Kerberos-Authentifizierung ist im Sicherheitskontext LocalSystem nicht erfolgreich, wenn das Computerkontokennwort auf einem Computer, auf denen Windows Server 2003 ausgeführt wird, zuletzt geändert hat

Stellen Sie sich das folgende Szenario vor. Auf einem Microsoft Windows Server 2003-Computer hat das Kennwort des Computerkontos vor kurzem geändert. Dieser Computer stellt eine Kerberos Ticket-genehmigendes Ticket (TGT) Anforderung für ein lokales Programm, das im Sicherheitskontext LocalSystem ausgeführt wird. In diesem Szenario der Domänencontroller die TGT-Anforderung Dienste gibt einen 0 x 18 Kerberos-Vorauthentifizierung Fehler zurück, und die Authentifizierung ist fehlgeschlagen.

Dieses Problem tritt nicht auf, wenn das Programm im Sicherheitskontext eines Benutzerkontos für Kerberos-Authentifizierung ausgeführt wird.

Dieses Problem tritt, wenn das Kennwort des Computerkontos auf dem Kerberos-Client, der die TGT-Anforderung sendet neuer als das Kennwort auf dem Domänencontroller ist.

Wenn eine Änderung an das Kennwort des Computerkontos auf dem betreffenden Domänencontroller nicht aktualisiert wird, ist die Kerberos-Authentifizierung nicht erfolgreich für Programme, die in dem Konto LocalSystem ausgeführt. Der primäre Domänencontroller (PDC) wird in Windows 2000 mit Service Pack 3 starten, nicht sofort nach einer Änderung auf das Computerkonto aktualisiert. Wenn der Domänencontroller den PDC, fordern Sie aktualisierte Kennwort für das Computerkonto kontaktiert, ist daher die Anforderung nicht erfolgreich. Wenn der Kerberos-Client im Sicherheitskontext eines Benutzerkontos ausgeführt wird, der Kerberos-Client verwendet das ältere Kennwort, um eine zweite TGT-Anforderung senden und die TGT-Anforderung erfolgreich ist. Jedoch, wenn der Kerberos-Client in dem lokalen Systemkonto ausgeführt wird, ist der OldPassword-Wert nicht verfügbar. Daher die zweite Anforderung wird nicht gesendet, und Kerberos-Authentifizierung ist fehlgeschlagen.

Hinweis: Der SMTP-Dienst in Microsoft Exchange Server 2003 ist ein Programm, das in dem lokalen Systemkonto ausgeführt wird.

Informationen zu Service Packs

Installieren Sie das neueste Servicepack für Windows Server 2003, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Hotfix-Informationen

Es ist ein unterstützter Hotfix von Microsoft erhältlich. Der Hotfix ist jedoch nur die Behebung des Problems die in diesem Artikel beschriebene vorgesehen. Installieren Sie diesen Hotfix nur auf Systemen, bei die dieses spezielle Problem auftritt. Dieser Hotfix kann einem späteren Zeitpunkt zusätzliche Tests unterzogen. Wenn durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfiehlt Microsoft daher, auf die nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download verfügbar ist, ist ein Abschnitt "Hotfix Download available (Hotfixdownload verfügbar" am oberen Rand dieser Knowledge Base-Artikel. Wenn in diesem Abschnitt nicht angezeigt wird, wenden Sie sich an technischen Kundendienst und Support, um den Hotfix zu erhalten.

Hinweis: Wenn weitere Probleme auftreten oder wenn eine Problembehandlung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten die für zusätzliche Supportfragen und Probleme, die für diesen speziellen Hotfix nicht qualifizieren. Eine vollständige Liste der technischen Kundendienst und Support-Telefonnummern oder eine separate Serviceanfrage erstellen die folgende Microsoft-Website: Hinweis: Das Formular "Hotfix Download available (Hotfixdownload verfügbar" zeigt die Sprachen für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist es, da ein Hotfix nicht für diese Sprache zur Verfügung steht.

Voraussetzungen

Es gelten keine Voraussetzungen.

Neustartanforderung

Sie müssen den Computer nach Installation dieses Hotfixes neu starten.

Ersetzte Hotfixes

Dieser Hotfix ersetzt keine anderen Hotfixes.

Dateiinformationen

Die englische Version dieses Hotfixes weist die Dateiattribute (oder höher Dateiattribute), die in der folgenden Tabelle aufgelistet werden. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Verwenden Sie die Registerkarte Zeitzone im Element Datum und Uhrzeit in der Systemsteuerung, um die Differenz zwischen UTC und der Ortszeit zu ermitteln.

Windows Server 2003, 32-Bit-Versionen

Windows Server 2003 x 64-basierte Versionen

Windows Server 2003, Itanium-basierte Versionen

Microsoft hat bestätigt, dass dies ein Problem in Microsoft-Produkten handelt, die im Abschnitt "Gilt für" aufgeführt sind. Dieses Problem wurde erstmals in Windows Server 2003 Service Pack 2.

