FIX: 對 Kerberos 驗證類型使用 DES 加密的使用者帳戶無法驗證在 Windows Server 2003 網域之後 Windows Server 2008 R2 網域控制站加入網域

文章翻譯 文章翻譯
文章編號: 978055 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

考慮下列案例:
  • 在 Windows Server 2003 網域中建立一個使用者帳戶。
  • 這個網域中的所有網域控制站正在都執行 Windows Server 2003。
  • 使用者帳戶設定為使用資料加密標準 (DES) 加密類型進行 Kerberos 驗證。
  • 執行 Windows Server 2008 R2 的電腦加入網域。
  • 成員伺服器上已安裝使用中的目錄。
在這種情況下使用者帳戶無法登入到網域 Windows Server 2008 R2 網域控制站會啟動後立即。您也可能會收到下列的錯誤訊息:
KDC 取得初始認證時有不支援加密類型。
此外,正在執行 Windows Server 2008 R2 的網域控制站上的 「 系統 」 記錄檔會記錄下列事件:
記錄檔名稱: 系統
來源: Microsoft-Windows-Kerberos-Key-Distribution-Center
日期: date
事件識別碼: 14
工作類別: 無
層級: 錯誤
關鍵字: 傳統
使用者: N/A
電腦: computer_name
描述:
處理的 AS 時要求的目標服務 krbtgt 帳戶 name 並沒有為產生 Kerberos 票證 (遺漏機碼,有 1 識別碼) 適用的索引鍵。要求的 etypes: 16 1 11 10 15 12 13。帳戶可用 etypes: 23-133-128。變更或重設 user_name 密碼將會產生適當的索引鍵。

記錄檔名稱: 系統
來源: Microsoft-Windows-Kerberos-Key-Distribution-Center
日期: date
事件識別碼: 16
工作類別: 無
層級: 錯誤
關鍵字: 傳統
使用者: N/A
電腦: computer_name
描述:
在處理 TGS 要求的目標伺服器 server_name 時帳戶 account_name 沒有適合的產生 Kerberos 票證 (遺漏機碼,有 9 識別碼) 鍵。要求的 etypes 了 3 1。帳戶可用 etypes 已 23-133-128。變更或重設 account_name 密碼將會產生適當的索引鍵。

發生的原因

不同的資料結構用來儲存有關使用者帳戶的加密型別資訊,在 Windows Server 2003 網域控制站和 Windows Server 2008 R2 網域控制站上,就會發生這個問題。

當 Windows Server 2003 網域控制站上建立一個使用者帳戶時,加密型別資訊會儲存在資料結構中。然後,此資訊會被複製到 Windows Server 2008 R2 網域控制站使用 AD 複寫。

附註當使用者帳戶的密碼重設時,也會發生這個問題。

當 Windows Server 2008 R2 網域控制站會驗證使用者帳戶時,網域控制站會從資料結構所使用的 Windows Server 2003 網域控制站讀取這個加密型別資訊。它然後應該將此加密型別資訊複製到不同的資料結構。不過,資訊不會複製,如預期般運作。因此,驗證會失敗。

解決方案

Hotfix 資訊

Microsoft 提供支援的 Hotfix。不過,此 Hotfix 旨在修正本文中所述隨問題。請您僅在遇到本文所述問題的系統上安裝這個 Hotfix。這個 Hotfix 可能會接受額外的測試。因此,如果您不會嚴重影響這個問題,我們建議您等候下一個包含此 Hotfix 的軟體更新。

如果此 Hotfix 可供下載,您可在本知識庫文件的頂端找到「 可用的 Hotfix 下載 」區段。如果本節 Does Not Appear 請連絡[ Microsoft 客戶服務 ] 和 [ 支援 ] 以取得此 Hotfix。

附註如果發生其他問題,或如果需要任何疑難排解,您可能必須建立個別的服務要求。和此 Hotfix 無關的額外支援問題適用一般的支援費用。如需 Microsoft 客戶服務支援部門電話號碼的完整清單或要建立個別的服務要求,請造訪下列 Microsoft 網站:
http://support.microsoft.com/contactus/?ws=support
附註「 下載 Hotfix 」 表單會顯示此 Hotfix 會出現,以供使用的語言。如果您沒有看到您的語言,是因為此 Hotfix 是不適用您的語言。

必要條件

下列清單包含 Hotfix 的先決條件:
  • 您必須安裝 Windows Server 2008 R2。
  • 您必須安裝 [Active Directory 網域服務角色服務。

安裝附註

在執行 Windows Server 2008 R2 Windows Server 2003 網域中的所有網域控制站上安裝此 Hotfix。此 Hotfix 不應該套用到網域中的 Windows Server 2003 伺服器。

登錄資訊

若要在此套件中使用 Hotfix,並不需要對登錄進行任何變更。

重新啟動資訊

您可能必須套用此 Hotfix 之後重新啟動電腦。

Hotfix 取代資訊

此 Hotfix 不會取代先前發行的 Hotfix。

檔案資訊

此 Hotfix 的英文 (美國) 版本安裝檔案具有下列表格中所列的屬性。日期及這些檔案的時間會列出在定位國際時間 (UTC)。日期和本機電腦上這些檔案的時間,顯示以您當地的時間與目前的日光節約時間 (DST) 偏差。此外,日期和時間可能會執行時變更您在檔案上的某些作業。
Windows Server 2008 R2 檔案資訊附註
  • 資訊清單檔案 (.manifest) 和 [MUM (.mum) 安裝檔案的每個環境都是"其他檔案的 Windows Server 2008 R2 資訊 」 一節中 listed separately。MUM] 及 [資訊清單檔案] 和 [關聯的安全性類別目錄 (.cat) 檔案是非常重要維護更新的元件狀態。安全性類別目錄檔案的屬性並未列出,是使用 Microsoft 數位簽章簽署。
所有支援 x64 版本的 Windows Server 2008 R2 x
摺疊此表格展開此表格
檔案名稱檔案版本檔案大小日期時間平台
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916: 18x64
Kdcsvc.mof不適用5,30010-Jun-200921: 01不適用

其他可行方案

如果要解決這個問題,重設網域控制站正在執行 Windows Server 2008 R2 上有問題的使用者帳戶的密碼]。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。

其他相關資訊

如需有關軟體更新術語的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
824684用來描述 Microsoft 軟體更新標準術語的說明

其他檔案資訊

Windows Server 2008 R2 的其他檔案資訊

所有支援的其他檔案 x64 版本的 Windows Server 2008 R2 x
摺疊此表格展開此表格
檔案名稱Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
檔案版本不適用
檔案大小724
日期 (UTC)17-Dec-2009
時間 (UTC)01: 36
平台不適用
---
檔案名稱Amd64_microsoft 視窗 k...散發 center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
檔案版本不適用
檔案大小35,825
日期 (UTC)16-Dec-2009
時間 (UTC)16: 49
平台不適用
---
檔案名稱Update.mum
檔案版本不適用
檔案大小1,700
日期 (UTC)17-Dec-2009
時間 (UTC)01: 36
平台不適用

屬性

文章編號: 978055 - 上次校閱: 2010年3月22日 - 版次: 2.2
這篇文章中的資訊適用於:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
關鍵字:?
kbmt kbautohotfix kberrmsg kbfix kbbug kbexpertiseinter kbsurveynew kbpubtypekc kbqfe kbhotfixserver KB978055 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:978055
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com