Windows Server 2008 ve Windows Server 2008 R2 etki alanı denetleyicilerindeki Net Logon hizmeti varsayılan olarak Windows NT 4.0 ile uyumlu olan eski şifreleme algoritmaları kullanımına izin vermiyor

Makale çevirileri Makale çevirileri
Makale numarası: 942564 - Bu makalenin geçerli olduğu ürünleri görün.
Önemli Bu makale, kayıt defterini düzenlemeyle ilgili bilgi içerir. Kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun çıkması durumunda kayıt defterini nasıl geri yükleyeceğinizi bildiğinizden emin olun. Kayıt defterini yedekleme, geri yükleme ve değiştirme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makaleyi inceleyin:
322756Windows'da kayıt defterini yedekleme ve geri yükleme
Hepsini aç | Hepsini kapa

Bu Sayfada

Belirtiler

Not Windows NT 4.0, Microsoft destek yaşam döngüsü süresi geçmiş olur. Windows NT 4. 0'dan ilgili senaryolarda değil de sınanmıştır ve resmi olarak desteklenmemektedir. Aşağıdaki bilgiler, bilgilendirme amaçlıdır ve bir Windows NT 4.0 çalışan sistemleri daha kolay geçiş kolaylaştırmak için sağlanmıştır. Microsoft hakkında daha fazla bilgi için destek ömrü ilkesi destek aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/lifecycle
Windows NT 4.0 tabanlı bir bilgisayarda çalıştığında NETLOGON hizmeti, Windows Server 2008 tabanlı bir etki alanı denetleyicisi, işlem için güvenlik kanalı oluşturmak için kullanmak üzere başarısız olabilir. Donanım veya yazılım, donanım veya yazılımın Windows NT 4. 0'da kullanılan şifreleme algoritmaları kullanıyorsa, Windows Server 2008 tabanlı bir etki alanı denetleyicisi güvenlik kanalı kuramadı olabilir.

Bu senaryoda, aşağıdaki belirtilerle karşılaşabilirsiniz.

Belirti 1

Siz bir etki alanı için bir Windows Server 2008 tabanlı bir etki alanı denetleyicisi tarafından hizmet verilen ve Windows NT 4.0 tabanlı bir bilgisayardan oturum açamaz. Mı yoksa etki alanı oturum açma hesabının kimlik bilgilerini Windows NT 4.0 tabanlı bir bilgisayarda önbelleğe alınır bağlı olarak, aşağıdaki hata iletilerinden birini alabilirsiniz:

Hata iletisi 1
DomainName etki alanı kullanılabilir olmadığından sistem şimdi oturumunuzu açamıyor.
Hata iletisi 2
Etki alanınız için etki alanı denetleyicisi ile bağlantı kurulamadı. Önbelleğe alınmış hesap bilgilerini kullanarak oturum açmış. Son oturum açmanızdan bu yana profilinizdeki değişiklikler kullanılabilir durumda değil.

Belirti 2

Windows NT 4.0 etki alanlarını Windows Server 2008 etki alanları arasında varolan güvenleri çalışmayabilir. Ilk güven başarıyla oluşturabilir. Ancak, güven Domain.msc Microsoft Yönetim Konsolu'nu (MMC) ek bileşenini kullanarak doğrulamaya çalıştığınızda, doğrulama başarısız olabilir. Ayrıca, aşağıdaki hata iletisini alırsınız:
Işlem 317 (0x0000013d) hata koduyla başarısız oldu.

Belirti 3

Bir SAMBA SMB istemcisi, Windows Server 2008 tabanlı bir etki alanı denetleyicisine bir etki alanına katılma işlemi gerçekleştiremiyor. Veya, SAMBA sunucu ileti bloğu (SMB) istemci Windows Server 2008 tabanlı bir etki alanı denetleyicisi güvenlik kanalı oluşturulamıyor.

Ayrıca, güvenlik kanalı isteğini işler, Windows Server 2008 tabanlı bir etki alanı denetleyicisi, aşağıdaki hata kodunu döndürür:
Hex: 0x4F1h
Ondalık: 1265
Simgesel hata: ERROR_DOWNGRADE_DETECTED
Kısa hatası: "STATUS_DOWNGRADE_DETECTED"
Kolay anımsanır hatası: Sistem güvenliğini tehlikeye atmak için olası bir girişim algıladı. Lütfen, kimliği doğrulanmış sunucu başvurun emin olun.
Not Birden çok kök nedenlerini "STATUS_DOWNGRADE_DETECTED" hata var. Bu nedenle, bu hata Belirti 3 karşılaştığınız gelmeyebilir.

Belirti 4

SMB bir depolama aygıtına zayıf bir şifreleme algoritmaları için Windows Server 2008 tabanlı bir etki alanı denetleyicisi güvenlik kanalı oluşturmak için kullanmak üzere kuramıyor olabilir.

Not SMB depolama olarak da bilinen IP depolama aygıtlarını aygıtlardır.

Kimlik doğrulaması yapan etki alanı denetleyicisinde aşağıdaki hatalar sistem günlüğüne kaydedilir:

Hata: 1
Ad oturum: Sistem
Kaynak: NETLOGON
Date: Date: Time
Olay KIMLIĞI: 5805
Görev için kategori: yok
Düzey: hata
Kullanı.: Yok
Bilgisayar: AuDomainName
Açıklama: < İstemci bilgisayar > bilgisayarından oturum hazırlığı kimlik doğrulaması başarısızlıkla sonuçlandı. Aşağıdaki hata oluştu: erişim engellendi.
NotAuDomainName kimlik doğrulamasını yapan etki alanı denetleyicisi adını temsil eder.

<a1>Hata</a1> 2
Ad oturum: Sistem
Kaynak: NETLOGON
Date: Date: Time
Olay KIMLIĞI: 5722
Görev için kategori: yok
Düzey: hata
Anahtar sözcükler: klasik
Kullanı.: Yok
Bilgisayar: AuDomainName
Açıklama: ClientComputerName bilgisayarından oturum hazırlığı kimlik doğrulaması başarısızlıkla sonuçlandı. Güvenlik veritabanında başvurulan hesaplarını, adları ClientComputerName $ ' dir. Aşağıdaki hata oluştu: Sistem güvenliğini tehlikeye atmak için olası bir girişim algıladı. Lütfen, kimliği doğrulanmış sunucu başvurun emin olun.

Şu anda, aşağıdaki SMB depolama aygıtı üzerindeki 4 belirtiyle karşılaşabilirsiniz:
  • EMC Celerra
Bu soruna yönelik bir güncelleştirme olup olmadığını öğrenmek için aygıt satıcısına başvurun.

Ayrıca, güvenlik kanalı Hewlett-Packard (HP) Advanced Server'dan OpenVMS için Windows Server 2008 tabanlı bir etki alanı denetleyicisine kuramıyor olabilir. Özellikle, Windows Server 2008 tabanlı bir etki alanı denetleyicisinde OpenVMS NetrServerAuthenticate isteği şu hata kodunu döndürür:
Hex: 0x4F1h
Ondalık: 1265
Simgesel hata: ERROR_DOWNGRADE_DETECTED
Kısa hatası: "STATUS_DOWNGRADE_DETECTED"
Kolay anımsanır hatası: Sistem güvenliğini tehlikeye atmak için olası bir girişim algıladı. Lütfen, kimliği doğrulanmış sunucu başvurun emin olun.
Not Birden çok kök nedenlerini "STATUS_DOWNGRADE_DETECTED" hata var. Bu nedenle, bu hata belirti 4 karşılaştığınız gelmeyebilir.

Neden

Bu sorun, Windows Server 2008 tabanlı bir etki alanı denetleyicilerinde Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver ilkesini varsayılan davranışı nedeniyle oluşur. Bu ilke, Windows işletim sistemleri ve üçüncü taraf istemciler, zayıf bir şifreleme algoritması'nı kullanarak Windows Server 2008 tabanlı bir etki alanı denetleyicilerine NETLOGON güvenlik kanallar oluştururlar engelleyecek şekilde yapılandırılmış.

