Le service d’ouverture de session réseau sur Windows Server 2008 et de nouveaux contrôleurs de domaine ne pas autoriser l’utilisation d’algorithmes de cryptographie plus anciens qui sont compatibles avec Windows NT 4.0 par défaut

S’applique à : Windows Server 2008 StandardWindows Server 2008 DatacenterWindows Server 2008 Enterprise

Important Cet article contient des informations sur la façon de modifier le Registre. Assurez-vous que vous sauvegardez le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows

Symptômes


Remarque Windows NT 4.0 est passé de Microsoft prend en charge la période de cycle de vie. Scénarios relatifs à Windows NT 4.0 n’ont pas été testés et ne sont pas pris en charge. Les informations suivantes sont informations uniquement et sont fournies pour faciliter une transition plus facile à partir de systèmes Windows NT 4.0. Pour plus d’informations sur Microsoft prennent en charge la stratégie de cycle de vie, visitez le site Web de Microsoft à l’adresse suivante :Lorsqu’un ordinateur Windows NT 4.0 essaie d’utiliser le service NETLOGON afin d’établir un canal de sécurité à un serveur ou un nouveau contrôleur de domaine Windows Server 2008, l’opération peut échouer. Matériel ou logiciel peut être impossible d’établir un canal de sécurité pour un contrôleur de domaine Windows Server version actuel si le matériel ou le logiciel utilise les algorithmes de chiffrement qui sont utilisés dans Windows NT 4.0.

Dans ce scénario, vous pouvez rencontrer les problèmes suivants.

Symptôme 1

Vous ne peut pas vous connecter à un domaine à partir d’un ordinateur Windows NT 4.0 qui est desservi par un serveur ou un nouveau contrôleur de domaine Windows Server 2008. En fonction des informations d'identification du compte d'ouverture de session de domaine mises en cache sur l'ordinateur Windows NT 4.0, un des messages d'erreur suivants peut s'afficher :

Message d'erreur 1
Le système ne peut pas ouvrir de session car le domaine nom_domaine n’est pas disponible.
Message d'erreur 2
Un contrôleur de domaine pour votre domaine n’a pas pu être contacté. Vous avez été connecté en utilisant les informations de compte mises en cache. Les modifications apportées à votre profil depuis votre dernière session ne seront peut être pas disponibles.

Symptôme 2

Relations d’approbation qui existent entre les domaines Windows NT 4.0 et Windows Server en cours peut ne pas fonctionnent correctement. Vous pouvez créer avec succès de l’approbation initiale. Toutefois, lorsque vous essayez de valider l’approbation en utilisant le composant logiciel enfichable de la Console de gestion Microsoft (MMC) Domain.msc, la validation peut échouer. En outre, le message d’erreur suivant s’affiche :
L’opération a échoué avec le code d’erreur 317 (0x0000013d)

Symptôme 3

Un client SAMBA SMB ne peut pas effectuer une opération de jointure de domaine pour un nouveau contrôleur de domaine ou de Windows Server 2008. Ou bien, un client SAMBA SMB Server Message Block () ne peut pas établir un canal de sécurité pour un contrôleur de domaine Windows Server en cours.

En outre, le contrôleur de domaine de Windows Server qui traite la demande de canal de sécurité renvoie le code d’erreur suivant :
Hexadécimal : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court : « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Remarque L’erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez le problème 3.

Symptôme 4

Un périphérique de stockage SMB peut être impossible d’utiliser des algorithmes de chiffrement faible pour établir un canal de sécurité pour un contrôleur de domaine Windows Server 2008.

Remarque Les périphériques de stockage SMB sont également appelés des périphériques de stockage IP.

Sur le contrôleur de domaine authentifiant, les erreurs suivantes sont enregistrées dans le journal système :

Erreur 1
Nom du journal : système
Source : NETLOGON
Date : Date: heure
L’ID d’événement : 5805
Catégorie de la tâche : aucun
Niveau : erreur
Utilisateur : n/a
Ordinateur : AuDomainName
Description : La configuration de session de l’ordinateur < client > authentification a échoué. L’erreur suivante s’est produite : l’accès est refusé.
Remarque : AuDomainName représente le nom du contrôleur de domaine authentifiant.

