Служба Netlogon на контроллерах домена Windows Server 2008 R2 и Windows Server 2008 не позволяет использовать старые криптографические алгоритмы, совместимые с Windows NT 4.0 по умолчанию

Переводы статьи Переводы статьи
Код статьи: 942564 - Vizualiza?i produsele pentru care se aplic? acest articol.
Важные Эта статья содержит сведения об изменении реестра. Убедитесь, что резервную копию реестра перед внесением изменений. Убедитесь, что знаете, как восстановить реестр в случае возникновения проблем. Для получения дополнительных сведений о том, как резервное копирование, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows
Развернуть все | Свернуть все

В этой статье

Проблема

Примечание Windows NT 4.0 это раньше, корпорация Майкрософт поддерживает период жизненного цикла. Сценарии, относящиеся к Windows NT 4.0 не проверялись и не поддерживаются. Следующая информация носит исключительно информационный характер и предоставляется для облегчения упрощает переход с системами Windows NT 4.0. Для получения дополнительных сведений о программе поддержки политики жизненного цикла, посетите следующий веб-узел корпорации Майкрософт:
http://support.Microsoft.com/Lifecycle
Может произойти сбой при попытке установить безопасный канал к контроллеру домена под управлением Windows Server 2008, операции с помощью службы NETLOGON компьютера под управлением Windows NT 4.0. Не удается установить безопасный канал к контроллеру домена под управлением Windows Server 2008, если оборудование или программное обеспечение использует алгоритмы шифрования, используемых в Windows NT 4.0 может быть оборудование или программное обеспечение.

В этом случае могут возникнуть следующие проблемы.

Случай 1

Не удается войти в домен с компьютера под управлением Windows NT 4.0, обслуживаемых контроллером домена под управлением Windows Server 2008. В зависимости от того, ли учетные данные входа в систему учетную запись домена, кэшируются на компьютере под управлением Windows NT 4.0 может появиться одно из следующих сообщений об ошибке:

Сообщение об ошибке 1
Невозможно подключение к системе сейчас так как домен Имя_домена не поддерживается.
Сообщение об ошибке 2
Не удается связаться с контроллером домена в домене. Вход выполнен с использованием кэшированных учетных записей. Изменения в свой профиль с момента последнего входа в систему могут оказаться недоступными.

Случай 2

Доверительные отношения между доменами Windows NT 4.0 и Windows Server 2008 доменов может не работать. Может успешно создать начальное доверия. Однако при попытке проверить доверие с помощью оснастки консоли управления (MMC) Domain.msc проверку не удастся. Кроме того появляется следующее сообщение об ошибке:
Операция завершилась с кодом ошибки 317 (0x0000013d)

Проблема 3

SAMBA SMB-клиент не может выполнить операции на контроллере домена под управлением Windows Server 2008. Или SAMBA блока сообщений сервера (SMB) клиент не сможет установить безопасный канал к контроллеру домена под управлением Windows Server 2008.

Кроме того контроллер домена под управлением Windows Server 2008, обрабатывающий запрос безопасности канала возвращает следующий код ошибки:
Hex: 0x4F1h
Десятичные: 1265
Символические ошибки: ERROR_DOWNGRADE_DETECTED
Короткий ошибка: «STATUS_DOWNGRADE_DETECTED»
Об ошибке: Система обнаружена попытка нарушения безопасности. Пожалуйста, убедитесь, что удается подключиться к серверу, который был выполнен вход.
Примечание Ошибка «status_downgrade_detected» имеет несколько причин. Таким образом, эта ошибка не означает обязательно при возникновении симптомов 3.

Случай 4

Устройство хранения данных SMB не удастся использовать слабые криптографические алгоритмы для установления безопасного канала с контроллером домена под управлением Windows Server 2008.

Примечание Устройства хранения данных SMB также называются IP устройств хранения данных.

