Autenticação Kerberos estiver sem êxito no contexto de segurança de sistema local quando a palavra-passe da conta de computador foi recentemente alterado num computador com o Windows Server 2003

Considere o seguinte cenário. Num computador com o Microsoft Windows Server 2003, a palavra-passe da conta computador mudou recentemente. Este computador emite um pedido de autorização (TGT) do Kerberos senha-concessão em nome de um programa local que é executado no contexto de segurança de sistema local. Neste cenário, o controlador de domínio que serve o pedido TGT devolve um erro de pré-autenticação de Kerberos 0 x 18 e a autenticação não tem êxito.

Este problema não ocorre se o programa é executado no contexto de segurança de uma conta de utilizador para a autenticação Kerberos.

Este problema ocorre quando a palavra-passe da conta de computador no cliente Kerberos que submete o pedido TGT é mais recente do que a palavra-passe no controlador de domínio.

Se uma alteração a palavra-passe da conta de computador não for actualizada no controlador de domínio de destino, A autenticação Kerberos não tem êxito para programas que ser executado na conta sistema local. A partir do Windows 2000 com Service Pack 3, o controlador de domínio primário (PDC, Primary Domain Controller) não é actualizado imediatamente após uma alteração para a conta de computador. Assim, quando o controlador de domínio contacta o PDC pedir uma palavra-passe actualizada para a conta de computador, o pedido não tem êxito. Se o cliente Kerberos é executado no contexto de segurança de uma conta de utilizador, cliente Kerberos utiliza a palavra-passe antiga para enviar um pedido TGT segundo e o pedido TGT tiver êxito. No entanto, se o cliente Kerberos for executado na conta sistema local, o valor de palavra-passeantiga não está disponível. Assim, o segundo pedido não é enviado e a autenticação Kerberos não tem êxito.

Nota O serviço SMTP no Microsoft Exchange Server 2003 é um programa executado na conta sistema local.

Informações sobre Service Packs

Para resolver este problema, obtenha o service pack mais recente do Windows Server 2003. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Informações sobre a correcção

Está disponível a partir da Microsoft uma correcção suportada. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico. Esta correcção poderá submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de cliente do Microsoft e suporte para obter a correcção.

Nota Se ocorram problemas adicionais ou se for necessária qualquer resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a problemas adicionais e questões de suporte que não se enquadrem esta correcção específica. Para obter uma lista completa dos números de telefone do suporte de cliente do Microsoft ou para criar um pedido serviço separado, visite o seguinte Web site da Microsoft: Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para a qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisito de reinício

Terá de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui quaisquer outras correcções.

Informações do ficheiro

A versão inglesa desta correcção tem os atributos de ficheiro (ou atributos de ficheiro posteriores) listados na seguinte tabela. As datas e horas destes ficheiros são indicadas na hora universal coordenada (UTC). Quando visualiza as informações do ficheiro, é convertido para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador fuso horário no item Data e hora no painel de controlo.

Windows Server 2003, versões de 32 bits

Windows Server 2003, versões baseadas em 64 x

Windows Server 2003, versões baseadas em Itanium

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a". Este problema foi corrigido pela primeira vez no Windows Server 2003 Service Pack 2.

Ocorre o erro Kerberos no seguinte cenário:

1. Um computador baseado no Windows Server 2003 é denominado \\Contoso-client hospeda um processo baseado no servidor que é executada no contexto de segurança do sistema local. O cliente Kerberos em \\Contoso-client submete pedidos de autenticação Kerberos em nome deste processo.
2. A palavra-passe da conta de computador para o computador que hospeda as alterações de programa no controlador de domínio baseado no Windows Server 2003. O controlador de domínio é denominado \\Contoso-DC-01.
   
   Nota Um controlador de domínio com a versão original do Windows Server 2003 não replica actualizações de palavra-passe para contas de computador para o PDC do domínio.
3. O programa na autenticação mútua do \\Contoso-client pedidos. O cliente Kerberos em \\Contoso-client submete um pedido TGT encriptados utilizando um hash da respectiva palavra-passe de conta de computador actual.
   
   Nota Kerberos clientes que utilizem a versão original do Windows Server 2003 não preencha o campo palavra-passeantiga a estrutura de início de sessão Kerberos com a palavra-passe da conta de computador anterior.
4. O pedido TGT de serviços de um controlador de domínio diferente. Este controlador de domínio é denominado \\Contoso-DC-02.
   
   O serviço de directório do Active Directory no \\Contoso-DC-02 inclui a palavra-passe antiga para o cliente de Kerberos. O Active Directory determina se a nova palavra-passe está disponível no PDC do domínio. A nova palavra-passe não está presente no PDC.
5. O controlador de domínio \\Contoso-DC-02 devolve o erro pré-autenticação de 0 x 18 para o cliente Kerberos. Assim, A autenticação Kerberos não tem êxito. Se o cliente de Kerberos, em seguida, tentar utilizar NTLM para autenticação base, a tentativa de autenticação é também sem êxito.

Se o valor da entrada de registo KerbDebugLevel é definido como 1 no computador que emite a TGT, é registado o seguinte evento no registo do sistema local:

Tipo de evento: erro
Origem do evento: Kerberos
Categoria do evento: nenhum
ID do evento: 3
Data:
Hora:
Utilizador: N/d
Computador:
Descrição:
Foi recebida uma mensagem de erro Kerberos:
no início de sessão
Hora do cliente:
Hora do servidor:
Código de erro: 0 x 18 KDC_ERR_PREAUTH_FAILED
Erro expandido:
Domínio cliente:
Nome de cliente:
Domínio do servidor:
Nome do servidor:
Nome de destino:
Texto do erro:
Ficheiro: e
Linha: 6bc
Dados de erro está nos dados registos.

Para mais informações, consulte o Centro de ajuda e suporte em http://support.microsoft.com.
Dados:
0000: 30868130 03a18381 a20b0102 307a047c
0010: a0093078 17010203 000402a1 04a00a30
0020: 7bff0202 000402a1 03a00930 a1800102
0030: 30000402 0203a029 22a10301 494e2004
0040: 48434b43 2e444c49 4b43494e 2e42414c
0050: 41434f4c 6165524c 6573556c 29304172
0060: 010203a0 0422a101 43494e20 4948434b
0070: 4e2e444c 4c4b4349 4c2e4241 4c41434f
c 0080: 6 616552 72657355 41

Para obter mais informações sobre a terminologia utilizada neste artigo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Suporte técnico para versões baseadas em 64 do Microsoft Windows x

Se o hardware foi fornecido com uma edição x 64 do Microsoft Windows instalada, o fabricante do hardware fornece suporte técnico e assistência para a edição x 64 do Windows. Neste caso, o fabricante do hardware fornece suporte porque foi incluída com o hardware de uma edição x 64 do Windows. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows utilizando componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo específicos ou podem incluir definições opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se necessitar de assistência técnica para uma edição x 64 do Windows. No entanto, poderá ter de contactar o fabricante directamente. O fabricante está melhor qualificado para suportar o software que o fabricante do instalado no hardware. Se tiver adquirido uma edição x 64 do Windows como o um Microsoft Windows Server 2003 x 64 edition, separadamente, contacte a Microsoft para obter suporte técnico.

Para obter informações sobre o Microsoft Windows XP Professional x 64 Edition, visite o seguinte Web site da Microsoft: Para obter informações sobre versões baseadas em 64 do Microsoft Windows Server 2003 x, visite o seguinte Web site da Microsoft: