Συμπτώματα
Εξετάστε το ακόλουθο σενάριο:
-
Μπορείτε να ενεργοποιήσετε επιλογές ελέγχου ταυτότητας μέσω μιας σχέσης αξιοπιστίας μεταξύ δύο συμπλέγματα δομών της υπηρεσίας καταλόγου Active Directory.
-
Μπορείτε να χρησιμοποιήσετε ένα λογαριασμό χρήστη από ένα σύμπλεγμα δομών της υπηρεσίας καταλόγου Active Directory για να αποκτήσετε πρόσβαση σε ένα διακομιστή πόρων σε άλλο σύμπλεγμα δομών της υπηρεσίας καταλόγου Active Directory.
-
Ο έλεγχος ταυτότητας NTLM χρησιμοποιείται μέσα και ανάμεσα σε αυτές τις δύο συμπλέγματα δομών της υπηρεσίας καταλόγου Active Directory.
-
Ο διακομιστής πόρων έχει ένα κανάλι ασφαλείας σε έναν ελεγκτή βασίζεται σε Windows Server 2008 R2 τομέα μόνο για ανάγνωση (RODC).
-
Δεν υπάρχει κανένας ελεγκτής τομέα ανάγνωσης/εγγραφής (RWDC) στην πλησιέστερη τοποθεσία για το RODC.
-
Αλλάζει τον κωδικό πρόσβασης του υπολογιστή από τον διακομιστή του πόρου.
Σε αυτό το σενάριο, επιλεκτική ελέγχου ταυτότητας μέσω της αξιοπιστίας δάσους αποτυγχάνει. Ενδέχεται να αντιμετωπίσετε διάφορα αποτυχίες ελέγχου ταυτότητας. Ακολουθούν μερικά παραδείγματα:
-
Όταν αποκτήσετε πρόσβαση στο διακομιστή του πόρου, λαμβάνετε το ακόλουθο μήνυμα λάθους:
Δεν επιτρέπεται η πρόσβαση
-
Σας ζητείται επανειλημμένα να εισαγάγετε το όνομα χρήστη και κωδικό πρόσβασης.
Αιτία
Αυτό το ζήτημα παρουσιάζεται επειδή το RODC δεν έχει τον κωδικό πρόσβασης του διακομιστή πόρων κατά τη στιγμή του ελέγχου ταυτότητας.
Όταν το RODC εκτελεί ο έλεγχος ταυτότητας επιλεκτική, προσπαθεί να διαβάσει όλα τα χαρακτηριστικά της υπηρεσίας καταλόγου Active Directory του αντικειμένου υπολογιστή διακομιστή πόρων. Ωστόσο, όπως το RODC δεν είναι δυνατό να ανακτήσετε τον κωδικό πρόσβασης του διακομιστή πόρων, αυτό προκαλεί την αποτυχία του ελέγχου ταυτότητας.
Προτεινόμενη αντιμετώπιση
Πληροφορίες άμεσης επιδιόρθωσης
Μια υποστηριζόμενη άμεση επιδιόρθωση είναι διαθέσιμη από τη Microsoft. Ωστόσο, αυτή η άμεση επιδιόρθωση προορίζεται για τη διόρθωση μόνο του προβλήματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε αυτήν την άμεση επιδιόρθωση μόνο σε συστήματα που αντιμετωπίζουν το πρόβλημα που περιγράφεται σε αυτό το άρθρο. Αυτή η άμεση επιδιόρθωση ενδέχεται να υποβληθεί σε πρόσθετο έλεγχο. Επομένως, εάν αυτό το ζήτημα δεν σας επηρεάζει ιδιαίτερα, σας συνιστούμε να περιμένετε έως την επόμενη ενημέρωση λογισμικού που περιέχει αυτήν την άμεση επιδιόρθωση.
Εάν η άμεση επιδιόρθωση είναι διαθέσιμη για λήψη, τότε υπάρχει μια ενότητα με τίτλο "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" στην αρχή αυτού του άρθρου της Γνωσιακής βάσης. Εάν αυτή η ενότητα δεν εμφανίζεται, επικοινωνήστε με την Υπηρεσία εξυπηρέτησης πελατών και υποστήριξης της Microsoft για να αποκτήσετε την άμεση επιδιόρθωση.
Σημείωση Εάν προκύψουν πρόσθετα ζητήματα ή απαιτείται αντιμετώπιση προβλημάτων, ίσως χρειαστεί να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης. Για πρόσθετες ερωτήσεις υποστήριξης και θέματα που δεν αφορούν τη συγκεκριμένη άμεση επιδιόρθωση, ισχύουν οι συνηθισμένες χρεώσεις υποστήριξης. Για μια πλήρη λίστα αριθμών τηλεφώνου υποστήριξης και εξυπηρέτησης πελατών της Microsoft ή για να δημιουργήσετε ξεχωριστή αίτηση εξυπηρέτησης, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/contactus/?ws=supportΣημείωση Η φόρμα "Διαθέσιμη λήψη άμεσης επιδιόρθωσης" εμφανίζει τις γλώσσες για τις οποίες είναι διαθέσιμη η άμεση επιδιόρθωση. Εάν η γλώσσα σας δεν εμφανίζεται, τότε η άμεση επιδιόρθωση δεν είναι διαθέσιμη για αυτήν τη γλώσσα.
Προϋποθέσεις
Για να εφαρμόσετε αυτήν την επείγουσα επιδιόρθωση, πρέπει να εκτελείτε ένα από τα ακόλουθα λειτουργικά συστήματα:
-
Windows Server 2008 R2
-
Windows Server 2008 R2 Service Pack 1 (SP1)
Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης ενός service pack του Windows Server 2008 R2, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
976932 πληροφορίες σχετικά με το Service Pack 1 για Windows 7 και Windows Server 2008 R2
Πληροφορίες μητρώου
Για να χρησιμοποιήσετε αυτό το πακέτο της επείγουσας επιδιόρθωσης, δεν χρειάζεται να κάνετε αλλαγές στο μητρώο.
Απαίτηση επανεκκίνησης
Πρέπει να επανεκκινήσετε τον υπολογιστή μετά την εφαρμογή αυτής της επείγουσας επιδιόρθωσης.
Πληροφορίες αντικατάστασης άμεσης επιδιόρθωσης
Αυτή η επείγουσα επιδιόρθωση δεν αντικαθιστά μια επείγουσα επιδιόρθωση που κυκλοφόρησε στο παρελθόν.
Πληροφορίες αρχείων
Η καθολική έκδοση αυτής της επείγουσας επιδιόρθωσης εγκαθιστά αρχεία με χαρακτηριστικά που αναφέρονται στους παρακάτω πίνακες. Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία αναφέρονται σε Συντονισμένη παγκόσμια ώρα (UTC). Οι ημερομηνίες και οι ώρες για αυτά τα αρχεία στον τοπικό υπολογιστή σας, εμφανίζονται στην τοπική σας ώρα μαζί με την τρέχουσα θερινή ώρα (DST). Επιπλέον, οι ημερομηνίες και οι ώρες ενδέχεται να αλλάξουν όταν εκτελείτε συγκεκριμένες λειτουργίες στα αρχεία.
Σημειώσεις πληροφοριών αρχείων Windows Server 2008 R2
Σημαντικό Οι επείγουσες επιδιορθώσεις των Windows 7 και Windows Server 2008 R2 περιλαμβάνονται στα ίδια πακέτα. Ωστόσο, οι άμεσες επιδιορθώσεις στη σελίδα αίτησης άμεσων επιδιορθώσεων παρατίθενται κάτω από τα δύο λειτουργικά συστήματα. Για να ζητήσετε το πακέτο άμεσης επιδιόρθωσης που ισχύει για το ένα ή και τα δύο λειτουργικά συστήματα, επιλέξτε την άμεση επιδιόρθωση που παρατίθεται στην ενότητα "Windows 7/Windows Server 2008 R2" της σελίδας. Να ανατρέχετε πάντα στην ενότητα "Ισχύει για" των άρθρων για να προσδιορίσετε το πραγματικό λειτουργικό σύστημα που αφορά σε κάθε άμεση επιδιόρθωση.
-
Τα αρχεία που σχετίζονται με ένα συγκεκριμένο προϊόν, με SR_Level (εκδόσεις RTM, SPn) και κλάδο υπηρεσιών (LDR, GDR) μπορούν να αναγνωριστούν εξετάζοντας τους αριθμούς έκδοσης των αρχείων, όπως φαίνεται στον παρακάτω πίνακα.
Έκδοση
Το προϊόν
SR_Level
Κλάδος υπηρεσίας
6.1.760
0.
21 xxxWindows Server 2008 R2
RTM
LDR
6.1.760
1.
21 xxxWindows Server 2008 R2
SP1
LDR
-
Τα αρχεία MANIFEST (.manifest) και τα αρχεία MUM (.mum) που εγκαθίστανται για κάθε περιβάλλον είναι παρατίθενται ξεχωριστά στην ενότητα "Πρόσθετες πληροφορίες για τον Windows Server 2008 R2 αρχείου". Αρχεία MUM και MANIFEST αρχεία και τα συσχετιζόμενα αρχεία καταλόγου ασφαλείας (.cat), είναι εξαιρετικά σημαντικά για τη διατήρηση της κατάστασης των ενημερωμένων στοιχείων. Τα αρχεία καταλόγου ασφαλείας, των οποίων τα χαρακτηριστικά δεν αναφέρονται, είναι υπογεγραμμένα με ψηφιακή υπογραφή της Microsoft.
Για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 R2 που βασίζονται σε x64
|
Όνομα αρχείου |
Έκδοση αρχείου |
Μέγεθος αρχείου |
Ημ/νία |
Ώρα |
Πλατφόρμα |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.21048 |
693,760 |
08-Sep-2011 |
05:30 |
x64 |
|
Nlsvc.mof |
Δεν ισχύει |
2,873 |
10-Jun-2009 |
20:47 |
Δεν ισχύει |
|
Netlogon.dll |
6.1.7601.21813 |
695,296 |
08-Sep-2011 |
06:33 |
x64 |
|
Nlsvc.mof |
Δεν ισχύει |
2,873 |
10-Jun-2009 |
20:47 |
Δεν ισχύει |
|
Netlogon.dll |
6.1.7600.21048 |
564,736 |
08-Sep-2011 |
04:26 |
x86 |
|
Nlsvc.mof |
Δεν ισχύει |
2,873 |
10-Jun-2009 |
21:29 |
Δεν ισχύει |
|
Netlogon.dll |
6.1.7601.21813 |
564,224 |
08-Sep-2011 |
06:19 |
x86 |
|
Nlsvc.mof |
Δεν ισχύει |
2,873 |
10-Jun-2009 |
21:29 |
Δεν ισχύει |
Εναλλακτικός τρόπος αντιμετώπισης
Μπορείτε να χρησιμοποιήσετε μία από τις ακόλουθες δύο μεθόδους για να επιλύσετε αυτό το ζήτημα:
-
Απενεργοποίηση αλλαγών κωδικού πρόσβασης λογαριασμού για υπολογιστές που χρησιμοποιούν ένα RODC για το κανάλι ασφαλείας.
-
Αλλάξτε την τοπολογία της τοποθεσίας, ώστε να υπάρχει μια RWDC στην πλησιέστερη τοποθεσία για το RODC.
Κατάσταση
Η Microsoft έχει επιβεβαιώσει ότι πρόκειται για ένα ζήτημα των προϊόντων της Microsoft που παρατίθενται στην ενότητα "Ισχύει για".
