若要基于 Windows XP 专业版或子域中的基于 Windows 2000 Professional 的计算机,一个外部的 Kerberos 领域中的用户登录时,不会应用组策略设置

文章翻译 文章翻译
文章编号: 892090 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

一个外部的 Kerberos 领域中的用户登录到基于 Microsoft Windows XP 专业人员的计算机或一个子域中的基于 Microsoft Windows 2000 Professional 的计算机。从父域中的基于 Microsoft Windows Server 2003 的域控制器的组策略设置不会应用。

原因

出现此问题是由于在 Microsoft Windows Server 2003 中的增强安全性。

解决方案

这是客户端的修复程序。若要解决此问题,您必须一个至少安装此修补程序在子域中的所有客户端计算机上。必须将该修补程序应用于下列计算机:
  • Windows 在子域中的基于 Server 2003 的客户端
  • Windows XP 专业基于在子域中的客户端
  • 基于 Windows 2000 专业版的子域中的客户端
如果任何一种基于 Windows 2000 的或基于 Windows Server 2003 的服务器或域控制器的 Kerberos 领域的外部帐户执行的客户端的身份验证请求,该修补程序还应安装在这些计算机上。

注意此问题不只是应用于子域。跨其他可传递信任关系可能会发生此问题。例如对于问题可以发生在不同的树中的域中,如果在同一个目录林中的信任域信任是外部的 Kerberos 领域。

Windows Server 2003 服务包信息

若要解决此问题,获得最新的 service pack,Windows Server 2003 的。有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
889100如何获取最新的 service pack,Windows Server 2003 的

Windows Server 2003 修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

需要任何先决条件不。

重新启动要求

在应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
Windows Server 2003,基于 x x64 版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Kerberos.dll5.2.3790.2452716,8002005 年五月 25 日18: 18x64sp1不适用
Secur32.dll5.2.3790.2452122,8802005 年五月 25 日18: 18x64sp1不适用
Wldap32.dll5.2.3790.2452399,3602005 年五月 25 日18: 18x64sp1不适用
Wkerberos.dll5.2.3790.2452349,1842005 年五月 25 日18: 18x86sp1
Wsecur32.dll5.2.3790.245266,5602005 年五月 25 日18: 18x86sp1
Wwldap32.dll5.2.3790.2452178,6882005 年五月 25 日18: 18x86sp1
对于基于 Itanium 的系统的 Windows Server 2003,企业版
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Kerberos.dll5.2.3790.335902,6562005 年五月 25 日04: 49IA 64RTMQFE
Secur32.dll5.2.3790.335171,0082005 年五月 25 日04: 49IA 64RTMQFE
Wldap32.dll5.2.3790.335426,4962005 年五月 25 日04: 49IA 64RTMQFE
Wkerberos.dll5.2.3790.335342,0162005 年五月 25 日04: 49x86
Wsecur32.dll5.2.3790.33559,3922005 年五月 25 日04: 49x86
Wwldap32.dll5.2.3790.335162,3042005 年五月 25 日04: 49x86
Kerberos.dll5.2.3790.2452957,9522005 年五月 25 日04: 49IA 64sp1sp1qfe
Secur32.dll5.2.3790.2452190,9762005 年五月 25 日04: 49IA 64sp1sp1qfe
Wldap32.dll5.2.3790.2452453,1202005 年五月 25 日04: 49IA 64sp1sp1qfe
Wkerberos.dll5.2.3790.2452349,1842005 年五月 25 日04: 49x86sp1
Wsecur32.dll5.2.3790.245266,5602005 年五月 25 日04: 49x86sp1
Wwldap32.dll5.2.3790.2452178,6882005 年五月 25 日04: 49x86sp1
Windows Server 2003,32 位版本
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Kerberos.dll5.2.3790.335342,0162005 年五月 25 日16: 48x86RTMQFE
Secur32.dll5.2.3790.33564,5122005 年五月 25 日16: 48x86RTMQFE
Wldap32.dll5.2.3790.335162,3042005 年五月 25 日16: 48x86RTMQFE
Kerberos.dll5.2.3790.2452349,1842005 年五月 25 日16: 54x86sp1sp1qfe
Secur32.dll5.2.3790.245265,5362005 年五月 25 日16: 54x86sp1sp1qfe
Wldap32.dll5.2.3790.2452178,6882005 年五月 25 日16: 54x86sp1sp1qfe

Windows XP 专业修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

Windows XP Service Pack 2 (SP2)

重新启动要求

在应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台SP 要求服务分支
Kerberos.dll5.1.2600.2676295,9362005 年五月 13 日17: 10x86sp2sp2qfe
Wldap32.dll5.1.2600.2676172,0322005 年五月 13 日17: 10x86sp2sp2qfe

Windows 2000 专业版修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现这一特定问题的系统。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果未出现本部分,将申请提交到 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:
http://support.microsoft.com/contactus/?ws=support
注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

Windows 2000 Service Pack 4 (SP4)