На контроллере домена, выполняющем проверку подлинности в системном журнале регистрируются следующие сообщения об ошибках:

Ошибка 1
Регистрировать имя: система
Источник: NETLOGON
Дата: Дата: Время
КОД события: 5805
Категория задачи: нет
Уровень: ошибка
Пользователь: н/Д
Компьютер: AuDomainName
Описание: При установке сеанса компьютера <client computer=""> не удалось пройти проверку подлинности. Произошла следующая ошибка: отказано в.</client>
Примечание AuDomainName представляет имя проверяющего контроллера домена.

Ошибка 2
Регистрировать имя: система
Источник: NETLOGON
Дата: Дата: Время
КОД события: 5722
Категория задачи: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/Д
Компьютер: AuDomainName
Описание: При установке сеанса компьютера ClientComputerName не удалось пройти проверку подлинности. — Это имена учетных записей, на которые имеются ссылки в базе данных безопасности ClientComputerName$. Произошла следующая ошибка: система обнаружена попытка нарушения безопасности. Пожалуйста, убедитесь, что удается подключиться к серверу, который был выполнен вход.

В настоящее время проблема 4 на запоминающем устройстве SMB:
  • EMC Celerra
Обратитесь к поставщику устройства, чтобы узнать, доступно ли обновление для этой проблемы.

Кроме того возможно, не удается установить безопасный канал с сервера дополнительно Hewlett-Packard (HP) для OpenVMS для контроллера домена под управлением Windows Server 2008. В частности контроллер домена под управлением Windows Server 2008 возвращает код ошибки, следующий запрос OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Десятичные: 1265
Символические ошибки: ERROR_DOWNGRADE_DETECTED
Короткий ошибка: «STATUS_DOWNGRADE_DETECTED»
Об ошибке: Система обнаружена попытка нарушения безопасности. Пожалуйста, убедитесь, что удается подключиться к серверу, который был выполнен вход.
Примечание Ошибка «status_downgrade_detected» имеет несколько причин. Таким образом, эта ошибка не означает обязательно при возникновении симптомов 4.

Проблема 5

Windows NT 4.0 основной контроллер домена (PDC) не удалось создать внешнее доверие между собой и эмулятор основного контроллера ДОМЕНА под управлением Windows Server 2008 R2. Серверов, работающих под управлением Windows Server 2008 R2 не доступен с помощью доверия домена под управлением Windows NT 4.0. Элементов Windows NT 4.0 в домене под управлением Windows NT 4.0 также недоступны контроллеры домена под управлением Windows Server 2008 R2 с помощью доверительных отношений. Это происходит даже в том случае, если был создан доверие между основной контроллер ДОМЕНА под управлением Windows NT 4.0 и основной контроллер ДОМЕНА под управлением Windows Server 2008 или Windows Server 2003.

Следующие сообщения об ошибках заносятся в системный журнал на основном контроллере ДОМЕНА под управлением Windows NT 4.0 после создания отношения доверия:

Тип события: ошибка
Источник события: NETLOGON
Категория события: нет
КОД события: 5722
Дата: <date></date>
Время: <time></time>
Пользователь: н/Д
Компьютер: <computer name=""></computer>
Описание: Установка сеанса с компьютера <computer name=""></computer> не удалось пройти проверку подлинности. Имя учетной записи в базе данных безопасности <database name=""></database>. Произошла следующая ошибка: отказ в доступе.

Тип события: ошибка
Источник события: NETLOGON
Категория события: нет
КОД события: 5721
Дата: <date></date>
Время: <time></time>
Пользователь: н/Д
Компьютер: <computer name=""></computer>
Описание: Установка сеанса к контроллеру домена Windows NT <unknown> для домена<b00></b00></unknown><database name=""></database> Сбой контроллера домена Windows NT не имеет учетной записи компьютера <computer name=""></computer>.