Erreur 2
Nom du journal : système
Source : NETLOGON
Date : Date: heure
L’ID d’événement : 5722
Catégorie de la tâche : aucun
Niveau : erreur
Mots clés : classique
Utilisateur : n/a
Ordinateur : AuDomainName
Description : Échec de la configuration de session de l’ordinateur ClientComputerName d’authentification. Les noms des comptes référencés dans la base de données de sécurité est de ClientComputerName$. L’erreur suivante s’est produite : le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.

Actuellement, vous rencontrez des problème 4 sur le périphérique de stockage SMB suivant :
  • EMC Celerra
Contactez le fabricant du périphérique pour voir si une mise à jour pour ce problème est disponible.

En outre, il se peut que vous ne puissiez pas établir un canal de sécurité à partir de Hewlett-Packard (HP) Advanced Server pour OpenVMS à un serveur ou un nouveau contrôleur de domaine Windows Server 2008. Plus précisément, le contrôleur de domaine Windows Server 2008 en cours renvoie le code d’erreur suivant à la demande de OpenVMS NetrServerAuthenticate :
Hexadécimal : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court : « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Remarque L’erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez le problème 4.

Symptôme 5

Un contrôleur de domaine principal (PDC) Windows NT 4.0 ne peut pas créer une approbation externe entre elle-même et un émulateur de contrôleur principal de domaine qui exécute Windows Server 2008 R2 ou une version ultérieure. Les serveurs qui exécutent au moins Windows Server 2008 R2 ne sont pas accessibles à l’aide d’une approbation de domaine Windows NT 4.0. Également membres Windows NT 4.0 dans un domaine Windows NT 4.0 ne peut pas accéder à des contrôleurs de domaine exécutant Windows Server 2008 R2 ou mieux à l’aide d’une approbation. Ce problème se produit même si l’approbation est créée entre un contrôleur principal de domaine qui exécute Windows NT 4.0 et un contrôleur principal de domaine qui exécute Windows Server 2008 ou Windows Server 2003.

Les erreurs suivantes sont enregistrées dans le journal système sur un contrôleur principal de domaine qui exécute Windows NT 4.0 après que l’approbation est créée :

Les erreurs suivantes sont enregistrées dans le journal système sur le contrôleur principal de domaine qui exécute Windows Server 2008 R2 après l’approbation est créée : lorsque vous essayez de valider l’approbation à l’aide de Domain.msc, vous recevez le message d’erreur suivant :

« Vérification de l’approbation entre le domaine southridgevideo et le cpandl de domaine a échoué car : l’accès est refusé. Pour réparer une approbation à un domaine antérieur à Windows 2000 vous devez supprimer et rajouter l’approbation des deux côtés. »
Vous utilisez un ordinateur membre Windows NT 4.0 dans le domaine Windows NT 4.0 sur une approbation validée. Lorsque vous essayez d’accéder à une ressource qui se trouve sur un contrôleur de domaine qui exécute Windows Server 2008 R2, le message d’erreur suivant s’affiche :

« La relation d’approbation entre le domaine principal et le domaine approuvé a échoué. »

Cause


Ce problème se produit en raison du comportement par défaut de la stratégie Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 sur les contrôleurs de domaine Windows Server 2008. Cette stratégie est configurée pour empêcher les systèmes d’exploitation Windows et les clients tiers d’utiliser des algorithmes de chiffrement faible pour établir des canaux de sécurité NETLOGON sur les contrôleurs de domaine Windows Server 2008.

Important Les approbations Windows NT 4.0 ne peut pas être créées entre Windows Server 2008 R2 ou les domaines plus récentes et les domaines Windows NT 4.0. Les étapes de la solution de contournement décrites plus loin dans cet article s’appliquent à Windows Server 2008. Modifications de sécurité dans Windows Server 2008 R2 empêchent une approbation entre les domaines basés sur Windows Server 2008 R2 et fonctionnant sous Windows NT 4.0. Ce comportement est voulu par la conception.

Solution de contournement


Pour contourner ce problème, assurez-vous que les ordinateurs clients utilisent les algorithmes de chiffrement qui sont compatibles avec Windows Server 2008. Il se peut que vous deviez demander des mises à jour logicielles depuis les fournisseurs du produit.

Si vous ne pouvez pas installer mises à jour logicielles, car une panne de service se produit, procédez comme suit :
  1. Ouvrez une session sur un contrôleur de domaine Windows Server 2008.
  2. Cliquez sur Démarrer, sur exécuter, tapez gpmc.msc, puis cliquez sur OK.
  3. Dans la console Gestion de stratégie de groupe , développez forêt : nom_domaine, nom_domaine, développez Contrôleurs de domaine, cliquez droit sur la Stratégie des contrôleurs de domaine par défaut, puis cliquez sur Modifier.
  4. Dans la console Gestion de stratégie de groupe , développez Configuration ordinateur, développez stratégies, développez Modèles d’administration, développez système, cliquez sur Ouverture de session réseauet puis double-cliquez sur Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0.
  5. Dans la boîte de dialogue Propriétés , cliquez sur l’option activée , puis cliquez sur OK.

