DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 942564 - Última revisão: sexta-feira, 9 de Abril de 2010 - Revisão: 3.0

 
Importante Este artigo contém informações sobre como modificar o registo. Certifique-se que cópias do registo antes de o modificar. Certifique-se de que sabe como restaurar o registo se ocorrer um problema. Para obter mais informações sobre como efectuar uma cópia de segurança, restaurar e modificar o registo, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar uma cópia de segurança e restaurar o registo no Windows

Nesta página

Sintomas

Nota Windows NT 4.0 é passado período de ciclo de vida de suporte do Microsoft. Cenários que sejam relevantes para o Windows NT 4.0 não foram testados e não são suportados. As seguintes informações é apenas informativas e são fornecidas para facilitar uma transição fácil do sistemas Windows NT 4.0. Para mais informações acerca do Microsoft política Ciclo de vida de suporte, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/lifecycle (http://support.microsoft.com/lifecycle)
Quando tenta utilizar o serviço NETLOGON para estabelecer um canal de segurança para um controlador de domínio baseado no Windows Server 2008, a operação de um computador baseado no Windows NT 4.0 poderá falhar. Hardware ou software pode ser impossível estabelecer um canal de segurança para um controlador de domínio baseado no Windows Server 2008 se o hardware ou software utiliza os algoritmos de criptografia que são utilizados no Windows NT 4.0.

Neste cenário, poderá detectar os sintomas seguintes.

Sintoma 1

Não consegue iniciar sessão domínio de um computador baseado no Windows NT 4.0 é assistido por um controlador de domínio baseado no Windows Server 2008. Dependendo se as credenciais da conta de início de sessão domínio são colocados em cache no computador baseado no Windows NT 4.0, poderá receber uma das seguintes mensagens de erro:

Mensagem de erro 1
O sistema não consegue iniciar a sua sessão porque o domínio DomainName não está disponível.
Mensagem de erro 2
Não foi possível contactar um controlador de domínio para o domínio. Tenha sido iniciada sessão utilizando informações de conta em cache. As alterações ao seu perfil desde a última vez que iniciou poderão não estar disponíveis.

Sintoma 2

Fidedignidades que existem entre domínios do Windows NT 4.0 e domínios do Windows Server 2008 poderão não funcionar. Pode criar com êxito a fidedignidade inicial. No entanto, quando tenta validar a fidedignidade, utilizando o snap-in Consola Domain.msc de gestão da Microsoft (MMC), a validação poderá falhar. Além disso, recebe a seguinte mensagem de erro:
A operação falhou com o código de erro 317 (0x0000013d)

Sintoma 3

Um cliente SAMBA SMB não pode efectuar uma operação de associação de domínio para um controlador de domínio baseado no Windows Server 2008. Ou, um cliente SAMBA Server Message Block (SMB) não é possível estabelecer um canal de segurança para um controlador de domínio baseado no Windows Server 2008.

Além disso, o controlador de domínio baseado no Windows Server 2008 que processa o pedido de canal de segurança devolve o código de erro seguinte:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que é autenticado.
Nota O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Por conseguinte, este erro não indica necessariamente que ocorrerem sintoma 3.

Sintoma 4

Um dispositivo de armazenamento do SMB poderá não conseguir utilizar algoritmos de criptografia fraco para estabelecer um canal de segurança para um controlador de domínio baseado no Windows Server 2008.

Nota Dispositivos de armazenamento SMB também são conhecidas como dispositivos de armazenamento IP.

No controlador de domínio autenticação, os seguintes erros são registados no registo do sistema:

Erro 1
Nome de registo: sistema
Origem: NETLOGON
Date: Date: Time
ID do evento: 5805
Categoria de tarefa: nenhum
Nível: erro
Utilizador: N/d
Computador: AuDomainName
Descrição: A configuração de sessão do computador < computador cliente > falhou a autenticação. Ocorreu o seguinte erro: acesso negado.
NotaAuDomainName representa o nome do controlador de domínio de autenticação.

Erro 2
Nome de registo: sistema
Origem: NETLOGON
Date: Date: Time
ID do evento: 5722
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: N/d
Computador: AuDomainName
Descrição: A configuração de sessão do computador ClientComputerName falhou a autenticação. Os nomes das contas referenciados na base de dados de segurança é ClientComputerName $. Ocorreu o seguinte erro: O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que é autenticado.

Actualmente, poderá detectar sintoma 4 o seguinte dispositivo de armazenamento SMB:
  • CEM Celerra
Contacte o fornecedor do dispositivo para ver se está disponível uma actualização para este problema.

