REVISIÓN: Las cuentas de usuario que utilizan cifrado DES para tipos de autenticación de Kerberos no se puede autenticar en un dominio de Windows Server 2003 después de que el dominio une a un controlador de dominio de Windows Server 2008 R2

Se aplica a: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Síntomas


Imagine el siguiente escenario:

  • Se crea una cuenta de usuario en un dominio de Windows Server 2003.
  • Todos los controladores de dominio en este dominio ejecutan Windows Server 2003.
  • La cuenta de usuario está configurada para usar tipos de cifrado estándar de cifrado de datos (DES) para la autenticación Kerberos.
  • Un equipo que ejecuta Windows Server 2008 R2 une al dominio.
  • Active Directory está instalado en el servidor miembro.
En este escenario, la cuenta de usuario no puede iniciar sesión en el dominio después de que se inicia el controlador de dominio de Windows Server 2008 R2. También puede recibir el siguiente mensaje de error:
KDC no tiene soporte para el tipo de cifrado al obtener credenciales iniciales.
Además, se graban los sucesos siguientes en el registro del sistema del controlador de dominio que ejecuta Windows Server 2008 R2:
Nombre de registro: sistema
Fuente: Microsoft-Windows-Kerberos-Key-Distribution-Center
Fecha: fecha
Id. de suceso: 14
Categoría de tarea: ninguno
Nivel: Error
Palabras clave: clásico
Usuario: N/D
Equipo: nombre_equipo
Descripción:
Al procesar una solicitud de AS para krbtgt del servicio de destino, el nombre de cuenta no tenía una clave adecuada para generar un vale de Kerberos (la clave que falta tiene un ID de 1). El ETYPE solicitado: 16 1 11 10 15 12 13. El ETYPE cuentas disponibles:-23 133 -128. Cambiar o restablecer la contraseña de user_name generará una clave apropiada.

Nombre de registro: sistema
Fuente: Microsoft-Windows-Kerberos-Key-Distribution-Center
Fecha: fecha
Id. de suceso: 16
Categoría de tarea: ninguno
Nivel: Error
Palabras clave: clásico
Usuario: N/D
Equipo: nombre_equipo
Descripción:
Al procesar una solicitud TGS para el servidor de destino nombre_servidor, la cuenta account_name no tenía una clave adecuada para generar un vale de Kerberos (la clave que falta tiene un ID de 9). El ETYPE solicitado era 3 1. El ETYPE cuentas disponibles fueron-23 133 -128. Cambiar o restablecer la contraseña de account_name se generará una clave apropiada.

Causa


Este problema se produce porque se utilizan estructuras de datos distintas para guardar información sobre la cuenta de usuario de tipo de cifrado en controladores de dominio de Windows Server 2003 y Windows Server 2008 R2 en controladores de dominio.

Cuando se crea una cuenta de usuario en un controlador de dominio de Windows Server 2003, la información de tipo de cifrado se guarda en una estructura de datos. A continuación, esta información se copia en los controladores de dominio de Windows Server 2008 R2 mediante la replicación de AD.

Nota: Este problema también se produce cuando se restablece la contraseña de una cuenta de usuario.

Cuando la cuenta de usuario autentica en un controlador de dominio de Windows Server 2008 R2, el controlador de dominio lee esta información de tipo de cifrado de la estructura de datos utilizada por el controlador de dominio de Windows Server 2003. A continuación, debe copiar esta información de tipo de cifrado para una estructura de datos diferente. Sin embargo, no se copia la información, como se esperaba. Por lo tanto, se produce un error en la autenticación.

Solución


Información de la revisión

Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplique esta revisión solamente a sistemas que experimenten el problema descripto en este artículo. Esta revisión podría ser sometida a comprobaciones adicionales. Por lo tanto, si no se ve muy afectado por este problema, recomendamos que espere a la próxima actualización de software que contenga este hotfix.

Si la revisión está disponible para su descarga, hay una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, póngase en contacto con el servicio al cliente de Microsoft y soporte técnico para obtener la revisión.

Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:Nota: El formulario de "Descarga de Hotfix disponible" muestra los idiomas para los que el Hotfix está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.

Requisitos previos

La lista siguiente contiene los requisitos previos de la revisión:
  • Debe tener instalado Windows Server 2008 R2.
  • Debe tener instalado el servicio de rol de servicios de dominio de Active Directory.

Nota de instalación

Instale esta revisión en todos los controladores de dominio que ejecutan Windows Server 2008 R2 en un dominio de Windows Server 2003. Esta revisión no debe aplicarse a los servidores de Windows Server 2003 que están en el dominio.

Información del registro

Para utilizar la revisión de este paquete, no es necesario realizar ningún cambio en el registro.

Información de reinicio

Tendrá que reiniciar el equipo después de aplicar este hotfix.

Información de reemplazo de revisión

Esta revisión no sustituye a ninguna revisión publicada previamente.

Información de archivo

La versión en inglés (Estados Unidos) de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Nota de información de archivo de Windows Server 2008 R2
  • Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información para Windows Server 2008 R2 de archivo adicional". MUM y los archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones basadas en x64 compatibles de Windows Server 2008 R2
Nombre del archivoVersión del archivoTamaño de archivoFechaHoraPlataforma
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofNo aplicable5.30010-Jun-200921:01No aplicable

Solución alternativa


Para evitar este problema, restablezca la contraseña de la cuenta de usuario problemático en el controlador de dominio que ejecuta Windows Server 2008 R2.

Estado


Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información


Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft

Información adicional de archivos

Información adicional de archivos para Windows Server 2008 R2

Archivos adicionales para todas las versiones compatibles basadas en x64 de Windows Server 2008 R2
Nombre del archivoAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
Versión del archivoNo aplicable
Tamaño de archivo724
Fecha (UTC)17-Dec-2009
Hora (UTC)01:36
PlataformaNo aplicable
---
Nombre del archivoAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
Versión del archivoNo aplicable
Tamaño de archivo35,825
Fecha (UTC)16-Dec-2009
Hora (UTC)16:49
PlataformaNo aplicable
---
Nombre del archivoUpdate.mum
Versión del archivoNo aplicable
Tamaño de archivo1.700
Fecha (UTC)17-Dec-2009
Hora (UTC)01:36
PlataformaNo aplicable