Kerberos 原則變更不會更新您的 Windows 2000 網域控制站上

文章翻譯 文章翻譯
文章編號: 828692 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

當想變更密碼和您 Microsoft Windows 2000 為基礎的網路中的網域控制站上的 Kerberos 原則在網域安全性原則 Kerberos 原則變更會在主要網域控制站 (PDC) 模擬器操作主機上, 更新,但 Kerberos 原則變更不會更新您的網路上之其他網域控制站上。

發生的原因

如果下列情況成立,就會發生這個問題:
  • 您已經在網域控制站上安裝 Microsoft Windows 2000 服務套件 4年。
  • 您有混合式的網路環境,其中包含 Microsoft Windows NT 為基礎的電腦。
  • 您用來變更 Kerberos 原則的網域控制站不是 PDC 操作主機。
開始 Windows 2000 服務套件 4年全網域帳戶及 Kerberos 原則只由處理 PDC 模擬器操作主機。這項變更可防止不必要的 Active Directory 複寫的目錄帳戶原則。

因為 Kerberos 原則是登錄為基礎,這些原則不會複寫到網域控制站不是 PDC。 Kerberos 原則變更不會處理,或其他網域控制站上的更新。

解決方案

Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。只會發生此特定問題的系統套用此 Hotfix。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果沒有出現此區段,將要求提交到 Microsoft 客戶服務及支援],以取得該 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

Microsoft Windows 2000 Service Pack 4

重新啟動需求

套用此 Hotfix 之後,您必須重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代任何其他的 Hotfix。

檔案資訊

此 Hotfix 的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。

   Date         Time   Version            Size    File name
   --------------------------------------------------------------
   11-Sep-2003  18:10  5.0.2195.6748     124,688  Adsldp.dll       
   11-Sep-2003  18:10  5.0.2195.6748     132,368  Adsldpc.dll      
   11-Sep-2003  18:10  5.0.2195.6748      63,760  Adsmsext.dll     
   11-Sep-2003  18:10  5.0.2195.6815     381,712  Advapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6816      69,904  Browser.dll      
   11-Sep-2003  18:10  5.0.2195.6815     136,464  Dnsapi.dll       
   11-Sep-2003  18:10  5.0.2195.6780      96,528  Dnsrslvr.dll     
   11-Sep-2003  18:10  5.0.2195.6810      47,376  Eventlog.dll     
   11-Sep-2003  18:10  5.0.2195.6815     148,240  Kdcsvc.dll       
   18-Jun-2003  17:43  5.0.2195.6758     205,072  Kerberos.dll     
   26-Mar-2003  21:37  5.0.2195.6695      71,888  Ksecdd.sys
   01-Aug-2003  17:40  5.0.2195.6797     509,712  Lsasrv.dll       
   01-Aug-2003  17:40  5.0.2195.6797      33,552  Lsass.exe        
   17-Jul-2003  23:13  5.0.2195.6786     109,840  Msv1_0.dll       
   11-Sep-2003  18:10  5.0.2195.6601     311,568  Netapi32.dll     
   11-Sep-2003  18:10  5.0.2195.6791     361,232  Netlogon.dll     
   11-Sep-2003  18:10  5.0.2195.6817     931,600  Ntdsa.dll        
   11-Sep-2003  18:10  5.0.2195.6815     392,464  Samsrv.dll       
   11-Sep-2003  18:10  5.0.2195.6817     113,936  Scecli.dll       
   11-Sep-2003  18:10  5.0.2195.6817     259,856  Scesrv.dll       
   04-Sep-2003  17:06  5.0.2195.6801   5,232,128  Sp3res.dll       
   11-Sep-2003  18:10  5.0.2195.6601      51,472  W32time.dll      
   16-Aug-2002  13:32  5.0.2195.6601      57,104  W32tm.exe        
   11-Sep-2003  18:10  5.0.2195.6741     126,224  Wldap32.dll      

