DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 942564 - Última revisão: sexta-feira, 9 de abril de 2010 - Revisão: 3.0

 
Importante Este artigo contém informações sobre como modificar o registro. Certifique-se de fazer backup do registro antes de modificá-lo. Certifique-se de que você sabe como restaurá-lo se ocorrer um problema. Para obter mais informações sobre como fazer backup, restaurar e modificar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer backup e restaurar o registro no Windows

Nesta página

Sintomas

Observação: Windows NT 4.0 é passado a Microsoft suporta período do ciclo de vida. Cenários relevantes para o Windows NT 4.0 não foram testados e não são suportados. As informações a seguir é apenas informativas e são fornecidas para facilitar uma transição mais fácil de sistemas Windows NT 4.0. Para obter mais informações sobre o Microsoft política de ciclo de vida de suporte, visite o seguinte site da Microsoft:
http://support.microsoft.com/lifecycle (http://support.microsoft.com/lifecycle)
Quando um computador baseado no Windows NT 4.0 tenta usar o serviço NETLOGON para estabelecer um canal de segurança a um controlador de domínio baseados no Windows Server 2008, a operação pode falhar. Hardware ou software pode não conseguir estabelecer um canal de segurança para um controlador de domínio com base no Windows Server 2008 se o hardware ou software utiliza os algoritmos de criptografia que são usados no Windows NT 4.0.

Nesse cenário, você enfrenta os seguintes sintomas.

Sintoma 1

Você não pode fazer logon em um domínio de um computador baseado no Windows NT 4.0 que é atendido por um controlador de domínio com base no Windows Server 2008. Dependendo se as credenciais da conta de logon do domínio são armazenadas em cache no computador com Windows NT 4.0, você pode receber uma das seguintes mensagens de erro:

Mensagem de erro 1
O sistema não pode fazer logon porque o domínio DomainName não está disponível.
Mensagem de erro 2
Não pôde ser contatado um controlador de domínio para seu domínio. Você fez logon usando informações de conta armazenadas em cache. Alterações para seu perfil desde o último logon podem não estar disponíveis.

Sintoma 2

Relações de confiança que existem entre domínios do Windows NT 4.0 e domínios do Windows Server 2008 podem não funcionar. Você pode criar com êxito a relação de confiança inicial. No entanto, quando você tentar validar a relação de confiança usando o snap-in Domain.msc Microsoft Management Console (MMC), a validação pode falhar. Além disso, você receber a seguinte mensagem de erro:
A operação falhou com código de erro 317 (0x0000013d)

Sintoma 3

Um cliente SMB do SAMBA não é possível executar uma operação de associação de domínio para um controlador de domínio baseados no Windows Server 2008. Ou, um cliente do SAMBA SMB (Server Message Block) não é possível estabelecer um canal de segurança para um controlador de domínio com base no Windows Server 2008.

Além disso, o controlador de domínio baseados no Windows Server 2008 que processa a solicitação de canal de segurança retorna o código de erro a seguir:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que você possa entrar em contato com o servidor que autenticou.
Observação: O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Portanto, este erro não indica necessariamente que você está enfrentando sintoma 3.

Sintoma 4

Um dispositivo de armazenamento SMB pode não conseguir usar algoritmos de criptografia fraca para estabelecer um canal de segurança para um controlador de domínio com base no Windows Server 2008.

Observação: Dispositivos de armazenamento SMB também são conhecidos como dispositivos de armazenamento IP.

No controlador de domínio de autenticação, os seguintes erros são registrados no log do sistema:

Erro 1
Nome de logon: sistema
Fonte: NETLOGON
Date: Date: Time
IDENTIFICAÇÃO de evento: 5805
Categoria de tarefa: nenhum
Nível: erro
Usuário: N/A
Computador: AuDomainName
Descrição: A configuração da sessão do computador < computador-cliente > falhou ao autenticar. Erro: acesso negado.
Observação:AuDomainName representa o nome do controlador de domínio de autenticação.

Erro 2
Nome de logon: sistema
Fonte: NETLOGON
Date: Date: Time
IDENTIFICAÇÃO de evento: 5722
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Usuário: N/A
Computador: AuDomainName
Descrição: A configuração da sessão do computador ClientComputerName falhou ao autenticar. O nome de conta (s) referenciado no banco de dados de segurança é ClientComputerName $. Erro: O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que você possa entrar em contato com o servidor que autenticou.

No momento, você enfrentar o sintoma 4 no dispositivo de armazenamento SMB seguinte:
  • EMC Celerra
Entre em contato com o fornecedor do dispositivo para saber se uma atualização para esse problema está disponível.

