DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 942564 - Dernière mise à jour: jeudi 19 juillet 2012 - Version: 5.0

 
Important Cet article contient des informations sur la façon de modifier le Registre. Veillez à sauvegarder le Registre avant de le modifier. Assurez-vous que vous savez comment restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756  (http://support.microsoft.com/kb/322756/ ) Comment sauvegarder et restaurer le Registre dans Windows

Sommaire

Symptômes

Remarque : Windows NT 4.0 est passé le Microsoft prend en charge la période de cycle de vie. Scénarios relatifs à Windows NT 4.0 n'ont pas été testés et ne sont pas pris en charge. Les informations suivantes sont informations uniquement et sont fournies pour faciliter une transition aisée à partir des systèmes Windows NT 4.0. Pour plus d'informations à propos de Microsoft prennent en charge de la stratégie de cycle de vie, reportez-vous au site Web de Microsoft à l'adresse suivante :
adresse http://support.Microsoft.com/lifecycle (http://support.microsoft.com/lifecycle)
Lorsqu'un ordinateur Windows NT 4.0 essaie d'utiliser le service NETLOGON pour établir un canal de sécurité vers un contrôleur de domaine Windows Server 2008, l'opération peut échouer. Matériel ou logiciel peut être impossible d'établir un canal de sécurité vers un contrôleur de domaine Windows Server 2008 si le matériel ou le logiciel utilise les algorithmes de cryptographie utilisés dans Windows NT 4.0.

Dans ce scénario, vous pouvez rencontrer les problèmes suivants.

Symptôme 1

Vous ne pouvez pas vous connecter à un domaine à partir d'un ordinateur Windows NT 4.0 qui est desservi par un contrôleur de domaine Windows Server 2008. Selon si les informations d'identification du compte d'ouverture de session de domaine sont mis en cache sur l'ordinateur Windows NT 4.0, un des messages d'erreur suivants peut s'afficher :

Message d'erreur 1
Le système ne peut pas ouvrir de session car le domaine Nom_domaine n'est pas disponible.
Message d'erreur 2
Un contrôleur de domaine pour votre domaine n'a pas pu être contacté. Vous avez été connecté en utilisant les informations de compte mises en cache. Les modifications apportées à votre profil depuis votre dernière session ne soient pas disponibles.

Symptôme 2

Approbation qui existent entre les domaines Windows NT 4.0 et Windows Server 2008 peuvent ne pas fonctionne. Vous pouvez créer avec succès l'approbation initiale. Toutefois, lorsque vous essayez de valider l'approbation en utilisant le composant logiciel enfichable Domain.msc Microsoft Management Console (MMC), la validation peut échouer. En outre, le message d'erreur suivant s'affiche :
L'opération a échoué avec le code d'erreur 317 (0x0000013d)

Symptôme 3

Un client SAMBA SMB ne peut pas effectuer une opération de jointure de domaine à un contrôleur de domaine Windows Server 2008. Ou bien, un client SAMBA SMB Server Message Block () ne peut pas établir un canal de sécurité vers un contrôleur de domaine Windows Server 2008.

En outre, le contrôleur de domaine Windows Server 2008 qui traite la demande de canal de sécurité renvoie le code d'erreur suivant :
Hex : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court: « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Remarque : L'erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez symptôme 3.

Problème 4

Un périphérique de stockage SMB peut être impossible d'utiliser des algorithmes de cryptographie faibles pour établir un canal de sécurité vers un contrôleur de domaine Windows Server 2008.

Remarque : Périphériques de stockage SMB sont également appelés périphériques de stockage IP.

Sur le contrôleur de domaine authentifiant, les erreurs suivantes sont enregistrées dans le journal système :

Erreur 1
Nom du journal : système
Source : NETLOGON
Date : Date: Heure
ID d'événement : 5805
Catégorie de tâche : aucun
Niveau : erreur
Utilisateur : n/A
Ordinateur : AuDomainName
Description : La configuration de session de l'ordinateur <client computer="">Échec d'authentification. L'erreur suivante s'est produite : l'accès est refusé.</client>
RemarqueAuDomainName représente le nom du contrôleur de domaine authentifiant.

