Änderungen der Kerberos-Richtlinien werden nicht auf Ihren Windows 2000-basierten Domänencontrollern aktualisiert.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 828692 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie versuchen, das Kennwort und die Kerberos-Richtlinien in Sicherheitsrichtlinie für Domänen auf einem Domänencontroller in Ihrem Windows 2000-Netzwerk zu ändern, Änderungen der Kerberos-Richtlinien auf Emulationsbetriebsmaster des primären Domänen-Controller (PDC) aktualisiert werden, aber Änderungen der Kerberos-Richtlinien werden auf anderen Domänencontrollern im Netzwerk nicht aktualisiert.

Ursache

Dieses Problem tritt auf, wenn folgende Bedingungen zutreffen:
  • Sie haben Microsoft Windows 2000 Service Pack 4 auf den Domänencontrollern installiert.
  • Sie haben eine gemischten Netzwerkumgebung, die Windows NT-Computer enthält.
  • Der Domänencontroller, den Sie ändern die Kerberos-Richtlinien verwendet ist nicht der PDC-Betriebsmaster.
Beginnend mit Windows 2000 Service Pack 4, werden nur vom PDC-Emulationsbetriebsmaster domänenweite Konto und Kerberos-Richtlinien verarbeitet. Diese Änderung verhindert die unnötige Active Directory-Replikation von verzeichnisbasierten Kontorichtlinien.

Da Kerberos-Richtlinien registrierungsbasierte sind, werden diese Richtlinien nicht zu den Domänencontrollern repliziert, die PDCs nicht sind. Änderungen der Kerberos-Richtlinien werden nicht verarbeitet oder auf anderen Domänencontrollern aktualisiert.

Lösung

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anfrage an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Microsoft Windows 2000 Service Pack 4

Neustartanforderung

Sie müssen den Computer nach der Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Die Datums- und Uhrzeitangaben für diese Dateien werden in Coordinated Universal Time () angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln verwenden Sie die Registerkarte Zeitzone des Tools ? Datum und Uhrzeit in der Systemsteuerung.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Abhilfe

Um dieses Problem zu umgehen, Erstellen einer neuen Sicherheitsdatenbank, importieren Sie die Sicherheitsrichtlinie, die Sie verwenden möchten, und dann die Richtlinie anwenden, insbesondere auf jedem betroffenen Domänencontroller. Dieses Verfahren aktualisiert die lokale Registrierung und ändert die Einstellungen in der Tickets, die durch das Schlüsselverteilungscenter (Key Distribution Center, KDC) ausgestellt wurden.

Nachfolgend eine .inf-Beispieldatei, die die Standard-Kerberos-Richtlinie beschreibt. Stellen Sie beliebige Änderungen für Ihre Umgebung geeignet sind.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
verwenden diese Vorlage folgenden Schritte:
  1. Speichern Sie Beispiel Vorlage in einer Datei. Der Name der Datei KerbPol.inf.
  2. Die Microsoft Management Console (MMC) starten. Dazu klicken Sie auf Start , klicken Sie auf Ausführen , geben Sie MMC ein und klicken Sie dann auf OK .
  3. Fügen Sie Sicherheitskonfiguration und Analyse-Snap-in hinzu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Konsole , und klicken Sie dann auf Snap-In hinzufügen/entfernen .
    2. Klicken Sie auf der Registerkarte eigenständig auf Hinzufügen .
    3. Klicken Sie in der Liste Verfügbare eigenständige Snap-Ins auf Sicherheitskonfiguration und-Analyse , klicken Sie auf Hinzufügen, und klicken Sie dann auf Schließen .
    4. Klicken Sie im Dialogfeld Snap-In hinzufügen/entfernen auf OK .
  4. Klicken Sie im Strukturansicht-klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse und klicken Sie dann auf Datenbank öffnen .
  5. Geben Sie in das Feld Dateiname KerbPol.sdb und klicken Sie dann auf Öffnen .
  6. Suchen Sie im Dialogfeld Vorlage importieren die .inf-Datei, die Sie in Schritt 1 gespeichert.
  7. Klicken Sie auf das Kontrollkästchen Datenbank vor dem Importieren aufräumen , und klicken Sie dann auf Öffnen .
  8. Klicken Sie im Strukturansicht-klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse , und klicken Sie den Computer jetzt analysieren .
  9. Klicken Sie im Dialogfeld Analyse durchführen auf OK .
  10. Wenn die Analyse abgeschlossen ist, erweitern Sie Sicherheitskonfiguration und-Analyse , erweitern Sie Kontorichtlinien und klicken Sie dann auf Kerberos-Richtlinie . Sicherstellen Sie daran, dass die Einstellungen in der Spalte Datenbankeinstellungen korrekt sind.
  11. Klicken Sie im Strukturansicht-klicken Sie mit der rechten Maustaste auf Sicherheitskonfiguration und-Analyse , und klicken Sie den Computer jetzt konfigurieren .
  12. Klicken Sie im Dialogfeld System konfigurieren auf OK .
  13. Starten Sie den Server neu.
Der Domänencontroller ist jetzt mit der neuen Richtlinie konfiguriert. Sie können erneut die Analyse ausführen, mit die Datenbank, die Sie in Schritt 4 erstellt haben. Wenn Sie die Analyse abgeschlossen haben, stellen Sie sicher, dass die Effektiven Einstellungen Spalte die Spalte Datenbankeinstellungen in Sicherheitskonfiguration und-Analyse übereinstimmt.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind.

Weitere Informationen

Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
816915Neues Schema für die Dateibenennung in Microsoft Windows-Softwareaktualisierungspaketen
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates

Eigenschaften

Artikel-ID: 828692 - Geändert am: Donnerstag, 26. Oktober 2006 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Keywords: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 828692
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com