Modifications de stratégie Kerberos ne sont pas mis à jour sur vos contrôleurs de domaine Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 828692 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Symptômes

Lorsque vous tentez de modifier le mot de passe et les stratégies de Kerberos dans Stratégie de sécurité de domaine sur un contrôleur de domaine de votre réseau Windows 2000, modifications de stratégie Kerberos sont mis à jour sur le maître d'opérations émulateur contrôleur de domaine principal, mais les modifications de stratégie Kerberos ne sont pas mis à jour sur les autres contrôleurs de domaine de votre réseau.

Cause

Ce problème se produit si les conditions suivantes sont remplies :
  • Vous avez installé Microsoft Windows 2000 Service Pack 4 sur les contrôleurs de domaine.
  • Vous avez un environnement réseau mixte qui comprend des ordinateurs Windows NT.
  • Le contrôleur de domaine qui a servi à modifier les stratégies Kerberos n'est pas le maître d'opérations du contrôleur de domaine principal.
À partir de Windows 2000 Service Pack 4, compte de domaine à l'échelle et stratégies Kerberos sont traités uniquement par le maître d'opérations émulateur PDC. Cette modification empêche la réplication Active Directory inutile de stratégies de compte basé l'annuaire.

Étant donné que les stratégies Kerberos sont basées sur le Registre, ces stratégies ne sont pas répliqués sur les contrôleurs de domaine qui ne sont pas PDCs. Modifications de stratégie Kerberos ne sont pas traitées ou mis à jour sur les autres contrôleurs de domaine.

Résolution

Informations sur le correctif

Un correctif est disponible auprès de Microsoft. Toutefois, ce correctif est conçu pour corriger le problème décrit dans cet article. Appliquer ce correctif uniquement aux systèmes rencontrant ce problème spécifique.

Si le correctif est disponible pour le téléchargement, il est une section « téléchargement correctif disponible » en haut de cet article de la base de connaissances. Si cette section n'apparaît pas, soumettez une demande à Microsoft client service et support pour obtenir le correctif.

note Si des problèmes supplémentaires se produisent ou si n'importe quel dépannage est nécessaire, vous devrez peut-être créer une demande de service distincte. Les coûts habituels du support technique s'appliqueront aux autres questions et problèmes non traités par ce correctif spécifique. Pour une liste complète des Microsoft client service et support numéros de téléphone ou pour créer une demande de service distincte, reportez-vous au site de Web Microsoft suivant :
http://support.microsoft.com/contactus/?ws=support
note L'écran de « téléchargement correctif disponible » affiche les langues pour lesquelles le correctif est disponible. Si vous ne voyez pas la langue, il est car un correctif logiciel n'est pas disponible pour cette langue.

Conditions préalables

Microsoft Windows 2000 Service Pack 4

Demande de redémarrage

Vous devez redémarrer votre ordinateur après avoir appliqué ce correctif.

Informations sur le remplacement de correctif

Ce correctif ne remplace aucun autre correctif.

Informations de fichier

La version anglaise de ce correctif dispose des attributs de fichier (ou version ultérieure) répertoriés dans le tableau suivant. Les dates et heures de ces fichiers sont exprimées en coordinated universal temps (UTC). Lorsque vous affichez les informations de fichier, il est convertie en heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire dans l'outil Date et heure du Panneau de configuration.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Contournement

Pour contourner ce problème, créer une nouvelle base de données de sécurité, Importer la stratégie de sécurité que vous souhaitez utiliser, puis appliquer cette stratégie spécifiquement à chaque contrôleur de domaine affecté. Cette procédure met à jour le Registre local et modifie les paramètres dans les tickets qui ont été émises par KDC (Key Distribution Center).

Voici un exemple de fichier .inf qui décrit la stratégie Kerberos par défaut. Vérifiez que les modifications sont appropriées à votre environnement.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
pour utiliser ce modèle, procédez comme suit :
  1. Enregistrer le modèle d'exemple dans un fichier. Nommez le fichier KerbPol.inf.
  2. Démarrez la console Gestion Microsoft (MMC). Pour ce faire, cliquez sur Démarrer , cliquez sur Exécuter , tapez MMC , puis cliquez sur OK .
  3. Ajoutez le composant logiciel enfichable Configuration et analyse de la sécurité. Pour ce faire, procédez comme suit :
    1. Cliquez sur console , puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable .
    2. Sous l'onglet autonome , cliquez sur Ajouter .
    3. Dans la liste enfichables disponibles , cliquez sur Configuration et analyse de la sécurité , cliquez sur Ajouter et cliquez sur Fermer .
    4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable , cliquez sur OK .
  4. Dans le volet d'arborescence, cliquez avec le bouton droit sur Configuration et la sécurité analyse , puis cliquez sur Ouvrir une base de données .
  5. Dans la zone Nom de fichier , tapez KerbPol.sdb et puis cliquez sur Ouvrir .
  6. Dans la boîte de dialogue modèle d'importation , recherchez le fichier .inf que vous avez enregistré à étape 1.
  7. Activez la case à cocher Effacer cette base de données avant de les importer , puis cliquez sur Ouvrir .
  8. Dans le volet d'arborescence, cliquez avec le bouton droit sur Configuration et la sécurité analyse , puis cliquez sur analyse l'ordinateur maintenant .
  9. Dans la boîte de dialogue effectuer une analyse , cliquez sur OK .
  10. Lorsque l'analyse est terminée, développez Configuration et analyse de la sécurité , développez Stratégies de comptes , puis puis cliquez sur Stratégie Kerberos . Assurez-vous que les paramètres de la colonne Paramètres de la base de données sont corrects.
  11. Dans le volet d'arborescence, cliquez avec le bouton droit sur Configuration et la sécurité analyse , puis cliquez sur Configurer l'ordinateur maintenant .
  12. Dans la boîte de dialogue Configuration système , cliquez sur OK .
  13. Redémarrez le serveur.
Le contrôleur de domaine est maintenant configuré avec la nouvelle stratégie. Vous pouvez réexécuter l'analyse à l'aide de la base de données que vous avez créé à l'étape 4. Lorsque vous avez terminé l'analyse, assurez-vous que la colonne paramètres effet correspond à la colonne de paramètres de la base de données dans la Configuration et analyse de la sécurité .

Statut

Microsoft a confirmé que c'est un problème dans les produits Microsoft répertoriés dans la section « S'applique à ».

Plus d'informations

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
816915 Nouveau fichier de schéma d'appellation pour les packages de mise à jour logicielle Microsoft Windows
824684 Description de la terminologie standard utilisée pour décrire les mises à jour logicielles Microsoft

Propriétés

Numéro d'article: 828692 - Dernière mise à jour: jeudi 26 octobre 2006 - Version: 2.5
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Mots-clés : 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 828692
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com