Erreur 2
Nom du journal : système
Source : NETLOGON
Date : Date: Heure
ID d'événement : 5722
Catégorie de tâche : aucun
Niveau : erreur
Mots clés : classique
Utilisateur : n/A
Ordinateur : AuDomainName
Description : La configuration de session de l'ordinateur ClientComputerName l'authentification a échoué. Est le nom du compte référencé dans la base de données de sécurité ClientComputerName$. L'erreur suivante s'est produite : le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.

Actuellement, vous rencontrez problème 4 sur le périphérique de stockage SMB suivant :
  • EMC Celerra
Contactez le fabricant du périphérique pour voir si une mise à jour pour résoudre ce problème est disponible.

En outre, vous ne puissiez pas établir un canal de sécurité de Hewlett-Packard (HP) Advanced Server pour OpenVMS à un contrôleur de domaine Windows Server 2008. En particulier, le contrôleur de domaine Windows Server 2008 renvoie le code d'erreur suivant à la demande OpenVMS NetrServerAuthenticate :
Hex : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court: « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Remarque : L'erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez le problème 4.

Symptôme 5

Un contrôleur de domaine principal (PDC) Windows NT 4.0 ne peut pas créer une approbation externe entre lui-même et un émulateur de contrôleur principal de domaine qui exécute Windows Server 2008 R2. Serveurs qui exécutent Windows Server 2008 R2 ne sont pas accessibles à l'aide d'une approbation de domaine Windows NT 4.0. Également membres Windows NT 4.0 qui sont dans un domaine Windows NT 4.0 ne peut pas accéder à des contrôleurs de domaine qui exécutent Windows Server 2008 R2 à l'aide d'une approbation. Ce problème se produit même si l'approbation a été créée entre un contrôleur principal de domaine qui exécute Windows NT 4.0 et un contrôleur principal de domaine qui exécute Windows Server 2008 ou Windows Server 2003.

Les erreurs suivantes sont enregistrées dans le journal système sur un contrôleur principal de domaine qui exécute Windows NT 4.0 après que l'approbation est créée :

Type d'événement : erreur
Source d'événement : NETLOGON
Catégorie d'événement : aucun
ID d'événement : 5722
Date : <Date></Date>
Heure : <Time></Time>
Utilisateur : n/A
Ordinateur : <Computer name=""></Computer>
Description : La configuration de session de l'ordinateur <Computer name=""></Computer> l'authentification a échoué. Le nom du compte référencé dans la base de données de sécurité est <Database name=""></Database>. L'erreur suivante s'est produite : l'accès est refusé.

Type d'événement : erreur
Source d'événement : NETLOGON
Catégorie d'événement : aucun
ID d'événement : 5721
Date : <Date></Date>
Heure : <Time></Time>
Utilisateur : n/A
Ordinateur : <Computer name=""></Computer>
Description : La configuration de session sur le contrôleur de domaine Windows NT <Unknown>pour le domaine<b00> </b00> </Unknown><Database name=""></Database> a échoué car le contrôleur de domaine Windows NT n'a pas un compte pour l'ordinateur <Computer name=""></Computer>.

Les erreurs suivantes sont enregistrées dans le journal système sur le contrôleur principal de domaine qui exécute Windows Server 2008 R2 après que l'approbation est créée :

Type d'événement : erreur
Source d'événement : NETLOGON
Catégorie d'événement : aucun
ID d'événement : 3210
Date : <Date></Date>
Heure : <Time></Time>M
Utilisateur : n/A
Ordinateur : <Computer name=""></Computer>
Description : Cet ordinateur n'a pas pu s'authentifier avec <Computer name=""></Computer>, un contrôleur de domaine Windows <Domain></Domain>, et, par conséquent, cet ordinateur peut refuser les demandes d'ouverture de session. Cette incapacité à authentifier peut être provoquée par un autre ordinateur sur le même réseau utilisant le même nom ou le mot de passe pour ce compte d'ordinateur n'est pas reconnu. Si ce message réapparaît, contactez votre administrateur système.