    Remarques
    • Par défaut, l’option Non configuré est définie pour la stratégie Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 dans les objets de stratégie de groupe (GPO) suivants :
      • Stratégie de domaine par défaut
      • Stratégie des contrôleurs de domaine par défaut
      • Stratégie de l’ordinateur local
      Par défaut, le comportement de la stratégie Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 sur les contrôleurs de domaine Windows Server 2008 est pour empêcher par programmation à l’aide d’algorithmes de chiffrement qui sont utilisés dans les connexions Windows NT 4.0. Par conséquent, les outils qui énumère les paramètres de stratégie effectifs sur un ordinateur membre ou un contrôleur de domaine ne détectent pas la stratégie Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 , sauf si vous explicitement d’activez ou de désactivez la stratégie.
    • Contrôleurs de domaine Windows 2000 Server et les contrôleurs de domaine Windows Server 2003 n’ont pas la stratégie Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 . Par conséquent, les contrôleurs de domaine antérieur à Windows Server 2008 acceptent les demandes de canal de sécurité à partir d’ordinateurs clients même si les ordinateurs clients utilisent les algorithmes de cryptographie anciens qui sont utilisés dans Windows NT 4.0. Si les demandes de canal de sécurité sont traités par intermittence par les contrôleurs de domaine Windows Server 2008, vous obtiendrez des résultats incohérents.
  6. Installer les mises à jour de logiciels tiers permettant de résoudre le problème, ou supprimer des ordinateurs clients qui utilisent des algorithmes de chiffrement incompatibles.
  7. Répétez les étapes 1 à 4.
  8. Dans la boîte de dialogue Propriétés , cliquez sur l’option désactivée , puis cliquez sur OK.

    Important Pour des raisons de sécurité, vous devez définir l’option pour cette stratégie sur désactivé.

État


Ce comportement est voulu par la conception.

Plus d'informations


Un problème connexe sur les ordinateurs qui exécutent Windows 2000 ou des versions ultérieures de Windows

La capacité des ordinateurs clients qui exécutent Windows 2000 ou des versions ultérieures de Windows pour établir des couches de sécurité pour les contrôleurs de domaine Windows Server 2008 ne seront pas affectées par les algorithmes de cryptographie Autoriser compatibles avec Windows NT 4.0 stratégie. Toutefois, lorsque les ordinateurs clients utilisent la fonction NetJoinDomain avec l’option de jointure NETSETUP_JOIN_UNSECURE contre un contrôleur de domaine Windows Server 2008, le contrôleur de domaine renvoie le code d’erreur suivant :
Hexadécimal : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court : « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Ce problème se produit lorsque le paramètre de stratégie est désactivé ou Non configuré.

Remarque L’erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez ce problème.

Vous pouvez rencontrer ce problème sur les ordinateurs qui exécutent les systèmes d’exploitation suivants :
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • La version finale de Windows Vista
Remarque Les ordinateurs qui exécutent Windows Vista avec Service Pack 1 (SP1) ou une version ultérieure de Windows Vista ne sont pas affectés.

La fonction NetJoinDomain est utilisée avec l’option NETSETUP_JOIN_UNSECURE dans les scénarios suivants. (Cette fonction est également utilisée dans d’autres scénarios).
  • Vous utilisez les Services de déploiement Windows (WDS) ou les Services d’Installation à distance (RIS) pour installer un système d’exploitation de Windows.
  • Vous utilisez l’outil de Migration Active Directory (ADMT) pour effectuer la migration de comptes d’ordinateur d’un système d’exploitation de Windows.
Le package de correctifs suivant peut être appliqué aux ordinateurs qui exécutent Windows XP ou Windows Server 2003 pour résoudre ce problème :
Description de 944043 du pack de compatibilité pour read-only domaine contrôleur Windows Server 2008 pour les clients de Windows Server 2003 et pour les clients Windows XP et Windows Vista

