Bilgisayar hesabý parolasýnýn en son Windows Server 2003 çalýþtýran bir bilgisayarda deðiþtiðinde Kerberos kimlik doðrulamasýný Local System baðlamýnda baþarýsýzdýr

Þu senaryoyu inceleyin. En son Microsoft Windows Server 2003 çalýþtýran bir bilgisayarda, bilgisayar hesabýnýn parolasý deðiþtirildi. Bu bilgisayar bir Kerberos bilet veren biletinin (TGT) isteði yerel sistem güvenlik içeriðinde çalýþan yerel bir programýn adýna verir. Bu senaryoda, TGT isteðine hizmet etki alaný denetleyicisinde 0x18 Kerberos ön kimlik doðrulama hatasý verir ve kimlik doðrulamasý baþarýsýz olur.

Kerberos kimlik doðrulamasý için bir kullanýcý hesabýnýn güvenlik baðlamýnda program çalýþýyorsa, bu sorun oluþmaz.

TGT isteði gönderen Kerberos istemci bilgisayar hesabýnýn parolasýný daha yeni etki alaný denetleyicisinde parola olduðunda bu sorun oluþur.

Kerberos kimlik doðrulamasý, hedeflenen etki alaný denetleyicisinde bilgisayar hesabý parolasý için deðiþiklik güncelleþtirildi, yerel sistem hesabý çalýþan programlar baþarýsýz oluyor. Windows 2000 Service Pack 3 ile baþlayarak, birincil etki alaný denetleyicisi (PDC) bilgisayar hesabýnýn deðiþiklik hemen sonra güncelleþtirilmedi. Bu nedenle, etki alaný denetleyicisinin bilgisayar hesabý için güncelleþtirilmiþ bir parola istemek için PDC kurduðunda, istek baþarýsýz olur. Kerberos istemcisi, bir kullanýcý hesabýnýn güvenlik baðlamýnda çalýþýr, Kerberos istemcisi, ikinci TGT istek göndermek için eski parolayý kullanýr ve TGT isteði baþarýlý olur. Ancak, Kerberos istemcisi, yerel sistem hesabý çalýþtýrýlýrsa, eskiparola deðeri kullanýlabilir deðil. Bu nedenle, ikinci istek gönderilmez ve Kerberos kimlik doðrulamasý baþarýsýz olur.

Not Microsoft Exchange Server 2003'te SMTP hizmetini yerel sistem hesabý çalýþan bir programdýr.

Hizmet paketi bilgileri

Bu sorunu gidermek için <a0></a0>, Windows Server 2003 için en son hizmet paketini edinin. Daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Düzeltme bilgileri

Desteklenen bir düzeltme Microsoft'tan edinilebilir. Ancak bu düzeltmenin, yalnýzca bu makalede anlatýlan sorunu gidermesi amaçlanmýþtýr. Bu düzeltmeyi yalnýzca bu sorunla karþýlaþan sistemlere uygulayýn. Bu düzeltme ek sýnamaya tabi olabilir. Bu nedenle, bu sorun nedeniyle önemli ölçüde etkilenmediyseniz, bu düzeltmeyi içeren bir sonraki yazýlým güncelleþtirmesini beklemeniz önerilir.

Düzeltme karþýdan yüklenebilir ise bu Bilgi Bankasý makalesinin baþýnda "Düzeltme karþýdan yüklenebilir" bölümü bulunur. Bu bölüm görünmüyorsa, düzeltmeyi edinmek üzere Microsoft Müþteri Hizmetleri ve Destek ekibine baþvurun.

Not Ek sorunlar oluþursa veya tüm sorun giderme iþlemi gerekmiyorsa, ayrý bir hizmet isteði oluþturmanýz gerekebilir. Ek destek sorularýna ve bu düzeltme için geçerli olmayan sorunlara normal destek ücretleri uygulanýr. Microsoft Müþteri Hizmetleri ve Destek telefon numaralarýnýn tam listesi veya ayrý bir hizmet isteði oluþturmak için, aþaðýdaki Microsoft Web sitesini ziyaret edin: Not "Düzeltme karþýdan yüklenebilir" formunda, düzeltmenin kullanýlabilir olduðu diller görüntülenir. Kendi dilinizi görmüyorsanýz, bunun nedeni bu düzeltme, seçtiðiniz dil için kullanýlamaz.

ÖNKOÞULLAR

Herhangi bir önkoþul bulunmamaktadýr.

Yeniden baþlatma gereksinimi

Bu düzeltmeyi uyguladýktan sonra bilgisayarý yeniden baþlatmanýz gerekir.

Düzeltme Deðiþtirme Bilgileri

Bu düzeltme baþka bir düzeltmenin yerini almaz.

DOSYA BÝLGÝLERÝ

Bu düzeltmenin Ýngilizce sürümü, aþaðýdaki tabloda listelenen dosya özniteliklerine (veya daha yeni dosya özniteliklerine) sahiptir. Bu dosyalarýn tarihleri ve saatleri Koordinatlý Evrensel Saat'e (UTC) göre listelenir. Dosya bilgilerini görüntülediðinizde yerel saate dönüþtürülür. UTC ve yerel saat arasýndaki farký bulmak için <a0></a0>, Denetim Masasý'ndaki Tarih ve saat öðesinde saat dilimi sekmesini kullanýn.

Windows Server 2003'ün 32-bit sürümleri

Windows Server 2003'ün x64 tabanlý sürümleri

Windows Server 2003'ün Itanium tabanlý sürümleri

Microsoft, "Geçerli Olduðu Ürünler" bölümünde listelenen Microsoft ürünlerinde bu sorunun olduðunu onaylamýþtýr. Bu sorun ilk olarak Windows Server 2003 Service Pack 2'de giderilmiþtir.