Além disso, talvez você não é possível estabelecer um canal de segurança do Hewlett-Packard (HP) Advanced Server para OpenVMS para um controlador de domínio baseados no Windows Server 2008. Especificamente, o controlador de domínio baseado no Windows Server 2008 retorna o código de erro a seguir à solicitação OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que você possa entrar em contato com o servidor que autenticou.
Observação: O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Portanto, este erro não indica necessariamente que você está enfrentando sintoma 4.

Sintoma 5

Um controlador de domínio primário (PDC) do Windows NT 4.0 não é possível criar uma relação de confiança externa entre si e um emulador de PDC que esteja executando o Windows Server 2008 R2. Servidores que estejam executando o Windows Server 2008 R2 não podem ser acessados por meio de uma relação de confiança de domínio baseado no Windows NT 4.0. Membros do Windows NT 4.0 que estão em um domínio com Windows NT 4.0 também não é possível acessar controladores de domínio que estão executando o Windows Server 2008 R2 por meio de uma relação de confiança. Esse comportamento ocorre mesmo se a relação de confiança foi criada entre um PDC está executando o Windows NT 4.0 e um PDC que esteja executando o Windows Server 2008 ou Windows Server 2003.

Os seguintes erros são registrados no log do sistema em um PDC está executando o Windows NT 4.0 depois que a relação de confiança é criada:

Tipo de evento: erro
Fonte do evento: NETLOGON
Categoria do evento: nenhuma
IDENTIFICAÇÃO de evento: 5722
Data: <Date>
Tempo: <Time>
Usuário: N/A
Computador: <Computer name>
Descrição: A configuração de sessão do computador <Computer name> falhou ao autenticar. O nome da conta mencionado no banco de dados de segurança é <Database name>. Erro: acesso negado.

Tipo de evento: erro
Fonte do evento: NETLOGON
Categoria do evento: nenhuma
IDENTIFICAÇÃO de evento: 5721
Data: <Date >
Tempo: <Time>
Usuário: N/A
Computador: <Computer name>
Descrição: A configuração de sessão para o controlador de domínio do Windows NT <unknown>para domínio<Database name> porque o controlador de domínio do Windows NT não possui uma conta do computador <Computer name>.

Os seguintes erros são registrados no log do sistema no PDC que esteja executando o Windows Server 2008 R2 depois que a relação de confiança é criada:

Tipo de evento: erro
Fonte do evento: NETLOGON
Categoria do evento: nenhuma
IDENTIFICAÇÃO de evento: 3210
Data: <Date >
Tempo: <Time>M
Usuário: N/A
Computador: <Computer name>
Descrição: Este computador não pôde autenticar com <Computer name>, um controlador de domínio do Windows para o domínio <Domain>, e, portanto, este computador pode negar solicitações de logon. Incapacidade de autenticar pode ser causada por outro computador na mesma rede usando o mesmo nome ou a senha desta conta de computador não é reconhecida. Se esta mensagem aparecer novamente, contate o administrador do sistema.

Ao tentar validar a relação de confiança usando Domain.msc, a seguinte mensagem de erro pode ser exibida:
"Verificação da relação de confiança entre o domínio southridgevideo e cpandl domínio de não teve êxito porque: acesso negado. Para reparar uma relação de confiança para um domínio anterior ao Windows 2000 é necessário remover e adicionar novamente a relação de confiança em ambos os lados."
Você usa um computador membro com base no Windows NT 4.0 no domínio com Windows NT 4.0 sobre uma relação de confiança validada. Quando você tenta acessar um recurso está localizado em um controlador de domínio que esteja executando o Windows Server 2008 R2, a seguinte mensagem de erro pode ser exibida:
"A relação de confiança entre o domínio primário e o domínio confiável falhou."

Causa

Esse problema ocorre por causa do comportamento padrão da diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 em controladores de domínio com Windows Server 2008. Essa diretiva está configurada para impedir que sistemas operacionais Windows e clientes de terceiros usando algoritmos de criptografia fraca para estabelecer canais de segurança NETLOGON para controladores de domínio baseados no Windows Server 2008.

Importante Relações de confiança do Windows NT 4.0 não podem ser criadas entre domínios baseados no Windows Server 2008 R2 e domínios baseados no Windows NT 4.0. As etapas de solução alternativa documentadas neste artigo se aplicam a apenas o Windows Server 2008. Alterações de segurança no Windows Server 2008 R2 impedir que uma relação de confiança entre domínios baseados no Windows Server 2008 R2 e domínios baseados no Windows NT 4.0. Esse comportamento é próprio do projeto.

