Симптомы
Для выполнения принудительного восстановления для учетной записи krbtgt на на базе Windows Server 2008 или в домене под управлением Windows Server 2008 R2. После выполнения этой операции протокола kpasswd завершается неудачей и приводит к возникновению ошибки с кодом ошибки KDC_ERROR_S_PRINCIPAL_UNKNOWN. Кроме того возможно, не удалось установить пароль пользователя с помощью протокола kpasswd. Кроме того эта проблема блокирует kpasswd протокол взаимодействия между доменом и сферой Массачусетского технологического института (MIT). Например нельзя установить пароль пользователя с помощью диспетчера жизненного цикла удостоверений Microsoft во время подготовки пользователя.
Примечание. Учетная запись krbtgt используется для проверки подлинности Kerberos. Нельзя использовать учетную запись для входа в домен.
Могут возникнуть дополнительные проблемы в кластере серверов под управлением Windows Server 2012. Предположим, при попытке установить пароль для объекта-компьютера кластера в кластере серверов под управлением Windows Server 2012. Кроме того предполагается, что контроллеры домена под управлением Windows Server 2008 или Windows Server 2008 R2 в среде. В этом случае появляется следующее сообщение об ошибке:
CreateClusterNameCOIfNotExists (6783): Не удается установить пароль на < Имя_кластера $>
Чтобы устранить эту проблему, данное исправление на контроллерах домена под управлением Windows Server 2008 или Windows Server 2008 R2 и создайте кластера серверов под управлением Windows Server 2012.
Примечание. Это исправление, если у вас установлен Windows Server 2008 R2 Пакет обновления 1 не требуется.
Причина
Когда пользователь запрашивает билет службы Kpasswd, неправильно установлен флаг в Kerberos предоставления билетов (TGS) запросе службы для службы Kpasswd. В результате центр распространения ключей (KDC) неправильно создавать новое имя службы. Таким образом используется имя неправильно службы и происходит сбой службы KPasswd.
Примечание. Ожидаемым поведением является то, что центр распространения ключей (KDC) непосредственно правильной службе имя копируется из билеты на выдачу билета Kerberos TGT.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:
Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Для установки этого исправления на компьютере должна быть установлена в Пакет обновления 2 (SP2) для Windows Server 2008 или Windows Server 2008 R2. Кроме того компьютер должен иметь роль сервера доменных служб Active Directory (AD DS).
Дополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:
Как получить последний пакет обновления для Windows Server 2008
Сведения о реестре
Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Сведения о файлах
Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Server 2008
Важно. Исправления для Windows Server 2008 и Windows Vista исправления включены в те же пакеты. Однако только «Windows Vista» отображается на странице запрос исправления. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows Vista» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008". MUM файлы и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
