Kerberos 策略更改不会更新您在基于 Windows 2000 的域控制器上

文章翻译 文章翻译
文章编号: 828692 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

试图更改密码和域安全策略中基于 Microsoft Windows 2000 的网络中的域控制器上的 Kerberos 策略时 Kerberos 策略更改将更新主域控制器 (PDC) 仿真器操作主机,但 Kerberos 策略更改不会更新您的网络上其他域控制器上。

原因

如果满足下列所有条件都都为真,就会出现此问题:
  • 您已在域控制器上安装了 Microsoft Windows 2000 Service Pack 4。
  • 您具有混合的网络环境,包括基于 Microsoft Windows NT 的计算机。
  • 用于更改 Kerberos 策略的域控制器不是 PDC 操作主机。
从 Windows 2000 Service Pack 4 开始域范围的帐户和 Kerberos 策略处理只能由 PDC 模拟器操作主机。此更改可以防止不必要的 Active Directory 复制的基于目录的帐户策略。

因为 Kerberos 策略是基于注册表的这些策略不会复制到域控制器不是 pdc。 Kerberos 策略更改不会处理或在其他域控制器上更新。

解决方案

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

Microsoft Windows 2000 Service 4 Pack

重新启动要求

应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有文件属性 (或更高版本) 下表中列出。其格式为协调通用时间 (UTC) 列出日期和时间对这些文件。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

替代方法

要变通解决此问题,创建一个新的安全数据库导入所需的安全策略,然后将该策略应用于每个受影响的域控制器。此过程更新本地注册表,并将更改在已颁发密钥分发中心 (KDC) 在票证中的设置。

下面是描述默认 Kerberos 策略的一个示例.inf 文件。进行任何更改都适合于您的环境。
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
用于此模板,请按照下列步骤:
  1. 将示例模板保存到文件中。命名该文件 KerbPol.inf。
  2. 启动 Microsoft 管理控制台 (MMC)。若要执行此操作单击 开始、 单击 运行、 键入 MMC,然后单击 确定
  3. 添加安全配置和分析管理单元。若要这样做,请按照下列步骤操作:
    1. 单击 控制台,然后单击 添加/删除管理单元
    2. 独立 选项卡上单击 添加
    3. 可用的独立管理单元 列表中单击 $ 安全配置和分析,单击 添加,然后单击 关闭
    4. 添加/删除管理单元 对话框中单击 确定
  4. 在树视图窗格中右键单击 $ 安全配置和分析,然后单击 打开数据库
  5. 文件名 框中键入 KerbPol.sdb,然后单击 打开
  6. 导入模板 对话框中找到您在第 1 步中保存的.inf 文件。
  7. 单击以选中 导入之前清除这个数据库 复选框,然后单击 打开
  8. 在树视图窗格中右键单击 $ 安全配置和分析,然后单击 立即分析计算机
  9. 执行分析 对话框中单击 确定
  10. 完成,分析时,您可以展开 安全配置和分析,展开 帐户策略,,然后再单击 Kerberos 策略。请确保在 数据库设置 列设置正确无误。
  11. 在树视图窗格中右键单击 $ 安全配置和分析,然后单击 立即配置计算机
  12. 配置系统 对话框中单击 确定
  13. 重新启动服务器。
与新的策略现在配置域控制器。您可以通过使用您在步骤 4 中创建的数据库重新运行分析。您完成分析确保 有效设置 列与匹配在 安全配置和分析数据库设置 列。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。

更多信息

有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816915对于 Microsoft Windows 软件更新程序包的新文件命名架构
824684用于描述 Microsoft 软件更新的标准术语的说明

属性

文章编号: 828692 - 最后修改: 2006年10月26日 - 修订: 2.5
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
关键字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 828692
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com