Sintomi
Si supponga di disporre di un computer client con un account bloccato nella cache in un ambiente basato su Windows Server 2008 R2 dominio servizi di Active Directory (AD DS). Quando si tenta di connettersi al computer utilizzando una smart card, il comportamento è diverso dal comportamento che si verifica se si accede utilizzando il nome utente e password.
Prendere in considerazione i seguenti scenari.
Scenario 1
-
Utilizzare una smart card per accedere all'account bloccato nella cache. L'accesso non riesce e viene visualizzato il seguente messaggio di errore:
Il sistema non può connetterti. L'account è stato disabilitato. Consultare l'amministratore di sistema.
-
Disconnettere il computer dall'ambiente di dominio Active Directory e quindi si tenta di accedere di nuovo.
In questo scenario, l'accesso non riesce e viene visualizzato il seguente messaggio di errore:
Il sistema non può connetterti. Il dominio specificato non è disponibile. Riprovare più tardi.
Scenario 2
-
Utilizzare nome utente e password per accedere all'account bloccato nella cache. L'accesso non riesce e viene visualizzato il seguente messaggio di errore:
L'account di riferimento è bloccato e potrebbe non essere connesso.
-
Disconnettere il computer dall'ambiente di dominio Active Directory.
In questo scenario, l'accesso ha esito positivo, utilizzando le credenziali memorizzate nella cache.
Causa
Questo problema si verifica perché il centro distribuzione chiave (KDC) invia un errore KDC_ERR_CLIENT_REVOKED solo quando si utilizza la smart card per accedere all'account utente bloccato. Questo messaggio di errore viene mappato al valore STATUS_ACCOUNT_DISABLED. In questo modo l'account memorizzate nella cache venga segnalato come disattivato nel computer. Le credenziali memorizzate nella cache correlate verranno eliminate.
Risoluzione
Informazioni sull'hotfix
Un hotfix supportato è disponibile da Microsoft. Tuttavia, questo hotfix è destinato esclusivamente alla correzione del problema descritto in questo articolo. Applicare questo hotfix solo ai sistemi in cui si verifica il problema descritto in questo articolo. Questo hotfix potrebbe essere sottoposto ad ulteriori test. Se il problema non causa gravi difficoltà, si consiglia di attendere il successivo aggiornamento software contenente tale hotfix.
Se l'hotfix è disponibile per il download, è presente una sezione "Hotfix disponibile per il download" all'inizio di questo articolo della Knowledge Base. Se questa sezione non viene visualizzata, contattare il servizio clienti Microsoft e supporto tecnico per ottenere l'hotfix.
Nota: Se si verificano ulteriori problemi o se è necessaria attività di risoluzione aggiuntiva, potrebbe essere necessario creare una richiesta di assistenza separata. I costi di supporto normale verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare specifico hotfix in questione. Per un elenco completo dei numeri di telefono del servizio clienti Microsoft e supporto tecnico o per creare una richiesta di assistenza separata, visitare il seguente sito Web Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: Il modulo "Hotfix disponibile per il download" Visualizza le lingue per cui è disponibile l'hotfix. Se non viene visualizzata la lingua, è perché un aggiornamento rapido non è disponibile per tale lingua.
Prerequisiti
Per applicare questo hotfix, è necessario eseguire Windows Server 2008 R2 Service Pack 1 (SP1). Per informazioni su come ottenere un service pack di Windows Server 2008 R2, vedere informazioni sul Service Pack 1 per Windows 7 e Windows Server 2008 R2.
Richiesta di riavvio
Dopo avere applicato questo hotfix, è necessario riavviare il computer.
Informazioni sulla sostituzione dell'aggiornamento rapido
Questo hotfix non sostituisce un aggiornamento rapido precedentemente rilasciato.
La versione inglese (Stati Uniti) di questo hotfix consente di installare file con gli attributi elencati nelle tabelle seguenti. Le date e ore per questi file sono elencate nel tempo universale coordinato (UTC). Le date e le ore dei file sul computer locale vengono visualizzate nell'ora locale con la differenza dell'ora legale (DST). Inoltre, le date e gli orari possono cambiare quando si eseguono determinate operazioni sui file.
Note di informazioni file di Windows Server 2008 R2Importante Aggiornamenti rapidi di Windows 7 e aggiornamenti rapidi di Windows Server 2008 R2 sono inclusi nel pacchetto stesso. Tuttavia, gli aggiornamenti rapidi nella pagina richiesta Hotfix sono elencati in entrambi i sistemi operativi. Per richiedere il pacchetto di hotfix che si applica a uno o entrambi i sistemi operativi, selezionare l'hotfix elencato nella pagina in "Windows 7 e Windows Server 2008 R2". Fare sempre riferimento alla sezione "Si applica a" negli articoli per determinare il sistema operativo effettivo che ogni aggiornamento rapido si applica a.
-
I file relativi a un prodotto specifico, SR_Level (RTM, SPn) e un ramo (LDR, GDR specifici) del servizio possono essere identificati esaminando i numeri di versione del file come indicato nella tabella seguente.
Versione
Prodotto
SR_Level
Ramo del servizio
6.1.760
1.
22 xxxWindows Server 2008 R2
SP1
LDR
-
I file MANIFEST (manifest) e il MUM (mum) installati per ogni ambiente sono elencati separatamente nella sezione "Ulteriori informazioni sui file per Windows Server 2008 R2". MUM e file MANIFEST e i file di catalogo (CAT) di protezione associato, sono estremamente importanti per mantenere lo stato dei componenti aggiornati. I file catalogo di protezione elencati senza attributi sono firmati con firma digitale Microsoft.
Per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
Nome del file |
Versione del file |
Dimensione del file |
Data |
Ora |
Piattaforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.22313 |
435,200 |
01-May-2013 |
05:17 |
x64 |
Kdcsvc.mof |
Non applicabile |
5.300 |
05-Nov-2010 |
02:14 |
Non applicabile |
Stato
Microsoft ha confermato che questo è un problema dei prodotti Microsoft elencati nella sezione "Si applica a".
Ulteriori informazioni
Gli account utente vengono bloccati dopo un certo numero di tentativi errati di accesso.
Per un account bloccato, i seguenti messaggi di errore vengono generati dal KDC.
G eneric messaggio:
(KDC_ERR_CLIENT_REVOKED)
Messaggio di errore esteso e specifiche:
(STATUS_ACCOUNT_LOCKED_OUT, STATUS_ACCOUNT_DISABLED, STATUS_INVALID_LOGON_HOURS, STATUS_LOGIN_TIME_RESTRICTION,STATUS_LOGIN_WKSTA_RESTRICTION, STATUS_ACCOUNT_EXPIRED).
Per informazioni sulla terminologia degli aggiornamenti software, vedere Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft.
Ulteriori informazioni sui file per Windows Server 2008 R2
File aggiuntivi per tutte le versioni basate su x64 supportate di Windows Server 2008 R2
Nome del file |
Amd64_c7dbe0bd4a7cdc0bb1289388edc11708_31bf3856ad364e35_6.1.7601.22313_none_d4616d19b594862c.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
724 |
Data (UTC) |
01-May-2013 |
Ora (UTC) |
20:21 |
Piattaforma |
Non applicabile |
Nome del file |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7601.22313_none_ea664dc6c3ff15cc.manifest |
Versione del file |
Non applicabile |
Dimensione del file |
35,825 |
Data (UTC) |
01-May-2013 |
Ora (UTC) |
05:44 |
Piattaforma |
Non applicabile |