Logga in

Select the product you need help with

Ett f�rs�k att anv�nda NETLOGON-tj�nsten f�r att uppr�tta en s�kerhetskanal fr�n en dator med Windows NT 4.0 till en dom�nkontrollant med Windows Server 2008 misslyckas

Artikel-id: 942564 - Visa produkter som artikeln g�ller.

Viktigt! Den h�r artikeln inneh�ller information om hur du redigerar registret. S�kerhetskopiera registret innan du g�r n�gra �ndringar i det. Se till att du vet hur du �terst�ller registret om det uppst�r ett problem. Om du vill veta mer om hur du s�kerhetskopierar, �terst�ller och �ndrar registret klickar du p� f�ljande artikelnummer och l�ser artikeln i Microsoft Knowledge Base:

322756

(http://support.microsoft.com/kb/322756/ )

S�kerhetskopiera, redigera och �terst�lla registret i Windows XP och Windows Server 2003

Visa alla | D�lj alla

P� den h�r sidan

Symptom

N�r ett f�rs�k g�rs att anv�nda NETLOGON-tj�nsten f�r att uppr�tta en s�kerhetskanal fr�n en dator med Windows NT 4.0 till en dom�nkontrollant med Windows Server 2008 kan f�rs�ket misslyckas. Maskin- eller programvaran kan kanske inte uppr�tta en s�kerhetskanal till en dom�nkontrollant med Windows Server 2008, om krypteringsalgoritmerna fr�n Windows NT 4.0 anv�nds i maskin- eller programvaran.

I s� fall kan f�ljande intr�ffa:

Symptom 1

Det g�r inte att logga in p� en dom�n fr�n en dator med Windows NT 4.0 som betj�nas av en dom�nkontrollant med Windows Server 2008. Beroende p� om dom�ninloggningskontots referenser cachelagras p� datorn med Windows NT 4.0 eller inte, kan n�got av f�ljande felmeddelanden visas:

Felmeddelande 1

Du kan inte logga in nu eftersom dom�nen Dom�nnamn inte �r tillg�nglig.

Felmeddelande 2

Dom�nkontrollanten f�r den h�r dom�nen kunde inte n�s. Du �r inloggad med cache-lagrad kontoinformation. �ndringar i din senast anv�nda inloggningsprofil kanske inte �r tillg�ngliga.

Symptom 2

F�rtroenden mellan Windows NT 4.0-dom�ner och Windows Server 2008-dom�ner fungerar kanske inte. Du kanske kan skapa det f�rsta f�rtroendet, men n�r du sedan f�rs�ker verifiera det med hj�lp av MMC-snapin-modulen (Microsoft Management Console) Domain.msc misslyckas kanske verifieringen, och f�ljande felmeddelande visas:

�tg�rden misslyckades. Felkod: 317 (0x0000013d)

Symptom 3

En SAMBA-SMB-klient kan inte utf�ra en dom�nanslutnings�tg�rd till en dom�nkontrollant med Windows Server 2008, eller s� kan inte en SAMBA-SMB-klient (Server Message Block) uppr�tta en s�kerhetskanal till en dom�nkontrollant med Windows Server 2008.

Dessutom returnerar den dom�nkontrollant med Windows Server 2008 d�r s�kerhetskanalbeg�ran behandlas f�ljande felkod:

Hex: 0x4F1h
Decimal: 1265
///Symbolic Error///: ERROR_DOWNGRADE_DETECTED
///Short Error///: "STATUS_DOWNGRADE_DETECTED"
///Friendly Error///: Ett m�jligt f�rs�k att bryta datorns s�kerhet har uppt�ckts. Kontrollera att du kan kontakta den server som autentiserade dig.

Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker och inneb�r d�rf�r inte n�dv�ndigtvis att det r�r sig om symptom 3.

Symptom 4

Det g�r kanske inte att anv�nda svaga krypteringsalgoritmer p� en SMB-lagringsenhet f�r att uppr�tta en s�kerhetskanal till en dom�nkontrollant med Windows Server 2008.

Obs! SMB-lagringsenheter kallas �ven IP-lagringsenheter.

P� den autentiserande dom�nkontrollanten loggas f�ljande felmeddelanden i systemloggen:

Felmeddelande 1

Loggnamn: System
K�lla: NETLOGON
Datum: Datum: Tid
H�ndelse-ID: 5805
Aktivitetskategori: Ingen
Niv�: Fel
Anv�ndare: Saknas
Dator: Audom�nnamn
Beskrivning: Sessionen fr�n datorn >klientdator> kunde inte autentiseras. F�ljande fel uppstod: �tkomst nekad.

Obs! Audom�nnamn st�r f�r namnet p� den autentiserande dom�nkontrollanten.

Felmeddelande 2

Loggnamn: System
K�lla: NETLOGON
Datum: Datum: Tid
H�ndelse-ID: 5722
Aktivitetskategori: Ingen
Niv�: Fel
Nyckelord: Klassisk
Anv�ndare: Saknas
Dator: Audom�nnamn
Beskrivning: Sessionen fr�n datorn Klientdatornamn kunde inte autentiseras. Namnet/namnen p� kontot/kontona som refereras i s�kerhetsdatabasen �r Klientdatornamn$. F�ljande fel uppstod: Ett m�jligt f�rs�k att bryta datorns s�kerhet har uppt�ckts. Kontrollera att du kan kontakta den server som autentiserade dig.

F�r n�rvarande uppst�r symptom 4 p� f�ljande SMB-lagringsenhet:

EMC Celerra

Kontrollera leverant�ren av enheten och fr�ga om det finns en uppdatering f�r det h�r problemet.

Dessutom g�r det kanske inte att uppr�tta en s�kerhetskanal fr�n Hewlett-Packard (HP) Advanced Server for OpenVMS till en dom�nkontrollant med Windows Server 2008. Dom�nkontrollanten med Windows Server 2008 returnerar f�ljande felkod f�r OpenVMS NetrServerAuthenticate-beg�ran:

Hex: 0x4F1h
Decimal: 1265
///Symbolic Error:/// ERROR_DOWNGRADE_DETECTED
///Short Error:/// "STATUS_DOWNGRADE_DETECTED"
///Friendly Error:/// Ett m�jligt f�rs�k att bryta datorns s�kerhet har uppt�ckts. Kontrollera att du kan kontakta den server som autentiserade dig.

Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker, och detta felmeddelande inneb�r inte n�dv�ndigtvis att det r�r sig om symptom 4.

Tillbaka till b�rjan | Ge feedback

Orsak

Det h�r problemet beror p� standardfunktionen f�r principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0/// p� dom�nkontrollanter med Windows Server 2008. Denna princip �r konfigurerad f�r att f�rhindra att svaga krypteringsalgoritmer anv�nds i Windows-operativsystem och p� klienter fr�n andra tillverkare f�r att uppr�tta NETLOGON-s�kerhetskanaler till dom�nkontrollanter med Windows Server 2008.

Tillbaka till b�rjan | Ge feedback

Workaround

F�r att undvika det h�r problemet m�ste du se till att krypteringsalgoritmerna som �r kompatibla med Windows Server 2008 anv�nds p� klientdatorerna. Det kan h�nda att du m�ste beg�ra programuppdateringar fr�n produktleverant�rerna.

Om du inte kan installera programuppdateringar f�r att tj�nsten drabbas av driftst�rningar g�r du f�ljande:

Logga in p� en dom�nkontrollant med Windows Server 2008.
Klicka p� Start, K�r, skriv gpmc.msc och klicka p� OK.
G�r f�ljande i konsolen Grupprinciphantering: expandera Skog: Dom�nnamn, Dom�nnamn, Dom�nkontrollanter, h�gerklicka p� Standarddom�nkontrollantprincip och klicka p� Redigera.
G�r f�ljande i konsolen Redigeraren f�r grupprinciphantering: expandera Datorkonfiguration, Principer, Administrativa mallar, System, klicka p� Net Logon och dubbelklicka p� ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0///.
I dialogrutan Egenskaper klickar du p� alternativet Aktiverad och sedan p� OK.

