Iniciar Sess�o

Select the product you need help with

Altera��es de diretiva do Kerberos n�o s�o atualizadas nos controladores de dom�nio baseados no Windows 2000

ID do artigo: 828692 - Exibir os produtos aos quais esse artigo se aplica.

Download do Hotfix Dispon�vel

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Expandir tudo | Recolher tudo

Quando voc� tenta alterar a senha e diretivas Kerberos na diretiva de seguran�a de dom�nio em um controlador de dom�nio em sua rede baseada no Microsoft Windows 2000, as altera��es de diretiva do Kerberos s�o atualizadas no mestre de opera��es de dom�nio prim�rio PDC (controlador) emulador, mas altera��es de diretiva Kerberos n�o s�o atualizadas nos outros controladores de dom�nio na rede.

Voltar para o in�cio | Submeter coment�rios

Causa

Esse problema ocorre se todas as seguintes condi��es forem verdadeiras:

Voc� instalou o Microsoft Windows 2000 Service Pack 4 nos controladores de dom�nio.
Voc� tem um ambiente de rede misto que inclui os computadores baseados no Microsoft Windows NT.
O controlador de dom�nio que voc� usou para alterar as diretivas Kerberos n�o � o mestre de opera��es de PDC.

Iniciando com o Windows 2000 Service Pack 4, todo o dom�nio conta e diretivas Kerberos s�o processadas somente pelo mestre de opera��es do emulador PDC. Essa altera��o impede que a replica��o do Active Directory desnecess�ria de diretivas de conta baseada em diret�rio.

Como as diretivas Kerberos s�o baseadas no registro, essas diretivas n�o s�o replicadas para controladores de dom�nio que n�o s�o PDCs. Altera��es de diretiva Kerberos n�o s�o processadas ou atualizadas nos controladores de dom�nio.

Voltar para o in�cio | Submeter coment�rios

Resolu��o

Informa��es sobre o hotfix

Um hotfix suportado est� dispon�vel no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema espec�fico.

Se o hotfix est� dispon�vel para download, h� uma se��o "Download de Hotfix dispon�vel" na parte superior neste artigo da Base de dados de Conhecimento. Se esta se��o n�o for exibido, envie uma solicita��o para suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observa��o Se ocorrerem problemas adicionais ou se qualquer solu��o de problemas � necess�ria, talvez voc� precise criar uma solicita��o de servi�o separada. Os custos normais de suporte ser�o aplicados a quest�es de suporte adicionais e problemas que n�o se qualificam para esse hotfix espec�fico. Para obter uma lista completa de n�meros de telefone de suporte e Atendimento Microsoft ou para criar uma solicita��o de servi�o separada, visite o seguinte site:

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

Observa��o O formul�rio "Download de Hotfix dispon�vel" exibe os idiomas para os quais o hotfix est� dispon�vel. Se voc� n�o vir seu idioma, � porque um hotfix n�o est� dispon�vel para esse idioma.

Pr�-requisitos

Windows 2000 Service Pack 4

Requisitos de reinicializa��o

Reinicie o computador ap�s aplicar esse hotfix.

Informa��es sobre a substitui��o do hotfix

Esse hotfix n�o substitui outros hotfixes.

Informa��es sobre o arquivo

A vers�o em ingl�s deste hotfix apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos s�o listadas na acordo hora universal coordenada (UTC). Quando voc� exibe as informa��es do arquivo, ele � convertido para a hora local. Para encontrar a diferen�a entre o UTC e a hora local, use a guia fuso hor�rio na ferramenta Data e hora no painel de controle.

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll

Voltar para o in�cio | Submeter coment�rios

Como Contornar

Para contornar esse problema, criar um novo banco de dados de seguran�a, importar a diretiva de seguran�a que voc� deseja usar e, em seguida, aplicar esta pol�tica especificamente em cada controlador de dom�nio afetado. Este procedimento atualiza o registro local e altera as configura��es de permiss�es que foram emitidas pelo Centro de distribui��o de chaves (KDC).

A seguir est� um arquivo .inf de exemplo que descreve a diretiva do Kerberos padr�o. Fa�a as altera��es s�o adequadas ao seu ambiente.

; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1

para usar este modelo, siga estas etapas:

Salve o modelo de exemplo em um arquivo. O nome do arquivo KerbPol.inf.
Inicie o console de gerenciamento Microsoft (MMC). Para fazer isso, clique em Iniciar , clique em Executar , digite MMC e, em seguida, clique em OK .
Adicione o snap-in Configura��o e an�lise de seguran�a. Para fazer isso, execute as seguintes etapas:
1. Clique em console e, em seguida, clique em Adicionar/remover Snap-in .
2. Na guia aut�nomo , clique em Adicionar .
3. Na lista snap-ins aut�nomos dispon�veis , clique em configura��o e an�lise de seguran�a , clique em Adicionar e, em seguida, clique em Fechar .
4. Na caixa de di�logo Adicionar/remover Snap-in , clique em OK .
No painel de exibi��o em �rvore, clique com o bot�o direito do mouse em Security Configuration and Analysis e, em seguida, clique em Abrir banco de dados .
Na caixa Nome do arquivo , digite KerbPol.sdb e em seguida, clique em Abrir .
Na caixa de di�logo Importar modelo , localize o arquivo .inf que voc� salvou na etapa 1.
Clique para selecionar a caixa de sele��o Limpar banco de dados antes de importar e, em seguida, clique em Abrir .
No painel de exibi��o em �rvore, clique com o bot�o direito do mouse em Security Configuration and Analysis e, em seguida, clique em Analisar computador agora .
Na caixa de di�logo Perform Analysis , clique em OK .
Quando a an�lise for conclu�da, expanda configura��o e an�lise de seguran�a , expanda Diretivas de conta e, em seguida, clique em Diretiva do Kerberos . Verifique se as configura��es de coluna Defini��es do banco de dados est�o corretas.
No painel de exibi��o em �rvore, clique com o bot�o direito do mouse em Security Configuration and Analysis e, em seguida, clique em Configurar agora .
Na caixa de di�logo Configure System , clique em OK .
Reinicie o servidor.

O controlador de dom�nio agora � configurado com a nova diretiva. Voc� pode executar novamente a an�lise usando o banco de dados que voc� criou na etapa 4. Quando voc� concluir a an�lise, certifique-se que a coluna de Configura��es em vigor coincide com a coluna de Defini��es do banco de dados de configura��o e an�lise de seguran�a .

Voltar para o in�cio | Submeter coment�rios

Situa��o

A Microsoft confirmou que este � um problema nos produtos da Microsoft listados na se��o "Aplica-se a".

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

Para obter informa��es adicionais, clique nos n�meros abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

816915

(http://support.microsoft.com/kb/816915/ )

Novo esquema de nomea��o de arquivo para pacotes de atualiza��o de software do Microsoft Windows

824684

(http://support.microsoft.com/kb/824684/ )

Descri��o da terminologia padr�o que � usada para descrever as atualiza��es de software

Voltar para o in�cio | Submeter coment�rios

Propriedades

ID do artigo: 828692 - �ltima revis�o: quinta-feira, 26 de outubro de 2006 - Revis�o: 2.5

A informa��o contida neste artigo aplica-se a:

Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Server SP4

kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtpt

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 828692

(http://support.microsoft.com/kb/828692/en-us/ )

Voltar para o in�cio | Submeter coment�rios