Windows Server 2008 上和 Windows Server 2008 R2 域控制器上的 Net Logon 服务不允许使用旧默认情况下与 Windows NT 4.0 兼容的加密算法

文章翻译 文章翻译
文章编号: 942564 - 查看本文应用于的产品
重要本文包含有关如何修改注册表的信息。请确保您对其进行修改之前备份注册表。请确保您知道如何还原注册表发生问题。有关如何备份、 还原,以及修改注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
展开全部 | 关闭全部

本文内容

症状

注意 Windows NT 4.0 是的过去了 Microsoft 支持生命周期期间。与 Windows NT 4.0 相关的方案尚未经过测试和不受支持。以下信息仅供参考,并提供便于从 Windows NT 4.0 系统有更简单转换。 支持生命周期策略的有关 Microsoft 的详细信息,请访问下面的 Microsoft 网站:
http://support.microsoft.com/lifecycle
当一台基于 Windows NT 4.0 的计算机尝试使用 NETLOGON 服务来建立安全通道到基于 Windows Server 2008 的域控制器在操作时可能会失败。硬件或软件可能无法建立到基于 Windows Server 2008 的域控制器的安全通道,如果硬件或软件使用在 Windows NT 4.0 中使用的加密算法。

在这种情况下,您可能会遇到以下症状。

症状 1

您无法登录到域中由基于 Windows Server 2008 的域控制器提供服务的基于 Windows NT 4.0 的计算机。具体取决于是否在基于 Windows NT 4.0 的计算机上缓存域登录帐户的凭据,您可能会收到以下错误消息之一:

错误消息 1
系统无法让您登录现在因为域 DomainName 不可用。
错误消息 2
不能联系您的域的域控制器。您已经登录使用缓存的帐户信息。您的配置文件自您上次登录以来的更改可能不可用。

症状 2

Windows NT 4.0 域和 Windows Server 2008 域之间存在信任关系可能不起作用。您可能会成功地创建初始的信任。但是,当试图通过使用 Domain.msc Microsoft 管理控制台 (MMC) 管理单元验证信任验证可能会失败。此外,您还会收到以下错误消息:
该操作失败,错误代码 317 (0x0000013d)

症状 3

SAMBA SMB 客户端不能执行到基于 Windows Server 2008 的域控制器的域联接操作。或 SAMBA 服务器消息块 (SMB) 客户端不能建立安全通道到基于 Windows Server 2008 的域控制器。

此外,处理安全通道请求在基于 Windows Server 2008 的域控制器返回下列错误代码:
十六进制: 0x4F1h
十进制: 1265年
符号的错误: ERROR_DOWNGRADE_DETECTED
短错误:"STATUS_DOWNGRADE_DETECTED"
友好的错误: 系统检测到可能试图破坏安全性。请确保您可以与经过身份验证您的服务器。
注意"STATUS_DOWNGRADE_DETECTED"错误都有多个的根本原因。因此,该错误不一定表示您遇到的症状 3。

症状 4

SMB 的存储设备可能无法使用弱加密算法来建立一个到基于 Windows Server 2008 的域控制器的安全通道。

注意SMB 存储设备也被称为 IP 存储设备。

在身份验证的域控制器上在系统日志中记录以下错误:

错误 1
登录名称: 系统
源: NETLOGON
Date: Date: Time
事件 ID: 5805
任务类别: 无
级别: 错误
用户: 不适用
计算机: AuDomainName
描述: 从计算机 < 客户端计算机 > 的会话安装程序无法进行身份验证。出现以下错误: 访问被拒绝。
注意AuDomainName 值,该值代表身份验证的域控制器的名称。

错误 2
登录名称: 系统
源: NETLOGON
Date: Date: Time
事件 ID: 5722
任务类别: 无
级别: 错误
关键字: 经典
用户: 不适用
计算机: AuDomainName
描述: 从计算机 ClientComputerName 的会话安装程序无法进行身份验证。在安全数据库中引用该帐户的名称为 ClientComputerName $。 出现以下错误: 系统检测到可能试图破坏安全性。请确保您可以与经过身份验证您的服务器。

当前,您遇到的症状 4 在以下的 SMB 存储设备上:
  • EMC Celerra
请与设备供应商联系,以查看是否有可用的关于此问题的更新。

此外,您可能无法为 OpenVMS 的惠普 (HP) 高级服务器从一个安全通道建立到基于 Windows Server 2008 的域控制器。 专门,基于 Windows Server 2008 的域控制器返回下列错误代码 OpenVMS NetrServerAuthenticate 请求:
十六进制: 0x4F1h
十进制: 1265年
符号的错误: ERROR_DOWNGRADE_DETECTED
短错误:"STATUS_DOWNGRADE_DETECTED"
友好的错误: 系统检测到可能试图破坏安全性。请确保您可以与经过身份验证您的服务器。
注意"STATUS_DOWNGRADE_DETECTED"错误都有多个的根本原因。因此,该错误不一定表示您遇到的症状 4。

症状 5

Windows NT 4.0 主域控制器 (PDC) 不能创建外部信任本身和一个 PDC 仿真程序正在运行 Windows Server 2008 R2 之间。通过使用基于 Windows NT 4.0 的域信任关系,不能访问运行 Windows Server 2008 R2 的服务器。在基于 Windows NT 4.0 的域中的 Windows NT 4.0 成员也不能访问运行 Windows Server 2008 R2 通过信任关系的域控制器。即使运行 Windows NT 4.0 的 PDC 和正在运行 Windows Server 2008 或 Windows Server 2003 的 PDC 之间创建信任关系,也会出现此行为。

在运行 Windows NT 4.0 创建信任关系后的 PDC 上的系统日志中记录以下错误:

事件类型: 错误
事件源: NETLOGON
事件类别: 无
事件 ID: 5722
日期: <Date>
时间: <Time>
用户: 不适用
计算机: <Computer name>
描述: 从计算机 <Computer name> 未能通过身份验证。在安全数据库中引用该帐户的名称是 <Database name>. 出现以下错误: 访问被拒绝。

事件类型: 错误
事件源: NETLOGON
事件类别: 无
事件 ID: 5721
日期: <Date >
时间: <Time>
用户: 不适用
计算机: <Computer name>
说明: 要在 Windows NT 域的域控制器 <unknown>会话安装<Database name> 失败,因为 Windows NT 域控制器没有计算机 <Computer name>.

在创建信任关系后,正在运行 Windows Server 2008 R2 的 PDC 上的系统日志中记录以下错误:

事件类型: 错误
事件源: NETLOGON
事件类别: 无
事件 ID: 3210
日期: <Date >
时间: <Time>M
用户: 不适用
计算机: <Computer name>
说明: 这台计算机无法进行身份验证与 <Computer name>,Windows 域控制器为域 <Domain>,并因此这台计算机可能会拒绝登录请求。可能由另一台计算机使用相同的名称在同一网络上引起此无法进行身份验证或无法识别此计算机帐户的密码。如果再次出现此消息,请与系统管理员联系。

当试图通过使用 Domain.msc 验证信任时您会收到以下错误消息:
"验证信任域 southridgevideo 和域 cpandl 之间的不成功因为: 访问被拒绝。要修复到一个 windows 2000 以前版本的域信任关系您必须删除并重新添加该信任在两面上。
在基于 Windows NT 4.0 的域中使用一台基于 Windows NT 4.0 的成员计算机,通过已验证的信任。 当试图访问位于运行 Windows Server 2008 R2 的域控制器上的资源时您会收到以下错误消息:
"主域和受信任的域之间的信任关系失败。

原因

出现此问题是由于基于 Windows Server 2008 的域控制器上的 允许与 Windows NT 4.0 兼容的加密算法 策略的默认行为。若要防止 Windows 操作系统和第三方客户端使用弱加密算法,以建立到基于 Windows Server 2008 的域控制器的 NETLOGON 安全通道配置此策略。

重要Windows NT 4.0 信任关系不能创建基于 Windows Server 2008 R2 的域和基于 Windows NT 4.0 的域之间。本文内下文中介绍的解决方法步骤适用于仅 Windows Server 2008 中。在 Windows Server 2008 R2 中的安全更改阻止基于 Windows Server 2008 R2 的域和基于 Windows NT 4.0 的域之间信任关系。此行为是设计使然。

替代方法

若要变通解决此问题,请确保客户端计算机使用与 Windows Server 2008 兼容的加密算法。您可能需要从产品供应商请求软件更新。

如果您不能安装软件更新,因为服务中断,将会发生,请按照下列步骤操作:
  1. 登录到基于 Windows Server 2008 的域控制器上。
  2. 单击 开始,单击 运行,键入 gpmc.msc,然后单击 确定
  3. 组策略管理 控制台中展开 林: DomainName、 展开 DomainName,展开 域控制器、 用鼠标右键单击 默认域控制器策略,然后单击 编辑
  4. 组策略管理编辑器 控制台中展开 计算机配置、 展开 策略、 展开 管理模板,展开 系统、 单击 Net Logon,然后双击 允许与 Windows NT 4.0 兼容的加密算法
  5. 属性 对话框中单击 启用 选项,然后单击 确定

    备注
    • 默认情况下, 未配置 选项设置为以下组策略对象 (GPO) 中 允许加密算法与 Windows NT 4.0 兼容 策略:
      • 默认域策略
      • 默认域控制器策略
      • 本地计算机策略
      默认状态下,在基于 Windows Server 2008 的域控制器上 允许加密算法与 Windows NT 4.0 兼容 策略的行为是以编程方式阻止连接使用在 Windows NT 4.0 中使用的加密算法。因此,枚举成员的计算机上或在域控制器上的有效策略设置的工具将不检测 允许 Windows NT 4.0 与兼容的加密算法 策略,除非您明确地启用或禁用该策略。
    • 基于 Windows 2000 Server 的域控制器和基于 Windows Server 2003 的域控制器没有 允许加密算法与 Windows NT 4.0 兼容 策略。因此,之前基于 Server 2008 的域控制器接受来自客户端计算机的安全通道请求,即使客户端计算机使用旧的加密算法在 Windows NT 4.0 中使用的。如果基于 Windows Server 2008 的域控制器间歇性地处理安全通道请求,则会出现不一致的结果。
  6. 安装的修复问题,第三方软件更新或删除客户端计算机的使用不兼容的加密算法。
  7. 重复第 1 步到第 4 步。
  8. 属性 对话框中单击 已禁用 的选项,然后单击 确定

    重要出于安全原因中,则应设置此策略的选项,返回到 已禁用

状态

此行为是设计使然。

更多信息

在运行 Windows 2000 或更高版本的 Windows 的计算机上的相关的问题

建立安全通道到基于 Windows Server 2008 的域控制器,都运行 Windows 2000 的客户端计算机的能力或更高版本的 Windows 不会影响被 允许与 Windows NT 4.0 兼容的加密算法 策略。 但是,这些客户端计算机在使用 NetJoinDomain 函数一起使用 NETSETUP_JOIN_UNSECURE 联接选项对基于 Windows Server 2008 的域控制器时,域控制器将返回以下错误代码:
十六进制: 0x4F1h
十进制: 1265年
符号的错误: ERROR_DOWNGRADE_DETECTED
短错误:"STATUS_DOWNGRADE_DETECTED"
友好的错误: 系统检测到可能试图破坏安全性。请确保您可以与经过身份验证您的服务器。
当此策略设置为 已禁用未配置 时,会出现此问题。

注意"STATUS_DOWNGRADE_DETECTED"错误都有多个的根本原因。因此,该错误不一定表示您遇到此问题。

您可能会遇到此问题在运行以下操作系统的计算机上:
  • Windows 2000
  • Windows XP
  • Windows 2003 Server
  • Windows Vista 的发行版本
注意运行 Windows Vista 与 Service Pack 1 (SP1) 或更高版本的 Windows Vista 的计算机不会受到影响。

在下列情况下 NETSETUP_JOIN_UNSECURE 选项一起使用 NetJoinDomain 函数。(此函数也使用在其他情况下)。
  • 使用 Windows 部署服务 (WDS) 或 $ 远程安装服务 (RIS) 安装在 Windows 操作系统。
  • 您可以使用 Active Directory 迁移工具 (ADMT) 执行的是 Windows 操作系统的计算机帐户迁移。
以下修补程序包可应用于运行 Windows XP 或 Windows Server 2003,若要解决此问题的计算机:
944043Windows Server 2008 只读域控制器兼容包 Windows Server 2003 客户端和 Windows XP 客户端和 Windows Vista 的说明

