A autenticação Kerberos é sem êxito no contexto de segurança sistema local quando a senha da conta do computador recentemente é alterado em um computador que está executando o Windows Server 2003

Considere o seguinte cenário. Em um computador que está executando o Microsoft Windows Server 2003, a senha da conta do computador recentemente foi alterada. Este computador emite uma solicitação Kerberos bilhete de concessão de permissão (TGT) em nome de um programa local que é executado no contexto de segurança sistema local. Nesse cenário, o controlador de domínio que atende a solicitação TGT retorna um erro de pré-autenticação Kerberos 0 x 18 e a autenticação não tem êxito.

Esse problema não ocorre se o programa é executado no contexto de segurança de uma conta de usuário para a autenticação Kerberos.

Esse problema ocorre quando a senha da conta de computador no cliente Kerberos que envia a solicitação TGT é mais recente do que a senha no controlador de domínio.

Se uma alteração a senha da conta do computador não for atualizada no controlador de domínio de destino, A autenticação Kerberos será malsucedida que programas que são executados na conta do sistema local. Iniciar no Windows 2000 com Service Pack 3, o controlador de domínio primário (PDC) não será atualizado imediatamente após uma alteração para a conta de computador. Portanto, quando o controlador de domínio contata o PDC para solicitar uma senha atualizada para a conta de computador, a solicitação é sem êxito. Se o cliente Kerberos é executado no contexto de segurança de uma conta de usuário, o cliente Kerberos usa a senha antiga para enviar uma solicitação TGT segunda e a solicitação TGT será bem-sucedida. No entanto, se o cliente Kerberos for executado na conta do sistema local, o valor OldPassword não está disponível. Portanto, a segunda solicitação não é enviada e a autenticação Kerberos não tem êxito.

Observação O serviço SMTP no Microsoft Exchange Server 2003 é um programa que é executado na conta do sistema local.

Informações sobre o service pack

Para resolver esse problema, obtenha o service pack mais recente para o Windows Server 2003. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site: Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisitos de reinicialização

Você precisa reiniciar o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos estão listadas no horário de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário no item Data e hora no painel de controle.

Windows Server 2003, versões de 32 bits

Windows Server 2003, versões com base em 64 x

Windows Server 2003, versões com base em Itanium

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a". Esse problema foi corrigido primeiro no Windows Server 2003 Service Pack 2.

O erro Kerberos ocorre nas seguintes situações:

1. Um computador com Windows Server 2003 que é chamado \\Contoso-client hospeda um processo com base no servidor que executa no contexto de segurança sistema local. O cliente Kerberos em \\Contoso-client envia solicitações de autenticação Kerberos em nome desse processo.
2. Senha da conta de computador para o computador que hospeda as alterações de programa em um controlador de domínio baseado no Windows Server 2003. O controlador de domínio é denominado \\Contoso-DC-01.
   
   Observação Um controlador de domínio que está executando a versão original do Windows Server 2003 não replica as atualizações de senha para contas de computador para o PDC do domínio.
3. O programa na autenticação mútua do \\Contoso-client solicitações. O cliente Kerberos em \\Contoso-client envia uma solicitação TGT criptografado usando um hash da sua senha de conta de computador atual.
   
   Observação Clientes de Kerberos que estejam executando a versão original do Windows Server 2003 não preencha o campo OldPassword a estrutura de logon do Kerberos com a senha da conta anterior do computador.
4. Um controlador de domínio diferentes serviços a solicitação TGT. Este controlador de domínio é denominado \\Contoso-DC-02.
   
   O serviço de diretório Active Directory em \\Contoso-DC-02 inclui a senha antiga para o cliente Kerberos. O Active Directory determina se a nova senha está disponível no PDC do domínio. A nova senha não está presente no PDC.
5. O controlador de domínio \\Contoso-DC-02 retorna o erro de pré-autenticação 0 x 18 para o cliente Kerberos. Portanto, A autenticação Kerberos é sem êxito. Se o cliente Kerberos, em seguida, tenta usar NTLM para autenticação de fallback, essa tentativa de autenticação também será malsucedida.

Se o valor da entrada do Registro KerbDebugLevel é definido como 1 no computador que emite o TGT, o seguinte evento é registrado no log do sistema local:

Tipo de evento: erro
Origem do evento: Kerberos
Categoria do evento: nenhum
IDENTIFICAÇÃO de evento: 3
Data:
Tempo:
Usuário: N/d
Computador:
Descrição:
Foi recebida uma mensagem de erro Kerberos:
na sessão de logon
Hora de cliente:
Hora do servidor:
Código de erro: 0 x 18 KDC_ERR_PREAUTH_FAILED
Erro estendido:
Território de cliente:
Nome do cliente:
Território de servidor:
Nome do servidor:
Nome de destino:
Texto de erro:
Arquivo: e
Linha: 6bc
Erro de dados está em dados de registro.

Para obter mais informações, consulte o Centro de Ajuda e suporte em http://support.microsoft.com.
Dados:
0000: 30868130 03a18381 a20b0102 307a047c
0010: a0093078 17010203 000402a1 04a00a30
0020: 7bff0202 000402a1 03a00930 a1800102
0030: 30000402 0203a029 22a10301 494e2004
0040: 48434b43 2e444c49 4b43494e 2e42414c
0050: 41434f4c 6165524c 6573556c 29304172
0060: 010203a0 0422a101 43494e20 4948434b
0070: 4e2e444c 4c4b4349 4c2e4241 4c41434f
0080: 6 c 616552 72657355 41

Para obter mais informações sobre os termos usados neste artigo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

Suporte técnico para versões com base em 64 x do Microsoft Windows

Se o hardware veio com uma edição x 64 do Microsoft Windows instalada, o fabricante do hardware fornecerá suporte técnico e assistência para a edição x 64 do Windows. Nesse caso, o fabricante do hardware fornece suporte porque uma edição x 64 do Windows foi incluída com o hardware. O fabricante do hardware pode ter personalizado a instalação da edição x 64 do Windows do usando componentes exclusivos. Componentes exclusivos podem incluir drivers de dispositivo específico ou podem incluir configurações opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se você precisar de ajuda técnica com uma edição x 64 do Windows. No entanto, talvez você precise entrar em contato com o fabricante diretamente. O fabricante do seu melhor é qualificado para suportar o software que o fabricante do seu instalado no hardware. Se você comprou uma edição x 64 do Windows, como Microsoft Windows Server 2003 x 64 edition separadamente, contate a Microsoft para obter suporte técnico.

Para informações de produto sobre o Microsoft Windows XP Professional x 64 Edition, visite o seguinte site: Para informações de produto sobre versões com base em 64 x do Microsoft Windows Server 2003, visite o seguinte site: