Alterações de política Kerberos não são actualizadas nos controladores de domínio baseado no Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 828692 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Quando tenta alterar a palavra-passe e políticas Kerberos na política de segurança de domínio num controlador de domínio na rede com o Microsoft Windows 2000, alterações de política Kerberos são actualizadas no mestre de operações do emulador do controlador (PDC, Primary Domain Controller) de domínio primário, mas as alterações de política Kerberos não são actualizadas nos outros controladores de domínio na rede.

Causa

Este problema ocorre caso se verifiquem as seguintes condições:
  • Instalou o Microsoft Windows 2000 Service Pack 4 nos controladores de domínio.
  • Tiver um ambiente de rede mista que inclua computadores baseados no Microsoft Windows NT.
  • O controlador de domínio que utilizou para alterar as políticas Kerberos não é o mestre de operações PDC, Primary Domain Controller.
A partir do Windows 2000 Service Pack 4, todo o domínio conta e políticas Kerberos são processadas apenas pelo mestre de operações de emulador PDC. Esta alteração impede a replicação do Active Directory desnecessária das políticas de conta baseada no directório.

Uma vez que as políticas Kerberos são baseadas no registo, estas políticas não são replicadas para controladores de domínio que não são PDC. Alterações de política Kerberos não são processadas ou actualizadas nos outros controladores de domínio.

Resolução

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentada, submeta um pedido para o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Microsoft Windows 2000 Service Pack 4

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas no formato de universal hora (UTC) coordenada Coordinated. Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário na ferramenta Data e hora no painel de controlo.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Como contornar

Para contornar este problema, crie uma nova base de dados de segurança, importar a política de segurança que pretende utilizar e, em seguida, aplicar essa política especificamente para cada controlador de domínio afectado. Este procedimento actualiza o registo local e altera as definições de permissões que foram emitidos pelo chave Distribution Center (KDC).

Segue-se um ficheiro de .inf de exemplo que descreve a política de Kerberos predefinida. Efectue as alterações são adequadas para o ambiente.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
para utilizar este modelo, siga estes passos:
  1. Guarde o modelo de exemplo num ficheiro. Nome ficheiro KerbPol.inf.
  2. Inicie a consola de gestão da Microsoft (MMC). Para o fazer, clique em Iniciar , clique em Executar , escreva MMC e, em seguida, clique em OK .
  3. Adicione o snap-in Análise e configuração da segurança. Para o fazer, siga estes passos:
    1. Clique em consola e, em seguida, clique em Adicionar/remover Snap-in .
    2. No separador autónomo , clique em Adicionar .
    3. Na lista de snap-ins autónomos disponíveis , clique em análise e configuração de segurança , clique em Adicionar e, em seguida, clique em Fechar .
    4. Na caixa de diálogo Adicionar/remover Snap-in , clique em OK .
  4. No painel vista em árvore, clique com o botão direito do rato em análise e configuração de segurança e, em seguida, clique em Abrir base de dados .
  5. Na caixa Nome do ficheiro , escreva KerbPol.sdb e, em seguida, clique em Abrir .
  6. Na caixa de diálogo Importar modelo , localize o ficheiro .inf que guardou no passo 1.
  7. Clique para seleccionar a caixa de verificação Limpar esta base de dados antes de importar e, em seguida, clique em Abrir .
  8. No painel de vista de árvore, clique com o botão direito do rato em análise e configuração de segurança e, em seguida, clique em Analisar computador agora .
  9. Na caixa de diálogo Executar a análise , clique em OK .
  10. Quando a análise estiver concluída, expanda o snap-in Análise e configuração da segurança , expanda Políticas de conta e, em seguida, clique em Política Kerberos . Certifique-se que as definições da coluna de Base de dados de definições estão correctas.
  11. No painel de vista de árvore, clique com o botão direito do rato em análise e configuração de segurança e, em seguida, clique em Configurar computador agora .
  12. Na caixa de diálogo Configurar o sistema , clique em OK .
  13. Reinicie o servidor.
O controlador de domínio está agora configurado com a nova política. Pode executar novamente a análise utilizando a base de dados que criou no passo 4. Quando concluir a análise, certifique-se que a coluna Definições efectivas corresponde à coluna de Definições de base de dados no snap-in Análise e configuração da segurança .

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Para obter informações adicionais, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
816915Novo esquema de atribuição de nomes de ficheiro para pacotes de actualização de software do Microsoft Windows do
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft

Propriedades

Artigo: 828692 - Última revisão: 26 de outubro de 2006 - Revisão: 2.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 828692

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com