[Net Logon] 服務在 Windows Server 2008 和 Windows Server 2008 R2 網域控制站上不允許與 Windows NT 4.0 預設相容的較舊密碼編譯演算法的使用

文章翻譯 文章翻譯
文章編號: 942564 - 檢視此文章適用的產品。
重要本文包含有關如何修改登錄的資訊。請確定您在修改之前備份登錄。如果發生問題,請確定您知道如何還原登錄。如何備份、 還原,及修改登錄的相關資訊,請按一下下列的文件編號,檢視 Microsoft 知識庫中的文件:
322756如何備份和還原在 Windows 登錄
全部展開 | 全部摺疊

在此頁中

徵狀

附註 Windows NT 4.0 是 Microsoft 支援生命週期期間過去。Windows NT 4.0 與相關的案例不經過測試,也不會受到支援。下列的資訊只是資訊性,並提供以利於進行未從 Windows NT 4.0 系統更容易的轉換。 其他資訊有關 Microsoft 支援週期原則,請造訪下列 Microsoft 網站: 資訊
http://support.microsoft.com/lifecycle
在 Windows NT 4.0 電腦嘗試使用 NETLOGON 服務來建立 Windows Server 2008 為基礎的網域控制站操作的安全性通道可能會失敗。硬體或軟體可能無法建立到 Windows Server 2008 為基礎的網域控制站的安全性通道,如果硬體或軟體使用 Windows NT 4.0 中所使用的密碼編譯演算法。

在這個案例中,您可能會遭遇下列徵狀。

徵狀 1

您無法從服務的 Windows Server 2008 為基礎的網域控制站的 Windows NT 4.0 電腦來登入網域。取決於是否網域登入帳戶的認證在 Windows NT 4.0 電腦上快取,可能會收到下列錯誤訊息之一:

錯誤訊息 1
系統無法讓您登現在因為網域的 DomainName 無法使用。
錯誤訊息 2
無法連絡到您網域的網域控制站。您已登入使用快取的帳戶資訊。您上次登入的設定檔的變更可能無法使用。

徵狀 2

Windows NT 4.0 網域和 Windows Server 2008 網域之間存在著信任可能無法正常運作。您可能會成功建立初始的信任。但是時想利用 Domain.msc Microsoft 管理主控台 (MMC) 嵌入式管理單元中驗證信任,,驗證可能會失敗。此外,您會收到下列錯誤訊息:
作業失敗,錯誤碼為 317 (0x0000013d)

徵狀 3

SAMBA SMB 用戶端無法執行 Windows Server 2008 為基礎的網域控制站的網域聯結作業。或 SAMBA 伺服器訊息區 (SMB) 用戶端無法建立到 Windows Server 2008 為基礎的網域控制站的安全性通道。

此外,處理安全性通道要求在 Windows Server 2008 為基礎的網域控制站會傳回下列錯誤碼:
十六進位: 0x4F1h
十進位: 1265年
符號的錯誤: ERROR_DOWNGRADE_DETECTED
短的錯誤: STATUS_DOWNGRADE_DETECTED"
好記的錯誤: 系統偵測到可能嘗試危害安全性。請確定您可以連絡驗證您的伺服器。
附註STATUS_DOWNGRADE_DETECTED"錯誤有多個根本原因。因此,此錯誤不一定表示您遇到徵狀 3。

徵狀 4

SMB 的存放裝置可能無法使用弱式密碼編譯演算法來建立 Windows Server 2008 為基礎的網域控制站的安全性通道。

附註SMB 存放裝置也就是所謂 IP 存放裝置。

驗證網域控制站上系統記錄檔中會記錄下列錯誤:

錯誤 1
記錄檔名稱: 系統
來源: NETLOGON
Date: Date: Time
事件識別碼: 5805
工作類別: 無
層級: 錯誤
使用者: N/A
電腦: AuDomainName
說明: 從電腦 < 用戶端電腦 > 的工作階段安裝程式無法驗證。發生下列錯誤: 存取被拒。
附註AuDomainName 代表驗證網域控制站名稱。

2 時發生錯誤
記錄檔名稱: 系統
來源: NETLOGON
Date: Date: Time
事件識別碼: 5722
工作類別: 無
層級: 錯誤
關鍵字: 傳統
使用者: N/A
電腦: AuDomainName
說明: 從電腦 ClientComputerName 的工作階段安裝程式無法驗證。安全性資料庫中所參考的帳戶名稱是 ClientComputerName $。 發生下列錯誤: 系統偵測到可能嘗試危害安全性。請確定您可以連絡驗證您的伺服器。

