Os usuários não é possível efetuar logon no domínio após alterações de senha em um controlador de domínio remoto

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 318364
Sintomas
Depois de alterar uma senha de conta de usuário em um controlador de domínio remoto que tem a função de FSMO (Flexible Single Master Operation) do domínio primário PDC (controlador), o usuário não poderá fazer logon em um controlador de domínio local, digitando a senha nova. No entanto, o usuário ainda poderá fazer logon no domínio usando sua senha anterior.
Causa
Este comportamento pode ocorrer quando as seguintes condições forem verdadeiras:
  • O controlador de domínio remoto ainda não foi duplicado com o controlador de domínio local.
  • Kerberos é configurado para usar protocolo UDP (User Datagram Protocol) (configuração padrão).
  • Token de segurança do usuário é muito grande para caber em uma mensagem UDP Kerberos.

    Observação : token de segurança do usuário pode ser grande se esse usuário for um membro de muitos grupos.
Esse problema é causado pelo recurso anti-repetição de autenticação Kerberos no controlador de domínio local. As etapas a seguintes ilustram esse comportamento:
  1. A senha de conta do usuário é alterada no controlador de domínio remoto, mas que alteração ainda não foi replicada para o controlador de domínio local.
  2. O usuário tentar fazer logon no domínio usando a nova senha. A mensagem do Exchange de serviço de autenticação Kerberos (KRB_AS_REQ) é enviada para o controlador de domínio local usando UDP.
  3. O controlador de domínio local falha a autenticação porque ele ainda não tem novas informações de senha.
  4. O controlador de domínio local encaminha a solicitação para o PDC remoto (KDCSVC! FailedLogon).
  5. Na função FailedLogon, uma entrada para a solicitação é inserida na tabela de detecção de repetição e a mensagem KRB_AS_REQ é enviada para o PDC remoto.
  6. O PDC remoto autentica com êxito a solicitação e, em seguida, retorna uma resposta positiva para o controlador de domínio local.
  7. O controlador de domínio local detecta que a resposta é muito grande para um pacote UDP e, portanto, envia uma solicitação para o computador cliente para reenviar a solicitação usando TCP (Transmission Control Protocol).
  8. O computador cliente reenvia a solicitação de autenticação usando TCP.
  9. O controlador de domínio local falha de autenticação porque ele ainda não tem as novas informações de senha (como na etapa 3).
  10. O controlador de domínio local encaminha a solicitação ao controlador de domínio remoto do PDC (KDCSVC! FailedLogon) (como na etapa 4).
  11. A verificação de detecção de repetição na função FailedLogon retorna uma mensagem KRB_AP_ERR_REPEAT porque uma entrada para esta solicitação já está presente na tabela de detecção de repetição. Esta é a entrada foi criada na etapa 5.

    A tentativa de autenticação falhar.
Resolução
Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260910Como obter o Service Pack mais recente do Windows 2000
A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na acordo hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
   Date         Time   Version           Size     File name   -----------------------------------------------------------   22-Mar-2002  23:55  5.0.2195.4959     123,664  Adsldp.dll          30-Jan-2002  00:52  5.0.2195.4851     130,832  Adsldpc.dll         30-Jan-2002  00:52  5.0.2195.4016      62,736  Adsmsext.dll        22-Mar-2002  23:55  5.0.2195.5201     356,624  Advapi32.dll        22-Mar-2002  23:55  5.0.2195.4985     135,952  Dnsapi.dll          22-Mar-2002  23:55  5.0.2195.4985      95,504  Dnsrslvr.dll        22-Mar-2002  23:56  5.0.2195.5013     521,488  Instlsa5.dll        22-Mar-2002  23:55  5.0.2195.5246     145,680  Kdcsvc.dll          22-Mar-2002  23:50  5.0.2195.5246     199,952  Kerberos.dll        07-Feb-2002  19:35  5.0.2195.4914      71,024  Ksecdd.sys   02-Mar-2002  21:32  5.0.2195.5013     503,568  Lsasrv.dll          02-Mar-2002  21:32  5.0.2195.5013      33,552  Lsass.exe           08-Dec-2001  00:05  5.0.2195.4745     107,280  Msv1_0.dll          22-Mar-2002  23:55  5.0.2195.4917     306,960  Netapi32.dll        22-Mar-2002  23:55  5.0.2195.4979     360,208  Netlogon.dll        22-Mar-2002  23:55  5.0.2195.5221     917,264  Ntdsa.dll           22-Mar-2002  23:55  5.0.2195.5201     386,832  Samsrv.dll          30-Jan-2002  00:52  5.0.2195.4874     128,784  Scecli.dll          22-Mar-2002  23:55  5.0.2195.4968     299,792  Scesrv.dll          30-Jan-2002  00:52  5.0.2195.4600      48,400  W32time.dll         06-Nov-2001  19:43  5.0.2195.4600      56,592  W32tm.exe           22-Mar-2002  23:55  5.0.2195.5011     125,712  Wldap32.dll      				

Como Contornar
Para contornar esse problema, execute alterações de senha de conta de usuário no controlador de domínio local ou forçar o Kerberos a usar TCP em vez de UDP.

Para obter informações adicionais sobre como configurar o Kerberos para usar TCP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
244474Forçar Kerberos para usar TCP em vez de UDP no Windows 2000
Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no começo deste artigo. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 3.
Mais Informações
O recurso anti-repetição Kerberos impede que o mesmo pacote seja recebido duas vezes por servidor de autenticação. Um ataque de repetição é um ataque em que uma transmissão de dados válidos é más intenções ou forma fraudulenta repetida, pela origem ou por um adversário que intercepta os dados e retransmite-lo. Um invasor pode tentar "repetição" nome de usuário do usuário um válido e senha na tentativa de autenticar usando credenciais do usuário.

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 318364 - Última Revisão: 02/01/2007 03:02:19 - Revisão: 3.5

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2, Microsoft Windows 2000 Professional SP1, Microsoft Windows 2000 Professional SP2

  • kbmt kbhotfixserver kbqfe kbbug kbfix kbsecurity kbwin2000presp3fix kbwin2000sp3fix KB318364 KbMtpt
Comentários