor que � autenticado.

Actualmente, poder� detectar sintoma 4 o seguinte dispositivo de armazenamento SMB:

CEM Celerra

Contacte o fornecedor do dispositivo para ver se est� dispon�vel uma actualiza��o para este problema.

Al�m disso, poder� ser imposs�vel estabelecer um canal de seguran�a do Hewlett-Packard (HP) Advanced Server para OpenVMS num controlador de dom�nio baseado no Windows Server 2008. Especificamente, o controlador de dom�nio baseado no Windows Server 2008 devolve o c�digo de erro seguintes ao pedido OpenVMS NetrServerAuthenticate:

Nota O erro "STATUS_DOWNGRADE_DETECTED" tem v�rias causas. Por conseguinte, este erro n�o indica necessariamente que ocorrerem sintoma 4.

Sintoma 5

Um controlador de dom�nio principal (PDC) do Windows NT 4.0 n�o � poss�vel criar uma fidedignidade externa entre ele pr�prio e um emulador PDC que esteja a executar o Windows Server 2008 R2. Servidores que executem o Windows Server 2008 R2 n�o podem ser acedidos utilizando uma fidedignidade de dom�nio baseado no Windows NT 4.0. Membros de Windows NT 4.0 num dom�nio baseado no Windows NT 4.0 tamb�m n�o � poss�vel aceder a controladores de dom�nio que estiverem a executar o Windows Server 2008 R2 utilizando uma fidedignidade. Este comportamento ocorre mesmo se a fidedignidade foi criada entre um PDC com o Windows NT 4.0 e um PDC que esteja a executar o Windows Server 2008 ou Windows Server 2003.

Os seguintes erros s�o registados no registo do sistema um PDC com o Windows NT 4.0 depois de criada a fidedignidade:

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5722
Data: <Date>
Hora: <Time>
Utilizador: N/d
Computador: <Computer name>
Descri��o: A configura��o de sess�o do computador <Computer name> falhou a autentica��o. O nome da conta referido na base de dados de seguran�a � <Database name>. Ocorreu o seguinte erro: acesso negado.

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5721
Data: <Date >
Hora: <Time>
Utilizador: N/d
Computador: <Computer name>
Descri��o: A configura��o de sess�o para o controlador de dom�nio do Windows NT <unknown>para o dom�nio<Database name> falhou porque o controlador de dom�nio do Windows NT n�o tem uma conta para o computador <Computer name>.

Os seguintes erros s�o registados no registo do sistema no PDC que esteja a executar o Windows Server 2008 R2 Depois de criada a fidedignidade:

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 3210
Data: <Date >
Hora: <Time>M
Utilizador: N/d
Computador: <Computer name>
Descri��o: Este computador n�o conseguiu autenticar com <Computer name>, um controlador de dom�nio do Windows para dom�nio <Domain>, e, por conseguinte, este computador pode negar pedidos de in�cio de sess�o. Esta impossibilidade para autenticar pode ser causada por outro computador na mesma rede utilizando o mesmo nome ou a palavra-passe para esta conta de computador n�o � reconhecida. Se esta mensagem aparecer novamente, contacte o administrador do sistema.

Quando tenta validar a fidedignidade utilizando Domain.msc, recebe a seguinte mensagem de erro:

"Verifica��o da fidedignidade entre o dom�nio southridgevideo e cpandl o dom�nio de n�o teve �xito porque: acesso negado. Para reparar uma fidedignidade de dom�nio anterior ao Windows 2000, ter� de remover e voltar a adicionar a fidedignidade em ambos os lados."

Utilizar um computador membro baseados no Windows NT 4.0 no dom�nio baseado no Windows NT 4.0 atrav�s de uma fidedignidade validada. Quando tenta aceder a um recurso que est� localizado num controlador de dom�nio que esteja a executar o Windows Server 2008 R2, recebe a seguinte mensagem de erro:

"A rela��o de fidedignidade entre o dom�nio prim�rio e o dom�nio fidedigno falhou."

