Der Anmeldedienst auf Windows Server 2008 und neuer Domänencontroller mit älteren Kryptografiealgorithmen, die mit Windows NT 4.0 standardmäßig nicht zulassen

Gilt für: Windows Server 2008 StandardWindows Server 2008 DatacenterWindows Server 2008 Enterprise

Wichtig Dieser Artikel enthält Informationen dazu, wie Sie die Registrierung ändern. Stellen Sie sicher, dass Sie die Registrierung sichern, bevor Sie sie ändern. Stellen Sie sicher, dass Sie wissen, wie Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Für weitere Informationen zum Sichern, Wiederherstellen und Bearbeiten der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows

Problembeschreibung


Hinweis Windows NT 4.0 hat den Microsoft Support-Lebenszyklus überschritten. Szenarien für Windows NT 4.0 wurden nicht getestet und werden nicht unterstützt. Die folgende Informationen dient nur zu Informationszwecken und ist ein einfacher Übergang von Windows NT 4.0-Systeme bereitgestellt. Weitere Informationen zum Microsoft support Lifecycle Policy, finden Sie auf der folgenden Microsoft-Website:Wenn ein Windows NT 4.0-Computer den NETLOGON-Dienst versucht, einen Sicherheitskanal zu einem Windows Server 2008 oder höher Domänencontroller herzustellen, schlägt der Vorgang fehl. Hardware oder Software möglicherweise nicht Sicherheitskanal zu einem Domänencontroller der aktuellen Version Windows Server herstellen, wenn Hardware oder Software kryptografische Algorithmen verwendet, die in Windows NT 4.0 verwendet werden.

In diesem Szenario können die folgenden Symptome auftreten.

Symptom 1

Sie können einer Domäne von einem Windows NT 4.0-basierten Computer anmelden, die von einem Windows Server 2008 oder höher Domänencontroller bedient. Je nachdem, ob die Anmeldeinformationen des Domänenkontos anmelden auf Windows NT 4.0-basierten Computer zwischengespeichert werden erhalten Sie eine der folgenden Fehlermeldungen angezeigt:

Fehlermeldung 1
Das System kann Sie jetzt nicht anmelden, da der Domänenname nicht verfügbar ist.
Fehlermeldung 2
Ein Domänencontroller für die Domäne konnte nicht kontaktiert werden. Sie haben mithilfe zwischengespeicherter Kontoinformationen angemeldet wurde. Änderungen, die Sie seit der letzten Anmeldung an Ihrem Profil vorgenommen haben, sind möglicherweise nicht verfügbar.

Symptom 2

Vertrauensstellungen Windows NT 4.0 und Windows Server-Domänen aktuelle zwischen funktioniert nicht. Sie können die anfängliche Vertrauensstellung erstellt. Beim Überprüfen der Vertrauensstellung mit Domain.msc Microsoft Management Console (MMC)-Snap-in kann die Überprüfung fehlschlagen. Darüber hinaus wird die folgende Fehlermeldung angezeigt:
Der Vorgang ist fehlgeschlagen mit Fehlercode 317 (0x0000013d)

Symptom 3

SAMBA SMB-Client auf einem Windows Server 2008 oder höher Domänencontroller einer Domäne Join-Operation nicht möglich. Oder ein SAMBA Server Message Block (SMB)-Client einen Sicherheitskanal zu einem aktuellen Windows Server-Domänencontroller kann nicht hergestellt werden.

Windows Server-Domänencontroller, der Sicherheitsanfrage Kanal verarbeitet, gibt außerdem den folgenden Fehlercode:
Hex: 0x4F1h
Decimal: 1265
Symbolische Fehler: ERROR_DOWNGRADE_DETECTED
Fehler: "STATUS_DOWNGRADE_DETECTED"
Fehlermeldung: Das System hat eine mögliche Sicherheitsgefahr. Stellen Sie sicher, dass den Server herstellen kann, der Sie authentifiziert.
Hinweis Der Fehler "STATUS_DOWNGRADE_DETECTED" hat mehrere Gründe. Daher wird dieser Fehler nicht notwendigerweise, dass Symptom 3 haben.

