El servicio Net Logon en Windows Server 2008 y los controladores de dominio más recientes no permiten el uso de algoritmos de criptografía anteriores que son compatibles con Windows NT 4.0 de manera predeterminada

Se aplica a: Windows Server 2008 StandardWindows Server 2008 DatacenterWindows Server 2008 Enterprise

Importante: Este artículo contiene información acerca de cómo modificar el registro. Asegúrese de hacer copia de seguridad del registro antes de modificarlo. Asegúrese de que sabe cómo restaurarlo si ocurre algún problema. Para obtener más información acerca de cómo hacer copia de seguridad, restaurar y modificar el registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756 cómo hacer copia de seguridad y restaurar el registro en Windows

Síntomas


Nota: Windows NT 4.0 es pasado período de ciclo de vida de soporte de Microsoft. Escenarios que son relevantes para Windows NT 4.0 no se han probado y no son compatibles. La información siguiente sólo es informativa y se proporciona para facilitar una transición más fácil desde sistemas Windows NT 4.0. Para obtener más información acerca de Microsoft directiva ciclo de vida de soporte técnico, visite el siguiente sitio Web de Microsoft:Cuando un equipo basado en Windows NT 4.0 intenta utilizar el servicio NETLOGON para establecer un canal de seguridad para Windows Server 2008 o el controlador de dominio más reciente, la operación puede fallar. Hardware o software podrán establecer un canal de seguridad en un controlador de dominio de Windows Server versión actual si el hardware o el software utiliza los algoritmos de cifrado que se utilizan en Windows NT 4.0.

En este escenario, puede experimentar los síntomas siguientes.

Síntoma 1

No puede iniciar sesión en un dominio desde un equipo basado en Windows NT 4.0 que es atendido por un Windows Server 2008 o un controlador de dominio más reciente. Dependiendo de si se almacenan en caché las credenciales de la cuenta de inicio de sesión de dominio en el equipo basado en Windows NT 4.0, puede recibir uno de los siguientes mensajes de error:

Mensaje de error 1
El sistema no puede iniciar sesión porque el dominio nombreDeDominio no está disponible.
Mensaje de error 2
No se pudo contactar con un controlador de dominio para su dominio. Ha iniciado sesión utilizando información de cuenta almacenada en caché. Cambios en su perfil desde la última sesión no esté disponibles.

Síntoma 2

Las confianzas que existen entre dominios de Windows NT 4.0 y los dominios actuales de Windows Server no funcionen. Puede crear correctamente la confianza inicial. Sin embargo, cuando intenta validar la confianza mediante el complemento de Domain.msc Microsoft Management Console (MMC), la validación puede fallar. Además, recibirá el siguiente mensaje de error:
Error en la operación con el código de error 317 (0x0000013d)

Síntoma 3

Un cliente SAMBA SMB no puede realizar una operación de combinación de dominio a un Windows Server 2008 o un controlador de dominio más reciente. O bien, un cliente de bloque de mensaje de servidor (SMB) de SAMBA no puede establecer un canal de seguridad en un controlador de dominio de Windows Server actual.

Además, el controlador de dominio de Windows Server que procesa la solicitud de canal de seguridad devuelve el código de error siguiente:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error breve: "STATUS_DOWNGRADE_DETECTED"
Error descriptivos: El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Nota: El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 3.

Síntoma 4

Un dispositivo de almacenamiento de información de PYMES podrán utilizar algoritmos de criptografía débil para establecer un canal de seguridad en un controlador de dominio basado en Windows Server 2008.

Nota: Dispositivos de almacenamiento SMB también son conocidos como dispositivos de almacenamiento de información IP.

En el controlador de dominio de autenticación, se registran los errores siguientes en el registro del sistema:

Error 1
Nombre de registro: sistema
Origen: NETLOGON
Fecha: fecha: hora
Id. de suceso: 5805
Categoría de tarea: ninguno
Nivel: Error
Usuario: N/D
Equipo: AuDomainName
Descripción: No se pudo autenticar la configuración de sesión desde el equipo < equipo cliente >. Ocurrió el siguiente error: acceso denegado.
Nota: AuDomainName representa el nombre del controlador de dominio de autenticación.