Lorsque vous essayez de valider l'approbation à l'aide de Domain.msc, le message d'erreur suivant s'affiche :
« Vérification de l'approbation entre le domaine southridgevideo et le domaine cpandl a échoué car : l'accès est refusé. Pour réparer une approbation à un domaine antérieur à Windows 2000 vous devez supprimer et rajouter l'approbation des deux côtés. »
Vous utilisez un ordinateur membre Windows NT 4.0 dans le domaine Windows NT 4.0 sur une approbation validée. Lorsque vous essayez d'accéder à une ressource qui se trouve sur un contrôleur de domaine qui exécute Windows Server 2008 R2, le message d'erreur suivant s'affiche :
« Échec de la relation d'approbation entre le domaine principal et le domaine approuvé ».

Cause

Ce problème se produit en raison du comportement par défaut de la stratégie Autoriser algorithmes de chiffrement compatibles avec Windows NT 4.0 sur les contrôleurs de domaine Windows Server 2008. Cette stratégie est configurée pour empêcher les systèmes d'exploitation Windows et les clients tiers de l'utilisation d'algorithmes de cryptographie faibles pour établir des canaux de sécurité accès réseau aux contrôleurs de domaine Windows Server 2008.

Important Les approbations Windows NT 4.0 ne peut pas être créées entre les domaines Windows Server 2008 R2 et basés sur Windows NT 4.0. Les étapes de la solution de contournement décrites plus loin dans cet article s'appliquent uniquement à Windows Server 2008. Modifications de sécurité dans Windows Server 2008 R2 empêchent une approbation entre les domaines Windows Server 2008 R2 et fonctionnant sous Windows NT 4.0. Ce comportement est voulu par la conception.

Contournement

Pour contourner ce problème, assurez-vous que les ordinateurs clients utilisent les algorithmes de cryptographie sont compatibles avec Windows Server 2008. Vous devrez peut-être demander des mises à jour de logiciels auprès des fournisseurs de produits.

Si vous ne pouvez pas installer mises à jour logicielles car une panne de service se produit, procédez comme suit :
  1. Ouvrez une session sur un contrôleur de domaine Windows Server 2008.
  2. Cliquez sur Démarrer, cliquez sur Exécuter, type GPMC.msc, puis cliquez sur OK.
  3. Dans le Gestion de stratégie de groupe la console, développez Forêt : Nom_domaine, développez Nom_domaine, développez Contrôleurs de domaine, avec le bouton droit Stratégie des contrôleurs de domaine par défaut, puis cliquez sur Modifier.
  4. Dans le Éditeur de gestion de stratégie de groupe la console, développez Configuration de l'ordinateur, développez Stratégies, développez Modèles d'administration, développez Système, cliquez sur Ouverture de session réseau, puis double-cliquez sur Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0.
  5. Dans le Propriétés boîte de dialogue, cliquez sur le Activé option, puis cliquez sur OK.

    Notes
    • Par défaut, le N'est pas configuré option est définie pour le Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 stratégie dans les objets de stratégie de groupe (GPO) suivants :
      • Stratégie de domaine par défaut
      • Stratégie des contrôleurs de domaine par défaut
      • Stratégie ordinateur local
      Par défaut, le comportement de la Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 stratégie sur les contrôleurs de domaine Windows Server 2008 est d'empêcher par programmation des connexions à partir de l'utilisation d'algorithmes de cryptographie utilisés dans Windows NT 4.0. Par conséquent, les outils qui énumère les paramètres de stratégie effectifs sur un ordinateur membre ou sur un contrôleur de domaine ne pourra pas détecter le Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 stratégie, sauf si explicitement pour activer ou désactiver la stratégie.
    • Contrôleurs de domaine Windows 2000 Server et les contrôleurs de domaine Windows Server 2003 n'ont pas la Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0 stratégie. Par conséquent, les contrôleurs de domaine antérieur à Windows Server 2008 acceptent les demandes de canal de sécurité des ordinateurs clients même si les ordinateurs clients utilisent les algorithmes de cryptographie anciens qui sont utilisés dans Windows NT 4.0. Si les demandes de canal de sécurité sont traités par intermittence par les contrôleurs de domaine Windows Server 2008, vous obtiendrez des résultats incohérents.
  6. Installer les mises à jour de logiciels tiers qui résout le problème, ou supprimer des ordinateurs clients qui utilisent des algorithmes de chiffrement incompatibles.
  7. Répétez les étapes 1 à 4.
  8. Dans le Propriétés boîte de dialogue, cliquez sur le Désactivé option, puis cliquez sur OK.

    Important Pour des raisons de sécurité, vous devez définir l'option de cette stratégie à Désactivé.

Statut

Ce comportement est voulu par la conception.

Plus d'informations

Un problème connexe sur les ordinateurs qui exécutent Windows 2000 ou versions ultérieures de Windows

La capacité des ordinateurs clients qui exécutent Windows 2000 ou versions ultérieures de Windows pour établir des canaux de sécurité pour les contrôleurs de domaine Windows Server 2008 ne pas être affectées par la stratégie Autoriser algorithmes de chiffrement compatibles avec Windows NT 4.0 . Toutefois, lorsque ces ordinateurs clients utilisent la fonction NetJoinDomain avec l'option de jointure NETSETUP_JOIN_UNSECURE contre un contrôleur de domaine Windows Server 2008, le contrôleur de domaine renvoie le code d'erreur suivant :
Hex : 0x4F1h
Décimale : 1265
Erreur symbolique : ERROR_DOWNGRADE_DETECTED
Erreur court: « STATUS_DOWNGRADE_DETECTED »
Erreur convivial : Le système a détecté une possible tentative de compromettre la sécurité. Veuillez vous assurer que vous pouvez contacter le serveur qui vous a authentifié.
Ce problème se produit lorsque le paramètre de stratégie est désactivé ou Non configuré.

Remarque : L'erreur « STATUS_DOWNGRADE_DETECTED » a plusieurs causes. Par conséquent, cette erreur ne signifie pas nécessairement que vous rencontrez ce problème.

Vous pouvez rencontrer ce problème sur les ordinateurs qui exécutent les systèmes d'exploitation suivants :
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • La version finale de Windows Vista
Remarque : Ordinateurs qui exécutent Windows Vista avec Service Pack 1 (SP1) ou versions ultérieures de Windows Vista ne sont pas affectés.

La fonction NetJoinDomain est utilisée avec l'option NETSETUP_JOIN_UNSECURE dans les scénarios suivants. (Cette fonction est également utilisée dans d'autres scénarios).
  • Vous utilisez les Services de déploiement Windows (WDS) ou des Services d'Installation à distance (RIS) pour installer un système d'exploitation de Windows.
  • Vous utilisez l'outil de Migration Active Directory (ADMT) pour effectuer la migration de compte d'ordinateur un système d'exploitation Windows.
Le package de correctifs suivant peut être appliqué aux ordinateurs qui exécutent Windows XP ou Windows Server 2003 pour résoudre ce problème :
944043  (http://support.microsoft.com/kb/944043/ ) Description du pack de compatibilité Windows Server 2008 domaine en lecture seule contrôleur pour les clients Windows Server 2003 et pour les clients Windows XP et Windows Vista

Comment faire pour résoudre ces problèmes

Lorsque vous ne pouvez pas établir un canal de sécurité à partir d'un ordinateur client à un contrôleur de domaine Windows Server 2008, procédez comme suit pour résoudre le problème :
  1. Si l'ordinateur client exécute Windows NT 4.0, mise à niveau Windows NT 4.0 vers Windows 2000 ou versions ultérieures. Si vous ne pouvez pas effectuer la mise à niveau, suivez les étapes dans la section « Contournement ».
  2. Si l'ordinateur client exécute Windows 2000 ou une version ultérieure de Windows et l'ordinateur client exécute une opération de jointure de domaine non sécurisé, suivez les étapes dans la section « Contournement » comme solution temporaire.
  3. Si l'ordinateur client exécute Windows 2000 ou une version ultérieure de Windows et que vous n'êtes pas sûr que l'ordinateur client est effectue une opération de jointure non sécurisés, examinez le fichier %systemroot%\Debug\Netsetup.log. Si l'ordinateur client effectue une opération de jointure non sécurisées, informations semblable au suivant sont consignées :
    11/09 02 : 21 : 04 N'a pas pu valider le compte d'ordinateur pour Nom_Ordinateur par rapport àSPN_Name: 0xc0000388
    11/09 02 : 21 : 04 NetpJoinDomain : w9x : état de validation de compte : 0x4f1
    Remarque Le service NETLOGON exécute uniquement sur un ordinateur qui rejoint un domaine.
  4. Si l'ordinateur client n'exécute pas Windows, procédez comme suit :
    1. Déterminer le contrôleur de domaine qui traite les demandes de canal de sécurité.