目前,您遭遇到下列的 SMB 存放裝置的徵狀 4:
  • EMC Celerra
請聯絡裝置廠商,以查看是否這個問題的更新。

此外,您可能無法為 OpenVMS 建立從完成 HP 進階伺服器的安全性通道,到 Windows Server 2008 為基礎的網域控制站。 特別,Windows Server 2008 為基礎的網域控制站會傳回下列錯誤碼 OpenVMS NetrServerAuthenticate 要求:
十六進位: 0x4F1h
十進位: 1265年
符號的錯誤: ERROR_DOWNGRADE_DETECTED
短的錯誤: STATUS_DOWNGRADE_DETECTED"
好記的錯誤: 系統偵測到可能嘗試危害安全性。請確定您可以連絡驗證您的伺服器。
附註STATUS_DOWNGRADE_DETECTED"錯誤有多個根本原因。因此,此錯誤不一定表示您遇到徵狀 4。

徵狀 5

Windows NT 4.0 網域主控制站 (PDC) 無法建立外部信任本身與正在執行 Windows Server 2008 R2 的 PDC 模擬器之間。藉由使用 Windows NT 4.0 網域信任,不能存取執行 Windows Server 2008 R2 的伺服器。在 Windows NT 4.0 網域中的 Windows NT 4.0 成員也無法存取正在執行 Windows Server 2008 R2 藉由使用信任的網域控制站。如果即使已在正在執行 Windows NT 4.0 的 PDC 和正在執行 Windows Server 2008 或 Windows Server 2003 的 PDC 之間建立信任,就會發生這個問題。

建立信任之後,正在執行 Windows NT 4.0 的 PDC 上的 「 系統 」 記錄檔會記錄下列錯誤:

事件類型: 錯誤
事件來源: NETLOGON
事件類別: 無
事件識別碼: 5722
日期: <Date>
時間: <Time>
使用者: N/A
電腦: <Computer name>
描述: 在工作階段設定從電腦 <Computer name> 驗證失敗。安全性資料庫中所參考之帳戶的名稱是 <Database name>. 發生下列錯誤: 存取被拒。

事件類型: 錯誤
事件來源: NETLOGON
事件類別: 無
事件識別碼: 5721
日期: <Date >
時間: <Time>
使用者: N/A
電腦: <Computer name>
描述: 在工作階段設定為網域在 Windows NT 網域控制站 <unknown><Database name> 失敗,因為 Windows NT 網域控制站沒有電腦 <Computer name>.

建立信任之後,正在執行 Windows Server 2008 R2 的 PDC 上的 「 系統 」 記錄檔會記錄下列錯誤:

事件類型: 錯誤
事件來源: NETLOGON
事件類別: 無
事件識別碼: 3210
日期: <Date >
時間: <Time>M
使用者: N/A
電腦: <Computer name>
描述: 這台電腦無法驗證與 <Computer name>,網域 <Domain>,因此這台電腦可能會拒絕登入要求。此無法驗證可能造成在使用相同的名稱相同的網路上的另一台電腦,或無法辨識這個電腦帳戶密碼。如果再次出現此訊息,請連絡您的系統管理員。

當想使用 Domain.msc 驗證信任會收到下列錯誤訊息:
"信任網域 southridgevideo 和網域 cpandl 之間驗證未成功因為: 存取被拒。若要修復 Windows 2000 前版網域的信任必須移除並重新加入兩邊信任"。
您可以在 Windows NT 4.0 網域中使用 Windows NT 4.0 為基礎的成員電腦透過已驗證的信任。 當想存取位於正在執行 Windows Server 2008 R2 的網域控制站的資源會收到下列錯誤訊息:
「 主要網域和信任的網域之間的信任關係失敗]。

發生的原因

之所以發生這個問題,因為是 Windows Server 2008 為基礎的網域控制站上的 [允許密碼編譯演算法與 Windows NT 4.0 相容] 原則的預設行為。此原則設定為防止 Windows 作業系統和協力廠商的用戶端使用弱式密碼編譯演算法來建立 Windows Server 2008 為基礎的網域控制站的 NETLOGON 安全性通道。

重要Windows NT 4.0 信任不能建立 Windows Server 2008 R2 網域和 Windows NT 4.0 網域之間。在本文稍後所記載之因應措施步驟適用於只有 Windows Server 2008。在 Windows Server 2008 R2 的安全性變更防止 Windows Server 2008 R2 網域與 Windows NT 4.0 網域間信任。這種行為是經過設計規劃的。

