CORRECÇÃO: Contas de utilizador que utilizam encriptação DES para tipos de autenticação Kerberos não podem ser autenticadas num domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 adere ao domínio

Traduções de Artigos Traduções de Artigos
Artigo: 978055 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Considere o seguinte cenário:
  • É criada uma conta de utilizador num domínio do Windows Server 2003.
  • Todos os controladores de domínio deste domínio com o Windows Server 2003.
  • A conta de utilizador está configurada para utilizar tipos de encriptação Data Encryption Standard (DES) para a autenticação Kerberos.
  • Um computador que esteja a executar o Windows Server 2008 R2 adere ao domínio.
  • O Active Directory está instalado no servidor membro.
Neste cenário, a conta de utilizador não consegue iniciar sessão o domínio imediatamente depois de iniciado o controlador de domínio do Windows Server 2008 R2. Também poderá receber a seguinte mensagem de erro:
KDC tem sem suporte para o tipo de encriptação ao obter credenciais iniciais.
Além disso, os seguintes eventos são registados no registo do sistema no controlador de domínio que esteja a executar o Windows Server 2008 R2:
Nome de registo: sistema
Origem: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: date
ID do evento: 14
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: N/d
Computador: computer_name
Descrição:
Ao processar uma SA pedido krbtgt do serviço de destino, o name da conta não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de 1). Etypes pedida: 16 1 11 10 15 12 13. O etypes disponíveis contas: 23-133 -128. Alterar ou repor a palavra-passe do user_name irá gerar uma chave adequada.

Nome de registo: sistema
Origem: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: date
ID do evento: 16
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: N/d
Computador: computer_name
Descrição:
Ao processar um pedido TGS para o servidor de destino server_name, a conta account_name não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de 9). Etypes pedidas foram 3 1. Etypes disponíveis as contas foram 23-133 -128. Alterar ou repor a palavra-passe de account_name irá gerar uma chave adequada.

Causa

Este problema ocorre porque as estruturas de dados diferentes são utilizadas para guardar informações de tipo de encriptação sobre a conta de utilizador nos controladores de domínio do Windows Server 2003 e em controladores de domínio do Windows Server 2008 R2.

Quando é criada uma conta de utilizador num controlador de domínio do Windows Server 2003, as informações de tipo de encriptação são guardadas numa estrutura de dados. Em seguida, esta informação é copiada para controladores de domínio do Windows Server 2008 R2 utilizando a replicação AD.

Nota Este problema também ocorre quando a palavra-passe de uma conta de utilizador é reposta.

Quando um controlador de domínio do Windows Server 2008 R2 autentica a conta de utilizador, o controlador de domínio lê estas informações de tipo de encriptação da estrutura de dados utilizada pelo controlador de domínio do Windows Server 2003. , Em seguida, deve copiar estas informações de tipo de encriptação para uma estrutura de dados diferentes. No entanto, as informações não são copiadas como esperado. Por conseguinte, a autenticação falha.

Resolução

Informações sobre a correcção

Tem uma correcção suportada disponível na Microsoft. No entanto, esta correcção destina-se a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afectado por este problema, recomendamos que aguarde pela próxima actualização de software que contenha esta correcção.

Se a correcção está disponível para transferência, existe uma secção "denominada transferência de correcção disponível" na parte superior deste artigo da base de dados de conhecimento. Se esta secção não for apresentado, contacte o serviço de apoio a clientes da Microsoft e suporte para obter a correcção.

Nota Se ocorrerem problemas adicionais ou se for necessário efectuar algum procedimento para resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos normais do suporte serão aplicados a perguntas de suporte adicionais e problemas que não são elegíveis para esta correcção específica. Para obter uma lista completa dos números de telefone do serviço de apoio a clientes da Microsoft e suporte da ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=support
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas para o qual a correcção está disponível. Se não vir o idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

A lista que se segue contém os pré-requisitos para a correcção:
  • Tem de ter instalado o Windows Server 2008 R2.
  • Tem de ter o serviço de função do serviço de domínio do Active Directory instalado.

Nota de instalação

Instale esta correcção em todos os controladores de domínio que executar o Windows Server 2008 R2 no domínio do Windows Server 2003. Esta correcção não deve ser aplicada aos servidores Windows Server 2003 que se encontram no domínio.

Informações de registo

Para utilizar a correcção deste pacote, não é necessário efectuar alterações ao registo.

Informações sobre reinício

Poderá ter de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição de correcções

Esta correcção não substitui uma correcção disponibilizada anteriormente.

Informações do ficheiro

A versão em inglês (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e as horas destes ficheiros são indicadas na hora universal coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local juntamente com a compensação de horário de Verão (DST) actual. Além disso, as datas e as horas podem alteradas quando são executadas determinadas operações nos ficheiros.
Windows Server 2008 R2 ficheiro informações nota
  • Os ficheiros MANIFEST (.manifest) e o MUM (.mum) instalados em cada ambiente é listed separately na secção "Informações para o Windows Server 2008 R2 de ficheiro adicionais". MUM e MANIFEST ficheiros e os ficheiros de catálogo (.cat) de segurança associados, são extremamente importantes para manter o estado dos componentes actualizados. Os ficheiros de catálogo de segurança para o qual os atributos não forem listados, são assinados com uma assinatura digital da Microsoft.
Para todas as suportadas versões baseadas em 64 do Windows Server 2008 R2 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroVersão do ficheiroTamanho do ficheiroDataTempoPlataforma
Kdcsvc.dll6.1.7600.20597429,56816-Dez-200916: 18x 64
Kdcsvc.MOFNão aplicável5,30010-Jun-200921: 01Não aplicável

Como contornar

Para contornar este problema, reponha a palavra-passe da conta de utilizador problemático no controlador de domínio que esteja a executar o Windows Server 2008 R2.

Ponto Da Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

Para obter mais informações sobre a terminologia de actualizações de software, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft

Informações sobre ficheiros adicionais

Informações sobre ficheiros adicionais do Windows Server 2008 R2

Ficheiros adicionais para todas as suportadas versões baseadas em 64 do Windows Server 2008 R2 x
Reduzir esta tabelaExpandir esta tabela
Nome de ficheiroAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro724
Data (UTC)17-DEC-2009
Hora (UTC)01: 36
PlataformaNão aplicável
---
Nome de ficheiroAmd64_microsoft-windows-k...distribuição center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro35,825
Data (UTC)16-Dez-2009
Hora (UTC)16: 49
PlataformaNão aplicável
---
Nome de ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro1,700
Data (UTC)17-DEC-2009
Hora (UTC)01: 36
PlataformaNão aplicável

Propriedades

Artigo: 978055 - Última revisão: 22 de março de 2010 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Palavras-chave: 
kbmt kbautohotfix kberrmsg kbfix kbbug kbexpertiseinter kbsurveynew kbpubtypekc kbqfe kbhotfixserver KB978055 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 978055

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com