其他可行方案

如果要解決這個問題,建立新的安全性資料庫]、 匯入您想要使用,安全性原則,再將原則套用至每個受影響的網域控制站特別]。此程序會更新本機登錄,並變更已發給金鑰發行中心 (KDC) 的票證中設定。

下列是範例.inf 檔案,描述預設 Kerberos 原則。進行任何變更將會適用於您的環境。
; (c) Microsoft Corporation 1997-2000
;
; Security Configuration Template for Security Configuration Editor
;
; Template Name:    KerbPol.INF
;
; Contains Default Policy Settings for Windows NT 5.0 Domain Controller.
; This template is NOT used by SCE during setup
; This template is applied via GP during Winlogon for the first DC in a Tree
; This template should NOT be used on Workstations or Servers.

; Please DO NOT EDIT version section.
;
[version]
signature="$CHICAGO$"
revision=1
DriverVer=11/14/1999,5.00.2183.1

[Kerberos Policy]
; in hours
MaxTicketAge=10
; in days
MaxRenewAge=7
; in minutes
MaxServiceAge=600
; in minutes
MaxClockSkew=5
; enforce user logon restrictions = yes
TicketValidateClient=1
請使用此範本請依照下列步驟執行:
  1. 將範例範本儲存到檔案。名稱檔案 KerbPol.inf。
  2. 啟動 Microsoft 管理主控台 (MMC)。如果要執行這項操作,請按一下 [開始],按一下 [執行]、 鍵入 MMC,然後再按一下 [確定]]。
  3. 新增 [安全性設定及分析 」 嵌入式管理單元。要這麼做,請您執行下列步驟:
    1. 按一下 [主控台,然後再按一下 [新增/移除嵌入式管理單元
    2. 在 [獨立] 索引標籤上按一下 [新增]。
    3. 可用的獨立嵌入式管理單元] 清單按一下 [安全性設定及分析]、 按一下 [新增],然後按一下 [關閉]。
    4. 在 [新增/移除嵌入式管理單元] 對話方塊] 方塊中,按一下 [確定]
  4. 在樹狀檢視] 窗格中,安全性設定及分析 上, 按一下滑鼠右鍵,然後按一下 [開啟資料庫
  5. 檔案名稱] 方塊中輸入 KerbPol.sdb,然後按一下 [開啟舊檔]。
  6. 在 [匯入範本] 對話方塊,找到您在步驟 1 中所儲存之.inf 檔。
  7. 按一下以選取 [匯入前清除這個資料庫] 核取方塊,然後按一下 [開啟舊檔]。
  8. 在樹狀檢視] 窗格中,安全性設定及分析 上, 按一下滑鼠右鍵,然後按一下 [立即分析電腦
  9. 執行分析] 對話方塊中,按一下 [確定]
  10. 在分析完成時展開 [安全性設定及分析],展開 [帳戶原則],然後再按一下 [Kerberos 原則。請確定 [資料庫設定] 資料行中的設定是正確的。
  11. 在樹狀檢視] 窗格中,安全性設定及分析 上, 按一下滑鼠右鍵,然後按一下 [立即設定電腦
  12. 設定系統] 對話方塊中,按一下 [確定]
  13. 重新啟動伺服器。
網域控制站現在被設定與新的原則。您可以藉由使用您在步驟 4 中建立的資料庫重新執行分析。當您完成 [分析時請確定 [起算的設定值] 欄位符合中 安全性設定及分析資料庫設定 資料行。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。

其他相關資訊

如需詳細資訊按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中發行項]:
816915新檔案命名結構描述] 的 Microsoft Windows 軟體更新套件
824684用來描述 Microsoft 軟體更新標準術語的說明

屬性

文章編號: 828692 - 上次校閱: 2006年10月26日 - 版次: 2.5
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Server SP4
關鍵字:?
kbmt kbautohotfix kbhotfixserver kbqfe kbbug kbfix kbqfe kbwin2000presp5fix KB828692 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:828692
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com