Sümptomid
Kujutage ette järgmist stsenaariumi.
-
Valikuline autentimise lubamiseks kaks Active Directory kogumit vahelise usalduse kaudu.
-
Kasutate kasutajakonto ühest Active Directory metsa ressursi server mõne muu Active Directory metsas.
-
Ja need kaks Active Directory kogumit vahel kasutatakse NTLM-autentimist.
-
Allika server on turvalisuse kanal, Windows Server 2008 R2 põhises kirjutuskaitstud domeenikontrolleri (RODC).
-
Lähima saidi RODC on pole lugemiseks või kirjutamiseks domeenikontroller (RWDC).
-
Allika server arvuti parool on muudetud.
Selle stsenaariumi puhul metsa usalduse kaudu valikulise autentimine nurjub. Võite kokku puutuda erinevate autentimine vead. Siin on mõned näited:
-
Kui avate ressursi serveriga, kuvatakse järgmine tõrketeade:
Juurdepääs on keelatud
-
Teil palutakse korduvalt sisestada oma kasutajanimi ja parool.
Põhjus
See probleem ilmneb seetõttu RODC on ressurss serveris parooli autentimine ajal.
Kui RODC teeb valikuline autentimise sisse, proovib lugeda kõiki ressursi serveri arvuti objekt Active Directory atribuute. Kuid kui RODC ei saa laadida resource server parooli, nurjub autentimine.
Lahendus
Kiirparanduse teave
Toetatud käiguparandus on saadaval Microsoftilt. See kiirparandus on ette nähtud üksnes käesolevas artiklis kirjeldatud probleemi lahendamiseks. Kasutage seda kiirparandust ainult selles artiklis kirjeldatud probleemiga süsteemide. Seda kiirparandust võidakse täiendavalt testida. Seega, kui probleem teid tõsiselt ei kahjusta, soovitame oodata järgmist tarkvaravärskendust, mis sisaldab seda kiirparandust.
Kui kiirparandus on allalaadimiseks saadaval, on selle teabebaasi artikli alguses "Kiirparandus on allalaadimiseks saadaval" sektsiooni. Kui seda jaotist ei ole, kontakteeruge vastava kiirparanduse hankimiseks Microsofti klienditeeninduse ja toega.
Märkus. Kui ilmneb veel probleeme või kui on tarvis teha tõrkeotsing, peate looma eraldi tugiteenuse taotluse. Tavapärane tugiteenuse tasu kehtib täiendavatele tugiteenustega seotud küsimustele ning probleemidele, mis pole lahendatavad konkreetse kiirparandusega. Täieliku loetelu Microsofti klienditeeninduse ja -toe telefoninumbrite või eraldi tugiteenuse taotluse loomiseks külastage järgmist Microsofti veebisaiti:
http://support.microsoft.com/contactus/?ws=supportMärkus. "Kiirparandus on allalaadimiseks saadaval" vormil kuvatakse keeled, mille jaoks kiirparandus on saadaval. Kui te ei näe oma keelt, ei ole kiirparandus selles keeles saadaval.
Eeltingimused
Selle kiirparanduse rakendamiseks peab töötama üks järgmistest operatsioonisüsteemidest:
-
Windows Server 2008 R2
-
Windows Server 2008 R2 hoolduspaketi 1 (SP1)
Windows Server 2008 R2 hoolduspaketi hankimise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
976932 teave Windows 7 ja Windows Server 2008 R2 hoolduspaketi 1
Registri teave
Et kasutada seda kiirparandust, ei pea sa tegema mingeid parandusi registrisse.
Taaskäivitamise nõue
Pärast selle kiirparanduse rakendamist arvuti taaskäivitama.
Kiirparanduse asendamise teave
See kiirparandus ei asenda varem välja antud Kiirparandusi.
Failiteave
Globaalne versioon sellest kiirparanduse installi failist millel on nimetatud omadused järgmistes tabelites. Kuupäevad ja kellaajad nendele failidele on loetletud koordineeritud maailmaaja järgi (UTC). Kuupäevad ja kellaajad nende failide jaoks kuvatakse teie arvutis kohaliku aja järgi, arvestades praegust suveaega. Lisaks võivad kuupäevad ja kellaajad muutuda, kui teete failidega teatud toiminguid.
Windows Server 2008 R2 Failiteabe märkused
NB! Windows 7 ja Windows Server 2008 R2 käigultparandused on kaasatud samades pakettides. Siiski on kiirparanduse taotluse lehel on Kiirparandused loetletud mõlema operatsioonisüsteemi all. Ühele või mõlemale operatsioonisüsteemile kehtiva kiirparanduspaketi taotlemiseks valige kiirparandus, mis on loetletud leheküljel "Windows 7/Windows Server 2008 R2". Vaadake alati artiklites jaotist "Applies To", artiklites kindlaks, millisele tegelikule operatsioonisüsteemile iga kiirparandus kehtib.
-
Failid, mida kohaldatakse konkreetse toote, SR_Leveli (RTM, SPn), ja teenuseharu (LDR, GDR) saab tuvastada failiversiooni numbri järgi vastavalt järgmisele tabelile.
Versioon
Toode
SR_Level
Teenuseharu
6.1.760
0.
21 xxxWindows Server 2008 R2
RTM
LDR-I
6.1.760
1.
21 xxxWindows Server 2008 R2
SP1
LDR-I
-
MANIFEST-failid (.manifest) ja MUM-failid (.mum) on paigaldatud iga keskkonna puhul on loetletud eraldi jaotises "Lisafailiteave Windows Server 2008 R2". MUM- ja MANIFEST-failid ning ning nendega seotud Turbekataloogi failid (.cat), on värskendatavate komponentide oleku säilitamiseks äärmiselt olulised. Turbekataloogifailid, mille atribuudid on nimetamata, on allkirjastatud Microsofti digitaalallkirjaga.
Kõik toetatud Windows Server 2008 R2 x64-põhised versioonid
|
Faili nimi |
Faili versioon |
Faili maht |
Kuupäev |
Aeg |
Platvorm |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.21048 |
693,760 |
08-Sep-2011 |
05:30 |
x64 |
|
Nlsvc.mof |
Pole rakendatav |
2 873 |
10-Jun-2009 |
20:47 |
Pole rakendatav |
|
Netlogon.dll |
6.1.7601.21813 |
695,296 |
08-Sep-2011 |
06:33 |
x64 |
|
Nlsvc.mof |
Pole rakendatav |
2 873 |
10-Jun-2009 |
20:47 |
Pole rakendatav |
|
Netlogon.dll |
6.1.7600.21048 |
564,736 |
08-Sep-2011 |
04:26 |
x86 |
|
Nlsvc.mof |
Pole rakendatav |
2 873 |
10-Jun-2009 |
21:29 |
Pole rakendatav |
|
Netlogon.dll |
6.1.7601.21813 |
564,224 |
08-Sep-2011 |
06:19 |
x86 |
|
Nlsvc.mof |
Pole rakendatav |
2 873 |
10-Jun-2009 |
21:29 |
Pole rakendatav |
Lahendus
Saate üks kaks meetodit probleemi lahendamiseks:
-
Keelake konto parooli muutmise arvutites, mis kasutavad RODC oma turvalisuse kanal.
-
Ei saanud RWDC RODC lähima saidi saidi topoloogia muutmine
Olek
Microsoft on kinnitanud, et see probleem esineb jaotises "Kehtib järgmiste toodete kohta" loetletud Microsofti toodetel.
Lisateabe saamiseks
RODC toetab kasutajakonto parooli muutmise netlogon turvalisuse kanali kaudu. Kui arvuti konto parool on muudetud ettepoole RODC parooli muutmise taotlus on RWDC. Kui parooli muutmine õnnestus, muudab RODC oportunistliku katse uus parool uuesti esile kutsuda. Siiski võib suunata paljundus katsel sama RWDC, mille parooli muutmise taotlus on edastatud.
Kuigi RODC oma olemasolevat security kanal on RWDC, mis juhtub parooli muutmine, valitakse suunatud kopeerimise katse RWDC DClocator abil. Enamik saidi topologies selle käitumise põhjustab praegused turvalisuse kanali potentsiaalse paljundus katse puhul kasutatakse sama domeenikontroller. Kuid korral pole RWDC sama domeeni saidi lähemal RODC parooli muutmine ja kopeerimise katse võib tekkida erinevate RWDCs vastu.
Tarkvaravärskenduste terminoloogia kohta lisateabe saamiseks avage Microsofti teabebaasi (Knowledge Base) artikkel, klõpsates järgmist artiklinumbrit:
824684 Microsofti tarkvaravärskenduste iseloomustamiseks kasutatavate standardterminite kirjeldus
Valikuline autentimise lubamiseks metsa usalduse kaudu kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
Üldteave valikuline autentimise lubamiseks metsa usalduse kauduValikuline autentimise konfigureerimise kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
Üldine teave valikulise autentimise konfigureerimine
Lisafailiteave
Lisafailiteave Windows Server 2008 R2
Lisafailid kõigi toetatud Windows Server 2008 R2 x64-põhistele versioonidele
|
Faili nimi |
Amd64_0caf3106ff02b60b89c9d545792026c3_31bf3856ad364e35_6.1.7600.21048_none_9a893a6b7aa6f649.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
1 060 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
09:44 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Amd64_0e7e58fe08c4a3c71653acdcc4a5f0f9_31bf3856ad364e35_6.1.7601.21813_none_1a842e21757b81df.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
709 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
09:44 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Amd64_d0d81f110ea917a2a3131f5317a03ed1_31bf3856ad364e35_6.1.7601.21813_none_825a6a5ddaa496d5.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
1 060 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
09:44 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Amd64_dc11db02cc633a9f065ad3f21d62956a_31bf3856ad364e35_6.1.7600.21048_none_ffab83fd2ef937aa.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
709 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
09:44 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_5a6467e36aa5900e.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
35,547 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
06:01 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_5c665cff67b7f359.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
35,547 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
07:31 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Update.mum |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
3 215 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
09:44 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_64b912359f065209.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
16,596 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
04:42 |
|
Platvorm |
Pole rakendatav |
|
Faili nimi |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_66bb07519c18b554.manifest |
|
Faili versioon |
Pole rakendatav |
|
Faili maht |
16,596 |
|
Hoiatus. |
08-Sep-2011 |
|
Täiendav failiteave |
06:38 |
|
Platvorm |
Pole rakendatav |