Περισσότερες πληροφορίες
Το RODC υποστηρίζει αλλαγές κωδικού πρόσβασης για λογαριασμούς χρηστών μέσω του καναλιού ασφαλείας netlogon. Το RODC προωθεί την αίτηση αλλαγής κωδικού πρόσβασης σε ένα RWDC κατά την αλλαγή κωδικού πρόσβασης του λογαριασμού υπολογιστή. Όταν η αλλαγή του κωδικού πρόσβασης είναι επιτυχής, το RODC κάνει ευκαιριακό προσπάθεια για την αναπαραγωγή του νέου κωδικού πρόσβασης. Ωστόσο, η προσπάθεια αναπαραγωγής δεν μπορεί να στοχεύουν το ίδιο RWDC στην οποία προωθείται η αίτηση αλλαγής κωδικού πρόσβασης.
Παρόλο που το RODC έχει τη δική του υπάρχον κανάλι ασφαλείας με ένα RWDC μέσω της οποίας γίνεται η αλλαγή κωδικού πρόσβασης, το RWDC στόχο κατά την προσπάθεια αναπαραγωγής είναι επιλεγμένο, χρησιμοποιώντας το μηχανισμό DClocator. Στα περισσότερα τοπολογίες τοποθεσίας, αυτή η συμπεριφορά θα προκαλέσει το ίδιο ελεγκτή τομέα που χρησιμοποιείται για την προσπάθεια αναπαραγωγής για να τον τρέχοντα προορισμό καναλιού ασφαλείας. Ωστόσο, εάν δεν υπάρχει καμία RWDC στον ίδιο τομέα της τοποθεσίας βρίσκεται πλησιέστερα προς την RODC, η απόπειρα αλλαγής και αναπαραγωγής του κωδικού πρόσβασης ενδέχεται να παρουσιαστεί με διαφορετικές RWDCs.
Για περισσότερες πληροφορίες σχετικά με την ορολογία των ενημερώσεων λογισμικού, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft:
824684 περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft
Για περισσότερες πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της επιλεκτικής ελέγχου ταυτότητας μέσω μιας σχέσης αξιοπιστίας συμπλέγματος δομών, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Γενικές πληροφορίες σχετικά με τον τρόπο ενεργοποίησης της επιλεκτικής ελέγχου ταυτότητας μέσω μιας σχέσης αξιοπιστίας συμπλέγματος δομώνΓια περισσότερες πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων επιλεκτικής ελέγχου ταυτότητας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Γενικές πληροφορίες σχετικά με τον τρόπο ρύθμισης παραμέτρων επιλεκτικής ελέγχου ταυτότητας
Πρόσθετες πληροφορίες αρχείων
Πρόσθετες πληροφορίες αρχείων για Windows Server 2008 R2
Πρόσθετα αρχεία για όλες τις υποστηριζόμενες εκδόσεις του Windows Server 2008 R2 που βασίζονται σε x64
|
Όνομα αρχείου |
Amd64_0caf3106ff02b60b89c9d545792026c3_31bf3856ad364e35_6.1.7600.21048_none_9a893a6b7aa6f649.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
1,060 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
09:44 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Amd64_0e7e58fe08c4a3c71653acdcc4a5f0f9_31bf3856ad364e35_6.1.7601.21813_none_1a842e21757b81df.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
709 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
09:44 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Amd64_d0d81f110ea917a2a3131f5317a03ed1_31bf3856ad364e35_6.1.7601.21813_none_825a6a5ddaa496d5.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
1,060 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
09:44 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Amd64_dc11db02cc633a9f065ad3f21d62956a_31bf3856ad364e35_6.1.7600.21048_none_ffab83fd2ef937aa.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
709 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
09:44 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_5a6467e36aa5900e.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
35,547 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
06:01 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_5c665cff67b7f359.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
35,547 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
07:31 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Update.mum |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
3,215 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
09:44 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_64b912359f065209.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
16,596 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
04:42 |
|
Πλατφόρμα |
Δεν ισχύει |
|
Όνομα αρχείου |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_66bb07519c18b554.manifest |
|
Έκδοση αρχείου |
Δεν ισχύει |
|
Μέγεθος αρχείου |
16,596 |
|
Ημερομηνία (UTC) |
08-Sep-2011 |
|
Ώρα (UTC) |
06:38 |
|
Πλατφόρμα |
Δεν ισχύει |