Следующие сообщения об ошибках заносятся в системный журнал на основном контроллере ДОМЕНА под управлением Windows Server 2008 R2 после создания отношения доверия:

Тип события: ошибка
Источник события: NETLOGON
Категория события: нет
КОД события: 3210
Дата: <date></date>
Время: <time></time>M
Пользователь: н/Д
Компьютер: <computer name=""></computer>
Описание: Этот компьютер не может проверить подлинность с помощью <computer name=""></computer>, контроллере домена <domain></domain>, и поэтому этот компьютер может отклонять запросы на вход в систему. Неспособность проверить может быть вызвана с другого компьютера в той же сети, используя то же имя и пароль учетной записи этого компьютера не распознан. Если это сообщение появится снова, обратитесь к системному администратору.

При попытке проверить доверие с помощью Domain.msc, появляется следующее сообщение об ошибке:
"Не удалось выполнить проверку доверия между southridgevideo домена и домена cpandl так как: доступ запрещен. Чтобы восстановить доверие к домену пред-Windows 2000 необходимо удалить и повторно добавить отношение доверия с обеих сторон.»
Использовать компьютер под управлением Windows NT 4.0 в домене под управлением Windows NT 4.0 через проверенного доверия. При попытке получить доступ к ресурсу, который расположен на контроллере домена под управлением Windows Server 2008 R2, появляется следующее сообщение об ошибке:
«Ошибка доверительных отношений между основным доменом и доверенным доменом».

Причина

Данная проблема возникает из-за поведения по умолчанию Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики на контроллерах домена под управлением Windows Server 2008. Эта политика настроена для предотвращения использования слабых криптографические алгоритмы для установления канала безопасности NETLOGON на контроллерах домена под управлением Windows Server 2008 операционные системы Windows и клиенты сторонних.

Важные Невозможно создать доверительные отношения Windows NT 4.0 между под управлением Windows Server 2008 R2 доменов и доменов под управлением Windows NT 4.0. Эффекты действия, описанные далее в этой статье применимы только в Windows Server 2008. Изменения, введенные в Windows Server 2008 R2 не доверия между под управлением Windows Server 2008 R2 доменов и доменов под управлением Windows NT 4.0. Данное поведение является особенностью.

Временное решение

Чтобы обойти эту проблему, убедитесь, что клиентские компьютеры используют криптографические алгоритмы, совместимые с Windows Server 2008. Необходимо запрашивать обновления программного обеспечения от поставщиков продукции.

Если не удается установить обновления программного обеспечения так, как будет происходить сбой службы, выполните следующие действия.
  1. Войдите в систему на контроллере домена под управлением Windows Server 2008.
  2. Нажмите кнопку Начало, нажмите кнопку Запустить, тип GPMC.msc, а затем нажмите кнопку ОК.
  3. В Управление групповой политикой консоли, разверните узел Лес: Имя_домена, разверните узел Имя_домена, разверните узел Контроллеры домена, щелкните правой кнопкой мыши По умолчанию политика контроллеров домена, а затем нажмите кнопку Редактирование.
  4. В Редактор управления групповыми политиками консоли, разверните узел Конфигурация компьютера, разверните узел Политики, разверните узел Административные шаблоны, разверните узел Система, нажмите кнопку Сетевой вход в систему, а затем дважды щелкните значок Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0.
  5. В Свойства диалоговое окно, нажмите кнопку Включено параметр, а затем нажмите кнопку ОК.

