Симптоми
Да разгледаме следния сценарий:
-
Потребителски акаунт е създаден в Windows Server 2003 домейн.
-
Всички домейн контролери в този домейн се изпълнява Windows Server 2003.
-
Потребителският акаунт е конфигуриран да използва шифроване типове данни Encryption Standard (DES) за удостоверяване Kerberos.
-
Компютър, работещ под Windows Server 2008 R2 се присъедини към домейн.
-
Active Directory е инсталирана на сървъра на членове.
В този случай потребителският акаунт не влезете в домейна веднага след стартиране на Windows Server 2008 R2 домейнов контролер. Можете също така да получите следното съобщение за грешка:
KDC има поддръжка за тип шифроване при получаване на първоначалното идентификационни данни.
Освен това в системния дневник на домейн контролера, работещ под Windows Server 2008 R2 се записват следните събития:
Влизане име: система
Източник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата: Дата
ИД на събитие: 14
Категория на задача: няма
Ниво: грешка
Ключови думи: класически
Потребител: няма данни
Компютър: име на компютър
Описание:
Докато се обработва заявка като за целта услуга krbtgt, име не е подходящ ключ за генериране на билет от Kerberos (липсва ключът е номер 1). Исканият etypes: 16 1 11 10 15 12 13. Налични etypes акаунти: 23 -133-128. Промяна или възстановяване на паролата на потребителско_име ще генерира правилния ключ.
Влизане име: система
Източник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата: Дата
ИД на събитие: 16
Категория на задача: няма
Ниво: грешка
Ключови думи: класически
Потребител: няма данни
Компютър: име на компютър
Описание:
При обработката на Триглицериди искане за целевия сървър име_на_сървъракаунт име_на_акаунт не е подходящ ключ за генериране на билет от Kerberos (липсва ключът е ИД на 9). Исканият etypes са 3 1. Налични etypes акаунти са 23 -133-128. Промяна или възстановяване на паролата на име_на_акаунт ще генерира правилния ключ.
Причина
Този проблем възниква, защото различни данните се използват за записване на шифроване тип информация за потребителския акаунт на Windows Server 2003 домейн контролери и Windows Server 2008 R2 домейн контролери.
При създаване на потребителски акаунт на Windows Server 2003 домейн контролер, шифроване тип информация се записва в структурата на данните. След това тази информация се копира контролери на домейни на Windows Server 2008 R2 с помощта на AD репликация.
Забележка: Този проблем възниква при подновяване на паролата за потребителски акаунт.
Когато домейнов контролер на Windows Server 2008 R2 удостоверява потребителския акаунт, на домейновия контролер чете този тип информация за шифроване от структурата на данните, които се използват от Windows Server 2003 домейн контролер. След това трябва да копирате този тип информация за шифроване на различни данни структура. Обаче не копира информация според очакванията. Следователно удостоверяването е неуспешно.
Решение
Информация за актуалната корекция
Поддържана актуална корекция се предлага от Microsoft. Тази актуална корекция обаче е предназначена да коригира само проблема, описан в тази статия. Прилагайте тази корекция само към системи, изпитващи конкретния проблем, описан в тази статия. Може да се проведат допълнителни тестове на тази актуална корекция. Следователно ако не сте силно засегнати от този проблем, препоръчваме да изчакате следващата актуализация на софтуера, който ще съдържа тази корекция.
Ако актуалната корекция е налична за изтегляне, има секция "Налично изтегляне предлага" в горната част на тази статия от базата знания. Ако тази секция не се появява, свържете се с Microsoft за обслужване на клиенти и поддръжка, за да получите актуалната корекция.
Забележка: Ако възникнат допълнителни проблеми или проблеми, трябва да създадете отделна заявка за обслужване. Обичайните такси за поддръжката ще важат за допълнителни въпроси и проблеми, които не спадат към конкретната актуална корекция. За пълен списък на телефонните номера на Microsoft за обслужване на клиенти и поддръжка или да създадете отделна заявка за поддръжка посетете следния уеб сайт на Microsoft:
http://support.microsoft.com/contactus/?ws=supportЗабележка: Формулярът "Налична актуална корекция изтегляне" показва езиците, за които е налична актуалната корекция. Ако не виждате вашия език, това е защото актуалната корекция не е налична за този език.
Необходими условия:
Следният списък съдържа предпоставки за актуалната корекция:
-
Трябва да имате Windows Server 2008 R2 инсталиран.
-
Трябва да имате инсталирана услуга за роля на Active Directory домейн услуга.
Инсталация бележка
Инсталирайте актуалната корекция на всички домейн контролери, работещи под Windows Server 2008 R2 в Windows Server 2003 домейн. Тази актуална корекция не трябва да се прилагат към Windows Server 2003 сървъри в домейна.
Информация за системния регистър
За да използвате актуалната корекция в този пакет, не трябва да променяте нищо в системния регистър.
Информация за рестартиране
Може да се наложи да рестартирате компютъра, след като приложите тази актуална корекция.
Информация за заместване на актуалната корекция
Тази актуална корекция не замества издадените актуални корекции.
Файлова информация
Английски (САЩ) версия на тази актуална корекция инсталира файлове, които имат атрибути, изброени в следващите таблици. Датите и часовете за тези файлове са изброени в координирано световно време (UTC). Датите и часовете за тези файлове на вашия компютър се показват в локалното ви време с текущото отместване за лятно часово време (DST). Освен това датите и часовете може да се променят, когато изпълните определени операции върху файловете.
Бележка за файлове на Windows Server 2008 R2
-
Файловете MANIFEST (.manifest) и файловете MUM (.mum), инсталирани за всяка работна среда, са изброени отделно в раздела "Допълнителна файлова информация за Windows Server 2008 R2". MUM и MANIFEST файловете и файлове свързана защита (.cat), са изключително важни за поддържане на състоянието на актуализираните компоненти. Каталожните файлове на защитата, за които не са изброени атрибути, са подписани с цифров подпис на Microsoft.
За всички поддържани базирани на x64 версии на Windows Server 2008 R2
Име на файл |
Версия на файла |
Размер на файла |
Дата |
Време |
Платформа |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
Kdcsvc.mof |
Неприложимо |
5300 |
10-Jun-2009 |
21:01 |
Неприложимо |
Заобикаляне на проблема
За да заобиколите този проблем, сменете паролата на проблемните потребителски акаунт на домейн контролера, работещ под Windows Server 2008 R2.
Статус
Microsoft потвърждава, че това е проблем в продуктите на Microsoft, изброени в раздела "Отнася се за".
Допълнителна информация
За повече информация относно терминологията за актуализация на софтуера щракнете върху следния номер на статия, за да я видите в базата данни на Microsoft:
824684 описание на стандартната терминология, използвана за описание на софтуерните актуализации на Microsoft
Допълнителна файлова информация
Допълнителна файлова информация за Windows Server 2008 R2
Допълнителни файлове за всички поддържани базирани на x64 версии на Windows Server 2008 R2
Име на файл |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
724 |
Дата (UTC) |
17-Dec-2009 |
Време (UTC) |
01:36 |
Платформа |
Неприложимо |
--- |
|
Име на файл |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
Версия на файла |
Неприложимо |
Размер на файла |
35,825 |
Дата (UTC) |
16-Dec-2009 |
Време (UTC) |
16:49 |
Платформа |
Неприложимо |
--- |
|
Име на файл |
Update.mum |
Версия на файла |
Неприложимо |
Размер на файла |
1700 |
Дата (UTC) |
17-Dec-2009 |
Време (UTC) |
01:36 |
Платформа |
Неприложимо |