Oprava: Uživatelské účty, které používají šifrování DES pro typy ověřování pomocí protokolu Kerberos nelze ověřit v doméně systému Windows Server 2003 po připojí se k doméně řadič domény systému Windows Server 2008 R2

Příznaky

Jde o takovouto situaci:

  • Uživatelský účet je vytvořen v doméně systému Windows Server 2003.
  • Všechny řadiče domény v této doméně se systémem Windows Server 2003.
  • Uživatelský účet je nakonfigurován pro použití typů šifrování Data Encryption (Standard DES) pro ověřování pomocí protokolu Kerberos.
  • Připojí se k doméně počítače se systémem Windows Server 2008 R2.
  • Služba Active Directory je nainstalována na členský server.
V tomto scénáři uživatelský účet nelze přihlásit k doméně ihned po spuštění řadiče domény systému Windows Server 2008 R2. Také můžete obdržet následující chybovou zprávu:
Služba KDC nemá žádnou podporu pro typ šifrování při získávání počáteční pověření.
Navíc následující události jsou zaznamenány v protokolu systému v řadiči domény se systémem Windows Server 2008 R2:
Název protokolu: systém
Zdroj: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: Datum
ID události: 14
Kategorie úkolů: žádný
Úroveň: Chyba
Klíčová slova: klasické
Uživatel: N/A
Počítač: název_počítače
Popis:
Při zpracování požadavku AS pro cílové služby krbtgt, název účtu neměl vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID 1). Požadované protokoly ETYPE: 16 1 11 10 15 12 13. K dispozici ETYPE účty: 23-133 -128. Změna nebo resetování hesla uživatelské_jméno vygeneruje správný klíč.

Název protokolu: systém
Zdroj: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: Datum
ID události: 16
Kategorie úkolů: žádný
Úroveň: Chyba
Klíčová slova: klasické
Uživatel: N/A
Počítač: název_počítače
Popis:
Během zpracování služby TGS požadavek na cílový server název_serveru, neměl účet název_účtu vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID 9). Požadované protokoly ETYPE byly 3 1. K dispozici ETYPE účty byly 23-133 -128. Změna nebo resetování hesla název_účtu vygeneruje správný klíč.

Příčina

K tomuto problému dochází, protože různé datové struktury se používají k uložení šifrování typu informací o uživatelském účtu v řadičích domény systému Windows Server 2003 a v řadičích domény systému Windows Server 2008 R2.

Při vytvoření uživatelského účtu v řadiči domény systému Windows Server 2003 informace o typu šifrování je uložen v datové struktury. Potom tyto informace zkopírovány do řadiče domény systému Windows Server 2008 R2 pomocí replikace AD.

Poznámka: K tomuto problému také dochází při obnovení hesla uživatelského účtu.

Pokud řadič domény systému Windows Server 2008 R2 ověřuje uživatelský účet, řadič domény čte tyto informace typu šifrování ze struktury dat, který používá řadič domény systému Windows Server 2003. To by zkopírujte tyto informace typu šifrování různé datové struktury. Podle očekávání se však nezkopíruje informace. Proto se ověřování nezdaří.

Řešení

Informace o opravě hotfix

Společnost Microsoft má k dispozici podporovanou opravu hotfix. Tato oprava hotfix je však určena pouze problému popsanému v tomto článku. Tuto opravu hotfix instalujte pouze do systémů, ve kterých dochází k potížím popsaným v tomto článku. Tato oprava hotfix může být dále testována. Proto pokud nejste vážně ohrožen tímto problémem, doporučujeme počkat na další aktualizaci softwaru, která obsahuje tuto opravu hotfix.

Pokud je oprava hotfix k dispozici ke stažení, je v horní části tohoto článku znalostní báze Knowledge Base oddíl "Oprava Hotfix je dostupná ke stažení" . Pokud tato sekce není uvedena, obraťte se na Zákaznický servis a podporu společnosti Microsoft k získaní opravy hotfix.

