Korriger: Brukerkontoer som bruker DES-kryptering for Kerberos-godkjenning-typer ikke kan godkjennes i et Windows Server 2003-domene når en domenekontroller for Windows Server 2008 R2 er medlem av domenet

Gjelder: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Symptomer


Tenk deg følgende:

  • En brukerkonto er opprettet i et Windows Server 2003-domene.
  • Alle domenekontrollere i domenet kjører Windows Server 2003.
  • Brukerkontoen er konfigurert til å bruke krypteringstyper Data Encryption Standard (DES) for Kerberos-godkjenning.
  • En datamaskin som kjører Windows Server 2008 R2 er medlem av domenet.
  • Active Directory er installert på serveren medlem.
I dette scenariet brukerkontoen kan ikke logge på domenet etter at Windows Server 2008 R2 domenekontrolleren starter. Du kan også få følgende feilmelding:
KDC har ikke støtte for krypteringstype under henting av første legitimasjon.
I tillegg logges følgende hendelser i systemloggen på domenekontrolleren som kjører Windows Server 2008 R2:
Logge: System
Kilde: Microsoft-Windows-Kerberos-Key-Distribution-Center
Dato: dato
Hendelses-ID: 14
Aktivitet kategori: Ingen
Nivå: feil
Nøkkelord: klassisk
Bruker: i/t
Datamaskin: datamaskinnavn
Beskrivelse:
Under behandling av en AS-forespørsel om målet service krbtgt, har navnet på kontoen ikke en passende nøkkel for å generere en Kerberos-billetten (manglende nøkkel har ID 1). Den forespurte etypes: 16 1 11 10 15 12-13. De tilgjengelige kontoer-etypes: 23-133-128. Hvis du endrer eller tilbakestiller passordet for brukernavn vil generere en riktig nøkkel.

Logge: System
Kilde: Microsoft-Windows-Kerberos-Key-Distribution-Center
Dato: dato
Hendelses-ID: 16
Aktivitet kategori: Ingen
Nivå: feil
Nøkkelord: klassisk
Bruker: i/t
Datamaskin: datamaskinnavn
Beskrivelse:
Under behandling av en TGS-forespørsel om målet server servernavn, har konto- kontonavn ikke en passende nøkkel for å generere en Kerberos-billetten (manglende nøkkel har ID 9). De forespurte etypes ble 3-1. De tilgjengelige kontoer-etypes var 23-133-128. Hvis du endrer eller tilbakestiller passordet for kontonavn vil generere en riktig nøkkel.

Årsak


Dette problemet oppstår fordi ulike datastrukturene som brukes til å lagre informasjon om kryptering om brukerkontoen på Windows Server 2003-domenekontrollere og domenekontrollere for Windows Server 2008 R2.

Når en brukerkonto opprettes på en Windows Server 2003-domenekontroller, lagres kryptering typeinformasjon i en datastruktur. Deretter, kopieres denne informasjonen til domenekontrollere for Windows Server 2008 R2 ved hjelp av AD-replikering.

Obs! Dette problemet oppstår også når passordet til en brukerkonto er tilbakestilt.

Når en domenekontroller for Windows Server 2008 R2 godkjenner brukerkontoen, leser domenekontrolleren denne typen krypteringsinformasjon datastruktur som brukes av Windows Server 2003-domenekontroller. Det bør deretter kopiere denne informasjon om kryptering til en annen datastruktur. Informasjonen kopieres ikke som forventet. Derfor mislykkes godkjenningen.

Oppløsning


Informasjon om hurtigreparasjon

En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har problemet som er beskrevet i denne artikkelen. Denne hurtigreparasjonen kan gjennomgå ytterligere testing. Hvis du ikke er alvorlig påvirket av dette problemet, anbefaler vi derfor at du venter på neste programvareoppdatering som inneholder denne hurtigreparasjonen.

Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Nedlasting av hurtigreparasjoner tilgjengelig" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du kontakte Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.

Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:Obs! "Nedlasting av hurtigreparasjoner tilgjengelig"-skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.

Forutsetninger

Følgende liste inneholder forutsetningene for hurtigreparasjonen:
  • Du må ha Windows Server 2008 R2 er installert.
  • Du må ha Active Directory-katalogtjenester-rolletjenesten er installert.

Legg merke til installasjon

Installer denne hurtigreparasjonen på alle domenekontrollere som kjører Windows Server 2008 R2 på en Windows Server 2003-domene. Denne hurtigreparasjonen bør ikke brukes på Windows Server 2003-servere som er i domenet.

Informasjonen i registeret

Hvis du vil bruke denne hurtigreparasjonen i denne pakken, har du ikke foreta endringer i registret.

Informasjon om omstart

Du må kanskje starte datamaskinen på nytt etter at du har installert denne hurtigreparasjonen.

Informasjon om erstatning av hurtigreparasjoner

Denne hurtigreparasjonen erstatter ikke tidligere utgitte hurtigreparasjoner.

Filinformasjon

Den engelskspråklige (USA) versjonen av denne hurtigreparasjonen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
Filinformasjonsmerknad for Windows Server 2008 R2
  • MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "Mer Filinformasjon for Windows Server 2008 R2". MUM- og MANIFEST-filer og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er det svært viktig å vedlikeholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x64-baserte versjoner av Windows Server 2008 R2
FilnavnFilversjonFilstørrelseDatoTidPlattform
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofIkke tilgjengelig5 30010-Jun-200921:01Ikke tilgjengelig

Løsningen


Hvis du vil omgå dette problemet, kan du tilbakestille passordet for problematiske brukerkontoen på domenekontrolleren som kjører Windows Server 2008 R2.

Status


Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".

Hvis du vil ha mer informasjon


Hvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare

Mer filinformasjon

Mer filinformasjon for Windows Server 2008 R2

Tilleggsfiler for alle støttede x64-baserte versjoner av Windows Server 2008 R2
FilnavnAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
FilversjonIkke tilgjengelig
Filstørrelse724
Dato (UTC)17-Dec-2009
Tid (UTC)01:36
PlattformIkke tilgjengelig
---
FilnavnAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
FilversjonIkke tilgjengelig
Filstørrelse35,825
Dato (UTC)16-Dec-2009
Tid (UTC)16:49
PlattformIkke tilgjengelig
---
FilnavnUpdate.mum
FilversjonIkke tilgjengelig
Filstørrelse1 700
Dato (UTC)17-Dec-2009
Tid (UTC)01:36
PlattformIkke tilgjengelig