Obs!
- Principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0/// har som standard v�rdet Inte konfigurerad i f�ljande grupprincipobjekt:
  - Standarddom�nprincip
  - Standarddom�nkontrollantprincip
  - Lokal datorprincip
  P� dom�nkontrollanter med Windows Server 2008 f�rhindrar principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0/// programm�ssigt som standard att krypteringsalgoritmer som anv�nds i Windows NT 4.0 anv�nds i anslutningar. I verktyg som r�knar upp g�llande principinst�llningar p� en medlemsdator eller dom�nkontrollant identifieras d�rf�r inte principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0/// om du inte uttryckligen aktiverar eller inaktiverar den.
- Dom�nkontrollanter med Windows 2000 Server eller Windows Server 2003 saknar principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0///. D�rf�r accepterar dom�nkontrollanter med tidigare operativsystem �n Windows Server 2008 s�kerhetskanalbeg�randen fr�n klientdatorer, �ven om de gamla krypteringsalgoritmerna fr�n Windows NT 4.0 anv�nds p� klientdatorerna. Om s�kerhetskanalbeg�randen ibland behandlas av dom�nkontrollanter med Windows Server 2008 f�r du inkonsekventa resultat.
Installera programuppdateringar fr�n andra f�retag som �tg�rdar problemet, eller ta bort klientdatorer d�r inkompatibla krypteringsalgoritmer anv�nds.
Upprepa steg 1 till och med 4.
I dialogrutan Egenskaper klickar du p� alternativet Inaktiverad och sedan p� OK.

Viktigt! Av s�kerhetssk�l b�r du �terst�lla alternativet f�r den h�r principen till Inaktiverad.

Tillbaka till b�rjan | Ge feedback

Status

Detta �r avsiktligt.

Tillbaka till b�rjan | Ge feedback

Mer Information

Ett n�rliggande problem p� datorer med Windows 2000 eller senare versioner av Windows

M�jligheten att uppr�tta s�kerhetskanaler till dom�nkontrollanter med Windows Server 2008 fr�n datorer med Windows 2000 eller senare versioner av Windows p�verkas inte av principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Till�t krypteringsalgoritmer som �r kompatibla med Windows NT 4.0///. N�r funktionen NetJoinDomain anv�nds p� dessa klientdatorer tillsammans med anslutningsalternativet NETSETUP_JOIN_UNSECURE mot en dom�nkontrollant med Windows Server 2008, returnerar dom�nkontrollanten emellertid f�ljande felkod:

Det h�r problemet uppst�r n�r principinst�llningen �r Inaktiverad eller Inte konfigurerad.

Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker, och inneb�r inte n�dv�ndigtvis att det r�r sig om detta problem.

Det h�r problemet kan uppst� p� datorer med f�ljande operativsystem:

Windows 2000
Windows XP
Windows Server 2003
Slutversionen av Windows Vista

Obs! Datorer med Windows Vista med Service Pack 1 (SP1) eller senare versioner av Windows Vista ber�rs inte.

NetJoinDomain-funktionen anv�nds tillsammans med alternativet NETSETUP_JOIN_UNSECURE i f�ljande fall. (Denna funktion anv�nds �ven i andra fall.)

Du anv�nder WDS (Windows Deployment Services) eller RIS (Remote Installation Services) f�r att installera ett Windows-operativsystem.
Du anv�nder ADMT (Active Directory Migration Tool) f�r migrering av anv�ndarkonton i ett Windows-operativsystem.

Microsoft unders�ker problemet och kommer att publicera mer information i den h�r artikeln n�r informationen blir tillg�nglig.

Tillbaka till b�rjan | Ge feedback

Fels�kning av de h�r problemen

N�r du inte kan uppr�tta en s�kerhetskanal fr�n en klientdator till en dom�nkontrollant med Windows Server 2008 fels�ker du problemet s� h�r:

