Modifiche dei criteri Kerberos non vengono aggiornate nei controller di dominio basato su Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 828692 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Quando si tenta di modificare la password e criteri di Kerberos nel criterio di protezione dominio su un controller di dominio nella rete basato su Microsoft Windows 2000, modifiche dei criteri Kerberos vengono aggiornate sul master operazioni emulatore controller di dominio primario, ma le modifiche dei criteri di Kerberos non vengono aggiornate su altri controller di dominio sulla rete.

Cause

Questo problema si verifica se sono vere tutte le condizioni seguenti:
  • È stato installato Microsoft Windows 2000 Service Pack 4 per i controller di dominio.
  • Si dispone di un ambiente di rete misto che include computer basati su Microsoft Windows NT.
  • Il controller di dominio utilizzato per modificare i criteri Kerberos non è il master operazioni PDC.
A partire da Windows 2000 Service Pack 4, account a livello di dominio e dei criteri di Kerberos vengono elaborati solo dal master operazioni emulatore PDC. Questa modifica impedisce la replica non necessaria di Active Directory dei criteri account basati su directory.

Poiché i criteri Kerberos sono basati sul Registro di sistema, questi criteri non vengono replicati ai controller di dominio che non sono a PDC. Modifiche dei criteri Kerberos non elaborate o aggiornate in altri controller di dominio.

Risoluzione

Informazioni sull'hotfix

È disponibile un hotfix supportato. Questo hotfix è tuttavia destinato esclusivamente alla risoluzione del problema descritto in questo articolo. Consente di applicare questo aggiornamento rapido (hotfix) solo ai sistemi in cui si verifica questo problema specifico.

Se l'hotfix è disponibile per il download, è una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta di servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.

Nota Se si verificano ulteriori problemi o se la risoluzione dei problemi è necessario, potrebbe essere necessario creare una richiesta di servizio separato. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico hotfix in questione. Per un elenco completo, di Microsoft Customer Service and Support numeri di telefono o a creare una richiesta di servizio distinto, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'aggiornamento rapido. Se non viene visualizzata la lingua, è perché un aggiornamento rapido (hotfix) non è disponibile per tale lingua.

Prerequisiti

Windows 2000 Service Pack 4

Necessità di riavvio

È necessario riavviare il computer dopo aver applicato questo hotfix.

Informazioni sulla sostituzione della correzione

Questo aggiornamento rapido (hotfix) non sostituisce eventuali altri hotfix.

Informazioni sui file

La versione inglese di questo aggiornamento rapido (hotfix) presenta gli attributi di file (o successivi) elencati nella tabella riportata di seguito. Date e ore per questi file sono indicati nella coordinated universal time (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario dello strumento Data e ora del Pannello di controllo.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Workaround

Per risolvere questo problema, creare un nuovo database di protezione, importare i criteri di protezione che si desidera utilizzare e quindi applicare tale criterio in modo specifico a ogni controller di dominio interessato. Questa procedura aggiorna il Registro di sistema locale e modifica le impostazioni nei ticket emessi dal centro distribuzione chiavi (KDC).

Di seguito è un file inf esempio descrive l'impostazione predefinita del criterio Kerberos. Apportare le modifiche sono appropriate all'ambiente.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
per utilizzare questo modello, attenersi alla seguente procedura:
  1. Salvare il modello di esempio in un file. Nome del file KerbPol.inf.
  2. Avviare Microsoft Management Console (MMC). Per effettuare questa operazione, fare clic su Start , scegliere Esegui , digitare MMC e quindi fare clic su OK .
  3. Aggiungere lo snap-in analisi e configurazione della protezione. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic su console e quindi fare clic su Aggiungi/Rimuovi snap-in .
    2. Nella scheda autonomo , fare clic su Aggiungi .
    3. Nell'elenco snap-in autonomi disponibili , fare clic su analisi e configurazione della protezione fare clic su Aggiungi e quindi fare clic su Chiudi .
    4. Nella finestra della finestra di dialogo Aggiungi/Rimuovi snap-in , fare clic su OK .
  4. Nel riquadro di visualizzazione albero, fare clic con il pulsante destro del mouse su analisi e configurazione della protezione e quindi fare clic su Apri Database .
  5. Nella casella Nome File digitare KerbPol.sdb e quindi fare clic su Apri .
  6. Nella finestra di dialogo Importazione modello , individuare il file inf salvato nel passaggio 1.
  7. Fare clic per selezionare la casella di controllo Cancella database prima dell'importazione e quindi fare clic su Apri .
  8. Nel riquadro di visualizzazione struttura, fare clic con il pulsante destro del mouse su analisi e configurazione della protezione e quindi fare clic su Esegui analisi sistema .
  9. Nella finestra di dialogo Esecuzione analisi , fare clic su OK .
  10. Una volta completata l'analisi, espandere analisi e configurazione della protezione , espandere Criteri Account e quindi fare clic su Criterio Kerberos . Assicurarsi che le impostazioni nella colonna Impostazioni Database siano corrette.
  11. Nel riquadro di visualizzazione struttura, fare clic con il pulsante destro del mouse su analisi e configurazione della protezione e quindi fare clic su Configura il sistema ora .
  12. Nella finestra di dialogo Configurazione sistema , fare clic su OK .
  13. Riavviare il server.
Il controller di dominio è ora configurato con il nuovo criterio. È possibile eseguire nuovamente l'analisi utilizzando il database creato nel passaggio 4. Quando si completa l'analisi, accertarsi che che la colonna di Impostazioni effettive che corrisponde a colonna Impostazioni Database in analisi e configurazione della protezione .

Status

Microsoft ha confermato che questo problema riguarda i prodotti sono elencati nella sezione "Si applica a".

Informazioni

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
816915Nuovo schema di denominazione di file per i pacchetti di aggiornamento software Microsoft Windows
824684Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft

Proprietà

Identificativo articolo: 828692 - Ultima modifica: giovedì 26 ottobre 2006 - Revisione: 2.5
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Chiavi: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtit
Traduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 828692
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com