Fehler "der Zielkontenname ist ungültig" beim Domänenbenutzer Zugriff auf eine Freigabe auf einem Dateiserver, Windows Server 2012 R2 ausgeführt wird

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3040803
Problembeschreibung
Wenn Domäne-Benutzer versuchen auf eine Freigabe auf einem Dateiserver, auf denen Windows Server 2012 R2 ausgeführt wird, sie nicht auf die Freigabe zugreifen und sie erhalten folgende Fehlermeldung:

Anmeldefehler: Zielkontoname ist falsch.

Außerdem tritt dieses Problem protokolliert Ereignis-ID 4 und Ereignis-ID 1097are im Serverprotokoll. Dieses Problem kann mehrere Stunden oder bis zu einem Tag auftreten. Der Benutzer verliert dann Zugriff auf die Freigabe auf dem Server.

Ereignis-ID 4

Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler vom server Servername$. Der Zielname verwendet wurde Servername$. Dies bedeutet, dass der Zielserver konnte nicht vom Client bereitgestellten Ticket entschlüsseln. Dies kann auftreten, wenn das Ziel bei der Server-Dienstprinzipalnamen (SPN) auf ein anderes Konto als das Konto registriert ist, des Zieldienstes mithilfe. Stellen Sie sicher, das das Ziel, das SPN registriert und nur für das Konto vom Server registriert. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort für das Zieldienstkonto verwendet als was Kerberos Key Distribution Center (KDC) für das Ziel-Dienstkonto. Stellen Sie sicher, dass der Dienst auf dem Server und dem KDC werden beide aktualisiert das aktuelle Kennwort ein. Wenn der Servername nicht vollständig qualifiziert ist und die Domäne (ZielDNS_prefix.dns_suffix) unterscheidet sich von der Domäne-Client (DNS_prefix.dns_suffix), überprüfen Sie, ob dieselben es Serverkonten in diesen beiden Domänen Namen oder den vollständig qualifizierten Namen zur Identifizierung des Servers verwenden.

Ereignis-ID 1097

Fehler bei der Verarbeitung von Gruppenrichtlinien. Das Computerkonto Gruppenrichtlinien erzwingen konnte nicht ermittelt werden. Dies kann vorübergehend sein. Gruppe Richtlinien, einschließlich Konfiguration, werden für diesen Computer nicht erzwungen.

Ursache
Dieses Problem tritt auf, da der File Server das Ticket nicht entschlüsseln kann, das mit AES256 verschlüsselt wurde.
Lösung
Um dieses Problem zu beheben, legen Sie den Wert des Attributs SupportedEncryptionTypes auf 0x7fffffff. Gehen Sie hierzu folgendermaßen vor:
  1. In der Group Policy Management Console (GPMC), erweitern Sie Computerkonfiguration, Erweitern Sie Windows-Einstellungen-erweitern Sie Sicherheitseinstellungen, erweitern Sie Lokale Richtlinien, und wählen Sie Sicherheitsoptionen.
  2. Klicken Sie auf die Option Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren, um sie auszuwählen.
  3. Klicken Sie auf Sie Kontrollkästchen Diese Richtlinien definierenund alle sechs Kontrollkästchen für die Verschlüsselung.
  4. Klicken Sie auf OK, und schließen Sie die GPMC.


Hinweis Diese Richtlinie legt den RegistrierungseintragSupportedEncryptionTypes Wert 0x7FFFFFFF. Der SupportedEncryptionTypes -Registrierungseintrag ist am folgenden Speicherort:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters

Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt "Eigenschaften" aufgeführt sind.

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3040803 – Letzte Überarbeitung: 05/01/2016 21:38:00 – Revision: 2.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3040803 KbMtde
Feedback