如何解决这些问题

当您不能建立一个从客户端计算机到基于 Windows Server 2008 的域控制器的安全通道时,请按照下列步骤解决该问题:
  1. 如果客户端计算机正在运行 Windows NT 4.0,升级 Windows NT 4.0,Windows 2000 或更高版本。如果您不能执行升级,请按照"替代方法"部分中的步骤。
  2. 如果客户端计算机运行 Windows 2000 或更高版本的 Windows,并且客户端计算机运行不安全的域联接操作作为临时的解决方案,按照"替代方法"部分中的步骤。
  3. 如果客户端计算机运行 Windows 2000 或更高版本的 Windows,并且您不确定是否在客户端计算机是执行一个不安全的加入操作、 检查 %systemroot%\Debug\Netsetup.log 文件。如果客户端计算机正在执行一个不安全的加入操作,会记录类似于以下内容的信息:
    11/09 02: 21: 04 未能为 ComputerNameSPN_Name 验证计算机帐户: 0xc0000388
    11/09 02: 21: 04 NetpJoinDomain: w9x: 验证帐户的状态: 0x4f1
    注意NETLOGON 服务仅在加入一个域的计算机上运行。
  4. 如果客户端计算机不运行 Windows,请按照下列步骤操作:
    1. 确定哪个域控制器正在处理安全通道的请求。

      注意可以使用 $ 事件日志和跟踪日志来确定域控制器。
    2. 请确保 NETLOGON 服务已启动。若要这样做,请按照下列步骤操作:
      • 单击 开始,单击 运行,键入 Services.msc,然后单击 确定
      • 服务 控制台中确保 NETLOGON 服务的状态为 已启动
      • 如果状态不是 已启动,用鼠标右键单击 NETLOGON 服务,然后单击 开始
    3. 启用为 NETLOGON 服务处理安全通道请求在基于 Windows Server 2008 的域控制器上的调试日志记录。若要执行此操作使用下列方法之一。

      方法 1
      1. 单击 开始、 单击 运行,键入 cmd,然后单击 确定
      2. 命令提示符键入以下命令:
        Nltest.exe /DBFLAG:2000FFFF
      注意如果未启动 NETLOGON 服务,则您会收到一条"RPC_S_UNKNOWN_IF"错误消息。

      方法 2

      警告如果您修改注册表错误地使用注册表编辑器或使用另一种方法,则可能会出现严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证可以解决这些问题。修改注册表的风险由您自己承担。
      1. 单击 开始、 单击 运行,键入 regedit,然后单击 确定
      2. 找到并右键单击以下注册表子项:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. 指向 新建,然后单击 字符串值
      4. 键入 DBFLAG,然后双击 DBFLAG 注册表项。
      5. 编辑字符串 框中键入 2000FFFF数值数据 框中。
      6. 退出注册表编辑器。
    4. 在记事本,中打开 %systemroot%\Debug\Netlogon.log 文件,然后搜索以下错误消息:
      客户端 ClientComputerName $ 索求 NT4 加密和此服务器不允许使用它。
    5. 如果您发现此错误消息,客户端计算机正在使用旧的加密算法在 Windows NT 4.0 中用来建立一个到基于 Windows Server 2008 的域控制器的安全通道。
    6. 禁用调试日志记录,为基于 Windows Server 2008 的域控制器上的 NETLOGON 服务。为此请在命令提示符处键入以下命令:
      Nltest.exe /DBFLAG:0

参考

有关如何启用调试日志记录的 NETLOGON 服务的详细信息单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
109626启用调试日志记录的 Net Logon 服务

有关 NetJoinDomain 函数的详细信息,请访问下面的 Microsoft 网站:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
本文讨论了在第三方产品是由独立于 Microsoft 的公司生产的。Microsoft 使不保证或暗示或其他有关性能或可靠性,这些产品的方式。

属性

文章编号: 942564 - 最后修改: 2010年4月9日 - 修订: 3.0
这篇文章中的信息适用于:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
关键字:?
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 942564
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com