Problembeschreibung
Betrachten Sie das folgende Szenario:
-
Ein Benutzerkonto wird in Windows Server 2003-Domäne erstellt.
-
Alle Domänencontroller in dieser Domäne werden Windows Server 2003 ausgeführt.
-
Das Benutzerkonto konfiguriert Data Encryption Standard (DES) Verschlüsselung für Kerberos-Authentifizierung verwenden.
-
Ein Computer mit Windows Server 2008 R2 wird der Domäne hinzugefügt.
-
Active Directory ist auf dem Mitgliedsserver installiert.
In diesem Szenario kann das Benutzerkonto der Domäne anmelden, unmittelbar nach der Domänencontroller Windows Server 2008 R2 gestartet wird. Sie können auch die folgende Fehlermeldung:
KDC bietet keine Unterstützung für Verschlüsselung und erste Anmeldedaten.
Außerdem werden die folgenden Ereignisse im Systemprotokoll auf dem Domänencontroller protokolliert, auf dem Windows Server 2008 R2 ausgeführt wird:
Namen: System
Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center Datum: Datum Ereignis-ID: 14 Aufgabe Kategorie: keine Stufe: Fehler Schlüsselwörter: Klassisch Benutzer: NV Computer: Computername Beschreibung Während der Verarbeitung einer Anforderung als Ziel Service Krbtgt, der Name keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von 1). Der angeforderte Etypes: 16 1 11 10 15 12 13. Die verfügbaren Konten Etypes: 23-133-128. Ändern oder Zurücksetzen des Kennworts Benutzername wird notwendigen Schlüssel generieren. Namen: System Quelle: Microsoft-Windows-Kerberos-Key-Distribution-Center Datum: Datum Ereignis-ID: 16 Aufgabe Kategorie: keine Stufe: Fehler Schlüsselwörter: Klassisch Benutzer: NV Computer: Computername Beschreibung Beim Verarbeiten einer Anforderung TGS für Ziel-Server Servername, Konto Kontoname keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von 9). Der angeforderte Etypes wurden 3 1. Konten verfügbar Etypes wurden 23-133-128. Ändern oder Zurücksetzen des Kennworts Kontoname wird notwendigen Schlüssel generieren.Ursache
Dieses Problem tritt auf, weil andere Datenstrukturen verwendet werden, um Typinformationen über das Benutzerkonto Verschlüsselung auf Domänencontrollern Windows Server 2003 und Windows Server 2008 R2 Domänencontroller speichern.
Beim Erstellen ein Benutzerkontos auf einem Windows Server 2003-Domänencontroller wird die Verschlüsselungsinformationen in einer Datenstruktur gespeichert. Anschließend wird diese Informationen mithilfe von Active Directory-Replikation auf Windows Server 2008 R2-Domänencontroller kopiert. Hinweis Dieses Problem tritt auch auf, wenn das Kennwort eines Benutzerkontos zurückgesetzt wird. Wenn ein Windows Server 2008 R2-Domänencontroller das Benutzerkonto authentifiziert, liest der Domänencontroller diese Verschlüsselung Typinformationen aus der Datenstruktur, die von Windows Server 2003-Domänencontroller verwendet. Sie sollten dann diese Verschlüsselung Typinformationen an eine andere Datenstruktur kopieren. Allerdings werden die Informationen nicht wie erwartet kopiert. Daher schlägt die Authentifizierung fehl.Problemlösung
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Wenden Sie dieses Hotfix nur auf Systeme an, bei denen das in diesem Artikel beschriebene Problem auftritt. Dieser Hotfix sollte weiteren Tests unterzogen werden. Wenn Ihr System durch dieses Problem nicht schwerwiegend beeinträchtigt ist, empfehlen wir sie, auf das nächste Softwareupdate zu warten, das diesen Hotfix enthält.