其他可行方案

若要解決這個問題,請確定用戶端電腦使用相容於 Windows Server 2008 的密碼編譯演算法。您可能必須向產品廠商請求的軟體更新。

如果您無法安裝軟體更新,因為服務中斷會發生,請依照下列步驟執行:
  1. 登入 Windows Server 2008 為基礎的網域控制站。
  2. 按一下 [開始]、 按一下 [執行]、 輸入 gpmc.msc,然後按一下 [確定]]。
  3. 在 [群組原則管理] 主控台中展開 樹系: DomainName,展開 [DomainName、 展開 [網域控制站,用滑鼠右鍵按一下 [預設網域控制站原則],然後再按一下 編輯
  4. 在 [群組原則管理編輯器] 主控台中展開 [電腦設定]、 展開 原則、 展開 [系統管理範本]、 展開 [系統]、 按一下 網路登入,然後再按兩下 [允許密碼編譯演算法與 Windows NT 4.0 相容
  5. 在 [屬性] 對話方塊按一下 [已啟用] 選項,再按 [確定]

    備忘稿
    • 根據預設,尚未設定] 選項是設定為下列的 [群組原則] 物件 (GPO) 中的 [允許密碼編譯演算法與 Windows NT 4.0 相容] 原則:
      • 預設網域原則
      • 預設網域控制站原則
      • 本機電腦原則
      預設情況下,為 Windows Server 2008 為基礎的網域控制站上的 [允許密碼編譯演算法與 Windows NT 4.0 相容] 原則行為是以程式設計方式防止來自使用 Windows NT 4.0 中所使用的密碼編譯演算法的連線。因此,列舉成員電腦或網域控制站的有效的原則設定的工具將不會偵測 允許密碼編譯演算法與 Windows NT 4.0 相容 原則除非您明確地啟用或停用此原則。
    • Windows 2000 Server 網域控制站和 Windows Server 2003 網域控制站沒有 允許密碼編譯演算法與 Windows NT 4.0 相容 原則。因此,pre-Windows Server 2008 為基礎的網域控制站接受來自用戶端電腦的安全性通道要求,即使在用戶端電腦使用 Windows NT 4.0 中所使用的舊密碼編譯演算法。如果 Windows Server 2008 為基礎的網域控制站所間歇地處理安全性通道要求,就會發生不一致的結果。
  6. 修正這個問題的協力廠商軟體更新安裝或移除使用不相容的加密演算法的用戶端電腦。
  7. 重複步驟 1 到 4。
  8. 在 [屬性] 對話方塊按一下 [停用] 選項,然後按一下 [[確定]

    重要基於安全性考量您應該將此原則的選項改為 [已停用

狀況說明

這種行為是經過設計規劃的。

其他相關資訊

正在執行 Windows 2000 或更新版本的 Windows 的電腦上的相關的問題

正在執行 Windows 2000 的用戶端電腦的能力或更新版本的 Windows 建立到 Windows Server 2008 為基礎的網域控制站的安全性通道將不會受到 允許密碼編譯演算法與 Windows NT 4.0 相容 原則。 不過,當這些用戶端電腦使用 NetJoinDomain 函數一起使用 NETSETUP_JOIN_UNSECURE 聯結選項,對 Windows Server 2008 為基礎的網域控制站,網域控制站會傳回下列錯誤碼:
十六進位: 0x4F1h
十進位: 1265年
符號的錯誤: ERROR_DOWNGRADE_DETECTED
短的錯誤: STATUS_DOWNGRADE_DETECTED"
好記的錯誤: 系統偵測到可能嘗試危害安全性。請確定您可以連絡驗證您的伺服器。
原則設定是 停用] 或 [尚未設定 時,會發生這個問題。

附註STATUS_DOWNGRADE_DETECTED"錯誤有多個根本原因。因此,此錯誤不一定表示您遇到這個問題。

您可能會遇到這個問題執行下列作業系統的電腦上:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • 發行版本的 Windows Vista
附註正在執行 Windows Vista 與 Service Pack 1 (SP1) 或更新版本的 Windows Vista 的電腦不會受到影響。

NetJoinDomain 函式會與下列案例中的 [NETSETUP_JOIN_UNSECURE] 選項一起使用。(這個函式也使用在其他案例中)。
  • 使用 Windows 部署服務 (WDS) 或遠端安裝服務 (RIS) 安裝 Windows 作業系統。
  • 您可以使用 [Active Directory 遷移工具 (ADMT) 執行的 Windows 作業系統的電腦帳戶遷移。
下列 Hotfix 套件可能套用到正在執行 Windows XP 或 Windows Server 2003,如果要解決這個問題的電腦:
944043[Windows Server 2008 唯讀網域控制站的相容性套件 Windows Server 2003 用戶端和 Windows XP 用戶端和 Windows Vista 的描述

