Ett försök att använda NETLOGON-tjänsten för att upprätta en säkerhetskanal från en dator med Windows NT 4.0 till en domänkontrollant med Windows Server 2008 misslyckas

Artikelöversättning Artikelöversättning
Artikel-id: 942564 - Visa produkter som artikeln gäller.
Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Säkerhetskopiera registret innan du gör några ändringar i det. Se till att du vet hur du återställer registret om det uppstår ett problem. Om du vill veta mer om hur du säkerhetskopierar, återställer och ändrar registret klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera, redigera och återställa registret i Windows XP och Windows Server 2003
Visa alla | Dölj alla

På den här sidan

Symptom

När ett försök görs att använda NETLOGON-tjänsten för att upprätta en säkerhetskanal från en dator med Windows NT 4.0 till en domänkontrollant med Windows Server 2008 kan försöket misslyckas. Maskin- eller programvaran kan kanske inte upprätta en säkerhetskanal till en domänkontrollant med Windows Server 2008, om krypteringsalgoritmerna från Windows NT 4.0 används i maskin- eller programvaran.

I så fall kan följande inträffa:

Symptom 1

Det går inte att logga in på en domän från en dator med Windows NT 4.0 som betjänas av en domänkontrollant med Windows Server 2008. Beroende på om domäninloggningskontots referenser cachelagras på datorn med Windows NT 4.0 eller inte, kan något av följande felmeddelanden visas:

Felmeddelande 1
Du kan inte logga in nu eftersom domänen Domännamn inte är tillgänglig.
Felmeddelande 2
Domänkontrollanten för den här domänen kunde inte nås. Du är inloggad med cache-lagrad kontoinformation. Ändringar i din senast använda inloggningsprofil kanske inte är tillgängliga.

Symptom 2

Förtroenden mellan Windows NT 4.0-domäner och Windows Server 2008-domäner fungerar kanske inte. Du kanske kan skapa det första förtroendet, men när du sedan försöker verifiera det med hjälp av MMC-snapin-modulen (Microsoft Management Console) Domain.msc misslyckas kanske verifieringen, och följande felmeddelande visas:
Åtgärden misslyckades. Felkod: 317 (0x0000013d)

Symptom 3

En SAMBA-SMB-klient kan inte utföra en domänanslutningsåtgärd till en domänkontrollant med Windows Server 2008, eller så kan inte en SAMBA-SMB-klient (Server Message Block) upprätta en säkerhetskanal till en domänkontrollant med Windows Server 2008.

Dessutom returnerar den domänkontrollant med Windows Server 2008 där säkerhetskanalbegäran behandlas följande felkod:
Hex: 0x4F1h
Decimal: 1265
///Symbolic Error///: ERROR_DOWNGRADE_DETECTED
///Short Error///: "STATUS_DOWNGRADE_DETECTED"
///Friendly Error///: Ett möjligt försök att bryta datorns säkerhet har upptäckts. Kontrollera att du kan kontakta den server som autentiserade dig.
Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker och innebär därför inte nödvändigtvis att det rör sig om symptom 3.

Symptom 4

Det går kanske inte att använda svaga krypteringsalgoritmer på en SMB-lagringsenhet för att upprätta en säkerhetskanal till en domänkontrollant med Windows Server 2008.

Obs! SMB-lagringsenheter kallas även IP-lagringsenheter.

På den autentiserande domänkontrollanten loggas följande felmeddelanden i systemloggen:

Felmeddelande 1
Loggnamn: System
Källa: NETLOGON
Datum: Datum: Tid
Händelse-ID: 5805
Aktivitetskategori: Ingen
Nivå: Fel
Användare: Saknas
Dator: Audomännamn
Beskrivning: Sessionen från datorn >klientdator> kunde inte autentiseras. Följande fel uppstod: Åtkomst nekad.
Obs! Audomännamn står för namnet på den autentiserande domänkontrollanten.

Felmeddelande 2
Loggnamn: System
Källa: NETLOGON
Datum: Datum: Tid
Händelse-ID: 5722
Aktivitetskategori: Ingen
Nivå: Fel
Nyckelord: Klassisk
Användare: Saknas
Dator: Audomännamn
Beskrivning: Sessionen från datorn Klientdatornamn kunde inte autentiseras. Namnet/namnen på kontot/kontona som refereras i säkerhetsdatabasen är Klientdatornamn$. Följande fel uppstod: Ett möjligt försök att bryta datorns säkerhet har upptäckts. Kontrollera att du kan kontakta den server som autentiserade dig.

För närvarande uppstår symptom 4 på följande SMB-lagringsenhet:
  • EMC Celerra
Kontrollera leverantören av enheten och fråga om det finns en uppdatering för det här problemet.

Dessutom går det kanske inte att upprätta en säkerhetskanal från Hewlett-Packard (HP) Advanced Server for OpenVMS till en domänkontrollant med Windows Server 2008. Domänkontrollanten med Windows Server 2008 returnerar följande felkod för OpenVMS NetrServerAuthenticate-begäran:
Hex: 0x4F1h
Decimal: 1265
///Symbolic Error:/// ERROR_DOWNGRADE_DETECTED
///Short Error:/// "STATUS_DOWNGRADE_DETECTED"
///Friendly Error:/// Ett möjligt försök att bryta datorns säkerhet har upptäckts. Kontrollera att du kan kontakta den server som autentiserade dig.
Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker, och detta felmeddelande innebär inte nödvändigtvis att det rör sig om symptom 4.

Orsak

Det här problemet beror på standardfunktionen för principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0/// på domänkontrollanter med Windows Server 2008. Denna princip är konfigurerad för att förhindra att svaga krypteringsalgoritmer används i Windows-operativsystem och på klienter från andra tillverkare för att upprätta NETLOGON-säkerhetskanaler till domänkontrollanter med Windows Server 2008.

Workaround

För att undvika det här problemet måste du se till att krypteringsalgoritmerna som är kompatibla med Windows Server 2008 används på klientdatorerna. Det kan hända att du måste begära programuppdateringar från produktleverantörerna.

Om du inte kan installera programuppdateringar för att tjänsten drabbas av driftstörningar gör du följande:
  1. Logga in på en domänkontrollant med Windows Server 2008.
  2. Klicka på Start, Kör, skriv gpmc.msc och klicka på OK.
  3. Gör följande i konsolen Grupprinciphantering: expandera Skog: Domännamn, Domännamn, Domänkontrollanter, högerklicka på Standarddomänkontrollantprincip och klicka på Redigera.
  4. Gör följande i konsolen Redigeraren för grupprinciphantering: expandera Datorkonfiguration, Principer, Administrativa mallar, System, klicka på Net Logon och dubbelklicka på ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0///.
  5. I dialogrutan Egenskaper klickar du på alternativet Aktiverad och sedan på OK.

    Obs!
    • Principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0/// har som standard värdet Inte konfigurerad i följande grupprincipobjekt:
      • Standarddomänprincip
      • Standarddomänkontrollantprincip
      • Lokal datorprincip
      På domänkontrollanter med Windows Server 2008 förhindrar principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0/// programmässigt som standard att krypteringsalgoritmer som används i Windows NT 4.0 används i anslutningar. I verktyg som räknar upp gällande principinställningar på en medlemsdator eller domänkontrollant identifieras därför inte principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0/// om du inte uttryckligen aktiverar eller inaktiverar den.
    • Domänkontrollanter med Windows 2000 Server eller Windows Server 2003 saknar principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0///. Därför accepterar domänkontrollanter med tidigare operativsystem än Windows Server 2008 säkerhetskanalbegäranden från klientdatorer, även om de gamla krypteringsalgoritmerna från Windows NT 4.0 används på klientdatorerna. Om säkerhetskanalbegäranden ibland behandlas av domänkontrollanter med Windows Server 2008 får du inkonsekventa resultat.
  6. Installera programuppdateringar från andra företag som åtgärdar problemet, eller ta bort klientdatorer där inkompatibla krypteringsalgoritmer används.
  7. Upprepa steg 1 till och med 4.
  8. I dialogrutan Egenskaper klickar du på alternativet Inaktiverad och sedan på OK.

    Viktigt! Av säkerhetsskäl bör du återställa alternativet för den här principen till Inaktiverad.

Status

Detta är avsiktligt.

Mer Information

Ett närliggande problem på datorer med Windows 2000 eller senare versioner av Windows

Möjligheten att upprätta säkerhetskanaler till domänkontrollanter med Windows Server 2008 från datorer med Windows 2000 eller senare versioner av Windows påverkas inte av principen ///Allow cryptography algorithms compatible with Windows NT 4.0//Tillåt krypteringsalgoritmer som är kompatibla med Windows NT 4.0///. När funktionen NetJoinDomain används på dessa klientdatorer tillsammans med anslutningsalternativet NETSETUP_JOIN_UNSECURE mot en domänkontrollant med Windows Server 2008, returnerar domänkontrollanten emellertid följande felkod:
Hex: 0x4F1h
Decimal: 1265
///Symbolic Error:/// ERROR_DOWNGRADE_DETECTED
///Short Error:/// "STATUS_DOWNGRADE_DETECTED"
///Friendly Error:/// Ett möjligt försök att bryta datorns säkerhet har upptäckts. Kontrollera att du kan kontakta den server som autentiserade dig.
Det här problemet uppstår när principinställningen är Inaktiverad eller Inte konfigurerad.

Obs! Felet "STATUS_DOWNGRADE_DETECTED" har flera grundorsaker, och innebär inte nödvändigtvis att det rör sig om detta problem.

Det här problemet kan uppstå på datorer med följande operativsystem:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Slutversionen av Windows Vista
Obs! Datorer med Windows Vista med Service Pack 1 (SP1) eller senare versioner av Windows Vista berörs inte.

