Objawy
Rozważ następujący scenariusz:
-
Masz kontroler domeny z systemem Windows Server 2008 R2.
-
Wykonać akcję przywracania autorytatywnego dla konta KRBTGT.
-
Możesz zalogować się do klienta Windows 8.1, klient systemu Windows 8 z plikiem Kerberos.dll z aktualizacji 2883201 lub późniejszą aktualizację lub klient systemu Windows 7 z aktualizacji 2845626 lub późniejszą aktualizację.
-
Możesz spróbować zresetować lub zmienić hasło domeny.
W tym scenariuszu hasła nie można zresetować lub zmienić. Ponadto zostanie wyświetlony następujący komunikat o błędzie:
Zabezpieczenia bazy danych na serwerze nie ma konta komputerowego dla relacji zaufania tej stacji roboczej
Przyczyna
Ten problem występuje, ponieważ kontroler domeny systemu Windows Server 2008 R2 nieprawidłowo obsługuje określoną flagą. Flaga jest wprowadzony po stronie klienta, aby rozwiązać problem, w którym plik kerberos.dll nie aktualizuje pamięci podręcznej poświadczeń użytkownika, jeśli użytkownik loguje się przy użyciu nazwy głównej użytkownika (UPN).
Rozwiązanie
Informacje o poprawce
Obsługiwana poprawka jest udostępniana przez firmę Microsoft. Jednak ta poprawka jest przeznaczona tylko do usunięcia problemu opisanego w tym artykule. Tylko w systemach, których dotyczy ten problem, należy zastosować tę poprawkę.
Jeśli poprawka jest dostępna do pobrania, pojawi się sekcja "Poprawka dostępna do pobrania" na początku tego artykułu z bazy wiedzy Knowledge Base. Jeśli nie ma tej sekcji, należy przesłać żądanie do centrum obsługi klienta firmy Microsoft i obsługi technicznej w celu uzyskania poprawki.
Uwaga Jeśli wystąpią dodatkowe błędy lub konieczność rozwiązania problemu, być może trzeba będzie utworzyć osobne zlecenie usługi. Zwykłe koszty obsługi będą zastosowane do dodatkowych pytań i problemów, których nie można rozwiązać przy użyciu określonej poprawki. Aby uzyskać pełną listę numerów telefonów działu obsługi klienta firmy Microsoft lub utworzyć osobne zlecenie usługi odwiedź następujące witryny firmy Microsoft:
http://support.microsoft.com/contactus/?ws=supportUwaga "Poprawka dostępna do pobrania" zawiera listę języków, dla których dostępna jest poprawka. Jeśli odpowiedni język nie jest widoczny, to dlatego, że poprawka nie jest dostępna dla danego języka.
Wymagania wstępne
Aby zastosować tę aktualizację, zostanie uruchomiony system Windows Server 2008 R2.
Informacje dotyczące rejestru
Aby zastosować tę aktualizację, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymagania dotyczące ponownego uruchomienia
Musisz ponownie uruchomić komputer po zastosowaniu tej aktualizacji.
Informacje dotyczące zastępowania aktualizacji
Ta aktualizacja nie zastępuje wcześniej wydanej aktualizacji.
Wersja globalna tej aktualizacji instaluje pliki, których atrybuty wymieniono w poniższych tabelach. Daty i godziny odpowiadające tym plikom są podane w formacie uniwersalnego czasu koordynowanego (UTC, Coordinated Universal Time). Daty i godziny odpowiadające tym plikom na komputerze lokalnym są wyświetlane w formacie czasu lokalnego, wraz z Twoim bieżącym bias czasu letniego (DST). Dodatkowo, daty mogą ulec zmianie podczas wykonywania pewnych operacji na plikach.
Informacje o plikach w systemie Windows Server 2008 R2
-
Pliki dotyczące określonego produktu, etapu rozwoju (RTM, SPn) i składnika usługi (LDR, GDR) można zidentyfikować przez sprawdzenie wersji pliku, jak pokazano w poniższej tabeli:
Wersja
Produkt
Kamień milowy
Składnik usługi
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1,22 xxxWindows Server 2008 R2
SP1
LDR
-
Składniki usługi GDR zawierają tylko publicznie rozpowszechniane poprawki wydane szeroko rozpowszechnione bardzo ważne problemy. Składniki usługi LDR zawierają też inne poprawki, a nie tylko publicznie rozpowszechniane poprawki.
-
Pliki MANIFEST (.manifest) i pliki MUM (.mum) zainstalowane dla każdego środowiska są wymienione osobno w sekcji „Informacje o dodatkowych plikach". Pliki MUM, MANIFESTU oraz skojarzone pliki wykazu zabezpieczeń (.cat), muszą posiadać zaktualizowane składniki. Pliki katalogu zabezpieczeń, których atrybuty nie zostały wymienione, są podpisane za pomocą podpisu cyfrowego firmy Microsoft.
Dla wszystkich obsługiwanych wersji systemu Windows Server 2008 R2 x64
Nazwa pliku |
Wersja pliku |
Rozmiar pliku |
Data |
Godzina |
Platforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Nie dotyczy |
5300 |
05-Nov-2010 |
02:14 |
Nie dotyczy |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Nie dotyczy |
5300 |
05-Nov-2010 |
02:14 |
Nie dotyczy |
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji „Dotyczy”.
Więcej informacji
Aby ustalić, czy zostały przywrócone konta KRBTGT w domenie, można uruchomić następujące polecenie z wiersza polecenia pełnych uprawnień administratora domeny:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Ponieważ przywracanie domyślnego inkrementuje wszystkie atrybuty przez 100000 w pliku wyjściowym krbtgt.txt, można zauważyć Ver (wersja) wartość atrybutu pwdLastSet jest 100002 lub większych. Na przykład dane wyjściowe są w następujący sposób:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Aby uzyskać więcej informacji dotyczących terminologii aktualizacji oprogramowania, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
824684 Opis standardowej terminologii używanej do opisywania aktualizacji oprogramowania firmy Microsoft
Informacje o dodatkowych plikach