    Заметки
    • По умолчанию Не задан параметр имеет значение Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики в следующих объектах групповой политики (GPO):
      • Политика домена по умолчанию
      • По умолчанию политика контроллеров домена
      • Политика локального компьютера
      По умолчанию поведение Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики на контроллерах домена под управлением Windows Server 2008 является программным способом предотвращения подключений с помощью криптографических алгоритмов, используемых в Windows NT 4.0. Таким образом, средства, перечисление параметров действующей политики на рядовом сервере или контроллере домена не может определить Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики, если только явным образом включить или отключить политику.
    • Контроллеры домена под управлением Windows 2000 Server и контроллеры домена под управлением Windows Server 2003 нет Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики. Таким образом контроллеры доменов пред-Windows Server 2008 принять безопасности канала запросов от клиентских компьютеров, даже если клиентские компьютеры используют старые алгоритмы шифрования, используемых в Windows NT 4.0. Если контроллеры домена под управлением Windows Server 2008 периодически обрабатываются запросы безопасности канала, будут испытывать противоречивые результаты.
  6. Установка обновления программного обеспечения независимых производителей, решить проблему или удалить клиентские компьютеры, использующие несовместимые криптографические алгоритмы.
  7. Повторите шаги с 1 по 4.
  8. В Свойства диалоговое окно, нажмите кнопку Отключено параметр, а затем нажмите кнопку ОК.

    Важные По соображениям безопасности следует установить параметр для этой политики к началу статьи Отключено.

Статус

Данное поведение является особенностью.

Дополнительная информация

Проблемы на компьютерах, работающих под управлением Windows 2000 или более поздних версиях Windows

Способность клиентских компьютеров, работающих под управлением Windows 2000 или более поздних версий Windows для установления канала безопасности на контроллерах домена под управлением Windows Server 2008 не повлияет Разрешить криптографические алгоритмы, совместимый с Windows NT 4.0 политики. Однако, когда эти клиентские компьютеры используют NetJoinDomain функция вместе с параметром NETSETUP_JOIN_UNSECURE соединения на контроллере домена под управлением Windows Server 2008, контроллер домена возвращает следующий код ошибки:
Hex: 0x4F1h
Десятичные: 1265
Символические ошибки: ERROR_DOWNGRADE_DETECTED
Короткий ошибка: «STATUS_DOWNGRADE_DETECTED»
Об ошибке: Система обнаружена попытка нарушения безопасности. Пожалуйста, убедитесь, что удается подключиться к серверу, который был выполнен вход.
Данная проблема возникает, если политика Отключено -или- Не задан.

Примечание Ошибка «status_downgrade_detected» имеет несколько причин. Таким образом, эта ошибка не означает обязательно возникают проблемы.

Могут возникнуть проблемы на компьютерах, работающих под управлением следующих операционных систем:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • В версии Windows Vista
Примечание Не влияет на компьютерах, работающих под управлением Windows Vista с пакетом обновления 1 (SP1) или более поздних версиях Windows Vista.

В NetJoinDomain функция используется совместно с параметром NETSETUP_JOIN_UNSECURE в следующих случаях. (Эта функция также используется в других сценариях).
  • Использовать службы развертывания Windows (WDS) или службы удаленной установки (RIS) для установки операционной системы Windows.
  • Используйте мастер миграции в Active Directory (ADMT) для выполнения миграции учетных записей компьютеров из операционной системы Windows.
Следующий пакет исправлений могут быть применены к компьютерам под управлением Windows XP или Windows Server 2003 для решения этой проблемы:
944043 Описание Windows Server 2008 домена только для чтения контроллер пакета обеспечения совместимости для клиентов Windows Server 2003 и для клиентов Windows XP и Windows Vista

