Sintomi
Si consideri lo scenario seguente:
-
Si dispone di un controller di dominio che esegue Windows Server 2008 R2.
-
Si esegue un'azione di ripristino autorevole sull'account KRBTGT.
-
Si accede a un client Windows 8.1, un client di Windows 8 con il file di aggiornamento 2883201 o un successivo aggiornamento, o un client di Windows 7 con aggiornamento 2845626 o un successivo aggiornamento Kerberos. dll.
-
Si tenta di reimpostare o modificare la password di dominio.
In questo scenario, è possibile reimpostare la password o modificata. Inoltre, viene visualizzato il seguente messaggio di errore:
Il Database di protezione sul server non dispone di un account computer per la relazione di trust della workstation
Causa
Questo problema si verifica perché il controller di dominio di Windows Server 2008 R2 gestisce un flag specifico in modo non corretto. Sul lato client per risolvere un problema in cui il file di Kerberos. dll non viene aggiornata cache delle credenziali dell'utente se l'utente accede utilizzando il proprio nome principale utente (UPN) è stato introdotto il flag.
Risoluzione
Informazioni sull'hotfix
Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verificano questo problema specifico.
Se l'hotfix è disponibile per il download, vi è una sezione "Hotfix Download disponibile" nella parte superiore di questo articolo della Knowledge Base. Se non viene visualizzato in questa sezione, inviare una richiesta al servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix Download disponibile" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo aggiornamento, è necessario eseguire Windows Server 2008 R2.
Informazioni del Registro di sistema
Per applicare questo aggiornamento, non è necessario apportare modifiche al Registro di sistema.
Richiesta di riavvio
È necessario riavviare il computer dopo avere applicato questo aggiornamento.
Informazioni sulla sostituzione dell'aggiornamento
Questo aggiornamento non sostituisce un aggiornamento rilasciato in precedenza.
La versione globale di questo aggiornamento consente di installare file che dispongono degli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
Note di informazioni file di Windows Server 2008 R2
-
I file relativi a un prodotto, un'attività cardine (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente:
Versione
Prodotto
Attività cardine
Ramo del servizio
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
I rami del servizio GDR contengono solo correzioni rilasciate su risolvono problemi importanti molto diffusi. I rami del servizio LDR contengono hotfix in aggiunta alle correzioni rilasciate.
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori informazioni sui file". MUM, manifesto e i file di catalogo (CAT) di protezione associati sono molto importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Non applicabile |
5.300 |
05-Nov-2010 |
02:14 |
Non applicabile |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Non applicabile |
5.300 |
05-Nov-2010 |
02:14 |
Non applicabile |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Per determinare se si dispone di un account KRBTGT ripristinato nel dominio, è possibile eseguire il seguente comando da un prompt dei comandi elevati di amministratore di dominio:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Poiché il ripristino predefinito incrementa tutti gli attributi di 100000 nel file krbtgt.txt di output, è possibile notare il valore Ver (versione) dell'attributo pwdLastSet è 100002 o superiore. Ad esempio, l'output è il seguente:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Per ulteriori informazioni sulla terminologia degli aggiornamenti software, fare clic sul seguente numero di articolo per visualizzare l'articolo della Microsoft Knowledge Base:
824684 descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
Ulteriori informazioni sui file