重新启动要求

在应用此修补程序后,您必须重新启动计算机。

修补程序替换信息

此修补程序不替代任何其他修补程序。

文件信息

此修补程序的英文版具有的文件属性 (或更新的文件属性) 在下表中列出。日期和时间对这些文件列出在协调世界时 (UTC)。当您查看文件信息时,将转换为本地时间。若要 UTC 与本地时间之间的时差使用控制面板中的日期和时间工具中的 时区 选项卡。
收起该表格展开该表格
文件的名称文件版本文件大小日期时间平台
Adsldp.dll5.0.2195.6613125,7122003 年六月 19 日07: 35x86
Adsldpc.dll5.0.2195.6701133,9042003 年六月 19 日07: 35x86
Adsmsext.dll5.0.2195.666762,7362003 年六月 19 日07: 35x86
Advapi32.dll5.0.2195.6876388,3682004 年三月 23 日13: 47x86
Browser.dll5.0.2195.686669,9042004 年三月 23 日13: 47x86
Dnsapi.dll5.0.2195.6824134,9282004 年三月 23 日13: 47x86
Dnsrslvr.dll5.0.2195.687692,4322004 年三月 23 日13: 47x86
Eventlog.dll5.0.2195.688347,8882004 年三月 23 日13: 47x86
Kdcsvc.dll5.0.2195.6890143,6322004 年三月 23 日13: 47x86
Kerberos.dll5.0.2195.7049207,1202005 年五月 12 日01: 20x86
Ksecdd.sys5.0.2195.682471,8882003 年九月 20 日12: 02x86
Lsasrv.dll5.0.2195.6987513,2962004 年十月 15 日05: 46x86
Lsass.exe5.0.2195.690233,5522004 年二月 25 日11: 29x86
Msv1_0.dll5.0.2195.6897123,1522004 年三月 10 日14: 07x86
Netapi32.dll5.0.2195.6949309,0082004 年六月 10 日04: 28x86
Netlogon.dll5.0.2195.6891371,4722004 年三月 23 日13: 47x86
Ntdsa.dll5.0.2195.68961,028,8802004 年三月 23 日13: 47x86
Samsrv.dll5.0.2195.6897388,3682004 年三月 23 日13: 47x86
Scecli.dll5.0.2195.6893111,3762004 年三月 23 日13: 47x86
Scesrv.dll5.0.2195.6903253,2002004 年三月 23 日13: 47x86
Sp3res.dll5.0.2195.70406,309,3762005 年四月 20 日21: 37x86
W32time.dll5.0.2195.682450,9602004 年三月 23 日13: 47x86
W32tm.exe5.0.2195.682457,1042003 年九月 20 日12: 02x86
Wldap32.dll5.0.2195.7049127,2482005 年五月 12 日18: 28x86

替代方法

要变通解决此问题,请使用下列方法之一:
  • 与外部的用户帐户和父域中当前映射的 Windows 用户帐户的密码相匹配。
  • 将外部的 Kerberos 领域用户帐户映射到子域中的帐户。

状态

Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。 在 Microsoft Windows Server 2003 Service Pack 2 中,第一次已得到纠正此问题。

更多信息

下面的事件序列后,就会发生此问题:
  1. Kerberos 客户端查询以获得域控制器帐户外部的领域。
  2. 外部领域不具有从父域的域控制器的计算机帐户。因此,外部领域返回响应"未知主体。
  3. Kerberos 客户端查询以获得域控制器帐户的子域。
  4. 子域发出一个十字形领域票证授予票证 (TGT)。因为原始从外部领域 TGT 不包含特权属性证书 (PAC),子域创建新 PAC.此新 PAC 包含用户所属的父域组。
  5. Kerberos 客户端遵循检索到父域。父域到父域接收包含包含来自其自身域的安全标识符 (sid) 的 PAC 跨领域 TGT 时, 拒绝该 TGT.
Windows Server 2003 安全功能验证 sid 从密钥发行中心 (KDC) 中受信任域中不包含从另一领域 pac。此行为有助于防止 KDCs 获取该 KDCs 不维护一个领域中的更高的权限。

使用此修补程序,客户端计算机可以成功地协商的信任路径。 客户端计算机避免这种情况,包括从 Windows Server 2003 领域的 sid PAC 位置提供 Windows Server 2003 KDC。

Windows 2000 Server 不具有此附加的 SID 筛选功能。因此,在基于 Windows 2000 Server 的域中不会发生此问题。

有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

x 基于 x64 的 Windows 版本的 Microsoft 的技术支持

技术支持和帮助的 x 基于 x64 的 Windows 版本,提供了与硬件制造商联系。硬件制造商提供的支持,因为是 x 基于 x64 的版本的 Windows 所包含的您的硬件。与硬件制造商联系,可能有自定义 Windows 安装与唯一的组件。独特组件可能包括特定设备驱动程序,或者可能包括以最大限度地提高硬件的性能的可选设置。如果您需要与您 x 基于 x64 的 Windows 版本的技术帮助,Microsoft 将提供合理工作量协助。但是,您可能必须直接与制造商联系。您的制造商是最佳限定来支持您的制造商在硬件上安装的软件。

有关 Microsoft Windows XP 专业 x64 版的产品信息请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsxp/64bit/default.mspx
产品 x 的 Microsoft Windows Server 2003 的基于 x64 的版本有关的信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/windowsserver2003/64bit/x64/editions.mspx

属性

文章编号: 892090 - 最后修改: 2007年10月11日 - 修订: 4.4
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Professional Edition
关键字:?
kbmt kbautohotfix kbwinserv2003sp2fix kbqfe kbhotfixserver kbbug kbfix kbpubtypekc KB892090 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 892090
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com