Além disso, poderá ser impossível estabelecer um canal de segurança do Hewlett-Packard (HP) Advanced Server para OpenVMS num controlador de domínio baseado no Windows Server 2008. Especificamente, o controlador de domínio baseado no Windows Server 2008 devolve o código de erro seguintes ao pedido OpenVMS NetrServerAuthenticate:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que é autenticado.
Nota O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Por conseguinte, este erro não indica necessariamente que ocorrerem sintoma 4.

Sintoma 5

Um controlador de domínio principal (PDC) do Windows NT 4.0 não é possível criar uma fidedignidade externa entre ele próprio e um emulador PDC que esteja a executar o Windows Server 2008 R2. Servidores que executem o Windows Server 2008 R2 não podem ser acedidos utilizando uma fidedignidade de domínio baseado no Windows NT 4.0. Membros de Windows NT 4.0 num domínio baseado no Windows NT 4.0 também não é possível aceder a controladores de domínio que estiverem a executar o Windows Server 2008 R2 utilizando uma fidedignidade. Este comportamento ocorre mesmo se a fidedignidade foi criada entre um PDC com o Windows NT 4.0 e um PDC que esteja a executar o Windows Server 2008 ou Windows Server 2003.

Os seguintes erros são registados no registo do sistema um PDC com o Windows NT 4.0 depois de criada a fidedignidade:

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5722
Data: <Date>
Hora: <Time>
Utilizador: N/d
Computador: <Computer name>
Descrição: A configuração de sessão do computador <Computer name> falhou a autenticação. O nome da conta referido na base de dados de segurança é <Database name>. Ocorreu o seguinte erro: acesso negado.

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 5721
Data: <Date >
Hora: <Time>
Utilizador: N/d
Computador: <Computer name>
Descrição: A configuração de sessão para o controlador de domínio do Windows NT <unknown>para o domínio<Database name> falhou porque o controlador de domínio do Windows NT não tem uma conta para o computador <Computer name>.

Os seguintes erros são registados no registo do sistema no PDC que esteja a executar o Windows Server 2008 R2 Depois de criada a fidedignidade:

Tipo de evento: erro
Origem do evento: NETLOGON
Categoria do evento: nenhum
ID do evento: 3210
Data: <Date >
Hora: <Time>M
Utilizador: N/d
Computador: <Computer name>
Descrição: Este computador não conseguiu autenticar com <Computer name>, um controlador de domínio do Windows para domínio <Domain>, e, por conseguinte, este computador pode negar pedidos de início de sessão. Esta impossibilidade para autenticar pode ser causada por outro computador na mesma rede utilizando o mesmo nome ou a palavra-passe para esta conta de computador não é reconhecida. Se esta mensagem aparecer novamente, contacte o administrador do sistema.

Quando tenta validar a fidedignidade utilizando Domain.msc, recebe a seguinte mensagem de erro:
"Verificação da fidedignidade entre o domínio southridgevideo e cpandl o domínio de não teve êxito porque: acesso negado. Para reparar uma fidedignidade de domínio anterior ao Windows 2000, terá de remover e voltar a adicionar a fidedignidade em ambos os lados."
Utilizar um computador membro baseados no Windows NT 4.0 no domínio baseado no Windows NT 4.0 através de uma fidedignidade validada. Quando tenta aceder a um recurso que está localizado num controlador de domínio que esteja a executar o Windows Server 2008 R2, recebe a seguinte mensagem de erro:
"A relação de fidedignidade entre o domínio primário e o domínio fidedigno falhou."

Causa

Este problema ocorre devido ao comportamento predefinido da política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 em controladores de domínio baseado no Windows Server 2008. Esta política está configurada para impedir que sistemas operativos Windows e clientes de terceiros utilizando algoritmos de criptografia fraco para estabelecer canais de segurança NETLOGON para controladores de domínio baseado no Windows Server 2008.

Importante Não não possível criar Windows NT 4.0 fidedignidades entre domínios baseados no Windows Server 2008 R2 e domínios baseados no Windows NT 4.0. Os passos da solução alternativa documentadas neste artigo aplicam-se a apenas o Windows Server 2008. Alterações de segurança no Windows Server 2008 R2 impedem uma fidedignidade entre domínios baseados no Windows Server 2008 R2 e domínios baseados no Windows NT 4.0. Este comportamento ocorre por predefinição.

Como contornar

Para contornar este problema, certifique-se de que computadores cliente utilizam os algoritmos de criptografia que são compatíveis com o Windows Server 2008. Poderá ter de pedir actualizações de software de fornecedores do produto.

Se não conseguir instalar actualizações de software porque irá ocorrer uma falha de serviço, siga estes passos:
  1. Inicie sessão no controlador de domínio baseado no Windows Server 2008.
  2. Clique em Iniciar, clique em Executar, escreva gpmc.msc e, em seguida, clique em OK.
  3. Na consola de Gestão da política de grupo, expanda floresta: DomainName, expanda DomainName, expanda Controladores de domínio, clique com o botão direito do rato na Política predefinida de controladores de domínio e, em seguida, clique em Editar.
  4. Na consola do Editor de gestão de política de grupo, expanda Configuração do computador, expanda políticas, expanda Modelos administrativos, expanda sistema, clique em Início de sessão de rede e, em seguida, faça duplo clique em Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0.
  5. Na caixa de diálogo Propriedades, clique na opção activado e, em seguida, clique em OK.

    Notas
    • Por predefinição, a opção <a0>Não configurado é definida para a política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 os seguintes objectos de política de grupo (GPO):
      • Política predefinida de domínio
      • Política predefinida de controladores de domínio
      • Política de computador local
      Por predefinição, o comportamento para a política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0 em controladores de domínio baseado no Windows Server 2008 é programaticamente impedir ligações a utilização de algoritmos de criptografia que são utilizados no Windows NT 4.0. Por conseguinte, ferramentas que enumerar definições de política efectiva num computador membro ou num controlador de domínio não irão detectar a política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0, a menos que explicitamente activar ou desactivar a política.
    • Controladores de domínio baseados no Windows 2000 Server e controladores de domínio baseado no Windows Server 2003 não tem a política Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0. Por conseguinte, os controladores de domínio anterior ao Windows Server 2008 aceitam pedidos de canal de segurança dos computadores cliente mesmo que os computadores cliente utilizam os algoritmos de criptografia antigo que são utilizados no Windows NT 4.0. Se os pedidos de canal de segurança intermitentemente forem processados por controladores de domínio baseado no Windows Server 2008, detectará resultados inconsistentes.
  6. Instalar actualizações de software de outros fabricantes que corrigir o problema ou remover computadores clientes que utilizam algoritmos de criptografia incompatível.
  7. Repita os passos 1 a 4.
  8. Na caixa de diálogo Propriedades, clique na opção desactivado e, em seguida, clique em OK.

    Importante Por razões de segurança, deve definir a opção para esta política para desactivado.

Ponto Da Situação

Este comportamento ocorre por predefinição.

Mais Informação

Um problema relacionado nos computadores que executam o Windows 2000 ou versões posteriores do Windows

A capacidade dos computadores clientes que estejam a executar o Windows 2000 ou versões posteriores do Windows para estabelecer canais de segurança para controladores de domínio baseado no Windows Server 2008 não serão afectados pela política de algoritmos de criptografia permitir compatíveis com o Windows NT 4.0. No entanto, quando estes computadores clientes utilizam a função NetJoinDomain juntamente com a opção de associação NETSETUP_JOIN_UNSECURE contra um controlador de domínio baseado no Windows Server 2008, o controlador de domínio devolve o seguinte código de erro:
Hex: 0x4F1h
Decimal: 1265
Erro simbólico: ERROR_DOWNGRADE_DETECTED
Erro curto: "STATUS_DOWNGRADE_DETECTED"
Erro amigável: O sistema detectou uma tentativa possível de comprometer a segurança. Certifique-se de que pode contactar o servidor que é autenticado.
Este problema ocorre quando a definição de política estiver desactivada ou Não configurada.

Nota O erro "STATUS_DOWNGRADE_DETECTED" tem várias causas. Por conseguinte, este erro não indica necessariamente que tenham este problema.

Poderá detectar este problema em computadores que executem os seguintes sistemas operativos:
  • O Windows 2000
  • Windows XP
  • Windows Server 2003
  • A versão do Windows Vista
Nota Computadores que executem o Windows Vista com Service Pack 1 (SP1) ou versões posteriores do Windows Vista não são afectados.

A função NetJoinDomain é utilizada em conjunto com a opção NETSETUP_JOIN_UNSECURE nos seguintes cenários. (Esta função também é utilizada em cenários de outros.)
  • Utilizar serviços de implementação do Windows (WDS) ou serviços de instalação remota (RIS) para instalar um sistema operativo Windows.
  • Utilize a ferramenta de migração do Active Directory (ADMT) para efectuar a migração de contas de computador de um sistema operativo Windows.
Seguinte pacote de correcção pode ser aplicado a computadores que executem o Windows XP ou Windows Server 2003 para resolver este problema:
944043  (http://support.microsoft.com/kb/944043/ ) Descrição do Windows Server 2008 domínio só de leitura controlador pacote de compatibilidade para clientes do Windows Server 2003 e para os clientes do Windows XP e para Windows Vista

Como resolver estes problemas

Quando não for possível estabelecer um canal de segurança de um computador cliente para um controlador de domínio baseado no Windows Server 2008, siga estes passos para resolver o problema:
  1. Se o computador cliente estiver a executar o Windows NT 4.0, actualiza o Windows NT 4.0 para o Windows 2000 ou versões posteriores. Se não conseguir efectuar a actualização, siga os passos descritos na secção "Como contornar".
  2. Se o computador cliente estiver a executar o Windows 2000 ou uma versão posterior do Windows e o computador cliente executa uma operação de adesão a um domínio não segura, siga os passos na secção "Como contornar" como uma solução temporária.
  3. Se o computador cliente estiver a executar o Windows 2000 ou uma versão posterior do Windows e não tem a certeza se o computador cliente é efectua uma operação de associação não segura, examine o ficheiro %systemroot%\Debug\Netsetup.log. Se o computador cliente está a efectuar uma operação de associação não segura, são registadas informações semelhantes às seguintes:
    11/09 Não foi possível validar a conta de computador para o ComputerName contra SPN_Name 21: 02: 04: 0xc0000388
    11/09 21: 02: 04 NetpJoinDomain: w9x: Estado da conta a validar: 0x4f1
    Nota O serviço NETLOGON é executada apenas num computador que adere a um domínio.
  4. Se o computador cliente não tem o Windows, siga estes passos:
    1. Determine qual o controlador de domínio que está a processar pedidos de canal de segurança.

      Nota Pode utilizar registos de eventos e registos de rastreio para determinar o controlador de domínio.
    2. Certifique-se de que o serviço NETLOGON é iniciado. Para tal, siga estes passos:
      • Clique em Iniciar, clique em Executar, escreva Services.msc e clique em OK.
      • Na consola de Serviços, certifique-se de que o estado para o serviço NETLOGON é iniciado.
      • Se o estado não for iniciado, clique com o botão direito do rato no serviço NETLOGON e, em seguida, clique em Iniciar.
    3. Active o registo de depuração para o serviço NETLOGON no controlador de domínio baseado no Windows Server 2008 que processa os pedidos de canal de segurança. Para tal, utilize um dos seguintes métodos.

      Método 1
      1. Clique em Iniciar, clique em Executar, escreva cmd e, em seguida, clique em OK.
      2. Na linha de comandos, escreva o seguinte comando:
        /DBFLAG:2000FFFF Nltest.exe
      Nota Se o serviço NETLOGON não tiver sido iniciado, receberá uma mensagem de erro "RPC_S_UNKNOWN_IF".

      Método 2

      Aviso Podem ocorrer problemas graves se modificar o registo incorrectamente utilizando o Editor de registo ou utilizando outro método. Estes problemas poderão forçar a reinstalação o sistema operativo. Microsoft não garante que estes problemas podem ser resolvidos. Modificar o registo por sua própria conta e risco.
      1. Clique em Iniciar, clique em Executar, escreva regedit e, em seguida, clique em OK.
      2. Localize e clique com o botão direito do rato na seguinte subchave do registo:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
      3. Aponte para Novo e, em seguida, clique em <a2>Valor da cadeia.
      4. Escreva DBFLAG e, em seguida, faça duplo clique na entrada de registo DBFLAG.
      5. Na caixa <a0>Editar cadeia</a0>, escreva 2000FFFF na caixa de dados do valor.
      6. Sair do Editor de registo.
    4. Abra o ficheiro %systemroot%\Debug\Netlogon.log no bloco de notas e, em seguida, procure a seguinte mensagem de erro:
      o cliente ClientComputerName $ está a pedir encriptação NT4 e este servidor não permite.
    5. Se encontrar esta mensagem de erro, o computador cliente está a utilizar antigo algoritmos de criptografia que são utilizados no Windows NT 4.0 para estabelecer um canal de segurança para o controlador de domínio baseado no Windows Server 2008.
    6. Desactive o registo de depuração para o serviço NETLOGON no controlador de domínio baseado no Windows Server 2008. Para o fazer, escreva o seguinte comando numa linha de comandos:
      /DBFLAG:0 Nltest.exe

Referências

Para obter mais informações sobre como activar o registo de depuração para o serviço NETLOGON, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
109626  (http://support.microsoft.com/kb/109626/ ) Activar o registo de depuração para o serviço de início de sessão de rede

Para mais informações sobre a função NetJoinDomain, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/En-US/library/aa370433.aspx (http://msdn2.microsoft.com/En-US/library/aa370433.aspx)
Os produtos de outros fabricantes que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou outra, sobre o desempenho ou fiabilidade destes produtos.

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbmt kbprb kbtshoot kbexpertiseadvanced KB942564 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 942564  (http://support.microsoft.com/kb/942564/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft