CORRECÇÃO: Contas de usuário que usam criptografia DES para tipos de autenticação Kerberos não poderá ser autenticadas em um domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 ingressa no domínio

Traduções deste artigo Traduções deste artigo
ID do artigo: 978055 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Considere o seguinte cenário:
  • Uma conta de usuário é criada em um domínio do Windows Server 2003.
  • Todos os controladores de domínio neste domínio estão executando o Windows Server 2003.
  • A conta de usuário é configurada para usar tipos de criptografia padrão de criptografia de dados (DES) para a autenticação Kerberos.
  • Um computador que esteja executando o Windows Server 2008 R2 ingressa no domínio.
  • O Active Directory é instalado no servidor membro.
Nesse cenário, a conta de usuário não pode efetuar logon no domínio imediatamente depois que o controlador de domínio do Windows Server 2008 R2 é iniciado. Também poderá receber a seguinte mensagem de erro:
KDC tem suporte para tipo de criptografia ao obter credenciais iniciais.
Além disso, os seguintes eventos são registrados no log do sistema no controlador de domínio que esteja executando o Windows Server 2008 R2:
Nome de logon: sistema
Fonte: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: date
IDENTIFICAÇÃO de evento: 14
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Usuário: N/A
Computador: computer_name
Descrição:
Durante o processamento de um AS solicite para krbtgt do serviço de destino, o name da conta não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de 1). Etypes solicitada: 16 1 11 10 15 12 13. O etypes de contas disponíveis: 23-133 -128. Alterar ou redefinir a senha do user_name irá gerar uma chave adequada.

Nome de logon: sistema
Fonte: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: date
IDENTIFICAÇÃO de evento: 16
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Usuário: N/A
Computador: computer_name
Descrição:
Ao processar uma solicitação TGS para o servidor de destino server_name, a conta account_name não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de 9). Etypes solicitadas eram 3 1. Os etypes disponíveis contas foram 23-133 -128. Alterar ou redefinir a senha de account_name irá gerar uma chave adequada.

Causa

Esse problema ocorre porque as estruturas de dados diferentes são usadas para salvar as informações de tipo de criptografia sobre a conta de usuário em controladores de domínio do Windows Server 2003 e em controladores de domínio do Windows Server 2008 R2.

Quando uma conta de usuário é criada em um controlador de domínio do Windows Server 2003, as informações de tipo de criptografia é salvo em uma estrutura de dados. Em seguida, essa informação é copiada para controladores de domínio do Windows Server 2008 R2 usando a replicação do AD.

Observação: Esse problema também ocorre quando a senha de uma conta de usuário for redefinida.

Quando um controlador de domínio do Windows Server 2008 R2 autentica a conta de usuário, o controlador de domínio lê essas informações de tipo de criptografia da estrutura de dados usado pelo controlador de domínio do Windows Server 2003. Ele deve copiar essas informações de tipo de criptografia para uma estrutura de dados diferente. No entanto, as informações não são copiadas como o esperado. Portanto, a autenticação falhará.

Resolução

Informações sobre hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem o problema descrito neste artigo. Este hotfix pode ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo do Knowledge Base. Se esta seção não exibida, contate o suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: Se ocorrem problemas adicionais ou se for necessária qualquer solução de problemas, talvez seja necessário criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa dos números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Observação: O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque não há um hotfix disponível disponível para esse idioma.

Pré-requisitos

A lista a seguir contém os pré-requisitos para o hotfix:
  • Você deve ter o Windows Server 2008 R2 instalado.
  • Você deve ter o serviço de função do Active Directory Domain Service instalado.

Nota de instalação

Instale este hotfix em todos os controladores de domínio que executam o Windows Server 2008 R2 em um domínio do Windows Server 2003. Esse hotfix não deve ser aplicado aos servidores Windows Server 2003 que estão no domínio.

Informações do registro

Para usar o hotfix neste pacote, não é necessário fazer qualquer alteração no registro.

Reiniciar informações

Talvez seja necessário reiniciar o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui um hotfix lançado anteriormente.

Informações do arquivo

A versão em inglês (Estados Unidos) deste hotfix instala arquivos com os atributos listados nas tabelas a seguir. As datas e horários para esses arquivos estão listados no horário de universal coordenado (UTC). As datas e os horários desses arquivos no computador local são exibidos no seu horário local junto com a diferença do horário de verão (DST) atual. Além disso, as datas e os horários pode ser alteradas quando você executa certas operações nos arquivos.
Observação: informações de arquivo Windows Server 2008 R2
  • Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) para cada ambiente instalados são listed separately na seção "Informações para o Windows Server 2008 R2 de arquivo adicionais". MUM e MANIFEST arquivos e os arquivos do catálogo (.cat) de segurança associadas, são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para o qual os atributos não estiverem listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões com base em 64 x do Windows Server 2008 R2
Recolher esta tabelaExpandir esta tabela
Nome de arquivoVersão do arquivoTamanho do arquivoDataTempoPlataforma
Kdcsvc.dll6.1.7600.20597429,56816-Dez-200916: 18x 64
Kdcsvc.MOFNão aplicável5,30010 Junho de 200921: 01Não aplicável

Como Contornar

Para contornar esse problema, redefina a senha da conta de usuário problemáticas no controlador de domínio que esteja executando o Windows Server 2008 R2.

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".

Mais Informações

Para obter mais informações sobre a terminologia da atualização, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão usada para descrever as atualizações de software

Informações de arquivo adicionais

Informações de arquivo adicionais para o Windows Server 2008 R2

Arquivos adicionais para todas as versões com base em 64 x do Windows Server 2008 R2
Recolher esta tabelaExpandir esta tabela
Nome de arquivoAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo724
Data (UTC)17-Dez-2009
Hora (UTC)01: 36
PlataformaNão aplicável
---
Nome de arquivoJanelas k Amd64_microsoft..distribuição center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
Versão do arquivoNão aplicável
Tamanho do arquivo35,825
Data (UTC)16-Dez-2009
Hora (UTC)16: 49
PlataformaNão aplicável
---
Nome de arquivoUpdate.mum
Versão do arquivoNão aplicável
Tamanho do arquivo1.700
Data (UTC)17-Dez-2009
Hora (UTC)01: 36
PlataformaNão aplicável

Propriedades

ID do artigo: 978055 - Última revisão: segunda-feira, 22 de março de 2010 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Palavras-chave: 
kbmt kbautohotfix kberrmsg kbfix kbbug kbexpertiseinter kbsurveynew kbpubtypekc kbqfe kbhotfixserver KB978055 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 978055

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com