Symptom 4

Ein SMB-Speichergerät möglicherweise nicht mit schwachen kryptografischen Algorithmen einen Sicherheitskanal zu Windows Server 2008-basierten Domänencontroller herstellen.

Hinweis SMB-Speichergeräte sind auch IP-Speicher-Devices.

Auf dem authentifizierenden Domänencontroller sind folgende Fehler im Systemprotokoll protokolliert:

Fehler 1
Namen: System
Quelle: NETLOGON
Datum: Datum: Uhrzeit
Ereignis-ID: 5805
Aufgabe Kategorie: keine
Stufe: Fehler
Benutzer: NV
Computer: AuDomainName
Beschreibung: Die Einrichtung einer Sitzung von den Clientcomputer < > Fehler beim authentifizieren. Fehler: Zugriff verweigert.
Hinweis AuDomainName stellt den Namen der authentifizierenden Domänencontroller.

Fehler 2
Namen: System
Quelle: NETLOGON
Datum: Datum: Uhrzeit
Ereignis-ID: 5722
Aufgabe Kategorie: keine
Stufe: Fehler
Schlüsselwörter: Klassisch
Benutzer: NV
Computer: AuDomainName
Beschreibung: Die Einrichtung einer Sitzung von Computer ClientComputerName Authentifizierung ist fehlgeschlagen. Die Namen der Konten in der Sicherheitsdatenbank verwiesen ist ClientComputerName$. Fehler: das System hat eine mögliche Sicherheitsgefahr. Stellen Sie sicher, dass den Server herstellen kann, der Sie authentifiziert.

Derzeit können Symptom 4 auf die folgenden SMB:
  • EMC Celerra
Wenden Sie sich an den Gerätehersteller, ob ein Update für dieses Problem verfügbar ist.

Darüber hinaus können OpenVMS auf einem Windows Server 2008 oder höher Domänencontroller herstellen einen Sicherheitskanal von Hewlett-Packard (HP) Advanced Server möglich. Der aktuelle Windows Server 2008-Domänencontroller gibt insbesondere folgender Fehlercode OpenVMS NetrServerAuthenticate Anforderung:
Hex: 0x4F1h
Decimal: 1265
Symbolische Fehler: ERROR_DOWNGRADE_DETECTED
Fehler: "STATUS_DOWNGRADE_DETECTED"
Fehlermeldung: Das System hat eine mögliche Sicherheitsgefahr. Stellen Sie sicher, dass den Server herstellen kann, der Sie authentifiziert.
Hinweis Der Fehler "STATUS_DOWNGRADE_DETECTED" hat mehrere Gründe. Daher wird dieser Fehler nicht notwendigerweise, dass Symptom 4 auftreten.

Problem 5

Ein primären Domänencontroller (PDC) von Windows NT 4.0 kann keine externe Vertrauensstellung zwischen sich selbst und PDC-Emulator, auf dem Windows Server 2008 R2 ausgeführt wird oder neuer. Servern mit mindestens Windows Server 2008 R2 mit Windows NT 4.0-Domäne vertrauen nicht möglich. Windows NT 4.0-Mitglieder, die in einer Windows NT 4.0-Domäne können nicht auch Domänencontroller zugreifen, die mit Windows Server 2008 R2 oder besser mit einer Vertrauensstellung. Dieses Verhalten tritt auch Vertrauensstellung wurde zwischen einem PDC, auf dem Windows NT 4.0 ausgeführt wird und ein primärer Domänencontroller, auf dem Windows Server 2008 oder Windows Server 2003 ausgeführt wird.