Способы устранения этих проблем

Если не удается установить безопасный канал с клиентского компьютера для контроллера домена под управлением Windows Server 2008, выполните следующие действия для устранения неполадок.
  1. Если клиентский компьютер работает под управлением Windows NT 4.0, обновления Windows NT 4.0 до Windows 2000 или более поздней версии. Если не удается выполнить обновление, выполните действия, описанные в разделе «Временное решение».
  2. Если клиентском компьютере Windows 2000 или более поздней версии Windows, и клиентский компьютер выполняет операции join незащищенной домена, выполните действия, описанные в разделе «Временное решение» в качестве временного решения.
  3. Если на клиентском компьютере Windows 2000 или более поздней версии Windows, и вы не Конечно, является ли клиентский компьютер выполняет операции небезопасные соединения, просмотрите файл %systemroot%\Debug\Netsetup.log. Если клиентский компьютер выполняет операцию небезопасного соединения, регистрируется информация следующего вида:
    11/09 02: 21: 04 Не удалось проверить учетную запись Имя_компьютера соответствиеSPN_Name: 0xc0000388
    11/09 02: 21: 04 NetpJoinDomain: безопасности: состояние проверки учетной записи: 0x4f1
    Примечание Служба NETLOGON запускается только на компьютере, который присоединяется к домену.
  4. Если клиентский компьютер не работает под управлением Windows, выполните следующие действия.
    1. Определите, какой контроллер домена обрабатывает запросы безопасности канала.

      Примечание Определяет контроллер домена, можно использовать журналы событий и журналы трассировки.
    2. Убедитесь, что запущена служба входа в сеть. Чтобы сделать это, выполните следующие действия.
      • Нажмите кнопку Начало, нажмите кнопку Запустить, тип Services.msc, а затем нажмите кнопку ОК.
      • В Службы консоли, убедитесь, что состояние службы входа в сеть Запущена.
      • Если состояние не равно Запущена, щелкните правой кнопкой мыши NETLOGON Служба, а затем нажмите кнопку Начало.
    3. Включите ведение журнала отладки для службы NETLOGON на контроллере домена под управлением Windows Server 2008, который обрабатывает запросы безопасности канала. Для этого воспользуйтесь одним из следующих методов.

      Способ 1
      1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd, а затем нажмите кнопку ОК.
      2. В командной строке введите следующую команду:
        Nltest.exe /DBFLAG:2000FFFF
      Примечание Если служба NETLOGON не запущена, появляется сообщение об ошибке «rpc_s_unknown_if».

      Способ 2

      Предупреждение При неправильном изменении реестра с помощью редактора реестра или иным способом могут возникнуть серьезные проблемы. Эти проблемы могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует эти проблемы. Изменения в реестр на ваш собственный риск.
      1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
      2. Найдите и щелкните правой кнопкой мыши следующий подраздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Выберите пункт Новый, а затем нажмите кнопку Строковое значение.
      4. Тип DBFLAG, а затем дважды щелкните значок DBFLAG запись реестра.
      5. В Изменение строки поле типа 2000FFFF В диалоговом окне Значение данных поле.
      6. Закройте редактор реестра.
    4. Откройте файл %systemroot%\Debug\Netlogon.log в блокноте, а затем найти следующее сообщение об ошибке:
      Клиент ClientComputerName$ просит NT4 crypto и этот сервер запрещает его.
    5. Если это сообщение об ошибке, клиентский компьютер использует старые алгоритмы шифрования, используемых в Windows NT 4.0 для установления безопасного канала с контроллером домена под управлением Windows Server 2008.
    6. Отключите ведение журнала отладки для службы NETLOGON на контроллере домена под управлением Windows Server 2008. Для этого введите следующую команду в командной строке:
      Nltest.exe /DBFLAG:0

Ссылки

Для получения дополнительных сведений о включении ведения журнала службы NETLOGON для отладки щелкните следующий номер статьи базы знаний Майкрософт:
109626Ведение журнала отладки для службы сетевого входа в систему

Для получения дополнительных сведений о NetJoinDomain функции, посетите следующий веб-узел корпорации Майкрософт:
http://msdn2.Microsoft.com/en-us/library/aa370433.aspx
Продукты независимых производителей, обсуждаемые в данной статье, производятся компаниями, независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает явных или подразумеваемых, относительно производительности или надежности этих продуктов.

Свойства

Код статьи: 942564 - Последний отзыв: 11 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Ключевые слова: 
kbprb kbtshoot kbexpertiseadvanced kbmt KB942564 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:942564

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com