Symptomen
Wordt uitgegaan van een clientcomputer met een cache vergrendelde account in een omgeving op basis van Windows Server 2008 R2 Active Directory Domain Services (AD DS). Wanneer u probeert aan te melden bij verschilt de computer met behulp van een smartcard, het gedrag wat er gebeurt als u zich aanmeldt met behulp van uw gebruikersnaam en wachtwoord.
Houd rekening met de volgende scenario's. Scenario 1-
U gebruikt een smartcard aanmelden op de vergrendelde-account in de cache. De aanmelding is mislukt en wordt het volgende foutbericht weergegeven:
Het systeem kan u niet aanmelden. Uw account is uitgeschakeld. Raadpleeg uw systeembeheerder.
-
U de computer loskoppelt van het AD DS-omgeving en probeer u opnieuw aan te melden.
In dit scenario wordt de aanmelding mislukt en u ontvangt het volgende foutbericht weergegeven:
Het systeem kan u niet aanmelden. Het opgegeven domein is niet beschikbaar. Probeer het later opnieuw.
Scenario 2
-
U kunt uw gebruikersnaam en wachtwoord aanmelden bij de vergrendelde-account in de cache. De aanmelding is mislukt en wordt het volgende foutbericht weergegeven:
De referentie-account is momenteel vergrendeld en kan niet worden gebruikt voor aanmelden.
-
U kunt de computer verwijdert uit AD DS-omgeving.
In dit scenario wordt de aanmelding slaagt met behulp van referenties in de cache.
Oorzaak
Dit probleem treedt op omdat het Key Distribution Center (KDC) stuurt een KDC_ERR_CLIENT_REVOKED-fout alleen wanneer u uw smartcard wilt aanmelden bij de account van een gebruiker. Dit foutbericht wordt is teruggestuurd naar de waarde STATUS_ACCOUNT_DISABLED toegewezen. Dit zorgt ervoor dat de account in de cache moet worden gerapporteerd als op de computer is uitgeschakeld. Vervolgens de bijbehorende referenties uit de cache verwijderd.
Oplossing
Informatie over de hotfix
Een ondersteunde hotfix is beschikbaar bij Microsoft. Deze hotfix is echter alleen bedoeld voor het probleem dat wordt beschreven in dit artikel. Voer deze hotfix alleen uit op systemen waarop de in dit artikel beschreven problemen zich voordoen. Deze hotfix moet wellicht extra worden getest. Als u geen ernstige hinder ondervindt van dit probleem, is het daarom raadzaam te wachten op de volgende update waarin deze hotfix is opgenomen.
Als de hotfix gedownload kan worden, is er een sectie 'Hotfix downloaden' aan het begin van dit Knowledge Base-artikel. Als deze sectie niet wordt weergegeven, neem dan contact op met Microsoft Customer Service and Support om de hotfix te verkrijgen. Opmerking Als er andere problemen optreden of als probleemoplossing is vereist, moet u wellicht een apart serviceverzoek indienen. De normale ondersteuningskosten gelden voor extra ondersteuningsvragen en problemen die niet in aanmerking komen voor deze specifieke hotfix. Voor een volledige lijst met telefoonnummers van Microsoft Customer Service and Support of om een afzonderlijk serviceverzoek aan te maken, gaat u naar de volgende Microsoft-website:http://support.microsoft.com/contactus/?ws=supportOpmerking Het formulier 'Hotfix kan worden gedownload' geeft de talen weer waarvoor de hotfix beschikbaar is. Als uw taal niet wordt weergegeven, is dit omdat een hotfix niet voor die taal beschikbaar is.
Vereisten
Deze hotfix moet u Windows Server 2008 R2 Service Pack 1 (SP1) worden uitgevoerd. Zie informatie over Service Pack 1 voor Windows 7 en Windows Server 2008 R2voor meer informatie over het verkrijgen van een servicepack voor Windows Server 2008 R2.
Opnieuw opstarten
Nadat u deze hotfix hebt geïnstalleerd, moet u de computer opnieuw opstarten.
Informatie over het vervangen van hotfixes
Deze hotfix vervangt geen eerder uitgebrachte hotfix.