如何疑難排解這些問題

當您不能建立從用戶端電腦到 Windows Server 2008 為基礎的網域控制站的安全性通道時,請依照下列步驟執行來解決此問題:
  1. 如果用戶端電腦執行 Windows NT 4.0,升級 Windows NT 4.0,以 Windows 2000 或更新版本。如果您無法執行升級,依照 < 其他可行方案 > 一節。
  2. 如果用戶端電腦執行 Windows 2000 或更新版本的 Windows,而用戶端電腦執行不安全的網域聯結作業,依照 < 其他可行方案 > 一節中做為暫時的解決方案。
  3. 如果用戶端電腦正在執行 Windows 2000 或更新版本的 Windows,並且您不是用戶端電腦是執行確定無安全性的聯結作業,請檢查 %systemroot%\Debug\Netsetup.log 檔案。如果用戶端電腦執行無安全性的聯結作業,會記錄類似下列的資訊:
    11/09 02: 21: 04 無法驗證電腦帳戶的對抗 SPN_NameComputerName: 0xc0000388
    11/09 02: 21: 04 NetpJoinDomain: w9x: 驗證帳戶的狀態: 0x4f1
    附註NETLOGON 服務會只在加入網域的電腦上執行。
  4. 如果用戶端電腦不執行 Windows,請依照下列步驟執行:
    1. 決定哪個網域控制站處理安全性通道要求。

      附註您可以使用事件記錄檔和追蹤記錄檔,以判斷網域控制站。
    2. 請確定 NETLOGON 服務已啟動。要這麼做,請您執行下列步驟:
      • 按一下 [開始]、 按一下 [執行]、 輸入 Services.msc,然後按一下 [確定]]。
      • 在 [服務] 主控台請確定 NETLOGON 服務的狀態是 已啟動
      • 如果狀態不是 已啟動NETLOGON] 服務上按一下滑鼠右鍵,然後按一下 [開始]
    3. 啟用 NETLOGON 服務處理安全性通道要求在 Windows Server 2008 為基礎的網域控制站上的偵錯記錄功能。如果要執行此動作使用其中一個下列的方法。

      方法 1
      1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
      2. 在命令提示字元下輸入下列命令:
        Nltest.exe /DBFLAG:2000FFFF
      附註如果不啟動 NETLOGON 服務時您會收到 RPC_S_UNKNOWN_IF 」 錯誤訊息。

      方法 2

      警告如果您修改登錄不當使用 「 登錄編輯程式 」,或使用另一個方法,可能會發生嚴重的問題。這些問題可能需要重新安裝作業系統。Microsoft 無法保證可以解決這些問題。您必須自己承擔修改登錄所造成的風險。
      1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
      2. 找出下列登錄子機碼並用滑鼠右鍵按一下:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. 指向 [新增],然後再按一下 [字串值
      4. 鍵入 DBFLAG,然後再連按兩下 DBFLAG 登錄項目。
      5. 在 [編輯字串] 方塊中,輸入 2000FFFF數值資料] 方塊中。
      6. 結束登錄編輯程式。
    4. 在 [記事本],開啟 %systemroot%\Debug\Netlogon.log 檔案,然後再搜尋下列的錯誤訊息:
      用戶端 ClientComputerName $ 要求提供 NT4 密碼編譯,這台伺服器不允許它。
    5. 如果您發現這個錯誤訊息,用戶端電腦使用 Windows NT 4.0 中用來建立 Windows Server 2008 為基礎的網域控制站的安全性通道的舊密碼編譯演算法。
    6. 停用 NETLOGON 服務在 Windows Server 2008 為基礎的網域控制站上的偵錯記錄功能。如果要執行這項操作,請在命令提示字元中輸入下列命令:
      Nltest.exe /DBFLAG:0

?考

如需有關如何啟用 NETLOGON 服務的偵錯記錄功能的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
109626啟用 [Net Logon] 服務的偵錯記錄

如需有關 NetJoinDomain 函式的詳細資訊,請造訪下列 Microsoft 網站]:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx
在本文所討論的協力廠商產品是由 Microsoft 以外的公司所製造的。Microsoft 不保證,暗示或其他有關這些產品的效能或可靠性。

屬性

文章編號: 942564 - 上次校閱: 2010年4月9日 - 版次: 3.0
這篇文章中的資訊適用於:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
關鍵字:?
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:942564
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com