Der Kerberos-Fehler tritt im folgenden Szenario auf:

1. Ein Windows 2003-Computer mit dem Namen \\Contoso-client hostet ein Server-basierten Prozess, der im Sicherheitskontext LocalSystem ausgeführt wird. Der Kerberos-Client auf \\Contoso-client sendet Kerberos Authentifizierungsanforderungen im Auftrag von diesem Prozess.
2. Das Kennwort des das Computerkonto für den Computer, der die Anwendung Änderungen auf einem Windows 2003-Domänencontroller hostet. Der Domänencontroller heißt \\Contoso-DC-01.
   
   Hinweis: Ein Domänencontroller, die Originalversion von Windows Server 2003 ausgeführt wird, repliziert nicht Kennwortaktualisierungen für Computerkonten an der Domäne PDC.
3. Das Programm auf \\Contoso-client Anforderungen gegenseitige Authentifizierung. Der Kerberos-Client auf \\Contoso-client sendet eine TGT-Anforderung, die mit einen Hash des seine aktuelle Kennwort des Computerkontos verschlüsselt ist.
   
   Hinweis: Kerberos-Clients, die Originalversion von Windows Server 2003 ausführen, führen Sie nicht die OldPassword Feld in der Kerberos-Anmeldung-Struktur mit dem vorherigen Computerkontokennwort füllen.
4. Ein anderen Domänencontroller die TGT-Anforderung-Dienste. Dieser Domänencontroller heißt \\Contoso-DC-02.
   
   Active Directory-Verzeichnisdienst auf \\Contoso-DC-02 enthält das alte Kennwort für die Kerberos-Client. Active Directory bestimmt, ob das neue Kennwort auf dem PDC der Domäne verfügbar ist. Das neue Kennwort ist nicht auf dem PDC vorhanden.
5. Der Domänencontroller \\Contoso-DC-02 wieder der Kerberos-Client den Vorauthentifizierung Fehler 0 x 18. Daher ist die Kerberos-Authentifizierung nicht erfolgreich. Wenn dann der Kerberos-Client versucht, NTLM für die fallback-Authentifizierung verwenden, ist dieser Authentifizierungsversuch auch nicht erfolgreich.

Wenn der Wert des Registrierungseintrags KerbDebugLevel auf dem Computer auf 1, die das TGT ausgibt festgelegt ist, wird das folgende Ereignis im lokalen Systemprotokoll protokolliert:

Ereignistyp: Fehler
Ereignisquelle: Kerberos
Ereigniskategorie: Keine
Ereignis-ID: 3
Datum:
Uhrzeit:
Benutzer: NV
Computer:
Beschreibung:
Einer Kerberos-Fehlermeldung wurde empfangen:
Anmeldung-Sitzung
Client-Zeit:
Serverzeit:
Fehlercode: 0 x 18 KDC_ERR_PREAUTH_FAILED
Erweiterter Fehler:
Client-Bereich:
Clientname:
Server-Bereich:
Servername:
Zielname:
Fehlertext:
Datei: e
Zeile: 6bc
Fehler-Daten sind in den Datensatzdaten.

Weitere Informationen finden Sie im Hilfe- und Supportcenter unter http://support.microsoft.com.
Daten:
0000: 30868130 03a18381 a20b0102 307a047c
0010: a0093078 17010203 000402a1 04a00a30
0020: 7bff0202 000402a1 03a00930 a1800102
0030: 30000402 0203a029 22a10301 494e2004
0040: 48434b43 2e444c49 4b43494e 2e42414c
0050: 41434f4c 6165524c 6573556c 29304172
0060: 010203a0 0422a101 43494e20 4948434b
0070: 4e2e444c 4c4b4349 4c2e4241 4c41434f
0080: 6 c 616552 72657355 41

Weitere Informationen zu den Bedingungen, die in diesem Artikel verwendet werden, finden Sie im folgenden Artikel der Microsoft Knowledge Base:

Technischer Support für x 64-basierten Versionen von Microsoft Windows

Wenn Ihre Hardware mit einer Microsoft Windows X 64 Edition bereits installiert war, bietet der Hardwarehersteller technischen Support und Unterstützung für Windows X 64 Edition. In diesem Fall bietet der Hardwarehersteller unterstützt, da eine Windows X 64 Edition zusammen mit Ihrer Hardware geliefert wurde. Hardwarehersteller möglicherweise die Windows X 64 Edition-Installation mithilfe von spezifischen Komponenten angepasst haben. Eindeutige Komponenten gehören bestimmte Gerätetreiber oder gehören optionale Einstellungen, um die Leistung der Hardware zu optimieren. Wenn Sie technische Hilfe zu Windows X 64 Edition benötigen, bietet Microsoft in wird Fall Unterstützung in angemessenem Rahmen. Allerdings müssen Sie möglicherweise den Hersteller direkt. Der Hersteller ist am besten ihm, um die Software zu unterstützen, die der Hersteller der Hardware installiert. Wenn Sie eine Windows X 64 Edition z. B. ein Microsoft Windows Server 2003 x 64 Edition) separat erworben haben, wenden Sie sich an Microsoft, für technischen Support.

Weitere Informationen zu Microsoft Windows XP Professional X 64 Edition die folgende Microsoft-Website: Weitere Informationen zu x 64-basierten Versionen von Microsoft Windows Server 2003 die folgende Microsoft-Website: