FIX: Gebruikersaccounts die DES-codering voor Kerberos-verificatie gebruiken kunnen niet worden geverifieerd in een Windows Server 2003-domein nadat u een Windows Server 2008 R2-domeincontroller wordt toegevoegd aan het domein

Van toepassing: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

Symptomen


Overweeg het volgende scenario:

  • Een gebruikersaccount wordt in een Windows Server 2003-domein gemaakt.
  • Alle domeincontrollers in dit domein Windows Server 2003.
  • De gebruikersaccount is typen Data Encryption Standard (DES)-codering gebruikt voor Kerberos-verificatie geconfigureerd.
  • Een computer waarop Windows Server 2008 R2 toegevoegd aan het domein.
  • Active Directory is geïnstalleerd op de server.
In dit scenario wordt aanmelden de gebruikersaccount niet bij het domein direct na het starten van de Windows Server 2008 R2-domeincontroller. U wordt ook het volgende foutbericht weergegeven:
KDC heeft geen ondersteuning voor het coderingstype bij het ophalen van initiële referenties.
Bovendien worden de volgende gebeurtenissen vastgelegd in het systeemlogboek op de domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd:
Meld naam: systeem
Bron: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Gebeurtenis-ID: 14
Taak categorie: geen
Niveau: fout
Trefwoorden: klassiek
Gebruiker: N.V.T.
Computer: computernaam
Beschrijving:
Tijdens het verwerken van een aanvraag als voor target service krbtgt heeft de naam van de account geen geldige sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID van 1). De aangevraagde ETYPE's: 16 1 11 10 15 12 13. De rekeningen beschikbare ETYPE's: 23-133-128. Wijzigen of opnieuw instellen van het wachtwoord van de gebruikersnaam wordt een geldige sleutel gegenereerd.

Meld naam: systeem
Bron: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Gebeurtenis-ID: 16
Taak categorie: geen
Niveau: fout
Trefwoorden: klassiek
Gebruiker: N.V.T.
Computer: computernaam
Beschrijving:
Tijdens het verwerken van een TGS-aanvraag voor de doel server servernaam, heeft de account accountnaam geen geldige sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID van 9). De aangevraagde ETYPE's zijn 3-1. De rekeningen beschikbare ETYPE's zijn 23-133-128. Wijzigen of opnieuw instellen van het wachtwoord van de accountnaam wordt een geldige sleutel gegenereerd.

Oorzaak


Dit probleem treedt op omdat de andere gegevensstructuren encryption type informatie over de account van de gebruiker opslaan op domeincontrollers met Windows Server 2003 en Windows Server 2008 R2-domeincontrollers worden gebruikt.

Wanneer een gebruikersaccount is gemaakt op een Windows Server 2003-domeincontroller, wordt de informatie van het type codering opgeslagen in een gegevensstructuur. Deze informatie wordt vervolgens gekopieerd naar Windows Server 2008 R2-domeincontrollers met behulp van AD-replicatie.

Opmerking Dit probleem treedt ook op wanneer u het wachtwoord van een gebruikersaccount opnieuw wordt ingesteld.

Als de account van de gebruiker wordt geverifieerd door een domeincontroller voor Windows Server 2008 R2, leest de domeincontroller informatie over deze codering van de gegevensstructuur die wordt gebruikt door de Windows Server 2003-domeincontroller. Het moet dit type coderingsgegevens vervolgens kopiëren naar een andere gegevensstructuur. De informatie wordt echter niet zoals verwacht gekopieerd. Daarom, mislukt de verificatie.

Oplossing


Informatie over de hotfix

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.

Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

De volgende lijst bevat de vereisten voor de hotfix:
  • U moet Windows Server 2008 R2 is geïnstalleerd.
  • U moet de Active Directory Domain Services-functieservice geïnstalleerd hebben.

Opmerking voor installatie

Installeer deze hotfix op alle domeincontrollers waarop Windows Server 2008 R2 wordt uitgevoerd in een Windows Server 2003-domein. Deze hotfix moet niet worden toegepast op de Windows Server 2003-servers in het domein.

Informatie over het register

Voor het gebruik van de hotfix in dit pakket hoeft u geen wijzigingen aan te brengen in het register.

Opstartinformatie

Mogelijk moet u de computer opnieuw opstarten nadat u deze hotfix hebt toegepast.

Informatie over het vervangen van hotfixes

Deze hotfix vervangt geen eerder uitgebrachte hotfix.

Bestandsinformatie

De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
Opmerking over bestandsinformatie in Windows Server 2008 R2
  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie 'Bestandsinformatie voor Windows Server 2008 R2'. MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het statusbeheer van het bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde versies van Windows Server 2008 R2 op basis van x64
BestandsnaamBestandsversieBestandsgrootteDatumTijdPlatform
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mofNiet van toepassing5,30010-Jun-200921:01Niet van toepassing

Tijdelijke oplossing


U kunt dit probleem omzeilen, reset het wachtwoord van de problematische gebruikersaccount op de domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd.

Status


Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie


Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

824684 beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven

Aanvullende bestandsinformatie

Aanvullende bestandsinformatie voor Windows Server 2008 R2

Aanvullende bestanden voor alle ondersteunde versies van Windows Server 2008 R2 op basis van x64
BestandsnaamAmd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
BestandsversieNiet van toepassing
Bestandsgrootte724
Datum (UTC)17-Dec-2009
Tijd (UTC)01:36
PlatformNiet van toepassing
---
BestandsnaamAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
BestandsversieNiet van toepassing
Bestandsgrootte35,825
Datum (UTC)16-Dec-2009
Tijd (UTC)16:49
PlatformNiet van toepassing
---
BestandsnaamUpdate.mum
BestandsversieNiet van toepassing
Bestandsgrootte1.700
Datum (UTC)17-Dec-2009
Tijd (UTC)01:36
PlatformNiet van toepassing