מאפייני הבעיה
שקול את התרחיש הבא:
-
אפשר אימות סלקטיבי מעל יחסי אמון בין שני יערות Active Directory.
-
להשתמש בחשבון משתמש אחד יער של Active Directory כדי לגשת לשרת משאב ביער אחר של Active Directory.
-
אימות NTLM נעשה שימוש בובין אלה שני יערות Active Directory.
-
השרת משאבים יש ערוץ אבטחה המבוסס על Windows Server 2008 R2 לקריאה בלבד בקר קבוצת מחשבים (RODC).
-
אין בקר תחום לקריאה/כתיבה (RWDC) לאתר RODC הקרוב ביותר.
-
לשנות את סיסמת המחשב של שרת ה-משאב.
בתרחיש זה, האימות סלקטיבי מעל אמון יער נכשל. ייתכן שתיתקל בכשלים אימות שונים. להלן מספר דוגמאות:
-
בעת קבלת גישה לשרת משאב, מתקבלת הודעת השגיאה הבאה:
Access נדחתה
-
אתה מתבקש שוב ושוב להזין את שם המשתמש ואת הסיסמה שלך.
הגורם
בעיה זו מתרחשת מכיוון שאין RODC הסיסמה של השרת משאב זמן של אימות.
כאשר RODC מבצע בדיקת האימות סלקטיבית, היא מנסה לקרוא את תכונות Active Directory של אובייקט מחשב השרת משאב. עם זאת, כפי RODC אין אפשרות לאחזר את הסיסמה של השרת משאב, הדבר גורם לכשל האימות.
פתרון
מידע על תיקונים חמים
תיקון חם נתמך זמין מ-Microsoft. עם זאת, תיקון חם זה מיועד לפתור רק את הבעיה המתוארת במאמר זה. יש להחיל תיקון חם זה רק במערכות שהתעוררה בהן הבעיה המתוארת במאמר זה. תיקון חם זה עשוי לעבור בדיקות נוספות. לכן, אם המערכת שברשותך לא נפגעה באופן חמור מבעיה זו, מומלץ להמתין לעדכון התוכנה הבא המכיל תיקון חם זה.
אם התיקון החם זמין להורדה, ישנו סעיף "הורדת תיקון חם זמינה" בראש מאמר Knowledge Base. אם מקטע זה אינו מופיע, פנה לשירות הלקוחות והתמיכה של Microsoft כדי לקבל את התיקון החם.
הערה אם בעיות נוספות מתרחשות או אם נדרש פתרון בעיות כלשהו, ייתכן שתצטרך ליצור בקשת שירות נפרדת. דמי התמיכה המקובלים יחולו על שאלות וסוגיות תמיכה נוספות אשר אינן מצריכות את התיקון חם הספציפי הזה. לקבלת רשימה מלאה של מספרי הטלפון של התמיכה ושירות הלקוחות של Microsoft או כדי ליצור בקשת שירות נפרדת, בקר באתר האינטרנט הבא של Microsoft:
http://support.microsoft.com/contactus/?ws=supportהערה הטופס "הורדת תיקון חם זמינה" מציג את השפות שעבורן התיקון החם זמין. אם אינך רואה את השפה שלך, הסיבה לכך היא שהתיקון חם אינו זמין עבור שפה זו.
דרישות מוקדמות
כדי להחיל תיקון חם זה, עליך להפעיל אחת ממערכות ההפעלה הבאות:
-
Windows Server 2008 R2
-
Windows Server 2008 R2 Service Pack 1 (SP1)
לקבלת מידע נוסף אודות אופן ההשגה של ערכת השירות של Windows Server 2008 R2, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
מידע 976932 אודות ה-Service Pack 1 עבור Windows 7 ועבור Windows Server 2008 R2
מידע בנושא רישום
כדי להשתמש התיקון החם שחבילה זו, אין לך לבצע שינויים כלשהם ברישום.
דרישת הפעלה מחדש
עליך להפעיל מחדש את המחשב לאחר החלת תיקון חם זה.
מידע על החלפת התיקון החם
תיקון חם זה אינו מחליף תיקון חם שפורסם בעבר.
פרטי קובץ
הגירסה העולמית של תיקון חם זה מתקינה קבצים הכוללים את התכונות המפורטות בטבלאות הבאות. התאריכים והשעות המתייחסים לקבצים הללו רשומים לפי זמן אוניברסלי מתואם (UTC). התאריכים והשעות עבור קבצים אלה במחשב המקומי שלך מוצגים בזמן המקומי, עם הפרש שעון הקיץ (DST) הנוכחי שלך. בנוסף, התאריכים והשעות עשויים להשתנות בעת ביצוע פעולות מסוימות על הקבצים.
הערות מידע קובץ Windows Server 2008 R2
חשוב תיקונים חמים של Windows 7 ו- Windows Server 2008 R2 חמים נכללים בחבילות זהה. עם זאת, תיקונים חמים בדף בקשת תיקון חם מפורטים תחת שתי מערכות ההפעלה. כדי לבקש את חבילת התיקון החם החלה על מערכות הפעלה אחד או שניים, בחר את התיקון החם שמופיע תחת "Windows 7/Windows Server 2008 R2" בדף. עיין תמיד בסעיף 'חל על' במאמרים כדי לקבוע את מערכת ההפעלה בפועל שחלה על כל תיקון חם.
-
ניתן לזהות את הקבצים החלים על מוצר, SR_Level (RTM, SPn), וענף שירות (LDR, GDR) על-ידי בדיקת מספרי גירסת הקובץ כמוצב בטבלה הבאה.
גירסה
מוצר
SR_Level
ענף שירות
6.1.760
0.
21 xxxWindows Server 2008 R2
RTM
LDR
6.1.760
1.
21 xxxWindows Server 2008 R2
SP1
LDR
-
קובצי MANIFEST (. manifest) וקובצי MUM (. mum) המותקנים עבור כל סביבה הן רשומות בנפרד במקטע נוספים פרטי קובץ עבור Windows Server 2008 R2". MUM ו- MANIFEST, וקבצים קבצי קטלוג (. cat) המשויכים האבטחה, חשובים במיוחד לשמירה על מצב הרכיבים המעודכנים. קובצי קטלוג האבטחה, שעבורם לא מפורטות תכונות, נחתמים באמצעות חתימה דיגיטלית של Microsoft
עבור כל גירסאות מבוססות x64 הנתמכות של Windows Server 2008 R2
|
שם קובץ |
גירסת קובץ |
גודל קובץ |
תאריך |
שעה |
פלטפורמה |
|---|---|---|---|---|---|
|
Netlogon.dll |
6.1.7600.21048 |
693,760 |
08-Sep-2011 |
05:30 |
x64 |
|
Nlsvc.mof |
לא ישים |
2,873 |
10-Jun-2009 |
20:47 |
לא ישים |
|
Netlogon.dll |
6.1.7601.21813 |
695,296 |
08-Sep-2011 |
06:33 |
x64 |
|
Nlsvc.mof |
לא ישים |
2,873 |
10-Jun-2009 |
20:47 |
לא ישים |
|
Netlogon.dll |
6.1.7600.21048 |
564,736 |
08-Sep-2011 |
04:26 |
x86 |
|
Nlsvc.mof |
לא ישים |
2,873 |
10-Jun-2009 |
21:29 |
לא ישים |
|
Netlogon.dll |
6.1.7601.21813 |
564,224 |
08-Sep-2011 |
06:19 |
x86 |
|
Nlsvc.mof |
לא ישים |
2,873 |
10-Jun-2009 |
21:29 |
לא ישים |
פתרון הבעיה
באפשרותך להשתמש באחת משתי השיטות הבאות כדי לעקוף בעיה זו:
-
בטל את שינויי סיסמאות של חשבונות מחשבים באמצעותו RODC עבור ערוץ האבטחה שלהם.
-
שנה את הטופולוגיה של האתר כך קיימת RWDC האתר הקרוב ביותר כדי RODC.
מצב
Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft הרשומים במקטע 'חל על'.
מידע נוסף
RODC תומך שינויי סיסמאות עבור חשבונות משתמשים בערוץ האבטחה netlogon. RODC מעביר את בקשת שינוי הסיסמה RWDC בעת שינוי הסיסמה של חשבון המחשב. בעת שינוי סיסמה מסתיים בהצלחה, RODC הופכת הזדמנותית ניסיון לשכפל את הסיסמה החדשה. עם זאת, הניסיון שכפול לא יעד RWDC אותו אליו מועברת הבקשה שינוי סיסמה.
אומנם RODC יש משלו ערוץ אבטחה קיים עם RWDC שדרכן קורה שינוי הסיסמה, RWDC לפלח לפי הניסיון שכפול נבחר באמצעות מנגנון DClocator. רוב טופולוגיות אתר, התנהגות זו תגרום באותו בקר קבוצת מחשבים המשמש עבור הניסיון שכפול להיות המטרה הנוכחית של ערוץ אבטחה. עם זאת, אם יש RWDC לא באותו תחום באתר הקרוב ביותר RODC, הניסיון שכפול ושינויים סיסמה עלולה להתרחש מפני RWDCs שונים.
לקבלת מידע נוסף על מינוח עדכוני התכנה, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
824684 תיאור המינוח הרגיל המשמש לתיאור עדכוני התוכנה של מיקרוסופט
לקבלת מידע נוסף אודות האופן שבו ניתן לאפשר אימות סלקטיבי מעל אמון יער, בקר באתר האינטרנט הבא של Microsoft:
מידע כללי אודות האופן שבו ניתן לאפשר אימות סלקטיבי מעל אמון יערלקבלת מידע נוסף אודות אופן קביעת התצורה של אימות סלקטיבית, בקר באתר האינטרנט הבא של Microsoft:
מידע כללי אודות אופן קביעת התצורה של אימות סלקטיבי
פרטי קובץ נוספים
מידע קובץ נוסף עבור Windows Server 2008 R2
קבצים נוספים עבור כל גירסאות מבוססות x64 הנתמכות של Windows Server 2008 R2
|
שם קובץ |
Amd64_0caf3106ff02b60b89c9d545792026c3_31bf3856ad364e35_6.1.7600.21048_none_9a893a6b7aa6f649.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
1,060 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
09:44 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_0e7e58fe08c4a3c71653acdcc4a5f0f9_31bf3856ad364e35_6.1.7601.21813_none_1a842e21757b81df.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
709 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
09:44 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_d0d81f110ea917a2a3131f5317a03ed1_31bf3856ad364e35_6.1.7601.21813_none_825a6a5ddaa496d5.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
1,060 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
09:44 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_dc11db02cc633a9f065ad3f21d62956a_31bf3856ad364e35_6.1.7600.21048_none_ffab83fd2ef937aa.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
709 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
09:44 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_5a6467e36aa5900e.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
35,547 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
06:01 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Amd64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_5c665cff67b7f359.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
35,547 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
07:31 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Update.mum |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
3,215 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
09:44 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7600.21048_none_64b912359f065209.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
16,596 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
04:42 |
|
פלטפורמה |
לא ישים |
|
שם קובץ |
Wow64_microsoft-windows-security-netlogon_31bf3856ad364e35_6.1.7601.21813_none_66bb07519c18b554.manifest |
|
גירסת קובץ |
לא ישים |
|
גודל קובץ |
16,596 |
|
תאריך (UTC) |
08-Sep-2011 |
|
שעה (UTC) |
06:38 |
|
פלטפורמה |
לא ישים |