Om Windows NT 4.0 k�rs p� klientdatorn uppgraderar du Windows NT 4.0 till Windows 2000 eller en senare version. Om du inte kan genomf�ra uppgraderingen f�ljer du instruktionerna i avsnittet "L�sning".
Om Windows 2000 eller en senare version av Windows anv�nds p� klientdatorn, och en os�krad dom�nanslutnings�tg�rd k�rs p� klientdatorn, f�ljer du instruktionerna i avsnittet "L�sning" som en tillf�llig l�sning.
Om Windows 2000 eller en senare version av Windows k�rs p� klientdatorn, och du inte vet om en os�krad anslutnings�tg�rd genomf�rs p� klientdatorn, granskar du loggfilen %systemroot%\Debug\Netsetup.log. Om en os�krad anslutnings�tg�rd genomf�rs p� klientdatorn loggas information av f�ljande slag:
11/09 02:21:04 Failed to validate machine account for Datornamn against SPN-namn: 0xc0000388
11/09 02:21:04 NetpJoinDomain: w9x: status of validating account: 0x4f1
Obs! Tj�nsten NETLOGON k�rs bara p� en dator som ansluter till en dom�n.
Om Windows inte k�rs p� klientdatorn g�r du s� h�r:
1. Ta reda p� vilken dom�nkontrollant som behandlar s�kerhetskanalbeg�randen.
  
  Obs! Du kan anv�nda h�ndelse- och sp�rningsloggar f�r att identifiera dom�nkontrollanten.
2. Se till att NETLOGON-tj�nsten �r startad. G�r s� h�r:
  - Klicka p� Start, K�r, skriv Services.msc och klicka p� OK.
  - I konsolen Tj�nster kontrollerar du att status f�r NETLOGON-tj�nsten �r Startad.
  - Om status inte �r Startad h�gerklickar du p� NETLOGON-tj�nsten och klickar sedan p� Starta.
3. Aktivera fels�kningsloggning f�r NETLOGON-tj�nsten p� dom�nkontrollanten med Windows Server 2008 som bearbetar s�kerhetskanalbeg�randen. Anv�nd n�gon av f�ljande metoder:
  
  Metod 1
  1. Klicka p� Start, K�r, skriv cmd och klicka p� OK.
  2. Skriv f�ljande kommando vid kommandotolken,
    Nltest.exe /DBFLAG:2000FFFF
  Obs! Om NETLOGON-tj�nsten inte �r startad visas felmeddelandet "RPC_S_UNKNOWN_IF".
  
  Metod 2
  
  Varning! Det kan uppst� allvarliga problem vid felaktiga �ndringar av registret med hj�lp av Registereditorn eller n�gon annan metod. De h�r problemen kan medf�ra att du m�ste installera om operativsystemet. Microsoft kan inte garantera att problemen kan l�sas. �ndra registret p� egen risk.
  1. Klicka p� Start, K�r, skriv regedit och klicka p� OK.
  2. Leta upp och klicka p� f�ljande registerundernyckel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. Peka p� Nytt och klicka p� Str�ngv�rde.
  4. Skriv DBFLAG och dubbelklicka p� registerposten DBFLAG.
  5. I rutan Redigera str�ng skriver du 2000FFFF i rutan Data.
  6. Avsluta Registereditorn.
4. �ppna filen %systemroot%\Debug\Netlogon.log i Anteckningar och leta upp f�ljande felmeddelande:
  the client klientdatornamn$ is asking for NT4 crypto and this server disallows it.
5. Om du hittar det h�r felmeddelandet anv�nds gamla krypteringsalgoritmer fr�n Windows NT 4.0 p� klientdatorn f�r att uppr�tta en s�kerhetskanal till dom�nkontrollanten med Windows Server 2008.
6. Inaktivera fels�kningsloggning f�r NETLOGON-tj�nsten p� dom�nkontrollanten med Windows Server 2008 genom att skriva f�ljande kommando vid en kommandotolk:
  Nltest.exe /DBFLAG:0

Tillbaka till b�rjan | Ge feedback

Referenser

Om du vill veta mer om hur du aktiverar fels�kningsloggning f�r NETLOGON-tj�nsten klickar du p� f�ljande artikelnummer och l�ser artikeln i Microsoft Knowledge Base:

109626

(http://support.microsoft.com/kb/109626/ )

Aktivera fels�kningsloggning f�r Net Logon-tj�nsten (L�nken kan leda till en webbplats som �r helt eller delvis p� engelska)

Mer information om NetJoinDomain-funktionen finns p� f�ljande Microsoft-webbplats:

http://msdn2.microsoft.com/En-US/library/aa370433.aspx

(http://msdn2.microsoft.com/En-US/library/aa370433.aspx)

De produkter fr�n andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillf�rlitlighet kan d�rf�r inte garanteras.

Tillbaka till b�rjan | Ge feedback