Kerberos hata, aþaðýdaki senaryoda oluþur:

1. \\Contoso-client adlý Windows Server 2003 tabanlý BIR bilgisayarda yerel sistem güvenlik içeriðinde çalýþan bir sunucu tabanlý iþlem olarak barýndýrýr. Kerberos istemcisinin \\Contoso-client üzerinde bu iþlem adýna Kerberos kimlik doðrulama istekleri gönderir.
2. Program deðiþiklikleri Windows Server 2003 tabanlý etki alaný denetleyicisinde barýndýran bilgisayar için bilgisayar hesabýnýn parolasý. Etki alaný denetleyicisinde \\Contoso-DC-01 olarak adlandýrýlýr.
   
   Not Windows Server 2003'ün özgün sürümünü çalýþtýran BIR etki alaný denetleyicisi bilgisayar hesaplarý için parola güncelleþtirmeleri etki alaný PDC çoðaltma deðil.
3. Program \\Contoso-client istekleri karþýlýklý kimlik doðrulama. Kerberos istemci \\Contoso-client karmasýný, geçerli bilgisayar hesabý parolasýný kullanarak þifrelenmiþ bir TGT isteði gönderir.
   
   Not Windows Server 2003'ün özgün sürümünü çalýþtýran istemciler Kerberos önceki bilgisayar hesabý parolasýný Kerberos oturum açma yapýsýyla <a1>EskiParola</a1> alanýný doldurun.
4. Farklý BIR etki alaný denetleyicisi, isteði TGT Hizmetleri. Bu etki alaný denetleyicisi \\Contoso-DC-02 olarak adlandýrýlýr.
   
   Eski parola, \\Contoso-DC-02 Active Directory dizin hizmeti için Kerberos istemcisi içerir. Active Directory, yeni parolayý etki alanýnýn PDC üzerinde kullanýlabilir olup olmadýðýný belirler. PDC'de, yeni bir parola yok.
5. \\Contoso-DC-02 etki alaný denetleyicisi, Kerberos istemcisi için 0x18 ön kimlik doðrulama hatasý döndürür. Bu nedenle, Kerberos kimlik doðrulamasý baþarýsýz olur. Kerberos istemcisinin sonra geri dönüþ kimlik doðrulamasý için NTLM kullanmaya çalýþýrsa, bu kimlik doðrulama giriþimi de baþarýsýz olur.

TGT izin veren bilgisayarda 1 KerbDebugLevel</a0> kayýt defteri girdisinin deðeri ayarlanmýþsa, aþaðýdaki olay sistem günlüðüne kaydedilir:

Olay türü: hata
Olay kaynaðý: Kerberos
Olay kategorisi: yok
Olay KIMLIÐI: 3
TARÝH:
SAAT:
Kullaný.: Yok
Bilgisayar:
Açýklama:
Bir <a0>Kerberos</a0> hata iletisi alýndý:
oturum açma oturumunda
Istemci saati:
Sunucu saati:
Hata kodu: 0x18 KDC_ERR_PREAUTH_FAILED
Geniþletilmiþ hata:
Istemci bölgesi:
Istemci adý:
Sunucu bölgesi:
Sunucu Adý:
Hedef adý:
Hata metni:
Dosya: e
Satýr: 6bc
Kayýt verileri hata veri var.

Daha fazla bilgi için, http://support.microsoft.com adresindeki Yardým ve Destek Merkezi'ne bakýn.
Veri:
0000: 30868130 03a18381 a20b0102 307a047c
0010: a0093078 17010203 000402a1 04a00a30
0020: 7bff0202 000402a1 03a00930 a1800102
0030: 30000402 0203a029 22a10301 494e2004
0040: 48434b43 2e444c49 4b43494e 2e42414c
0050: 41434f4c 6165524c 6573556c 29304172
0060: 010203a0 0422a101 43494e20 4948434b
0070: 4e2e444c 4c4b4349 4c2e4241 4c41434f
0080: 6 c 616552 72657355 41

Bu makalede kullanýlan terimler hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Microsoft Windows'un x64 tabanlý sürümleri için teknik destek

Donanýmýnýz bir Microsoft Windows x64 sürümü önceden yüklenmiþ olarak geldiyse, Windows x64 sürümüyle ilgili teknik destek ve yardýmý donaným üreticisi saðlar. Bu durumda, donanýmýnýzla birlikte bir Windows x64 sürümü geldiði için, donaným üreticiniz tarafýndan teknik destek saðlanýr. Donaným üreticiniz, Windows x64 sürümü yüklemesini benzersiz bileþenler kullanarak özelleþtirmiþ olabilir. Benzersiz bileþenler donanýmýn performansýný en yüksek düzeye getirmek için özel aygýt sürücüleri veya isteðe baðlý ayarlar içerebilir. Windows x64 sürümünüz için teknik yardýma gereksinim duyarsanýz, Microsoft makul ölçülerde yardým saðlayacaktýr. Ancak, doðrudan üreticinizle iletiþim kurmanýz gerekebilir. Üreticinizin donanýma yüklediði yazýlýmý destekleyecek en nitelikli kaynak yine üreticinizdir. Microsoft Windows Server 2003 x64 gibi bir Windows x64 sürümünü ayrý olarak satýn aldýysanýz, teknik destek için Microsoft'a baþvurun.

Microsoft Windows XP Professional x64 Edition ile ilgili ürün bilgileri için aþaðýdaki Microsoft Web sitesini ziyaret edin: x64 tabalý Microsoft Windows Server 2003 sürümleri hakkýnda ürün bilgisi için, aþaðýdaki Microsoft Web sitesini ziyaret edin: