No se actualizan los cambios de directiva de Kerberos en los controladores de dominio basado en Windows 2000

Seleccione idioma Seleccione idioma
Id. de artículo: 828692 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Síntomas

Cuando intenta cambiar la contraseña y directivas de Kerberos en directiva de seguridad de dominio en un controlador de dominio de la red basado en Microsoft Windows 2000, los cambios de directiva de Kerberos se actualizan en el maestro de operaciones de emulador de controlador (PDC) de dominio principal, pero no se actualizan los cambios de directiva de Kerberos en otros controladores de dominio de la red.

Causa

Este problema se produce cuando se cumplen todas las condiciones siguientes:
  • Ha instalado Microsoft Windows 2000 Service Pack 4 en los controladores de dominio.
  • Tiene un entorno de red mixta que incluye equipos basados en Microsoft Windows NT.
  • El controlador de dominio que utilizó para cambiar las directivas Kerberos no es el maestro de operaciones de PDC.
A partir de Windows 2000 Service Pack 4, cuentas de todo el dominio y directivas Kerberos se procesan sólo mediante el maestro de operaciones de emulador de PDC. Este cambio impide que la replicación de Active Directory innecesaria de directivas de cuenta de directorio.

Debido a que las directivas Kerberos se basan en registro, estas directivas no se replican en los controladores de dominio que no son PDC. Los cambios de directiva de Kerberos no se procesa o se actualizan en los otros controladores de dominio.

Solución

Información de revisiones

Hay una revisión compatible de Microsoft. Sin embargo, esta revisión se diseñó para corregir el problema descrito en este artículo. Aplíquela sólo a los sistemas que experimenten este problema específico.

Si la revisión está disponible para descarga, es hay una sección de "Descarga de revisión disponible" al principio de este artículo. Si no aparece en esta sección, enviar una solicitud al servicio de cliente de Microsoft y soporte para obtener la revisión.

Nota Si se producen problemas adicionales o si cualquier solución de problemas es necesario, quizás tenga que crear una solicitud de servicio independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no guarden relación con esta revisión específica. Para obtener una lista completa de números de teléfono de servicio de atención al cliente y soporte técnico o para crear una solicitud de servicio independiente, visite el siguiente sitio Web:
http://support.microsoft.com/contactus/?ws=support
Nota El formulario "Descarga de revisión disponibles" muestra los idiomas para que la revisión está disponible. Si no ve su idioma, es porque una revisión no está disponible para ese idioma.

Requisitos previos

Microsoft Windows 2000 Service Pack 4

Requisito de reinicio

Una vez aplicado este hotfix, debe reiniciar el equipo.

Información acerca de la sustitución de la revisión

Este hotfix no sustituye a otros hotfix.

Información de archivo

La versión en inglés de este hotfix tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y horas de estos archivos aparecen en la hora universal coordinada (UTC). La información de los archivos se convertirá a la hora local cuando la vea. Para averiguar la diferencia entre hora UTC y la hora local, utilice la ficha zona horaria de la herramienta fecha y hora en el panel de control.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Solución

Para evitar este problema, crear una nueva base de datos de seguridad, importe la directiva de seguridad que desea utilizar y, a continuación, aplicar esa directiva específicamente a cada controlador de dominio afectados. Este procedimiento actualiza el registro local y cambia la configuración de los vales que se han emitido por el Centro de distribución de claves (KDC).

Lo siguiente es un archivo de .inf de ejemplo que describe la directiva de Kerberos predeterminada. Asegúrese de que los cambios que sean apropiados para su entorno.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
para utilizar esta plantilla, siga estos pasos:
  1. Guardar la plantilla de ejemplo en un archivo. Nombre del archivo KerbPol.inf.
  2. Inicie Microsoft Management Console (MMC). Para ello, haga clic en Inicio , haga clic en Ejecutar , escriba MMC y, a continuación, haga clic en Aceptar .
  3. Agregue el complemento Configuración y análisis de seguridad. Para ello, siga estos pasos:
    1. Haga clic en consola y, a continuación, haga clic en Agregar o quitar complemento .
    2. En la ficha independiente , haga clic en Agregar .
    3. En la lista complementos independientes disponibles , haga clic en Configuración y análisis de seguridad , haga clic en Agregar y, a continuación, haga clic en Cerrar .
    4. En el cuadro de diálogo Agregar o quitar complemento , haga clic en Aceptar .
  4. En el panel de vista de árbol, haga clic con el botón secundario del mouse en configuración de seguridad y análisis y, a continuación, haga clic en Abrir base de datos .
  5. En el cuadro Nombre de archivo , escriba KerbPol.sdb y a continuación, haga clic en Abrir .
  6. En el cuadro de diálogo Importar plantilla , busque el archivo .inf que guardó en el paso 1.
  7. Active la casilla de verificación Limpiar esta base de datos antes de importar y, a continuación, haga clic en Abrir .
  8. En el panel Vista de árbol, haga clic con el botón secundario del mouse en configuración de seguridad y análisis y, a continuación, haga clic en Analizar el equipo ahora .
  9. En el cuadro de diálogo Realizar análisis , haga clic en Aceptar .
  10. Cuando finalice el análisis, expanda Configuración y análisis de seguridad , expanda Directivas de cuenta y a continuación, haga clic en Directiva de Kerberos . Asegúrese de que la configuración de la columna Configuración base de datos es correcta.
  11. En el panel Vista de árbol, haga clic con el botón secundario del mouse en configuración de seguridad y análisis y, a continuación, haga clic en Configurar el equipo ahora .
  12. En el cuadro de diálogo Configurar el sistema , haga clic en Aceptar .
  13. Reinicie el servidor.
El controlador de dominio está configurado ahora con la nueva directiva. Se puede volver a ejecutar el análisis mediante la base de datos que creó en el paso 4. Al completar el análisis, asegúrese de que la columna Configuración vigente coincide con la columna de Configuración de la base de datos de Configuración y análisis de seguridad .

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft enumerados en la sección "La información de este artículo se refiere a:".

Más información

Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
816915Nuevo esquema de nomenclatura de archivos para los paquetes de actualización de software de Microsoft Windows
824684Descripción de la terminología estándar utilizada para describir las actualizaciones de software de Microsoft

Propiedades

Id. de artículo: 828692 - Última revisión: jueves, 26 de octubre de 2006 - Versión: 2.5
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Palabras clave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 828692

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com