Pratik Çözüm

Bu soruna geçici bir çözüm bulmak için <a0></a0>, istemci bilgisayarların Windows Server 2008 ile uyumlu olan şifreleme algoritmaları kullandığınızdan emin olun. Ürün satıcıları tarafından yazılım güncelleştirmelerini istemek zorunda kalabilirsiniz.

Yazılım güncelleştirmelerini bir hizmet kaybı oluşur çünkü yükleyemezseniz, aşağıdaki adımları izleyin:
  1. Windows Server 2008 tabanlı bir etki alanı denetleyicisine oturum açın.
  2. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, gpmc.msc yazın ve Tamam ' ı tıklatın.
  3. Grup ilkesi yönetim konsolunda, genişletme orman: DomainNameDomainName ' nı genişletin, Etki alanı denetleyicileri genişletin, Varsayılan etki alanı denetleyicileri ilkesi ' ni sağ tıklatın ve sonra da <a2>Düzenle</a2>'yi tıklatın.
  4. Grup ilkesi yönetim konsolunda, Bilgisayar Yapılandırması ' nı genişletin, ilkeleri ' ni genişletin, Yönetim Şablonları ' nı genişletin, Sistem ' i genişletin, Net Logon ' ı tıklatın ve Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver</a5>'ni çift tıklatın.
  5. Özellikler iletişim kutusunu etkin seçeneğini tıklatın ve sonra Tamam ' ı tıklatın.

    Notları
    • Varsayılan olarak Windows NT 4.0 ile uyumlu olan izin ver şifreleme algoritmaları ilkesinde aşağıdaki Grup ilkesi nesnelerini (GPO) için Yapılandırılmadı seçeneği ayarlayın:
      • Varsayılan etki alanı ilkesi
      • Varsayılan etki alanı denetleyicileri ilkesi
      • Yerel bilgisayar ilkesi
      Varsayılan olarak, Windows Server 2008 tabanlı bir etki alanı denetleyicilerinde Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver ilkesi davranışı programlı olarak Windows NT 4. 0'da kullanılan şifreleme algoritmaları kullanarak gelen bağlantıları engellemektir. Bu nedenle, açıkça etkinleştirmek veya bu ilkeyi devre dışı bir üye bilgisayarda veya etki alanı denetleyicisinde etkin ilke ayarları sıralanamıyor araçları Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver ilkesini algılamaz.
    • Windows 2000 Server tabanlı etki alanı denetleyicilerinde ve Windows Server 2003 tabanlı etki alanı denetleyicilerinin Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver ilkesi yok. Bu nedenle, Windows Server 2008 tabanlı etki alanı denetleyicilerinin istemci bilgisayarların Windows NT 4. 0 ' kullanılan eski şifreleme algoritmaları kullanıyor olsanız bile, istemci bilgisayarlardan gelen güvenlik kanalı istekleri kabul edin. Güvenlik kanalı istekleri, zaman zaman Windows Server 2008 tabanlı bir etki alanı denetleyicileri tarafından işlenen tutarsız sonuçlar karşılaşacaklardır.
  6. Sorunu gidermek üçüncü taraf yazılım güncelleştirmelerini yüklemeden veya uyumsuz şifreleme algoritmaları kullanan istemci bilgisayarları kaldırmak.
  7. 1 Ile 4 arasındaki adımları yineleyin.
  8. Özellikler iletişim kutusunu devre dışı seçeneğini tıklatın ve sonra Tamam ' ı tıklatın.

    Önemli Güvenlik nedenleriyle, bu ilke için seçeneği yeniden devre dışı için ayarlamanız gerekir.

Durum

Bu davranış tasarım yüzündendir.

Daha fazla bilgi

Windows 2000 veya Windows'un daha yeni sürümlerini çalıştıran bilgisayarlarda ilgili bir sorunu

Windows Server 2008 tabanlı bir etki alanı denetleyicilerine güvenlik kanalı oluşturmak için özelliği, Windows 2000 çalıştıran bir istemci bilgisayar veya Windows'un sonraki sürümlerinde Windows NT 4.0 ile uyumlu şifreleme algoritmaları izin ver ilkesi tarafından etkilenmemiş olacaktır. Ancak, istemci bilgisayarların bir Windows Server 2008 tabanlı bir etki alanı denetleyicisine NETSETUP_JOIN_UNSECURE birleştirme seçeneği ile birlikte NetJoinDomain işlevini kullandığınızda, etki alanı denetleyicisinde aşağıdaki hata kodunu döndürür:
Hex: 0x4F1h
Ondalık: 1265
Simgesel hata: ERROR_DOWNGRADE_DETECTED
Kısa hatası: "STATUS_DOWNGRADE_DETECTED"
Kolay anımsanır hatası: Sistem güvenliğini tehlikeye atmak için olası bir girişim algıladı. Lütfen, kimliği doğrulanmış sunucu başvurun emin olun.
Bu ilke ayarını devre dışı veya Yapılandırılmadı olduğunda bu sorun oluşur.

Not Birden çok kök nedenlerini "STATUS_DOWNGRADE_DETECTED" hata var. Bu nedenle, bu hata, bu sorunla karşılaşan gelmeyebilir.

Bu sorun, aşağıdaki işletim sistemlerini çalıştıran bilgisayarlarda da karşılaşabilirsiniz:
  • WINDOWS 2000
  • WINDOWS XP
  • Windows Server 2003
  • Windows Vista'nın yayın sürümü
Not Windows Vista Service Pack 1 (SP1) veya Windows Vista'nın daha yeni sürümleri ile çalışan bilgisayarlar bu açıktan etkilenmez.

NetJoinDomain işlevi, aşağıdaki senaryolarda NETSETUP_JOIN_UNSECURE seçeneği ile birlikte kullanılır. (Bu işlev ayrıca diğer senaryolarda kullanılır.)
  • Windows Dağıtım Hizmetleri (WDS) veya Uzaktan Yükleme Hizmetleri (RIS), bir <a0>Windows</a0> işletim sistemi yüklemek için kullanın.
  • Bir <a0>Windows</a0> işletim sistemi, bilgisayar hesabı geçişi gerçekleştirmek için Active Directory Geçiş Aracı (ADMT) kullanın.
Bu sorunu gidermek için Windows XP veya Windows Server 2003 çalıştıran bilgisayarlar için aşağıdaki düzeltme paketinde uygulanabilir:
944043Windows Server 2008 salt okunur etki alanı denetleyicisi uyumluluk paketini Windows Server 2003 istemciler ve Windows XP istemcileri ve Windows Vista'nın açıklaması

Bu sorunları nasıl giderilir

Windows Server 2008 tabanlı bir etki alanı denetleyicisine bir istemci bilgisayardan güvenlik kanalı oluşturulamıyor, sorunu gidermek için şu adımları izleyin:
  1. Istemci bilgisayar Windows NT 4.0 çalıştırıyorsa, Windows NT 4.0, Windows 2000 veya sonraki sürümleri için yükseltme. Yükseltme gerçekleştiremiyorsanız, "Geçici çözüm" bölümündeki adımları izleyin.
  2. Windows 2000 veya sonraki bir sürümü çalıştıran istemci bilgisayar ve istemci bilgisayarı bir güvenli olmayan bir etki alanına katılma işlemi çalışır, geçici bir çözüm olarak "Geçici çözüm" bölümündeki adımları izleyin.
  3. Istemci bilgisayar Windows 2000 veya sonraki bir sürümü çalıştıran ve değilseniz, emin olup olmadığını istemci bilgisayar bir güvenli olmayan bir birleştirme işlemi gerçekleştirir, %systemroot%\Debug\Netsetup.log dosyasını inceleyin. Güvenli olmayan bir birleştirme işlemi gerçekleştiren bir istemci bilgisayar, aşağıdakine benzer bilgiler kaydedilir:
    11 09/02: 21: 04: ComputerNameSPN_Name karşı için makine hesabı doğrulamak başarısız oldu: 0xc0000388
    11 09/02: 21: 04 NetpJoinDomain: w9x: hesap doğrulama durumu: 0x4f1
    Not NETLOGON hizmeti, bir etki alanına katılan bir bilgisayar üzerinde çalışır.
  4. Istemci bilgisayar Windows çalıştırmıyorsa, şu adımları izleyin:
    1. Hangi etki alanı denetleyicisinin güvenlik kanalı istekleri işleme belirler.

      Not Etki alanı denetleyicisi belirlemek için olay günlüklerini ve izleme günlükleri'ni kullanabilirsiniz.
    2. NETLOGON hizmetinin başlatıldığından emin olun. Bunu yapmak için şu adımları izleyin:
      • Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, Services.msc yazın ve Tamam ' ı tıklatın.
      • Hizmetler konsolunda, NETLOGON hizmeti durumu başlatıldı olduğundan emin olun.
      • Başlatıldı durumu değil, NETLOGON hizmeti sağ tıklatın ve sonra da <a2>Başlat</a2>'ı tıklatın.
    3. Güvenlik kanalı istekleri işleyen Windows Server 2008 tabanlı bir etki alanı denetleyicisindeki NETLOGON hizmeti için hata ayıklama günlüğünü etkinleştirin. Bunu yapmak için aşağıdaki yöntemlerden birini kullanın.

      Yöntem 1
      1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, cmd yazın ve Tamam ' ı tıklatın.
      2. Komut istemine aşağıdaki komutu yazın:
        Nltest.exe /DBFLAG:2000FFFF
      Not NETLOGON hizmeti başlatılmadı, bir "RPC_S_UNKNOWN_IF" hata iletisi alırsınız.

      Yöntem 2

      Uyarı Kayıt Defteri Düzenleyicisi'ni veya başka bir yöntemi kullanarak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu sorunlar, işletim sistemini yeniden yüklemenizi gerektirebilir. Microsoft bu sorunların çözülebileceğini garanti etmemektedir. Kayıt defterini kendi sorumluluğunuzda değiştiriniz.
      1. Başlat ' ı tıklatın, Çalıştır ' ı tıklatın, regedit yazın ve Tamam ' ı tıklatın.
      2. Aşağıdaki kayıt defteri alt anahtarını bulup sağ tıklatın:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Yeni ' nin üzerine gelin ve sonra Dize değeri ' ni tıklatın.
      4. DBFLAG yazın ve sonra da <a0>DBFLAG</a0> kayıt defteri girdisini çift tıklatın.
      5. Dize Düzenle</a0> kutusunda <a0>Değer verisi</a0> kutusundaki 2000FFFF yazın.
      6. Kayıt Defteri Düzenleyicisi'nden çıkın.
    4. %Systemroot%\Debug\Netlogon.log dosyasını Not Defteri'nde açın ve aşağıdaki hata iletilerini arayın:
      istemci ClientComputerName $ NT4 şifreleme için isteyen ve bu sunucunun izin vermiyor.
    5. Bu hata iletisi görürseniz, istemci bilgisayar eski Windows NT 4. 0 ', Windows Server 2008 tabanlı bir etki alanı denetleyicisinde güvenlik kanalı oluşturmak için kullanılan şifreleme algoritmaları kullanır.
    6. Windows Server 2008 tabanlı bir etki alanı denetleyicisindeki NETLOGON hizmeti için hata ayıklama günlüğünü devre dışı bırakın. Bunu yapmak için, komut istemine aşağıdaki komutu yazın:
      Nltest.exe /DBFLAG:0

Referanslar

NETLOGON hizmeti için hata ayıklama günlüğünü etkinleştirme hakkında daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
109626Net Logon hizmeti için hata ayıklama günlüğünü etkinleştirme (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

NetJoinDomain işlevi hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft bu ürünlerin performansı veya güvenilirliği hakkında hiçbir garanti vermez.

Özellikler

Makale numarası: 942564 - Last Review: 1 Eylül 2009 Salı - Gözden geçirme: 2.1
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Anahtar Kelimeler: 
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:942564

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com