Poznámka: Pokud nastanou další problémy nebo bude nutné další řešení potíží, bude možná třeba vytvořit další samostatný požadavek na služby. Běžná cena za technickou podporu se vztahuje k dodatečným otázkám podpory a k problémům, které se netýkají této konkrétní opravy hotfix. Úplný seznam telefonních čísel služeb zákazníkům společnosti Microsoft a podpoře nebo vytvořit zvláštní požadavek na službu naleznete na následujícím webu společnosti Microsoft:Poznámka: Ve formuláři „Oprava hotfix je dostupná ke stažení“ se zobrazují jazyky, pro které je oprava hotfix k dispozici. Pokud váš jazyk není zobrazen, to je protože oprava hotfix není k dispozici pro daný jazyk.

Předpoklady

Následující seznam obsahuje požadavky pro opravu hotfix:
  • Je nutné mít nainstalovanou Instalační službu systému Windows Server 2008 R2.
  • Musí být nainstalována služba role Active Directory Domain Service.

Poznámka: instalace

Instalaci této opravy hotfix na všech řadičích domény se systémem Windows Server 2008 R2 v doméně systému Windows Server 2003. Tato oprava hotfix neměl být aplikován na serverech Windows Server 2003, které jsou v doméně.

Informace o registrech

Pro použití tohoto hotfixu nemusíte provádět žádné změny v registrech.

Informace o restartování počítače

Bude pravděpodobně nutné restartovat počítač po instalaci této opravy hotfix.

Informace o nahrazení opravy hotfix

Tato oprava hotfix nenahrazuje dříve vydanou opravu hotfix.

Informace o souborech

Angličtina (Spojené státy) verze této opravy hotfix nainstaluje soubory, jejichž atributy, které jsou uvedeny v následujících tabulkách. Kalendářní data a časy jednotlivých souborů jsou uvedeny v koordinovaném světovém čase (UTC). Kalendářní data a časy těchto souborů v místním počítači jsou zobrazeny dle vašeho místního času a také podle aktuálního letního času (DST). Navíc data a časy se mohou změnit při provádění některých operací se soubory.
Poznámka: informace souboru systému Windows Server 2008 R2
  • Soubory MANIFEST (.manifest) a soubory MUM (.mum) instalované pro každé prostředí jsou uvedeny samostatně v části "Další informace o souborech pro systém Windows Server 2008 R2". MUM a MANIFEST soubory a soubory katalogu (CAT) přidružené zabezpečení, jsou velice důležité k udržení stavu aktualizované součásti. Soubory katalogu zabezpečení, pro něž nejsou uvedeny atributy, jsou podepsané digitálním podpisem společnosti Microsoft.
Pro všechny podporované verze systému Windows Server 2008 R2 x64
Název souboruVerze souboruVelikost souboruDatumČasPlatforma
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofNení k dispozici5,30010-Jun-200921:01Není k dispozici

Jak potíže obejít

Chcete-li tento problém vyřešit, obnovte heslo problematické uživatelského účtu v řadiči domény se systémem Windows Server 2008 R2.

Stav

Společnost Microsoft potvrdila, že se jedná o problém v produktech společnosti Microsoft, které jsou uvedeny v části "Platí pro".

Další informace

Pro další informace o terminologii používané v aktualizacích softwaru, klepněte na následující číslo článku k zobrazení článku v databázi Microsoft Knowledge Base:

824684 Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft

Další informace o souborech

Další informace o souborech pro systém Windows Server 2008 R2

Další soubory pro všechny podporované verze systému Windows Server 2008 R2 x64
Název souboruAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
Verze souboruNení k dispozici
Velikost souboru724
Datum (čas UTC)17-Dec-2009
Čas (UTC)01:36
PlatformaNení k dispozici
---
Název souboruAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
Verze souboruNení k dispozici
Velikost souboru35,825
Datum (čas UTC)16-Dec-2009
Čas (UTC)16:49
PlatformaNení k dispozici
---
Název souboruUpdate.mum
Verze souboruNení k dispozici
Velikost souboru1,700
Datum (čas UTC)17-Dec-2009
Čas (UTC)01:36
PlatformaNení k dispozici
Vlastnosti

ID článku: 978055 - Poslední kontrola: 13. 1. 2017 - Revize: 2

Váš názor