De Engelse (Verenigde Staten) versie van deze hotfix installeert bestanden met de bestandskenmerken die in de volgende tabellen worden weergegeven. De datums en tijden voor deze bestanden worden weergegeven in Coordinated Universal Time (UTC). De datums en tijden voor deze bestanden op uw lokale computer worden weergegeven in uw lokale tijd samen met het huidige verschil met de zomertijd (DST). Bovendien kunnen de datums en tijden veranderen wanneer u bepaalde bewerkingen op de bestanden uitvoert.
Opmerkingen over bestandsinformatie in Windows Server 2008 R2Belangrijk Hotfixes voor Windows 7 en Windows Server 2008 R2 zijn opgenomen in dezelfde pakketten. Hotfixes op de pagina Hotfix aanvragen worden echter vermeld onder de beide besturingssystemen. Als u het pakket met hotfixes die voor een of beide besturingssystemen geldt wilt aanvragen, selecteert u de hotfix die op de pagina staat vermeld onder 'Windows 7/Windows Server 2008 R2'. Raadpleeg altijd de sectie 'Van toepassing op' in de artikelen om het besturingssysteem te bepalen waarop elke hotfix van toepassing is.
-
De bestanden die van toepassing zijn op een specifiek product, SR_Level (RTM, SPn), en een specifieke servicestructuur (LDR, GDR) kunnen worden bepaald met de versienummers van de bestanden zoals vermeld in de volgende tabel.
Versie
Product
SR_Level
Servicestructuur
6.1.760
1. 22 xxxWindows Server 2008 R2
SP1
LDR
-
De MANIFEST-bestanden (.manifest) en MUM-bestanden (.mum) die zijn geïnstalleerd voor elke omgeving zijn apart vermeld in de sectie 'Bestandsinformatie voor Windows Server 2008 R2'. MUM- en MANIFEST-bestanden- en de bijbehorende beveiligingscatalogusbestanden (.cat)-bestanden zijn zeer belangrijk voor het statusbeheer van het bijgewerkte onderdelen. De beveiligingscatalogusbestanden, waarvan de kenmerken niet worden vermeld, zijn ondertekend met een digitale handtekening van Microsoft.
Voor alle ondersteunde versies van Windows Server 2008 R2 op basis van x64
Bestandsnaam |
Bestandsversie |
Bestandsgrootte |
Datum |
Tijd |
Platform |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.22313 |
435,200 |
01-May-2013 |
05:17 |
x64 |
Kdcsvc.mof |
Niet van toepassing |
5,300 |
05-Nov-2010 |
02:14 |
Niet van toepassing |
Status
Microsoft heeft bevestigd dat dit probleem kan optreden in de Microsoft-producten die worden vermeld in de sectie 'Van toepassing op'.
Meer informatie
Gebruikersaccounts worden vergrendeld na een bepaald aantal onjuiste aanmeldingspogingen.
Voor een vergrendelde account, worden de volgende foutberichten gegenereerd door de KDC. G eneric-bericht:(KDC_ERR_CLIENT_REVOKED)
Uitgebreide, specifieke foutbericht:
(STATUS_ACCOUNT_LOCKED_OUT, STATUS_ACCOUNT_DISABLED, STATUS_INVALID_LOGON_HOURS, STATUS_LOGIN_TIME_RESTRICTION,STATUS_LOGIN_WKSTA_RESTRICTION, STATUS_ACCOUNT_EXPIRED).
Zie voor informatie over software update terminologie, Beschrijving van de standaardterminologie die wordt gebruikt om software-updates voor Microsoft te beschrijven.
Aanvullende bestandsinformatie voor Windows Server 2008 R2
Aanvullende bestanden voor alle ondersteunde versies van Windows Server 2008 R2 op basis van x64
Bestandsnaam |
Amd64_c7dbe0bd4a7cdc0bb1289388edc11708_31bf3856ad364e35_6.1.7601.22313_none_d4616d19b594862c.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
724 |
Datum (UTC) |
01-May-2013 |
Tijd (UTC) |
20:21 |
Platform |
Niet van toepassing |
Bestandsnaam |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7601.22313_none_ea664dc6c3ff15cc.manifest |
Bestandsversie |
Niet van toepassing |
Bestandsgrootte |
35,825 |
Datum (UTC) |
01-May-2013 |
Tijd (UTC) |
05:44 |
Platform |
Niet van toepassing |