NetJoinDomain-funktionen används tillsammans med alternativet NETSETUP_JOIN_UNSECURE i följande fall. (Denna funktion används även i andra fall.)
  • Du använder WDS (Windows Deployment Services) eller RIS (Remote Installation Services) för att installera ett Windows-operativsystem.
  • Du använder ADMT (Active Directory Migration Tool) för migrering av användarkonton i ett Windows-operativsystem.
Microsoft undersöker problemet och kommer att publicera mer information i den här artikeln när informationen blir tillgänglig.

Felsökning av de här problemen

När du inte kan upprätta en säkerhetskanal från en klientdator till en domänkontrollant med Windows Server 2008 felsöker du problemet så här:
  1. Om Windows NT 4.0 körs på klientdatorn uppgraderar du Windows NT 4.0 till Windows 2000 eller en senare version. Om du inte kan genomföra uppgraderingen följer du instruktionerna i avsnittet "Lösning".
  2. Om Windows 2000 eller en senare version av Windows används på klientdatorn, och en osäkrad domänanslutningsåtgärd körs på klientdatorn, följer du instruktionerna i avsnittet "Lösning" som en tillfällig lösning.
  3. Om Windows 2000 eller en senare version av Windows körs på klientdatorn, och du inte vet om en osäkrad anslutningsåtgärd genomförs på klientdatorn, granskar du loggfilen %systemroot%\Debug\Netsetup.log. Om en osäkrad anslutningsåtgärd genomförs på klientdatorn loggas information av följande slag:
    11/09 02:21:04 Failed to validate machine account for Datornamn against SPN-namn: 0xc0000388
    11/09 02:21:04 NetpJoinDomain: w9x: status of validating account: 0x4f1
    Obs! Tjänsten NETLOGON körs bara på en dator som ansluter till en domän.
  4. Om Windows inte körs på klientdatorn gör du så här:
    1. Ta reda på vilken domänkontrollant som behandlar säkerhetskanalbegäranden.

      Obs! Du kan använda händelse- och spårningsloggar för att identifiera domänkontrollanten.
    2. Se till att NETLOGON-tjänsten är startad. Gör så här:
      • Klicka på Start, Kör, skriv Services.msc och klicka på OK.
      • I konsolen Tjänster kontrollerar du att status för NETLOGON-tjänsten är Startad.
      • Om status inte är Startad högerklickar du på NETLOGON-tjänsten och klickar sedan på Starta.
    3. Aktivera felsökningsloggning för NETLOGON-tjänsten på domänkontrollanten med Windows Server 2008 som bearbetar säkerhetskanalbegäranden. Använd någon av följande metoder:

      Metod 1
      1. Klicka på Start, Kör, skriv cmd och klicka på OK.
      2. Skriv följande kommando vid kommandotolken,
        Nltest.exe /DBFLAG:2000FFFF
      Obs! Om NETLOGON-tjänsten inte är startad visas felmeddelandet "RPC_S_UNKNOWN_IF".

      Metod 2

      Varning! Det kan uppstå allvarliga problem vid felaktiga ändringar av registret med hjälp av Registereditorn eller någon annan metod. De här problemen kan medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Ändra registret på egen risk.
      1. Klicka på Start, Kör, skriv regedit och klicka på OK.
      2. Leta upp och klicka på följande registerundernyckel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Peka på Nytt och klicka på Strängvärde.
      4. Skriv DBFLAG och dubbelklicka på registerposten DBFLAG.
      5. I rutan Redigera sträng skriver du 2000FFFF i rutan Data.
      6. Avsluta Registereditorn.
    4. Öppna filen %systemroot%\Debug\Netlogon.log i Anteckningar och leta upp följande felmeddelande:
      the client klientdatornamn$ is asking for NT4 crypto and this server disallows it.
    5. Om du hittar det här felmeddelandet används gamla krypteringsalgoritmer från Windows NT 4.0 på klientdatorn för att upprätta en säkerhetskanal till domänkontrollanten med Windows Server 2008.
    6. Inaktivera felsökningsloggning för NETLOGON-tjänsten på domänkontrollanten med Windows Server 2008 genom att skriva följande kommando vid en kommandotolk:
      Nltest.exe /DBFLAG:0

Referenser

Om du vill veta mer om hur du aktiverar felsökningsloggning för NETLOGON-tjänsten klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
109626 Aktivera felsökningsloggning för Net Logon-tjänsten (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Mer information om NetJoinDomain-funktionen finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
De produkter från andra tillverkare som diskuteras i denna artikel tillverkas oberoende av Microsoft. Produkternas funktion eller tillförlitlighet kan därför inte garanteras.

Egenskaper

Artikel-id: 942564 - Senaste granskning: den 25 april 2008 - Revision: 1.3
Informationen i denna artikel gäller:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
Nyckelord: 
kbprb kbtshoot kbexpertiseadvanced KB942564

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com