Voltar ao topo | Submeter coment�rios

Causa

Este problema ocorre devido ao comportamento predefinido da pol�tica Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0 em controladores de dom�nio baseado no Windows Server 2008. Esta pol�tica est� configurada para impedir que sistemas operativos Windows e clientes de terceiros utilizando algoritmos de criptografia fraco para estabelecer canais de seguran�a NETLOGON para controladores de dom�nio baseado no Windows Server 2008.

Importante N�o n�o poss�vel criar Windows NT 4.0 fidedignidades entre dom�nios baseados no Windows Server 2008 R2 e dom�nios baseados no Windows NT 4.0. Os passos da solu��o alternativa documentadas neste artigo aplicam-se a apenas o Windows Server 2008. Altera��es de seguran�a no Windows Server 2008 R2 impedem uma fidedignidade entre dom�nios baseados no Windows Server 2008 R2 e dom�nios baseados no Windows NT 4.0. Este comportamento ocorre por predefini��o.

Voltar ao topo | Submeter coment�rios

Como contornar

Para contornar este problema, certifique-se de que computadores cliente utilizam os algoritmos de criptografia que s�o compat�veis com o Windows Server 2008. Poder� ter de pedir actualiza��es de software de fornecedores do produto.

Se n�o conseguir instalar actualiza��es de software porque ir� ocorrer uma falha de servi�o, siga estes passos:

Inicie sess�o no controlador de dom�nio baseado no Windows Server 2008.
Clique em Iniciar, clique em Executar, escreva gpmc.msc e, em seguida, clique em OK.
Na consola de Gest�o da pol�tica de grupo, expanda floresta: DomainName, expanda DomainName, expanda Controladores de dom�nio, clique com o bot�o direito do rato na Pol�tica predefinida de controladores de dom�nio e, em seguida, clique em Editar.
Na consola do Editor de gest�o de pol�tica de grupo, expanda Configura��o do computador, expanda pol�ticas, expanda Modelos administrativos, expanda sistema, clique em In�cio de sess�o de rede e, em seguida, fa�a duplo clique em Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0.
Na caixa de di�logo Propriedades, clique na op��o activado e, em seguida, clique em OK.

Notas
- Por predefini��o, a op��o <a0>N�o configurado � definida para a pol�tica Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0 os seguintes objectos de pol�tica de grupo (GPO):
  - Pol�tica predefinida de dom�nio
  - Pol�tica predefinida de controladores de dom�nio
  - Pol�tica de computador local
  Por predefini��o, o comportamento para a pol�tica Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0 em controladores de dom�nio baseado no Windows Server 2008 � programaticamente impedir liga��es a utiliza��o de algoritmos de criptografia que s�o utilizados no Windows NT 4.0. Por conseguinte, ferramentas que enumerar defini��es de pol�tica efectiva num computador membro ou num controlador de dom�nio n�o ir�o detectar a pol�tica Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0, a menos que explicitamente activar ou desactivar a pol�tica.
- Controladores de dom�nio baseados no Windows 2000 Server e controladores de dom�nio baseado no Windows Server 2003 n�o tem a pol�tica Permitir algoritmos de criptografia compat�veis com o Windows NT 4.0. Por conseguinte, os controladores de dom�nio anterior ao Windows Server 2008 aceitam pedidos de canal de seguran�a dos computadores cliente mesmo que os computadores cliente utilizam os algoritmos de criptografia antigo que s�o utilizados no Windows NT 4.0. Se os pedidos de canal de seguran�a intermitentemente forem processados por controladores de dom�nio baseado no Windows Server 2008, detectar� resultados inconsistentes.
Instalar actualiza��es de software de outros fabricantes que corrigir o problema ou remover computadores clientes que utilizam algoritmos de criptografia incompat�vel.
Repita os passos 1 a 4.
Na caixa de di�logo Propriedades, clique na op��o desactivado e, em seguida, clique em OK.

Importante Por raz�es de seguran�a, deve definir a op��o para esta pol�tica para desactivado.

Voltar ao topo | Submeter coment�rios

Ponto Da Situa��o

Este comportamento ocorre por predefini��o.

Voltar ao topo | Submeter coment�rios

Mais Informa��o

Um problema relacionado nos computadores que executam o Windows 2000 ou vers�es posteriores do Windows

A capacidade dos computadores clientes que estejam a executar o Windows 2000 ou vers�es posteriores do Windows para estabelecer canais de seguran�a para controladores de dom�nio baseado no Windows Server 2008 n�o ser�o afectados pela pol�tica de algoritmos de criptografia permitir compat�veis com o Windows NT 4.0. No entanto, quando estes computadores clientes utilizam a fun��o NetJoinDomain juntamente com a op��o de associa��o NETSETUP_JOIN_UNSECURE contra um controlador de dom�nio baseado no Windows Server 2008, o controlador de dom�nio devolve o seguinte c�digo de erro:

Este problema ocorre quando a defini��o de pol�tica estiver desactivada ou N�o configurada.

Nota O erro "STATUS_DOWNGRADE_DETECTED" tem v�rias causas. Por conseguinte, este erro n�o indica necessariamente que tenham este problema.

Poder� detectar este problema em computadores que executem os seguintes sistemas operativos:

O Windows 2000
Windows XP
Windows Server 2003
A vers�o do Windows Vista

Nota Computadores que executem o Windows Vista com Service Pack 1 (SP1) ou vers�es posteriores do Windows Vista n�o s�o afectados.

A fun��o NetJoinDomain � utilizada em conjunto com a op��o NETSETUP_JOIN_UNSECURE nos seguintes cen�rios. (Esta fun��o tamb�m � utilizada em cen�rios de outros.)

Utilizar servi�os de implementa��o do Windows (WDS) ou servi�os de instala��o remota (RIS) para instalar um sistema operativo Windows.
Utilize a ferramenta de migra��o do Active Directory (ADMT) para efectuar a migra��o de contas de computador de um sistema operativo Windows.

Seguinte pacote de correc��o pode ser aplicado a computadores que executem o Windows XP ou Windows Server 2003 para resolver este problema:

944043

(http://support.microsoft.com/kb/944043/ )

Descri��o do Windows Server 2008 dom�nio s� de leitura controlador pacote de compatibilidade para clientes do Windows Server 2003 e para os clientes do Windows XP e para Windows Vista

Voltar ao topo | Submeter coment�rios

Como resolver estes problemas

Quando n�o for poss�vel estabelecer um canal de seguran�a de um computador cliente para um controlador de dom�nio baseado no Windows Server 2008, siga estes passos para resolver o problema:

Se o computador cliente estiver a executar o Windows NT 4.0, actualiza o Windows NT 4.0 para o Windows 2000 ou vers�es posteriores. Se n�o conseguir efectuar a actualiza��o, siga os passos descritos na sec��o "Como contornar".
Se o computador cliente estiver a executar o Windows 2000 ou uma vers�o posterior do Windows e o computador cliente executa uma opera��o de ades�o a um dom�nio n�o segura, siga os passos na sec��o "Como contornar" como uma solu��o tempor�ria.
Se o computador cliente estiver a executar o Windows 2000 ou uma vers�o posterior do Windows e n�o tem a certeza se o computador cliente � efectua uma opera��o de associa��o n�o segura, examine o ficheiro %systemroot%\Debug\Netsetup.log. Se o computador cliente est� a efectuar uma opera��o de associa��o n�o segura, s�o registadas informa��es semelhantes �s seguintes:
11/09 N�o foi poss�vel validar a conta de computador para o ComputerName contra SPN_Name 21: 02: 04: 0xc0000388
11/09 21: 02: 04 NetpJoinDomain: w9x: Estado da conta a validar: 0x4f1
Nota O servi�o NETLOGON � executada apenas num computador que adere a um dom�nio.
Se o computador cliente n�o tem o Windows, siga estes passos:
1. Determine qual o controlador de dom�nio que est� a processar pedidos de canal de seguran�a.
  
  Nota Pode utilizar registos de eventos e registos de rastreio para determinar o controlador de dom�nio.
2. Certifique-se de que o servi�o NETLOGON � iniciado. Para tal, siga estes passos:
  - Clique em Iniciar, clique em Executar, escreva Services.msc e clique em OK.
  - Na consola de Servi�os, certifique-se de que o estado para o servi�o NETLOGON � iniciado.
  - Se o estado n�o for iniciado, clique com o bot�o direito do rato no servi�o NETLOGON e, em seguida, clique em Iniciar.
3. Active o registo de depura��o para o servi�o NETLOGON no controlador de dom�nio baseado no Windows Server 2008 que processa os pedidos de canal de seguran�a. Para tal, utilize um dos seguintes m�todos.
  
  M�todo 1
  1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
  2. Na linha de comandos, escreva o seguinte comando:
    /DBFLAG:2000FFFF Nltest.exe
  Nota Se o servi�o NETLOGON n�o tiver sido iniciado, receber� uma mensagem de erro "RPC_S_UNKNOWN_IF".
  
  M�todo 2
  
  Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro m�todo. Estes problemas poder�o for�ar a reinstala��o o sistema operativo. Microsoft n�o garante que estes problemas podem ser resolvidos. Modificar o registo por sua pr�pria conta e risco.
  1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
  2. Localize e clique com o bot�o direito do rato na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Aponte para Novo e, em seguida, clique em <a2>Valor da cadeia.
  4. Escreva DBFLAG e, em seguida, fa�a duplo clique na entrada de registo DBFLAG.
  5. Na caixa <a0>Editar cadeia</a0>, escreva 2000FFFF na caixa de dados do valor.
  6. Sair do Editor de registo.
4. Abra o ficheiro %systemroot%\Debug\Netlogon.log no bloco de notas e, em seguida, procure a seguinte mensagem de erro:
  o cliente ClientComputerName $ est� a pedir encripta��o NT4 e este servidor n�o permite.
5. Se encontrar esta mensagem de erro, o computador cliente est� a utilizar antigo algoritmos de criptografia que s�o utilizados no Windows NT 4.0 para estabelecer um canal de seguran�a para o controlador de dom�nio baseado no Windows Server 2008.
6. Desactive o registo de depura��o para o servi�o NETLOGON no controlador de dom�nio baseado no Windows Server 2008. Para o fazer, escreva o seguinte comando numa linha de comandos:
  /DBFLAG:0 Nltest.exe

Voltar ao topo | Submeter coment�rios

Refer�ncias

Para obter mais informa��es sobre como activar o registo de depura��o para o servi�o NETLOGON, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

109626

(http://support.microsoft.com/kb/109626/ )

Activar o registo de depura��o para o servi�o de in�cio de sess�o de rede

Para mais informa��es sobre a fun��o NetJoinDomain, visite o seguinte Web site da Microsoft:

http://msdn2.microsoft.com/En-US/library/aa370433.aspx

(http://msdn2.microsoft.com/En-US/library/aa370433.aspx)

Os produtos de outros fabricantes que este artigo aborda s�o fabricados por empresas independentes da Microsoft. A Microsoft n�o oferece nenhuma garantia, impl�cita ou outra, sobre o desempenho ou fiabilidade destes produtos.

Voltar ao topo | Submeter coment�rios

Propriedades

Artigo: 942564 - �ltima revis�o: sexta-feira, 9 de Abril de 2010 - Revis�o: 3.0

A informa��o contida neste artigo aplica-se a:

Windows Server 2008 Datacenter without Hyper-V
Windows Server 2008 Enterprise without Hyper-V
Windows Server 2008 for Itanium-Based Systems
Windows Server 2008 Standard without Hyper-V
Windows Server 2008 Datacenter
Windows Server 2008 Enterprise
Windows Server 2008 Standard
Windows Web Server 2008
Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Standard
Windows Web Server 2008 R2

kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine translation ou MT), n�o tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais. O objectivo � simples: oferecer em Portugu�s a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradu��o autom�tica n�o � sempre perfeita. Esta pode conter erros de vocabul�rio, sintaxe ou gram�tica? erros semelhantes aos que um estrangeiro realiza ao falar em Portugu�s. A Microsoft n�o � respons�vel por incoer�ncias, erros ou estragos realizados na sequ�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualiza��es frequentes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 942564

(http://support.microsoft.com/kb/942564/en-us/ )

Voltar ao topo | Submeter coment�rios