Update: Benutzerkonten, die DES-Verschlüsselung für Kerberos-Authentifizierung verwenden können nicht in einer Windows Server 2003-Domäne authentifiziert werden, nachdem ein Windows Server 2008 R2-Domänencontroller der Domäne beitritt

Problembeschreibung

Betrachten Sie das folgende Szenario:

  • Ein Benutzerkonto wird in Windows Server 2003-Domäne erstellt.
  • Alle Domänencontroller in dieser Domäne werden Windows Server 2003 ausgeführt.
  • Das Benutzerkonto konfiguriert Data Encryption Standard (DES) Verschlüsselung für Kerberos-Authentifizierung verwenden.
  • Ein Computer mit Windows Server 2008 R2 wird der Domäne hinzugefügt.
  • Active Directory ist auf dem Mitgliedsserver installiert.
In diesem Szenario kann das Benutzerkonto der Domäne anmelden, unmittelbar nach der Domänencontroller Windows Server 2008 R2 gestartet wird. Sie können auch die folgende Fehlermeldung:
KDC bietet keine Unterstützung für Verschlüsselung und erste Anmeldedaten.
Außerdem werden die folgenden Ereignisse im Systemprotokoll auf dem Domänencontroller protokolliert, auf dem Windows Server 2008 R2 ausgeführt wird:
Namen: System
Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: Datum
Ereignis-ID: 14
Aufgabe Kategorie: keine
Stufe: Fehler
Schlüsselwörter: Klassisch
Benutzer: NV
Computer: Computername
Beschreibung
Während der Verarbeitung einer Anforderung als Ziel Service Krbtgt, der Name keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von 1). Der angeforderte Etypes: 16 1 11 10 15 12 13. Die verfügbaren Konten Etypes: 23-133-128. Ändern oder Zurücksetzen des Kennworts Benutzername wird notwendigen Schlüssel generieren.

Namen: System
Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: Datum
Ereignis-ID: 16
Aufgabe Kategorie: keine
Stufe: Fehler
Schlüsselwörter: Klassisch
Benutzer: NV
Computer: Computername
Beschreibung
Beim Verarbeiten einer Anforderung TGS für Ziel-Server Servername, Konto Kontoname keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von 9). Der angeforderte Etypes wurden 3 1. Konten verfügbar Etypes wurden 23-133-128. Ändern oder Zurücksetzen des Kennworts Kontoname wird notwendigen Schlüssel generieren.

Ursache

Dieses Problem tritt auf, weil andere Datenstrukturen verwendet werden, um Typinformationen über das Benutzerkonto Verschlüsselung auf Domänencontrollern Windows Server 2003 und Windows Server 2008 R2 Domänencontroller speichern.

Beim Erstellen ein Benutzerkontos auf einem Windows Server 2003-Domänencontroller wird die Verschlüsselungsinformationen in einer Datenstruktur gespeichert. Anschließend wird diese Informationen mithilfe von Active Directory-Replikation auf Windows Server 2008 R2-Domänencontroller kopiert.

Hinweis Dieses Problem tritt auch auf, wenn das Kennwort eines Benutzerkontos zurückgesetzt wird.

Wenn ein Windows Server 2008 R2-Domänencontroller das Benutzerkonto authentifiziert, liest der Domänencontroller diese Verschlüsselung Typinformationen aus der Datenstruktur, die von Windows Server 2003-Domänencontroller verwendet. Sie sollten dann diese Verschlüsselung Typinformationen an eine andere Datenstruktur kopieren. Allerdings werden die Informationen nicht wie erwartet kopiert. Daher schlägt die Authentifizierung fehl.

Problemlösung

Hotfix-Informationen

Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.

Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten.

Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:Hinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.

Voraussetzungen

Die folgende Liste enthält Komponenten für den Hotfix:
  • Sie müssen Windows Server 2008 R2 installiert.
  • Sie müssen den Active Directory-Domänendienste-Rollendienst installiert haben.

Installationshinweis

Installieren Sie diesen Hotfix auf allen Domänencontrollern, die Windows Server 2003-Domäne Windows Server 2008 R2 ausgeführt. Dieser Hotfix sollte nicht auf Windows Server 2003-Server angewendet werden, die in der Domäne.

Informationen zur Registrierung

Um den Hotfix aus diesem Paket verwenden zu können, müssen Sie keine Änderungen an der Registrierungsdatenbank vornehmen.

Informationen zum Neustart

Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.

Informationen zu ersetzten Hotfixes

Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.

Dateiinformationen

Die US-englische Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.
Hinweis zu den Dateiinformationen für Windows Server 2008 R2
  • MANIFEST-Dateien (. manifest) und der MUM-Dateien, die installiert werden für jede Umgebung sind im Abschnitt "Weitere Dateiinformationen für Windows Server 2008 R2" separat aufgeführt . MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponenten verwalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten X64-basierten Versionen von Windows Server 2008 R2
DateinameDateiversionDateigrößeDatumZeitPlattform
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofNicht zutreffend530010-Jun-200921:01Nicht zutreffend

PROBLEMUMGEHUNG

Um dieses Problem zu umgehen, setzen Sie das Kennwort des problematischen Benutzerkontos auf dem Domänencontroller zurück, auf dem Windows Server 2008 R2 ausgeführt wird.

Status

Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.

Weitere Informationen

Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:

824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates

Weitere Dateiinformationen

Weitere Dateiinformationen für Windows Server 2008 R2

Weitere Dateien für alle unterstützten X64-basierten Versionen von Windows Server 2008 R2
DateinameAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
DateiversionNicht zutreffend
Dateigröße724
Datum (UTC)17-Dec-2009
Zeit (UTC)01:36
PlattformNicht zutreffend
---
DateinameAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
DateiversionNicht zutreffend
Dateigröße35,825
Datum (UTC)16-Dec-2009
Zeit (UTC)16:49
PlattformNicht zutreffend
---
DateinameUpdate.mum
DateiversionNicht zutreffend
Dateigröße1.700
Datum (UTC)17-Dec-2009
Zeit (UTC)01:36
PlattformNicht zutreffend
Eigenschaften

Artikelnummer: 978055 – Letzte Überarbeitung: 13.01.2017 – Revision: 2

Feedback