      Remarque Vous pouvez utiliser des journaux des événements et journaux de suivi pour déterminer le contrôleur de domaine.
    2. Assurez-vous que le service NETLOGON est démarré. Pour ce faire, procédez comme suit :
      • Cliquez sur Démarrer, cliquez sur Exécuter, type Services.msc, puis cliquez sur OK.
      • Dans le Services console, assurez-vous que l'état pour le service NETLOGON est Démarré.
      • Si l'état n'est pas Démarré, cliquez droit sur le NETLOGON service, puis cliquez sur Démarrer.
    3. Activer l'enregistrement de débogage pour le service NETLOGON sur le contrôleur de domaine Windows Server 2008 qui traite les demandes de canal de sécurité. Pour ce faire, utilisez une des méthodes suivantes.

      Méthode 1
      1. Cliquez sur Démarrer, cliquez sur Exécuter, type cmd, puis cliquez sur OK.
      2. À l'invite de commandes, tapez la commande suivante :
        Nltest.exe /DBFLAG:2000FFFF
      Remarque Si le service NETLOGON n'est pas démarré, vous recevez un message d'erreur « RPC_S_UNKNOWN_IF ».

      Méthode 2

      Avertissement Problèmes sérieux peuvent survenir si vous modifiez le Registre de façon incorrecte à l'aide de l'Éditeur du Registre ou en utilisant une autre méthode. Ces problèmes peuvent nécessiter la réinstallation du système d'exploitation. Microsoft ne peut pas garantir que ces problèmes puissent être résolus. Modifier le Registre à vos propres risques.
      1. Cliquez sur Démarrer, cliquez sur Exécuter, type Regedit, puis cliquez sur OK.
      2. Recherchez et puis cliquez sur la sous-clé de Registre suivante :
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Pointez sur Nouveau, puis cliquez sur Valeur de chaîne.
      4. Type DBFLAG, puis double-cliquez sur le DBFLAG entrée de Registre.
      5. Dans le Modification de la chaîne zone, tapez 2000FFFF dans le Données de la valeur zone.
      6. Quittez l'Éditeur du Registre.
    4. Ouvrez le fichier % SystemRoot%\Debug\Netlogon.log dans le bloc-notes et recherchez le message d'erreur suivant :
      le client ClientComputerName$ est demander NT4 crypto et ce serveur ne l'autorise pas.
    5. Si vous trouvez ce message d'erreur, l'ordinateur client utilise des algorithmes de cryptographie anciens qui sont utilisés dans Windows NT 4.0 pour établir un canal de sécurité vers le contrôleur de domaine Windows Server 2008.
    6. Désactiver l'enregistrement de débogage pour le service NETLOGON sur le contrôleur de domaine Windows Server 2008. Pour ce faire, tapez la commande suivante à une invite de commande :
      Nltest.exe /DBFLAG:0

Références

Pour plus d'informations sur la façon d'activer l'enregistrement de débogage pour le service NETLOGON, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
109626  (http://support.microsoft.com/kb/109626/ ) Activer l'enregistrement de débogage pour le service Net Logon

Pour plus d'informations sur la fonction NetJoinDomain , reportez-vous au site Web de Microsoft à l'adresse suivante :
http://msdn2.Microsoft.com/en-us/library/aa370433.aspx (http://msdn2.microsoft.com/En-US/library/aa370433.aspx)
Les produits tiers qui traite de cet article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft n'offre aucune garantie, expresse ou implicite, concernant les performances ou la fiabilité de ces produits.

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Mots-clés : 
kbprb kbtshoot kbexpertiseadvanced kbmt KB942564 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 942564  (http://support.microsoft.com/kb/942564/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store