Wenn der Hotfix zum Download zur Verfügung steht, gibt es einen Abschnitt "Hotfixdownload available" ("Hotfixdownload verfügbar"), am oberen Rand dieses Knowledge Base-Artikel. Wenn dieser Abschnitt nicht angezeigt wird, wenden Sie sich an den Microsoft Customer Service and Support, um den Hotfix zu erhalten. Hinweis Falls weitere Probleme auftreten oder andere Schritte zur Problembehandlung erforderlich sind, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die nicht diesem speziellen Hotfix zugeordnet werden können. Für eine vollständige Liste der Telefonnummern des Microsoft Customer Service and Support, oder um eine separate Serviceanfrage zu erstellen, gehen Sie auf folgende Microsoft-Website:http://support.microsoft.com/contactus/?ws=supportHinweis Das Formular "Hotfix download available" ("Hotfixdownload verfügbar") zeigt die Sprachen an, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, ist dieser Hotfix für Ihre Sprache nicht verfügbar.
Voraussetzungen
Die folgende Liste enthält Komponenten für den Hotfix:
-
Sie müssen Windows Server 2008 R2 installiert.
-
Sie müssen den Active Directory-Domänendienste-Rollendienst installiert haben.
Installationshinweis
Installieren Sie diesen Hotfix auf allen Domänencontrollern, die Windows Server 2003-Domäne Windows Server 2008 R2 ausgeführt. Dieser Hotfix sollte nicht auf Windows Server 2003-Server angewendet werden, die in der Domäne.
Informationen zur Registrierung
Um den Hotfix aus diesem Paket verwenden zu können, müssen Sie keine Änderungen an der Registrierungsdatenbank vornehmen.
Informationen zum Neustart
Sie müssen den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.
Informationen zu ersetzten Hotfixes
Dieser Hotfix ersetzt keine zuvor veröffentlichten Hotfix.
Dateiinformationen
Die US-englische Version dieses Hotfixes installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Die Datums- und Uhrzeitangaben für diese Dateien werden auf Ihrem lokalen Computer in Ihrer Ortszeit mit dem aktuellen Sommerzeit-Zeitunterschied (DST) angezeigt. Darüber hinaus können sich die Datums- und Uhrzeitangaben ändern, wenn Sie bestimmte Operationen auf die Dateien anwenden.
Hinweis zu den Dateiinformationen für Windows Server 2008 R2
-
MANIFEST-Dateien (. manifest) und der MUM-Dateien, die installiert werden für jede Umgebung sind im Abschnitt "Weitere Dateiinformationen für Windows Server 2008 R2" separat aufgeführt . MUM- und MANIFEST-Dateien sowie die zugehörigen Sicherheitskatalogdateien (.cat) Dateien sind sehr wichtig, den Status der aktualisierten Komponenten verwalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Microsoft-Signatur signiert.
Für alle unterstützten X64-basierten Versionen von Windows Server 2008 R2
Dateiname |
Dateiversion |
Dateigröße |
Datum |
Zeit |
Plattform |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
Kdcsvc.mof |
Nicht zutreffend |
5300 |
10-Jun-2009 |
21:01 |
Nicht zutreffend |
PROBLEMUMGEHUNG
Um dieses Problem zu umgehen, setzen Sie das Kennwort des problematischen Benutzerkontos auf dem Domänencontroller zurück, auf dem Windows Server 2008 R2 ausgeführt wird.
Status
Microsoft hat bestätigt, dass es sich um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Eigenschaften“ aufgeführt sind.
Weitere Informationen
Um weitere Informationen zur Terminologie für Softwareupdates zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
824684 Erläuterung von der standardmäßigen Standardbegriffen bei Microsoft Softwareupdates
Weitere Dateiinformationen
Weitere Dateiinformationen für Windows Server 2008 R2
Weitere Dateien für alle unterstützten X64-basierten Versionen von Windows Server 2008 R2
Dateiname |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
Dateiversion |
Nicht zutreffend |
Dateigröße |
724 |
Datum (UTC) |
17-Dec-2009 |
Zeit (UTC) |
01:36 |
Plattform |
Nicht zutreffend |
--- |
|
Dateiname |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
Dateiversion |
Nicht zutreffend |
Dateigröße |
35,825 |
Datum (UTC) |
16-Dec-2009 |
Zeit (UTC) |
16:49 |
Plattform |
Nicht zutreffend |
--- |
|
Dateiname |
Update.mum |
Dateiversion |
Nicht zutreffend |
Dateigröße |
1.700 |
Datum (UTC) |
17-Dec-2009 |
Zeit (UTC) |
01:36 |
Plattform |
Nicht zutreffend |