Symptomer
Tenk deg følgende:
-
Du har en domenekontroller som kjører Windows Server 2008 R2.
-
Du utfører en handling for autoritativ gjenoppretting på KRBTGT-kontoen.
-
Du logger deg på en Windows 8-klient med filen Kerberos.dll fra oppdateringen 2883201 eller en nyere oppdatering eller en Windows 7-klient med oppdateringen 2845626 eller en nyere oppdatering en 8.1 for Windows-klient.
-
Du forsøker å tilbakestille eller endre domenepassordet.
I dette scenariet, kan passordet tilbakestilles eller endret. I tillegg får du følgende feilmelding:
Sikkerheten databasen på serveren har ikke konto for denne arbeidsstasjonens klareringsforhold
Årsak
Dette problemet oppstår fordi Windows Server 2008 R2 domenekontrolleren håndterer en bestemt flagg på feil måte. Flagget ble introdusert på klientsiden til å løse et problem der kerberos.dll-filen ikke er oppdatert på en brukers legitimasjon hurtigbuffer Hvis brukeren logger seg på ved hjelp av deres brukernavnet (UPN).
Oppløsning
Informasjon om hurtigreparasjon
En støttet hurtigreparasjon er tilgjengelig fra Microsoft. Denne hurtigreparasjonen er imidlertid ment å løse problemet som er beskrevet i denne artikkelen. Bruk denne hurtigreparasjonen bare på systemer som har dette bestemte problemet.
Hvis hurtigreparasjonen er tilgjengelig for nedlasting, finnes delen "Hotfix Download-Available" øverst i denne Knowledge Base-artikkelen. Hvis denne delen ikke vises, kan du sende en forespørsel til Microsofts kundeservice og kundestøtte for å få hurtigreparasjonen.
Obs! Hvis det oppstår andre problemer, eller hvis feilsøkingstips, må du kanskje opprette en separat forespørsel om. Vanlige kundestøttekostnader gjelder for ytterligere kundestøttespørsmål og problemer som ikke dekkes av denne oppdateringen. For en fullstendig liste over telefonnumre for Microsofts kundeservice og kundestøtte eller opprette en separat forespørsel om, kan du gå til følgende Microsoft-webområde:
http://support.microsoft.com/contactus/?ws=supportObs! "Hotfix Download-Available" skjemaet viser språk hurtigreparasjonen er tilgjengelig. Hvis du ikke ser språket ditt, er det fordi en hurtigreparasjon ikke er tilgjengelig for dette språket.
Forutsetninger
Hvis du vil installere denne oppdateringen, må du kjøre Windows Server 2008 R2.
Informasjonen i registeret
Hvis du vil installere denne oppdateringen, har du ikke foreta endringer i registret.
Krav om omstart
Du må starte datamaskinen på nytt etter at du har installert denne oppdateringen.
Informasjon om erstatning av oppdatering
Denne oppdateringen erstatter ikke tidligere utgitte oppdateringer.
Den globale versjonen av denne oppdateringen installerer filer med attributtene som er oppført i tabellene nedenfor. Datoene og klokkeslettene for disse filene er oppført i Coordinated Universal Time (UTC). Datoene og klokkeslettene for disse filene på den lokale datamaskinen, vises i lokal tid sammen med din gjeldende tidsforskjell for sommertid (DST). I tillegg kan til datoene og klokkeslettene endres når du utfører bestemte operasjoner på filene.
Filinformasjonsmerknader for Windows Server 2008 R2
-
Filene som gjelder for et bestemt produkt, en bestemt milepæl (RTM, SPn) og avdeling (LDR, GDR), kan identifiseres ved å kontrollere filversjonsnumrene, som vist i følgende tabell:
Versjon
Produkt
Milepæl
Avdeling
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
GDR-grener inneholder bare de reparasjonene som er bredt publikum for å løse omfattende, svært viktige problemer. LDR-avdelinger inneholder hurtigreparasjoner i tillegg til mye utgis.
-
MANIFEST-filene (.manifest) og MUM-filene (.mum) som installeres for hvert miljø, er oppført separat i delen "mer informasjon". MUM, MANIFEST og tilknyttede sikkerhetskatalogfiler (.cat)-filer, er svært viktig å opprettholde statusen for de oppdaterte komponentene. Sikkerhetskatalogfilene, som attributtene ikke er oppført, er signert med Microsofts digitale signatur.
For alle støttede x64-baserte versjoner av Windows Server 2008 R2
Filnavn |
Filversjon |
Filstørrelse |
Dato |
Tid |
Plattform |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Ikke tilgjengelig |
5 300 |
05-Nov-2010 |
02:14 |
Ikke tilgjengelig |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Ikke tilgjengelig |
5 300 |
05-Nov-2010 |
02:14 |
Ikke tilgjengelig |
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført i delen "Gjelder for".
Hvis du vil ha mer informasjon
Hvis du vil finne ut om du har en gjenopprettet KRBTGT konto på domenet ditt, kan du kjøre følgende kommando fra en ledetekst for domenet administrator-privilegert installasjon:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Fordi standard gjenopprettingen øker alle attributtene ved 100000 i utdatafilen for krbtgt.txt, kan det hende Ver (versjon)-verdien til attributtet pwdLastSet er 100002 eller større. Hvis du for eksempel er utdataene som følger:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Hvis du vil ha mer informasjon om terminologi for programvareoppdatering, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
824684 beskrivelse av standardterminologien som brukes til å beskrive oppdateringer av Microsoft-programvare
Mer filinformasjon