Domeingebruikers niet wijzigen of hun wachtwoorden opnieuw instellen wanneer de KRBTGT-account is hersteld in de Windows-client

Symptomen

Overweeg het volgende scenario:

  • U hebt een domeincontroller waarop Windows Server 2008 R2 wordt uitgevoerd.

  • U uitvoeren een bewerking voor bindend terugzetten voor de KRBTGT-account.

  • U zich aanmeldt bij een Windows 8.1-client een Windows 8-client met het bestand Kerberos.dll van update of een latere update of een client met Windows 7 met update of een latere update.

  • U probeert te herstellen of wijzigen van wachtwoord voor het domein.

In dit scenario wordt kunnen het wachtwoord niet herstellen of wijzigen. Bovendien wordt het volgende foutbericht weergegeven:

De beveiliging van Database op de server heeft geen computeraccount voor deze vertrouwensrelatie workstation

Oorzaak

Dit probleem treedt op omdat de Windows Server 2008 R2-domeincontroller een bepaalde vlag niet correct verwerkt. De vlag is geïntroduceerd op de client een probleem waarbij het bestand kerberos.dll niet van cache van de referenties van een gebruiker bijwerken als de gebruiker zich aanmeldt met de UPN (user Principal name) op te lossen.

Oplossing

Informatie over de hotfix

Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop dit specifieke probleem zich voordoet.

Als er een hotfix beschikbaar is om te downloaden, ziet u een sectie 'Hotfix kan worden gedownload' boven aan dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, dien dan een verzoek in bij Microsoft Customer Service and Support om de hotfix te verkrijgen.

Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of een afzonderlijk serviceverzoek maken, gaat u naar de volgende Microsoft-website:

Opmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarin de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.

Vereisten

U kunt deze update toepassen als u Windows Server 2008 R2 worden uitgevoerd.

Informatie over het register

Om deze update toe te passen zijn er geen wijzigingen nodig in het register.

Opnieuw opstarten

U moet de computer opnieuw opstarten nadat u deze update hebt toegepast.

Informatie over het vervangen van updates

Deze update vervangt geen eerder uitgebrachte update.

De algemene versie van deze update installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.

Opmerkingen over bestandsinformatie in Windows Server 2008 R2

  • De bestanden die gelden voor een specifiek product, specifieke mijlpaal (RTM, SPn) en servicestructuur (LDR, GDR) kunnen worden geïdentificeerd door het nummer van de bestandsversie zoals aangegeven in de volgende tabel:

  • GDR-servicestructuren bevatten uitsluitend deze oplossingen die algemeen worden uitgebracht wijdverbreide zeer belangrijk om problemen te verhelpen. LDR-servicestructuren bevatten hotfixes die op grote schaal beschikbaar gestelde oplossingen aanvullen.

  • De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie 'extra informatie'. MUM, MANIFEST en de bijbehorende beveiligingscatalogusbestanden (.cat) zijn zeer belangrijk voor het statusbeheer van de bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.

Status

Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.

Meer informatie

Om te bepalen of u een teruggezette KRBTGT-account in uw domein hebt, kunt u de volgende opdracht uitvoeren vanaf de opdrachtprompt van domain administrator verhoogde machtigingen:

repadmin /showobjmeta  <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt

Omdat alle kenmerken de standaardwaarde terugzetten verhoogd door 100000 krbtgt.txt in het uitvoerbestand, ziet u de versie (versie)-waarde van het kenmerk pwdLastSet 100002 is of groter. De uitvoer is bijvoorbeeld als volgt:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========

8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet


Voor meer informatie over terminologie voor software-updates klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven

Aanvullende bestandsinformatie

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×