Como Contornar

Para contornar este problema, certifique-se de que computadores cliente usem os algoritmos de criptografia que são compatíveis com o Windows Server 2008. Talvez seja necessário solicitar as atualizações de software de fornecedores de produtos.

Se não conseguir instalar as atualizações de software pois ocorrerá uma interrupção de serviço, siga estas etapas:
  1. Logon em um controlador de domínio baseado no Windows Server 2008.
  2. Clique em Iniciar, clique em Executar, digite gpmc.msc e, em seguida, clique em OK.
  3. No Group Policy Management console, expanda Forest: DomainName, expanda DomainName, expanda Domain Controllers, clique com o botão direito do mouse em Diretiva de controladores de domínio padrão e, em seguida, clique em Editar.
  4. No console do Gerenciamento de diretiva de grupo, expanda Configuração do computador, expanda diretivas, expanda Modelos administrativos, expanda sistema, clique em Logon de rede e, em seguida, clique duas vezes em Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0.
  5. Na caixa de diálogo Propriedades, clique na opção ativado e, em seguida, clique em OK.

    Anotações
    • Por padrão, a opção Não configurado é definida para a diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 nos seguintes objetos de diretiva de grupo (GPO):
      • Diretiva de domínio padrão
      • Diretiva de controladores de domínio padrão
      • Diretiva do computador local
      Por padrão, o comportamento da diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 em controladores de domínio com Windows Server 2008 é programaticamente impeça as conexões usem os algoritmos de criptografia usados no Windows NT 4.0. Portanto, ferramentas que enumeram configurações de diretiva em vigor em um computador membro ou em um controlador de domínio não detectará a diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0, a menos que explicitamente habilitar ou desabilitar a diretiva.
    • Controladores de domínio baseados no Windows 2000 Server e controladores de domínio baseados no Windows Server 2003 não têm a diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0. Portanto, controladores de domínio anterior ao Windows Server 2008-com aceitá solicitações de canal de segurança de computadores cliente mesmo que os computadores cliente usem os algoritmos de criptografia antigas que são usados no Windows NT 4.0. Se as solicitações de canal de segurança intermitentemente são processadas por controladores de domínio baseados no Windows Server 2008, você terá resultados inconsistentes.
  6. Instalar atualizações de software de terceiros que corrigir o problema ou remova computadores cliente que usam algoritmos de criptografia incompatíveis.
  7. Repita as etapas de 1 a 4.
  8. Na caixa de diálogo Propriedades, clique na opção desativado e, em seguida, clique em OK.

    Importante Por motivos de segurança, você deve definir a opção para essa diretiva como desativado.

Situação

Esse comportamento é próprio do projeto.

Mais Informações

Um problema relacionado nos computadores que executam o Windows 2000 ou versões posteriores do Windows

A capacidade de computadores cliente que executam o Windows 2000 ou versões posteriores do Windows para estabelecer canais de segurança para controladores de domínio baseados no Windows Server 2008 não serão afetadas pela diretiva Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0. No entanto, quando esses computadores cliente usarem a função NetJoinDomain juntamente com a opção de associação NETSETUP_JOIN_UNSECURE em relação a um controlador de domínio baseados no Windows Server 2008, o controlador de domínio retorna o código de erro a seguir:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma possível tentativa de comprometer a segurança. Certifique-se de que você possa entrar em contato com o servidor que autenticou.
Esse problema ocorre quando a configuração de diretiva estiver desabilitada ou Não configurada.

Observação: O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Portanto, este erro não indica necessariamente que apresentarem esse problema.

Você pode enfrentar esse problema em computadores que estejam executando os seguintes sistemas operacionais:
  • Windows 2000
  • Windows XP
  • Windows Server 2003
  • A versão de lançamento do Windows Vista
Observação: Computadores que estejam executando o Windows Vista com Service Pack 1 (SP1) ou versões posteriores do Windows Vista não são afetados.

A função NetJoinDomain é usada junto com a opção NETSETUP_JOIN_UNSECURE nas seguintes situações. (Essa função também é usada em outros cenários.)
  • Você usa WDS (serviços de implantação do Windows) ou serviços de instalação remota (RIS) para instalar um sistema operacional Windows.
  • Use a ferramenta de migração do Active Directory (ADMT) para realizar a migração de conta de computador de um sistema operacional do Windows.
O seguinte pacote de hotfix pode ser aplicado a computadores que executam o Windows XP ou Windows Server 2003 para resolver esse problema:
944043  (http://support.microsoft.com/kb/944043/ ) Descrição do pacote de compatibilidade do Windows Server 2008 domínio somente leitura controlador para clientes do Windows Server 2003 e para clientes Windows XP e Windows Vista