Error 2
Nombre de registro: sistema
Origen: NETLOGON
Fecha: fecha: hora
Id. de suceso: 5722
Categoría de tarea: ninguno
Nivel: Error
Palabras clave: clásico
Usuario: N/D
Equipo: AuDomainName
Descripción: No se pudo autenticar la configuración de sesión desde el equipo ClientComputerName . Los nombres de las cuentas que se hace referenciados en la base de datos de seguridad es $ ClientComputerName. Ocurrió el siguiente error: el sistema ha detectado un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.

En la actualidad, experimenta el síntoma 4 en el dispositivo de almacenamiento de información SMB siguiente:
  • Celerra de EMC
Póngase en contacto con el fabricante del dispositivo para ver si hay disponible una actualización para este problema.

Además, no puede establecer un canal de seguridad de Hewlett-Packard (HP) Advanced Server para OpenVMS para Windows Server 2008 o el controlador de dominio más reciente. En concreto, el controlador de dominio de Windows Server 2008 actual devuelve el código de error a la solicitud de OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error breve: "STATUS_DOWNGRADE_DETECTED"
Error descriptivos: El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Nota: El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando síntoma 4.

Síntoma 5

Un controlador de dominio principal (PDC) de Windows NT 4.0 no puede crear una confianza externa entre sí mismo y un emulador PDC que se ejecuta Windows Server 2008 R2 o posterior. Servidores que están ejecutando al menos Windows Server 2008 R2 no se puede tener acceso mediante una confianza de dominio basado en Windows NT 4.0. Los miembros de Windows NT 4.0 en un dominio basado en Windows NT 4.0 también acceso a controladores de dominio que están ejecutando Windows Server 2008 R2 o mejor mediante el uso de una relación de confianza. Este comportamiento se produce incluso si se creó la relación de confianza entre un PDC que se ejecuta Windows NT 4.0 y un PDC que se ejecuta Windows Server 2008 o Windows Server 2003.

Los siguientes errores se registran en el registro del sistema en un PDC que se ejecuta Windows NT 4.0 después de crea la confianza:

Los siguientes errores se registran en el registro del sistema en el PDC que ejecuta Windows Server 2008 R2 después de crea la confianza: cuando intenta validar la confianza mediante Domain.msc, recibirá el siguiente mensaje de error:

"Comprobación de la confianza entre el dominio southridgevideo y el cpandl dominio no tuvo éxito porque: acceso denegado. Para reparar una confianza con un dominio anterior a Windows 2000 debe quitar y volver a agregar la confianza en ambos lados."
Utilice un equipo miembro basado en Windows NT 4.0 en el dominio basado en Windows NT 4.0 a través de una confianza validada. Cuando intenta tener acceso a un recurso que se encuentra en un controlador de dominio que ejecuta Windows Server 2008 R2, recibirá el siguiente mensaje de error:

"Error en la relación de confianza entre el dominio principal y el dominio de confianza".

Causa


Este problema se produce debido al comportamiento predeterminado de la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los controladores de dominio basados en Windows Server 2008. Esta directiva está configurada para evitar que los sistemas operativos Windows y los clientes de terceros utilizando algoritmos de criptografía débil para establecer canales de seguridad NETLOGON para controladores de dominio basados en Windows Server 2008.

Importante: Las confianzas de Windows NT 4.0 no pueden crearse entre Windows Server 2008 R2 o más nuevos dominios y dominios basados en Windows NT 4.0. Los pasos que se documentan más adelante en este artículo se aplican a sólo Windows Server 2008. Cambios de seguridad que se encuentran en Windows Server 2008 R2 impiden una confianza entre dominios basados en Windows Server 2008 R2 y dominios basados en Windows NT 4.0. Este comportamiento es por diseño.

Solución alternativa


Para evitar este problema, asegúrese de que los equipos cliente utilizan los algoritmos de criptografía compatibles con Windows Server 2008. Deberá solicitar las actualizaciones de software de los proveedores del producto.

Si no puede instalar las actualizaciones de software, ya que se producirá una interrupción del servicio, siga estos pasos:
  1. Inicie sesión en un controlador de dominio basado en Windows Server 2008.
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba gpmc.mscy, a continuación, haga clic en Aceptar.
  3. En Group Policy Management console, expanda bosque: nombreDeDominio, expanda nombreDeDominio, expanda Controladores de dominio, haga clic en Default Domain Controllers Policyy, a continuación, haga clic en Editar.
  4. En la consola Editor de administración de directiva de grupo , expanda Configuración del equipo, expanda directivas, expanda Plantillas administrativas, expanda sistema, haga clic en Inicio de sesióny, a continuación, haga doble clic en Permitir algoritmos de criptografía compatibles con Windows NT 4.0.
  5. En el cuadro de diálogo Propiedades , haga clic en la opción habilitado y, a continuación, haga clic en Aceptar.

    Notas:
    • De forma predeterminada, se establece la opción No configurada para la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los siguientes objetos de directiva de grupo (GPO):
      • Directiva de dominio predeterminada
      • Directiva predeterminada de controladores de dominio
      • Directiva de equipo local
      De forma predeterminada, el comportamiento de la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 en los controladores de dominio basados en Windows Server 2008 es impedir mediante programación a las conexiones del uso de algoritmos de criptografía que se utilizan en Windows NT 4.0. Por lo tanto, herramientas que enumeran la configuración de directiva efectiva en un equipo miembro o un controlador de dominio no detectará la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 a menos que explícitamente se habilita o se deshabilita la directiva.
    • Los controladores de dominio basados en Windows 2000 Server y los controladores de dominio basados en Windows Server 2003 no tienen la directiva Permitir algoritmos de criptografía compatibles con Windows NT 4.0 . Por consiguiente, los controladores de dominio anterior a Windows Server 2008 aceptan solicitudes de canal de seguridad de los equipos cliente incluso si los equipos cliente utilizan los algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0. Si los controladores de dominio basados en Windows Server 2008 intermitentemente procesa las solicitudes de canal de seguridad, experimentará resultados incoherentes.
  6. Instalar actualizaciones de software de terceros que solución el problema o quitar equipos cliente que utilizan algoritmos de criptografía incompatible.
  7. Repita los pasos 1 a 4.
  8. En el cuadro de diálogo Propiedades , haga clic en la opción deshabilitado y, a continuación, haga clic en Aceptar.

    Importante: Por razones de seguridad, debe establecer la opción para esta directiva a la movilidad.

Estado


Este comportamiento es por diseño.

Más información


Un problema relacionado en los equipos que ejecutan Windows 2000 o versiones posteriores de Windows

La capacidad de los equipos cliente que ejecutan Windows 2000 o versiones posteriores de Windows para establecer canales de seguridad para controladores de dominio basados en Windows Server 2008 no se verán afectadas por los algoritmos de criptografía Permitir compatibles con Windows NT 4.0 directiva. Sin embargo, cuando estos equipos cliente, utilizan la función NetJoinDomain junto con la opción de combinación NETSETUP_JOIN_UNSECURE contra un controlador de dominio basado en Windows Server 2008, el controlador de dominio devuelve el código de error siguiente:
Hex: 0x4F1h
Decimal: 1265
Error simbólico: ERROR_DOWNGRADE_DETECTED
Error breve: "STATUS_DOWNGRADE_DETECTED"
Error descriptivos: El sistema detectó un posible intento de comprometer la seguridad. Asegúrese de que puede ponerse en contacto con el servidor que le autenticó.
Este problema se produce cuando la configuración de directiva está deshabilitada o No configurada.

Nota: El error "STATUS_DOWNGRADE_DETECTED" tiene varias causas. Por lo tanto, este error no indica necesariamente que está experimentando este problema.

Puede experimentar este problema en equipos que ejecutan los sistemas operativos siguientes:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • La versión de lanzamiento de Windows Vista
Nota: Equipos que ejecutan Windows Vista con Service Pack 1 (SP1) o versiones posteriores de Windows Vista no se ven afectados.

Se utiliza la función NetJoinDomain junto con la opción NETSETUP_JOIN_UNSECURE en los escenarios siguientes. (Esta función también se utiliza en otros escenarios).
  • Usar servicios de implementación de Windows (WDS) o servicios de instalación remota (RIS) para instalar un sistema operativo Windows.
  • Utilice la herramienta de migración para Active Directory (ADMT) para realizar la migración de cuentas de equipo de un sistema operativo Windows.
El paquete de hotfix siguiente puede aplicarse a equipos que ejecutan Windows XP o Windows Server 2003 para resolver este problema:
Descripción de 944043 del paquete de compatibilidad de controlador de dominio de sólo lectura de Windows Server 2008 para los clientes de Windows Server 2003 para los clientes de Windows XP y Windows Vista

Cómo solucionar estos problemas

Cuando no se puede establecer un canal de seguridad desde un equipo cliente a un controlador de dominio basado en Windows Server 2008, siga estos pasos para solucionar el problema:
  1. Si el equipo cliente está ejecutando Windows NT 4.0, actualizar Windows NT 4.0 a Windows 2000 o versiones posteriores. Si no puede realizar la actualización, siga los pasos descritos en la sección "Solución".
  2. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows y el equipo cliente ejecuta una operación de combinación no segura del dominio, siga los pasos descritos en la sección "Solución" como una solución temporal.
  3. Si el equipo cliente ejecuta Windows 2000 o una versión posterior de Windows, y no está seguro si es el equipo cliente realiza una operación de unión no segura, examine el archivo %systemroot%\Debug\Netsetup.log. Si el equipo cliente está realizando una operación de combinación no segura, se registra información similar al siguiente:
    11/09 02:21:04 no pudo validar la cuenta de equipo para nombreDeEquipo contra
    SPN_Name: 0xc0000388
    11/09 02:21:04 NetpJoinDomain: w9x: estado de validación de cuenta: 0x4f1
    Nota: El servicio NETLOGON se ejecuta únicamente en un equipo que se une a un dominio.
  4. Si el equipo cliente no ejecuta Windows, siga estos pasos:
    1. Determinar qué controlador de dominio está procesando solicitudes de canal de seguridad.

      Nota: Puede utilizar registros de eventos y registros de seguimiento para determinar el controlador de dominio.
    2. Asegúrese de que se ha iniciado el servicio NETLOGON. Para ello, siga estos pasos:
      • Haga clic en Inicio, haga clic en Ejecutar, escriba services.msc y, a continuación, haga clic en Aceptar.
      • En la consola Servicios , asegúrese de que el estado del servicio NETLOGON es iniciado.
      • Si el estado no es iniciado, haga clic en el servicio NETLOGON y, a continuación, haga clic en Inicio.
    3. Habilitar el registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008 que procesa las solicitudes de canal de seguridad. Para ello, utilice uno de los métodos siguientes.

      Método 1
      1. Haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
      2. En el símbolo del sistema, escriba el comando siguiente:
        Nltest.exe /DBFLAG:2000FFFF
      Nota: Si no se ha iniciado el servicio NETLOGON, recibirá un mensaje de error "RPC_S_UNKNOWN_IF".

      Método 2

      Advertencia: pueden producirse problemas graves si modifica incorrectamente el registro mediante el Editor del registro o mediante cualquier otro método. Estos problemas pueden requerir que reinstale el sistema operativo. Microsoft no puede garantizar que estos problemas puedan resolverse. Modifique el registro bajo su propio riesgo.
      1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
      2. Busque y, a continuación, haga clic en la subclave del registro siguiente:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Seleccione nuevoy, a continuación, haga clic en Valor de cadena.
      4. Escriba DBFLAGy, a continuación, haga doble clic en la entrada del registro DBFLAG .
      5. En el cuadro Editar cadena , escriba 2000FFFF en el cuadro datos de valor .
      6. Salga del Editor del Registro.
    4. Abra el archivo %systemroot%\Debug\Netlogon.log en el Bloc de notas y, a continuación, busque el mensaje de error siguiente:
      el cliente ClientComputerName$ pide crypto NT4 y deniega este servidor.
    5. Si encuentra este mensaje de error, el equipo cliente utiliza algoritmos de criptografía antiguo que se utilizan en Windows NT 4.0 para establecer un canal de seguridad en el controlador de dominio basado en Windows Server 2008.
    6. Deshabilitar el registro de depuración para el servicio NETLOGON en el controlador de dominio basado en Windows Server 2008. Para ello, escriba el comando siguiente en un símbolo del sistema:
      Nltest.exe /DBFLAG:0

Referencias


Para obtener más información acerca de cómo habilitar el registro de depuración para el servicio NETLOGON, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

109626 depuración de habilitar registro para el servicio de Net Logon


Para obtener más información acerca de la función NetJoinDomain , visite el siguiente sitio Web de Microsoft:Los productos de terceros que se indican en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.