Formato "Name\username do domínio NetBIOS" não pode ser usado com o mecanismo de referência do Kerberos para fazer logon um computador em um ambiente entre florestas
Este artigo descreve um hotfix para a autenticação Kerberos que deve ser instalado em catálogos globais baseados no Windows Server 2008 e Windows Server 2008 R2.
Atualmente, a autenticação Kerberos permite que um usuário faça logon um computador associado a um domínio usando credenciais de usuário em um dos seguintes formatos:
Nome de usuário principal (UPN)
Nome de domínio FQDN\nome de usuário
Nome de domínio NetBIOS\nome de usuário
O mecanismo de indicação de Kerberos funcione corretamente em todos os ambientes quando você usa o UPN ou "Name\username de domínio FQDN" formatos. No entanto, quando você usa o formato "Name\username do domínio NetBIOS", o mecanismo de referência Kerberos funciona corretamente somente em um ambiente de floresta única. O formato "Name\username do domínio NetBIOS" não pode ser usado para contas de usuário em um domínio filho quando o mecanismo de indicação de Kerberos está trabalhando em um ambiente entre florestas estabelecidas relações de confiança entre as florestas.
Por exemplo, quando você tenta usar o formato "Name\username do domínio NetBIOS" fazer logon como um usuário em um domínio filho em uma floresta confiável em um computador que esteja executando o Windows 8 Customer Preview, o processo de autenticação falhar. No entanto, você pode usar o formato "Name\username do domínio NetBIOS" contas de usuário de domínio raiz da floresta confiável.
Esse problema afeta os aplicativos que usam o serviço Kerberos para as extensões de usuário (S4U) para criar um contexto para um usuário em uma floresta confiável. Por exemplo, considere o seguinte cenário:
Um usuário tem um aplicativo que usa uma extensão Kerberos S4U em um servidor na floresta A.
O usuário está no domínio filho da floresta confiável B.
A extensão do Kerberos S4U é chamada para passar o nome NetBIOS do domínio filho na floresta B.
Nessa situação, o Centro de distribuição de chaves (KDC) na floresta A não é possível gerar um caminho de referência do Kerberos para floresta confiável B, e você recebe um erro "KDC_ERR_S_PRINCIPAL_UNKNOWN (7)".
O catálogo global reconhece os nomes de NetBIOS de domínios raiz da floresta confiável, mas não reconhece os nomes NetBIOS de domínios filho nas florestas confiáveis. Portanto, quando o KDC em uma floresta tenta localizar o KDC de um domínio filho em outra floresta usando o formato "Name\username do domínio NetBIOS", o catálogo global não é possível pesquisar o domínio. Esse comportamento faz com que o KDC falhe, pois o KDC não é possível criar uma permissão de referência.
Um hotfix compatível está disponível na Microsoft. No entanto, esse hotfix destina-se apenas a corrigir o problema descrito neste artigo. Aplica esse hotfix somente aos sistemas que apresentarem o problema descrito neste artigo. Esse hotfix pode receber testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.
Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta seção não for exibido, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix.
Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa dos números de telefone de suporte e atendimento ao cliente da Microsoft ou para criar uma solicitação de serviço, visite o seguinte site da Microsoft:
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos
Para aplicar esse hotfix, você deve estar executando o Windows Server 2008 R2 Service Pack 1 (SP1) ou Windows Server 2008 SP2. Além disso, a função Serviços de domínio Active Directory (AD DS) deve ser instalada no computador.
Para obter mais informações sobre como obter um service pack do Windows Server 2008, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
Como obter o service pack mais recente para Windows Server 2008
Para obter mais informações sobre como obter um service pack do Windows 7 ou Windows Server 2008 R2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
Informações sobre o Service Pack 1 para Windows 7 e Windows Server 2008 R2
Informações do registro
Para aplicar o hotfix neste pacote, você não precisará fazer qualquer alteração no registro.
Requisito de reinicialização
Você deve reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix
Esse hotfix não substitui um hotfix lançado anteriormente.
Informações sobre o arquivo
A versão global deste hotfix instala arquivos que tenham os atributos listados nas tabelas a seguir. As datas e horários desses arquivos estão listados em formato Tempo Universal Coordenado (UTC). As datas e horários desses arquivos no computador local são exibidos em sua hora local com a diferença do horário de verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando você executa certas operações nos arquivos.
Observações sobre o arquivo Windows Server 2008
Importante Os hotfixes do Windows Vista e os hotfixes do Windows Server 2008 são incluídos nos pacotes para o mesmos. No entanto, apenas "Windows Vista" é listado na página solicitação Hotfix. Para solicitar o pacote de hotfix que se aplica a um ou ambos os sistemas operacionais, selecione o hotfix que está listado em "Windows Vista" na página. Consulte sempre a seção "Aplica-se a" nos artigos para determinar o sistema operacional real ao qual se aplica cada hotfix.
Os arquivos que se aplicam a um produto específico, SR_Level (RTM, SPn), e ramificação do serviço (LDR, GDR) pode ser identificada ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir.
Reduzir esta tabelaExpandir esta tabela
Versão
Produto
SR_Level
Ramificação do serviço
6.0.600
2
.
22xxx
Windows Server 2008
SP2
LDR
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais para o Windows Server 2008". Os arquivos MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos de catálogo de segurança, para o qual os atributos não estiverem listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões com base em x86 compatíveis do Windows Server 2008
Reduzir esta tabelaExpandir esta tabela
Nome do arquivo
Versão do arquivo
Tamanho do arquivo
Data
Hora
Plataforma
Ksecdd. sys
6.0.6002.22869
440,704
25-Jun-2012
10: 59
x86
Lsasrv. dll
6.0.6002.22962
1,260,032
31-Out-2012
02: 39
x86
Lsasrv.MOF
Não aplicável
13,780
09-Set-2011
11: 41
Não aplicável
Lsass.exe
6.0.6002.22962
9,728
31-Out-2012
01: 21
x86
Secur32
6.0.6002.22962
72,704
31-Out-2012
02: 40
x86
WDigest
6.0.6002.22964
175,104
02-Nov-2012
09: 05
x86
Msv1_0. dll
6.0.6002.22964
218,624
02-Nov-2012
09: 03
x86
Schannel. dll
6.0.6002.22964
279,552
02-Nov-2012
09: 04
x86
Para todas as versões baseadas em x64 com suporte do Windows Server 2008
Reduzir esta tabelaExpandir esta tabela
Nome do arquivo
Versão do arquivo
Tamanho do arquivo
Data
Hora
Plataforma
Ksecdd. sys
6.0.6002.22869
516,480
25-Jun-2012
10: 59
x64
Lsasrv. dll
6.0.6002.22962
1,690,624
31-Out-2012
03: 48
x64
Lsasrv.MOF
Não aplicável
13,780
15-Nov-2011
15: 19
Não aplicável
Lsass.exe
6.0.6002.22962
11,264
31-Out-2012
02: 09
x64
Secur32
6.0.6002.22962
94,720
31-Out-2012
03: 50
x64
WDigest
6.0.6002.22964
205,312
02-Nov-2012
09: 43
x64
Msv1_0. dll
6.0.6002.22964
269,312
02-Nov-2012
09: 41
x64
Schannel. dll
6.0.6002.22964
348,160
02-Nov-2012
09: 42
x64
Lsasrv.MOF
Não aplicável
13,780
09-Set-2011
11: 41
Não aplicável
Secur32
6.0.6002.22962
77,312
31-Out-2012
02: 41
x86
WDigest
6.0.6002.22964
175,104
02-Nov-2012
09: 05
x86
Msv1_0. dll
6.0.6002.22964
218,624
02-Nov-2012
09: 03
x86
Schannel. dll
6.0.6002.22964
279,552
02-Nov-2012
09: 04
x86
Para todas as versões compatíveis baseadas em IA-64 do Windows Server 2008
Reduzir esta tabelaExpandir esta tabela
Nome do arquivo
Versão do arquivo
Tamanho do arquivo
Data
Hora
Plataforma
Ksecdd. sys
6.0.6002.22869
1,029,504
25-Jun-2012
12: 17
IA-64
Lsasrv. dll
6.0.6002.22962
3,262,464
31-Out-2012
02: 11
IA-64
Lsasrv.MOF
Não aplicável
13,780
15-Mar-2011
05: 54
Não aplicável
Lsass.exe
6.0.6002.22962
17,920
31-Out-2012
01: 07
IA-64
Secur32
6.0.6002.22962
202,752
31-Out-2012
02: 13
IA-64
WDigest
6.0.6002.22964
482,304
02-Nov-2012
07: 42
IA-64
Msv1_0. dll
6.0.6002.22964
570,368
02-Nov-2012
07: 40
IA-64
Schannel. dll
6.0.6002.22964
812,032
02-Nov-2012
07: 41
IA-64
Lsasrv.MOF
Não aplicável
13,780
09-Set-2011
11: 41
Não aplicável
Secur32
6.0.6002.22962
77,312
31-Out-2012
02: 41
x86
WDigest
6.0.6002.22964
175,104
02-Nov-2012
09: 05
x86
Msv1_0. dll
6.0.6002.22964
218,624
02-Nov-2012
09: 03
x86
Schannel. dll
6.0.6002.22964
279,552
02-Nov-2012
09: 04
x86
Observações sobre o arquivo Windows Server 2008 R2
Os arquivos que se aplicam a um produto específico, etapa (RTM, SPn), e ramificação do serviço (LDR, GDR) pode ser identificada ao examinar os números de versão do arquivo conforme mostrado na tabela a seguir:
Reduzir esta tabelaExpandir esta tabela
Versão
Produto
Etapa do projeto
Ramificação do serviço
6.1.760 1.21xxx
Windows Server 2008 R2
SP1
LDR
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "informações de arquivo adicionais para o Windows Server 2008 R2". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas, são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos de catálogo de segurança, para o qual os atributos não estiverem listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x64 com suporte do Windows Server 2008 R2
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 2675498
Obrigado! Os seus comentários são utilizados para ajudar-nos a melhorar o conteúdo do nosso suporte. Para obter mais opções de assistência, visite a Home Page de Ajuda e Suporte.
Voltar ao topo