Como solucionar esses problemas

Quando você não pode estabelecer um canal de segurança de um computador cliente para um controlador de domínio com base no Windows Server 2008, siga estas etapas para solucionar o problema:
  1. Se o computador cliente estiver executando o Windows NT 4.0, atualize o Windows NT 4.0 para o Windows 2000 ou para versões posteriores. Se você não pode fazer a atualização, siga as etapas na seção "Solução".
  2. Se o computador cliente está executando o Windows 2000 ou uma versão mais recente do Windows e o computador cliente executa uma operação de ingresso sem segurança de domínio, siga as etapas na seção "Solução" como uma solução temporária.
  3. Se o computador cliente estiver executando o Windows 2000 ou uma versão mais recente do Windows e você não estiver certeza se o computador cliente está executa uma operação de ingresso sem segurança, examine o arquivo %systemroot%\Debug\Netsetup.log. Se o computador cliente estiver executando uma operação de ingresso sem segurança, informações semelhante à seguinte são registradas:
    09/11 02: 21: 04 Falha ao validar a conta da máquina para ComputerName contra SPN_Name: 0xc0000388
    09/11 02: 21: 04 NetpJoinDomain: w9x: status de validação de conta: 0x4f1
    Observação: O serviço NETLOGON é executado somente em um computador ingressa em um domínio.
  4. Se o computador cliente não estiver executando o Windows, execute as seguintes etapas:
    1. Determine qual controlador de domínio está processando solicitações de canal de segurança.

      Observação: Você pode usar os logs de eventos e logs de rastreamento para determinar o controlador de domínio.
    2. Certifique-se de que o serviço NETLOGON é iniciado. Para fazer isso, execute as seguintes etapas:
      • Clique em Iniciar, clique em Executar, digite Services.msc e clique em OK.
      • No console serviços, verifique se o status para o serviço NETLOGON é iniciado.
      • Se o status não for iniciado, clique com o botão direito do mouse no serviço NETLOGON e, em seguida, clique em Iniciar.
    3. Ative o log de depuração para o serviço NETLOGON no controlador de domínio baseados no Windows Server 2008 que processa solicitações de canal de segurança. Para fazer isso, use um dos seguintes métodos.

      Método 1
      1. Clique em Iniciar, clique em Executar, digite cmd e, em seguida, clique em OK.
      2. No prompt de comando, digite o seguinte comando:
        /DBFLAG:2000FFFF Nltest.exe
      Observação: Se o serviço NETLOGON não for iniciado, você receberá uma mensagem de erro "RPC_S_UNKNOWN_IF".

      Método 2

      Aviso Podem ocorrer problemas graves se modificar o registro incorretamente usando o Editor do registro ou utilizando outro método. Esses problemas podem exigir a reinstalação do sistema operacional. A Microsoft não garante que esses problemas possam ser solucionados. Modificar o registro de sua responsabilidade.
      1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
      2. Localize e clique com o botão direito do mouse na seguinte subchave do registro:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Aponte para novo e, em seguida, clique em Valor de string.
      4. Digite DBFLAG e, em seguida, clique duas vezes na entrada de registro DBFLAG.
      5. Na caixa Edit String, digite 2000FFFF na caixa dados do valor.
      6. Feche o Editor do registro.
    4. Abra o arquivo %systemroot%\Debug\Netlogon.log no bloco de notas e procure a seguinte mensagem de erro:
      $ ClientComputerName o cliente está solicitando criptografia NT4 e este servidor não permite a ele.
    5. Se você encontrar essa mensagem de erro, o computador cliente está usando antigo algoritmos de criptografia que são usados no Windows NT 4.0 para estabelecer um canal de segurança para o controlador de domínio baseados no Windows Server 2008.
    6. Desative log de depuração para o serviço NETLOGON no controlador de domínio baseados no Windows Server 2008. Para fazer isso, digite o seguinte comando em um prompt de comando:
      /DBFLAG:0 Nltest.exe

Referências

Para obter mais informações sobre como habilitar o log de depuração para o serviço NETLOGON, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
109626  (http://support.microsoft.com/kb/109626/ ) Ativar log de depuração para o serviço logon de rede

Para obter mais informações sobre a função NetJoinDomain, visite o seguinte site da Microsoft:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx (http://msdn2.microsoft.com/En-US/library/aa370433.aspx)
Os produtos de terceiros mencionados neste artigo são fabricados por empresas independem da Microsoft. A Microsoft não dá nenhuma garantia, implícita ou não, sobre o desempenho ou confiabilidade desses produtos.

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942564  (http://support.microsoft.com/kb/942564/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store