Alterações de diretiva do Kerberos não são atualizadas nos controladores de domínio baseados no Windows 2000

Traduções deste artigo Traduções deste artigo
ID do artigo: 828692 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Quando você tenta alterar a senha e diretivas Kerberos na diretiva de segurança de domínio em um controlador de domínio em sua rede baseada no Microsoft Windows 2000, as alterações de diretiva do Kerberos são atualizadas no mestre de operações de domínio primário PDC (controlador) emulador, mas alterações de diretiva Kerberos não são atualizadas nos outros controladores de domínio na rede.

Causa

Esse problema ocorre se todas as seguintes condições forem verdadeiras:
  • Você instalou o Microsoft Windows 2000 Service Pack 4 nos controladores de domínio.
  • Você tem um ambiente de rede misto que inclui os computadores baseados no Microsoft Windows NT.
  • O controlador de domínio que você usou para alterar as diretivas Kerberos não é o mestre de operações de PDC.
Iniciando com o Windows 2000 Service Pack 4, todo o domínio conta e diretivas Kerberos são processadas somente pelo mestre de operações do emulador PDC. Essa alteração impede que a replicação do Active Directory desnecessária de diretivas de conta baseada em diretório.

Como as diretivas Kerberos são baseadas no registro, essas diretivas não são replicadas para controladores de domínio que não são PDCs. Alterações de diretiva Kerberos não são processadas ou atualizadas nos controladores de domínio.

Resolução

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibido, envie uma solicitação para suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site:
http://support.microsoft.com/contactus/?ws=support
Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Windows 2000 Service Pack 4

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na acordo hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

Como Contornar

Para contornar esse problema, criar um novo banco de dados de segurança, importar a diretiva de segurança que você deseja usar e, em seguida, aplicar esta política especificamente em cada controlador de domínio afetado. Este procedimento atualiza o registro local e altera as configurações de permissões que foram emitidas pelo Centro de distribuição de chaves (KDC).

A seguir está um arquivo .inf de exemplo que descreve a diretiva do Kerberos padrão. Faça as alterações são adequadas ao seu ambiente.
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
para usar este modelo, siga estas etapas:
  1. Salve o modelo de exemplo em um arquivo. O nome do arquivo KerbPol.inf.
  2. Inicie o console de gerenciamento Microsoft (MMC). Para fazer isso, clique em Iniciar , clique em Executar , digite MMC e, em seguida, clique em OK .
  3. Adicione o snap-in Configuração e análise de segurança. Para fazer isso, execute as seguintes etapas:
    1. Clique em console e, em seguida, clique em Adicionar/remover Snap-in .
    2. Na guia autônomo , clique em Adicionar .
    3. Na lista snap-ins autônomos disponíveis , clique em configuração e análise de segurança , clique em Adicionar e, em seguida, clique em Fechar .
    4. Na caixa de diálogo Adicionar/remover Snap-in , clique em OK .
  4. No painel de exibição em árvore, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Abrir banco de dados .
  5. Na caixa Nome do arquivo , digite KerbPol.sdb e em seguida, clique em Abrir .
  6. Na caixa de diálogo Importar modelo , localize o arquivo .inf que você salvou na etapa 1.
  7. Clique para selecionar a caixa de seleção Limpar banco de dados antes de importar e, em seguida, clique em Abrir .
  8. No painel de exibição em árvore, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Analisar computador agora .
  9. Na caixa de diálogo Perform Analysis , clique em OK .
  10. Quando a análise for concluída, expanda configuração e análise de segurança , expanda Diretivas de conta e, em seguida, clique em Diretiva do Kerberos . Verifique se as configurações de coluna Definições do banco de dados estão corretas.
  11. No painel de exibição em árvore, clique com o botão direito do mouse em Security Configuration and Analysis e, em seguida, clique em Configurar agora .
  12. Na caixa de diálogo Configure System , clique em OK .
  13. Reinicie o servidor.
O controlador de domínio agora é configurado com a nova diretiva. Você pode executar novamente a análise usando o banco de dados que você criou na etapa 4. Quando você concluir a análise, certifique-se que a coluna de Configurações em vigor coincide com a coluna de Definições do banco de dados de configuração e análise de segurança .

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
816915Novo esquema de nomeação de arquivo para pacotes de atualização de software do Microsoft Windows
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Propriedades

ID do artigo: 828692 - Última revisão: quinta-feira, 26 de outubro de 2006 - Revisão: 2.5
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
Palavras-chave: 
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 828692

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com