Comment faire pour résoudre ces problèmes

Lorsque vous ne pouvez pas établir un canal de sécurité à partir d’un ordinateur client à un contrôleur de domaine basé sur Windows Server 2008, procédez comme suit pour résoudre le problème :
  1. Si l’ordinateur client exécute Windows NT 4.0, mise à niveau Windows NT 4.0 vers Windows 2000 ou versions ultérieures. Si vous ne pouvez pas effectuer la mise à niveau, suivez les étapes décrites dans la section « Contournement ».
  2. Si l’ordinateur client exécute Windows 2000 ou une version ultérieure de Windows et l’ordinateur client exécute une opération de jointure de domaine non sécurisé, suivez les étapes décrites dans la section « Contournement » sous la forme d’une solution temporaire.
  3. Si l’ordinateur client exécute Windows 2000 ou une version ultérieure de Windows, et vous n’êtes pas sûr que l’ordinateur client est effectue une opération de jointure non sécurisés, examinez le fichier %systemroot%\Debug\Netsetup.log. Si l’ordinateur client exécute une opération de jointure non sécurisée, les informations semblable au suivant sont enregistrées :
    11/09/02:21:04 n’a pas pu valider le compte d’ordinateur NomOrdinateur par rapport à
    SPN_Name: 0xc0000388
    11/09/02:21:04 NetpJoinDomain : w9x : état de la validation de compte : 0x4f1
    Remarque Le service NETLOGON s’exécute uniquement sur un ordinateur qui se joint à un domaine.
  4. Si l’ordinateur client n’exécute pas Windows, procédez comme suit :
    1. Déterminer le contrôleur de domaine qui traite les demandes de canal de sécurité.

      Remarque Vous pouvez utiliser les journaux des événements et des journaux de suivi pour déterminer le contrôleur de domaine.
    2. Assurez-vous que le service NETLOGON est démarré. Pour ce faire, procédez comme suit :
      • Cliquez sur Démarrer, sur exécuter, tapez Services.msc, puis cliquez sur OK.
      • Dans la console Services , assurez-vous que l’état du service NETLOGON est démarré.
      • Si l’état n’est pas démarré, le service NETLOGON d’avec le bouton droit, puis cliquez sur Démarrer.
    3. Activer l’enregistrement de débogage pour le service NETLOGON sur le contrôleur de domaine basé sur Windows Server 2008 qui traite les demandes de canal de sécurité. Pour ce faire, utilisez une des méthodes suivantes.

      Méthode 1
      1. Cliquez sur Démarrer, sur exécuter, tapez cmd, puis cliquez sur OK.
      2. À l’invite de commandes, tapez la commande suivante :
        Nltest.exe /DBFLAG:2000FFFF
      Remarque Si le service NETLOGON n’est pas démarré, vous recevez un message d’erreur « RPC_S_UNKNOWN_IF ».

      Méthode 2

      Avertissement Des problèmes graves peuvent survenir si vous modifiez le Registre incorrectement à l’aide de l’Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter que vous réinstalliez le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifiez le Registre à vos risques et périls.
      1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
      2. Recherchez et puis cliquez sur la sous-clé de Registre suivante :
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Pointez sur Nouveau, puis cliquez sur Valeur de chaîne.
      4. Tapez DBFLAG, puis double-cliquez sur l’entrée de Registre DBFLAG .
      5. Dans la zone de Modification de la chaîne , tapez 2000FFFF dans la zone données de la valeur .
      6. Quittez l'Éditeur du Registre.
    4. Ouvrez le fichier %systemroot%\Debug\Netlogon.log dans le bloc-notes et recherchez le message d’erreur suivant :
      le client ClientComputerName$ est demander NT4 crypto et que ce serveur ne l’autorise pas.
    5. Si vous trouvez ce message d’erreur, l’ordinateur client utilise des algorithmes de chiffrement ancienne qui sont utilisés dans Windows NT 4.0, pour établir un canal de sécurité sur le contrôleur de domaine basé sur Windows Server 2008.
    6. Désactiver l’enregistrement de débogage pour le service NETLOGON sur le contrôleur de domaine basé sur Windows Server 2008. Pour ce faire, tapez la commande suivante à une invite de commande :
      Nltest.exe /DBFLAG:0

Références


Pour plus d’informations sur la façon d’activer l’enregistrement de débogage pour le service accès réseau, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

109626 activation l’enregistrement pour le service Net Logon de débogage


Pour plus d’informations sur la fonction NetJoinDomain , visitez le site Web de Microsoft à l’adresse suivante :Les produits tiers dont traite cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute forme de garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.