Die folgenden Fehler werden im Systemprotokoll PDC protokolliert, die Windows NT 4.0 ausgeführt wird, nachdem die Vertrauensstellung erstellt wurde:

Die folgenden Fehler im Systemprotokoll auf dem primären Domänencontroller, der Windows Server 2008 R2 ausgeführt wird, nachdem die Vertrauensstellung protokolliert: beim Überprüfen der Vertrauensstellung mit Domain.msc erhalten Sie folgende Fehlermeldung:

"Fehler bei Überprüfung der Vertrauensstellung zwischen der Domäne Southridgevideo und Domänen Cpandl da: Zugriff verweigert. Um eine Vertrauensstellung zu einer Prä-Windows 2000-Domäne reparieren müssen entfernt und die Vertrauensstellung auf beiden Seiten erneut."
Sie verwenden Windows NT 4.0-Mitgliedscomputer in Windows NT 4.0-Domäne mit einer validierten Vertrauensstellung. Wenn Sie versuchen auf eine Ressource zuzugreifen, die auf einem Domänencontroller befindet, auf dem Windows Server 2008 R2 ausgeführt wird, wird die folgende Fehlermeldung angezeigt:

"Die Vertrauensstellung zwischen der primären Domäne und der vertrauten Domäne fehlgeschlagen."

Ursache


Dieses Problem tritt aufgrund des Standardverhaltens der Richtlinie zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 auf Windows Server 2008-Domänencontrollern. Diese Richtlinie konfiguriert um Windows-Betriebssystemen und Drittanbieter-Clients mit schwachen kryptografischen Algorithmen NETLOGON Sicherheit Kanäle zu Windows Server 2008-basierten Domänencontroller zu verhindern.

Wichtig  Windows NT 4.0-Vertrauensstellungen können zwischen Windows Server 2008 R2 oder höher und Windows NT 4.0-basierten Domänen erstellt werden. Die beschriebenen Schritte, die in diesem Artikel beschriebenen gelten nur Windows Server 2008. Sicherheit ändern, die in Windows Server 2008 R2 verhindern eine Vertrauensstellung zwischen Windows Server 2008 R2-Domänen und Windows NT 4.0-Domänen. Dieses Verhalten ist entwurfsbedingt.

PROBLEMUMGEHUNG


Um dieses Problem zu umgehen, stellen Sie sicher, dass Clientcomputer kryptografische Algorithmen verwenden, die mit Windows Server 2008 kompatibel sind. Möglicherweise wird der Anbieter Software-Updates anfordern.

Wenn Sie Softwareupdates nicht installieren können, da ein Service-Ausfall auftritt, gehen Sie folgendermaßen vor:
  1. Melden Sie sich bei Windows Server 2008-basierten Domänencontroller.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpmc.mscund klicken Sie dann auf OK.
  3. Erweitern Sie in der Gruppenrichtlinien- Verwaltungskonsole Gesamtstruktur: Domänenname Domänenname, erweitern Sie Domain Controllers, Standardmäßigen Domänencontrollerrichtlinieklicken und anschließend klicken Sie auf Bearbeiten.
  4. In der Konsole Gruppenrichtlinienverwaltungs-Editor erweitern Sie Computerkonfiguration, erweitern Sie RichtlinienVorlagen Sie Administrative, erweitern Sie System, klicken Sie auf Net Logonund doppelklicken Sie dann auf Zulassen kompatibel mit Windows NT 4.0 Kryptografiealgorithmen.
  5. Klicken Sie im Dialogfeld Eigenschaften klicken Sie auf die Option aktiviert , und klicken Sie auf OK.

    Hinweise
    • Standardmäßig ist die Option Nicht konfiguriert für die Richtlinie zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 in folgenden Gruppenrichtlinienobjekte (GPO) festgelegt:
      • Standarddomänenrichtlinie
      • Standard-Domänencontrollerrichtlinie
      • Richtlinie für lokalen Computer
      Standardmäßig ist das Verhalten für die Richtlinie zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 auf Windows Server 2008-Domänencontrollern programmgesteuert verhindern Verbindungen mit kryptografischen Algorithmen in Windows NT 4.0. Daher erkennt Tools, die effektive Richtlinien auf einem Computer oder auf einem Domänencontroller auflisten, wenn Sie explizit aktivieren oder deaktivieren die Richtlinie nicht zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 -Richtlinie.
    • Windows 2000 Server-Domänencontrollern und Windows Server 2003-Domänencontroller müssen nicht zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 -Richtlinie. Daher Anträge vor Windows Server 2008-Domänencontrollern Security Channel von Client-Computern auch wenn Clientcomputer alte Kryptografiealgorithmen, die unter Windows NT 4.0 verwendet werden. Windows Server 2008-Domänencontrollern zeitweise Security Channel Anfragen verarbeitet, erleben Sie inkonsistente Ergebnisse.
  6. Drittanbieter-Software installieren, die das Problem beheben oder Entfernen von Clientcomputern, die inkompatible Kryptografiealgorithmen verwenden.
  7. Wiederholen Sie die Schritte 1 bis 4.
  8. Klicken Sie im Dialogfeld Eigenschaften klicken Sie auf die Option deaktiviert , und klicken Sie auf OK.

    Wichtig Aus Sicherheitsgründen sollte die Option für diese Richtlinie auf deaktiviertfestgelegt werden.

Status


Dieses Verhalten ist entwurfsbedingt.

Weitere Informationen


Ein verwandtes Problem auf Computern mit Windows 2000 oder späteren Versionen von Windows

Können Clientcomputer mit Windows 2000 oder späteren Versionen von Windows Security Channel auf Windows Server 2008-basierten Domänencontroller herstellen sein nicht die zulassen Kryptografiealgorithmen kompatibel mit Windows NT 4.0 betroffen Richtlinie. Wenn diese Clientcomputer die NetJoinDomain -Funktion zusammen mit der Option NETSETUP_JOIN_UNSECURE Verknüpfung für Windows Server 2008-basierten Domänencontroller verwenden, gibt der Domänencontroller jedoch den folgenden Fehlercode zurück:
Hex: 0x4F1h
Decimal: 1265
Symbolische Fehler: ERROR_DOWNGRADE_DETECTED
Fehler: "STATUS_DOWNGRADE_DETECTED"
Fehlermeldung: Das System hat eine mögliche Sicherheitsgefahr. Stellen Sie sicher, dass den Server herstellen kann, der Sie authentifiziert.
Dieses Problem tritt auf, wenn die Einstellung deaktiviert oder Nicht konfiguriertist.

Hinweis Der Fehler "STATUS_DOWNGRADE_DETECTED" hat mehrere Gründe. Daher wird dieser Fehler nicht notwendigerweise, dass dieses Problem.

Dieses Problem auf Computern auftreten, die die folgenden Betriebssysteme ausgeführt werden:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • Die Releaseversion von Windows Vista
Hinweis Computer mit Windows Vista Service Pack 1 (SP1) und späteren Versionen von Windows Vista sind nicht betroffen.

NetJoinDomain -Funktion wird zusammen mit der Option NETSETUP_JOIN_UNSECURE in den folgenden Szenarios verwendet. (Diese Funktion ist auch in anderen Szenarios verwendet.)
  • Sie verwenden Windows Deployment Services (WDS) oder Remoteinstallationsdienste (RIS) auf einem Windows-Betriebssystem installieren.
  • Mithilfe der Active Directory-Migrationsprogramm (ADMT) Computermigrations des Windows-Betriebssystems ausführen.
Das folgenden Hotfix-Paket kann auf Computern angewendet werden, das Ausführen von Windows XP oder Windows Server 2003, um dieses Problem zu beheben:
944043 Beschreibung des Windows Server 2008 schreibgeschützte Domänencontroller Compatibility Packs für Windows Server 2003-Clients und Clients unter Windows XP und Windows Vista

Wie Sie diese Probleme beheben

Wenn einen Sicherheitskanal auf einem Clientcomputer zu einem Windows Server 2008-basierten Domänencontroller herstellen kann, folgendermaßen Sie vor, um das Problem zu beheben:
  1. Wenn Client-Computer Windows NT 4.0 ausgeführt wird, aktualisieren Sie Windows NT 4.0 auf Windows 2000 oder höher. Wenn Sie die Aktualisierung durchführen können, führen Sie die Schritte im Abschnitt "Abhilfe".
  2. Wenn der Client-Computer Windows 2000 oder eine höhere Version von Windows ausgeführt wird und der Clientcomputer eine Verknüpfungsoperation abgesicherte Domäne führt die Schritte im Abschnitt "Abhilfe" als temporäre Lösung.
  3. Wenn Client-Computer Windows 2000 oder eine höhere Version von Windows ausgeführt wird und Sie nicht sind sicher, ob der Clientcomputer ist durchführt einer unsicheren beitritt, überprüfen Sie die Datei %systemroot%\Debug\Netsetup.log. Wenn der Clientcomputer eine unsichere Join-Operation durchführen, werden Informationen, die der folgenden ähnelt protokolliert:
    11-09 02:21:04 Fehler beim Überprüfen des Computerkontos für ComputerName gegen
    SPN_Name: 0xc0000388
    11-09 02:21:04 NetpJoinDomain: w9x: Status des Kontos überprüft: 0x4f1
    Hinweis Der NETLOGON-Dienst wird nur auf einem Computer, der eine Domäne hinzugefügt.
  4. Wenn der Clientcomputer nicht Windows ausgeführt wird, gehen Sie folgendermaßen vor:
    1. Bestimmen Sie, welcher Domänencontroller Security Channel Anfragen verarbeitet.

      Hinweis Ereignisprotokolle und Ablaufprotokolle können Sie um den Domänencontroller zu ermitteln.
    2. Stellen Sie sicher, dass der NETLOGON-Dienst gestartet wurde. Gehen Sie hierzu folgendermaßen vor:
      • Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie Services.msc ein, und klicken Sie auf OK.
      • Sicherstellen Sie in der Konsole Dienste , dass der Status für den NETLOGON-Dienst gestartetist.
      • Ist der Status nicht gestartet, Klickenmit der rechten Maustaste des NETLOGON -Dienstes
    3. Debug Protokollierung für den NETLOGON-Dienst auf dem Windows Server 2008-basierten Domänencontroller, Security Channel Anfragen verarbeitet. Verwenden Sie hierzu eine der folgenden Methoden.

      Methode 1
      1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
      2. Geben Sie in der Befehlszeile folgenden Befehl ein:
        Nltest.exe /DBFLAG:2000FFFF
      Hinweis Wenn der Anmeldedienst nicht gestartet, erhalten Sie eine Fehlermeldung "RPC_S_UNKNOWN_IF".

      Methode 2

      Warnung Schwerwiegende Probleme können auftreten, wenn Sie die Registrierung nicht ordnungsgemäß mit dem Registrierungseditor oder mithilfe einer anderen Methode ändern. Diese Probleme können eine Neuinstallation des Betriebssystems erfordern. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Ändern Sie die Registrierung auf eigene Gefahr.
      1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.
      2. Suchen Sie und klicken Sie den folgenden Registrierungsunterschlüssel:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Zeigen Sie auf neu, und klicken Sie auf Zeichenfolge.
      4. Geben Sie DBFLAG, und doppelklicken Sie auf den Registrierungseintrag " DBFLAG ".
      5. Geben Sie im Feld Zeichenfolge bearbeiten 2000FFFF in das Feld Wert ein.
      6. Registrierungseditor beenden.
    4. Öffnen Sie die Datei %systemroot%\Debug\Netlogon.log im Editor, und suchen Sie die folgende Fehlermeldung angezeigt:
      fordert des Clients ClientComputerName$ NT4 Crypto und dieser Server nicht zulässt.
    5. Findet diese Fehlermeldung verwendet der Clientcomputer alte Kryptografiealgorithmen einen Sicherheitskanal zu Windows Server 2008-basierten Domänencontroller herstellen in Windows NT 4.0 verwendet werden.
    6. Debug-Protokollierung für den NETLOGON-Dienst auf dem Windows Server 2008-basierten Domänencontroller zu deaktivieren. Hierzu geben Sie folgenden Befehl ein:
      Nltest.exe /DBFLAG:0

Referenzen


Weitere Informationen zum Aktivieren der Debugprotokollierung für den Anmeldedienst klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

109626 Aktivieren der Debugprotokollierung für den Anmeldedienst


Weitere Informationen über die NetJoinDomain -Funktion finden Sie auf der folgenden Microsoft-Website:Die in diesem Artikel erörterten Produkte von Drittanbietern werden von Unternehmen hergestellt, die von Microsoft unabhängig sind. Microsoft übernimmt keine Garantie, weder konkludent noch anderweitig, für die Leistung oder Zuverlässigkeit dieser Produkte.