Síntomas
Imagine el siguiente escenario:
-
Tiene un controlador de dominio que ejecuta Windows Server 2008 R2.
-
Realizar una acción de restauración autoritaria de la cuenta KRBTGT.
-
Iniciar sesión en un cliente Windows 8.1, un cliente de Windows 8 con el archivo Kerberos.dll 2883201 de actualización o una actualización posterior, o un cliente de Windows 7 con 2845626 de actualización o una actualización posterior.
-
Intente restablecer o cambiar la contraseña de dominio.
En este escenario, no se puede restablecer o cambiar la contraseña. Además, recibirá el siguiente mensaje de error:
La seguridad de la base de datos en el servidor no tiene una cuenta de equipo para esta relación de confianza de estación de trabajo
Causa
Este problema se produce porque el controlador de dominio de Windows Server 2008 R2 controla una marca específica incorrectamente. Se introduce la marca en el cliente para resolver un problema en el que el archivo kerberos.dll no actualiza la caché de credenciales de un usuario si el usuario inicia la sesión utilizando su nombre principal de usuario (UPN).
Solución
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.
Si la revisión está disponible para su descarga, entonces podrá ver una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta actualización, debe estar ejecutando Windows Server 2008 R2.
Información del registro
Para aplicar esta actualización, no es necesario realizar ningún cambio en el registro.
Requisito de reinicio
Debe reiniciar el equipo después de aplicar esta actualización.
Información para sustituir la actualización
Esta actualización no reemplaza a ninguna actualización publicada previamente.
La versión global de esta actualización instala los archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas sobre la información de archivo de Windows Server 2008 R2
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y el servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo, como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Servicio GDR contienen sólo correcciones de amplia distribución para solucionar problemas muy importante extendidos. Las ramas del servicio LDR contienen revisiones además de las correcciones de amplia distribución.
-
Los archivos MANIFEST (.manifest) y el MUM (.mum) instalados para cada entorno están enumerados por separado en la sección "información adicional de archivos". MUM, MANIFEST y los archivos de catálogo (.cat) de seguridad asociados son muy importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x64 compatibles de Windows Server 2008 R2
Nombre del archivo |
Versión del archivo |
Tamaño de archivo |
Fecha |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
No aplicable |
5.300 |
05-Nov-2010 |
02:14 |
No aplicable |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
No aplicable |
5.300 |
05-Nov-2010 |
02:14 |
No aplicable |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
Para determinar si tiene una cuenta KRBTGT restaurada en el dominio, puede ejecutar el siguiente comando desde un símbolo de elevados de administrador de dominio:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Dado que la restauración predeterminado incrementa todos los atributos en 100000 krbtgt.txt el archivo de salida, puede observar el valor de versión (version) del atributo pwdLastSet es 100002 o mayor. Por ejemplo, el resultado es como sigue:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información adicional de archivos