Gruppenrichtlinieneinstellungen werden nicht angewendet, wenn ein Benutzer in einem externen Kerberos-Realm zu Windows XP Professional oder Windows 2000 Professional-basierten Computer in einer untergeordneten Domäne anmeldet

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 892090 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Ein Benutzer in einer externen Kerberos Realm Protokolle auf einem Windows XP Professional-Computer oder einem Windows 2000 Professional-Computer in einer untergeordneten Domäne. Gruppenrichtlinieneinstellungen von Windows Server 2003-Domänencontroller in der übergeordneten Domäne werden nicht angewendet.

Ursache

Dieses Problem tritt aufgrund der erhöhten Sicherheit in Microsoft Windows Server 2003.

Lösung

Dies ist ein clientseitiges Update. Um dieses Problem zu beheben müssen, Sie zumindest den Hotfix auf allen Clientcomputern in der untergeordneten Domäne installieren. Sie müssen den Hotfix auf folgenden Computern anwenden:
  • Windows Server 2003-basierten Clients in der untergeordneten Domäne
  • Windows XP-basierten Clients in der untergeordneten Domäne
  • Windows 2000 Professional-Clients in der untergeordneten Domäne
Wenn alle eines der Windows 2000-basierten oder Windows 2003-Servern oder Domänencontrollern clientseitige Authentifizierungsanforderungen für externe Kerberos Realm Konten durchführen, sollte der Hotfix auch auf diesen Computern installiert werden.

Hinweis: Dieses Problem gilt nicht nur an untergeordnete Domänen. Dieses Problem kann auftreten, über andere transitive Vertrauensstellungen. Beispielsweise kann das Problem in einer Domäne in einer anderen Struktur auftreten, wenn eine vertrauende Domäne in derselben Gesamtstruktur externen Kerberos-Realm vertraut.

Windows Server 2003 Service Pack-Informationen

Installieren Sie das neueste Servicepack für Windows Server 2003, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
889100So erhalten Sie das neueste Servicepack für Windows Server 2003

Windows Server 2003 Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Es gelten keine Voraussetzungen.

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie den Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln verwenden Sie die Registerkarte Zeitzone des Tools ? Datum und Uhrzeit in der Systemsteuerung.
Windows Server 2003, X 64-basierte Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP-AnforderungServicebereich
Kerberos.dll5.2.3790.2452716,80025-Mai 200518: 18X 64SP1Nicht zutreffend
Secur32.dll5.2.3790.2452122,88025-Mai 200518: 18X 64SP1Nicht zutreffend
Wldap32.dll5.2.3790.2452399,36025-Mai 200518: 18X 64SP1Nicht zutreffend
Wkerberos.dll5.2.3790.2452349,18425-Mai 200518: 18X 86SP1WOW
Wsecur32.dll5.2.3790.245266,56025-Mai 200518: 18X 86SP1WOW
Wwldap32.dll5.2.3790.2452178,68825-Mai 200518: 18X 86SP1WOW
Windows Server 2003, Enterprise Edition für Itanium-basierte Systeme
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP-AnforderungServicebereich
Kerberos.dll5.2.3790.335902,65625-Mai 200504: 49IA-64KeinerRTMQFE
Secur32.dll5.2.3790.335171,00825-Mai 200504: 49IA-64KeinerRTMQFE
Wldap32.dll5.2.3790.335426,49625-Mai 200504: 49IA-64KeinerRTMQFE
Wkerberos.dll5.2.3790.335342,01625-Mai 200504: 49X 86KeinerWOW
Wsecur32.dll5.2.3790.33559,39225-Mai 200504: 49X 86KeinerWOW
Wwldap32.dll5.2.3790.335162,30425-Mai 200504: 49X 86KeinerWOW
Kerberos.dll5.2.3790.2452957,95225-Mai 200504: 49IA-64SP1SP1QFE
Secur32.dll5.2.3790.2452190,97625-Mai 200504: 49IA-64SP1SP1QFE
Wldap32.dll5.2.3790.2452453,12025-Mai 200504: 49IA-64SP1SP1QFE
Wkerberos.dll5.2.3790.2452349,18425-Mai 200504: 49X 86SP1WOW
Wsecur32.dll5.2.3790.245266,56025-Mai 200504: 49X 86SP1WOW
Wwldap32.dll5.2.3790.2452178,68825-Mai 200504: 49X 86SP1WOW
Windows Server 2003, 32-Bit-Versionen
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP-AnforderungServicebereich
Kerberos.dll5.2.3790.335342,01625-Mai 200516: 48X 86KeinerRTMQFE
Secur32.dll5.2.3790.33564,51225-Mai 200516: 48X 86KeinerRTMQFE
Wldap32.dll5.2.3790.335162,30425-Mai 200516: 48X 86KeinerRTMQFE
Kerberos.dll5.2.3790.2452349,18425-Mai 200516: 54X 86SP1SP1QFE
Secur32.dll5.2.3790.245265.53625-Mai 200516: 54X 86SP1SP1QFE
Wldap32.dll5.2.3790.2452178,68825-Mai 200516: 54X 86SP1SP1QFE

Windows XP Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Windows XP Service Pack 2 (SP2)

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie den Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln verwenden Sie die Registerkarte Zeitzone des Tools ? Datum und Uhrzeit in der Systemsteuerung.
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattformSP-AnforderungServicebereich
Kerberos.dll5.1.2600.2676295,93613-Mai 200517: 10X 86SP2SP2QFE
Wldap32.dll5.1.2600.2676172,03213-Mai 200517: 10X 86SP2SP2QFE

Windows 2000 Professional-Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, senden Sie eine Anfrage an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Windows 2000 Service Pack 4 (SP4)

Neustartanforderung

Sie müssen den Computer neu starten, nachdem Sie den Hotfix installiert haben.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Um die Differenz zwischen UTC und der Ortszeit zu ermitteln verwenden Sie die Registerkarte Zeitzone des Tools ? Datum und Uhrzeit in der Systemsteuerung.
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeitPlattform
Adsldp.dll5.0.2195.6613125,71219-Jun-200307: 35X 86
Adsldpc.dll5.0.2195.6701133,90419-Jun-200307: 35X 86
Adsmsext.dll5.0.2195.666762,73619-Jun-200307: 35X 86
"Advapi32.dll"5.0.2195.6876388,36823-Mär-200413: 47X 86
Browser.dll5.0.2195.686669,90423-Mär-200413: 47X 86
Dnsapi.dll5.0.2195.6824134,92823-Mär-200413: 47X 86
Dnsrslvr.dll5.0.2195.687692,43223-Mär-200413: 47X 86
EventLog.dll5.0.2195.688347,88823-Mär-200413: 47X 86
Kdcsvc.dll5.0.2195.6890143,63223-Mär-200413: 47X 86
Kerberos.dll5.0.2195.7049207,12012-Mai 200501: 20X 86
Ksecdd.sys5.0.2195.682471,88820-Sep-200312: 02X 86
Lsasrv.dll5.0.2195.6987513,29615-Okt-200405: 46X 86
"Lsass.exe"5.0.2195.690233,55225-Feb-200411: 29X 86
Msv1_0.dll5.0.2195.6897123,15210-Mär-200414: 07X 86
Netapi32.dll5.0.2195.6949309,00810-Jun-200404: 28X 86
Netlogon.dll5.0.2195.6891371,47223-Mär-200413: 47X 86
NTDSA.dll5.0.2195.68961,028,88023-Mär-200413: 47X 86
Samsrv.dll5.0.2195.6897388,36823-Mär-200413: 47X 86
SceCli.dll5.0.2195.6893111,37623-Mär-200413: 47X 86
Scesrv.dll5.0.2195.6903253,20023-Mär-200413: 47X 86
Sp3res.dll5.0.2195.70406,309,37620-Apr-200521: 37X 86
W32Time.dll5.0.2195.682450,96023-Mär-200413: 47X 86
W32tm.exe5.0.2195.682457,10420-Sep-200312: 02X 86
Wldap32.dll5.0.2195.7049127,24812-Mai 200518: 28X 86

Abhilfe

Wenden Sie eines der folgenden Verfahren an, um dieses Problem zu umgehen:
  • Übereinstimmen Sie die Kennwörter für den externen Benutzerkonto und dem aktuell zugeordneten Windows-Benutzerkonto in der übergeordneten Domäne.
  • Ordnen Sie das externe Kerberos Realm-Benutzerkonto ein Konto in der untergeordneten Domäne.

Status

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals im Microsoft Windows Server 2003 Service Pack 2.

Weitere Informationen

Dieses Problem tritt nach der folgende Sequenz von Ereignissen ein:
  1. Der Kerberos-Client fragt externe Bereichsnamen, um das Domänencontrollerkonto erhalten.
  2. Der externe Bereich hat das Domänencontrollerkonto Computer von der übergeordneten Domäne keinen. Daher gibt eine Antwort von "Unbekannte Prinzipal" zurück der externe Bereich
  3. Der Kerberos-Client fragt die untergeordneten Domäne das Domänencontrollerkonto erhalten.
  4. Die untergeordnete Domäne stellt ein Cross-Realm Ticket Granting Ticket (TGT). Da das ursprüngliche TGT von externen Realm keine Berechtigungen Attribute Certificate (PAC) enthalten ist, erstellt die untergeordneten Domäne eine neue PAC. Diese neue PAC enthält übergeordnete Domäne Gruppen, die der Benutzer angehört.
  5. Der Kerberos-Client folgt den Verweis auf die übergeordnete Domäne. Wenn die übergeordneten Domäne ein Cross-Realm TGT, die einen PAC mit Sicherheitskennungen (SIDs) aus der eigenen Domäne enthält erhält, lehnt die übergeordneten Domäne das TGT.
Sicherheitsfunktionen der Windows Server 2003 sicher, dass SIDs von einem Schlüsselverteilungscenter (KDC) in einem vertrauenswürdigen Bereich sind nicht in der PACs von einem anderen Bereich enthalten. Dieses Verhalten verhindert, dass KDCs erhalten erhöhte Rechte in einem Bereich, den die KDCs nicht verwalten werden.

Mit diesem Hotfix können der Clientcomputer den Vertrauenspfad erfolgreich aushandeln. Die Clientcomputer vermeiden die Situation ein Windows Server 2003-KDC mit einen PAC angezeigt wird, die SIDs aus der Windows Server 2003-Bereich enthält.

Windows 2000 Server verfügen nicht über diese zusätzlichen SID-Filterung Funktion. Daher tritt dieses Problem nicht in einer Windows 2000 Server-basierten Domäne.

Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
824684Erläuterung von Standardbegriffen bei Microsoft Softwareupdates

Technischer Support für x 64-basierten Versionen von Microsoft Windows

Ihr Hardwarehersteller bietet technischen Support und Unterstützung für x 64-basierten Versionen von Windows. Ihr Hardwarehersteller bietet Support, da eine X 64-basierten Version von Windows zusammen mit Ihrer Hardware geliefert wurde. Hardwarehersteller möglicherweise hat die Installation von Windows durch einzelne Komponenten verändert. Eindeutige Komponenten gehören bestimmte Gerätetreiber oder gehören optionale Einstellungen, um die Leistung der Hardware zu optimieren. Wenn Sie technische Hilfe mit der X 64-basierten Version von Windows benötigen, wird Microsoft Unterstützung in angemessenem bietet. Allerdings müssen Sie möglicherweise den Hersteller direkt. Der Hersteller ist am besten ihm, um die Software zu unterstützen, die der Hersteller der Hardware installiert.

Weitere Informationen zu Microsoft Windows XP Professional X 64 Edition die folgende Microsoft-Website:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Weitere Informationen zu x 64-basierten Versionen von Microsoft Windows Server 2003 die folgende Microsoft-Website:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

Eigenschaften

Artikel-ID: 892090 - Geändert am: Donnerstag, 11. Oktober 2007 - Version: 4.4
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbfix kbpubtypekc KB892090 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 892090
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com