Clientes de MIT Kerberos não é possível autenticar para um controlador de domínio baseado no Windows Server 2003 em um domínio Windows 2000

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 870987
Sintomas
Depois de adicionar um controlador de domínio com Microsoft Windows Server 2003 em um domínio do Microsoft Windows 2000, você pode achar que os clientes do Massachusetts Institute of Technology (MIT) Kerberos não é possível autenticar no controlador de domínio baseados no Windows Server 2003. Os clientes mesmos podem autenticar com êxito um controlador de domínio baseados no Windows 2000.

Um cliente de MIT Kerberos pode receber a seguinte mensagem de erro:
[Número de versão de chave de entidade na tabela de chave está incorreto] Não é possível verificar a permissão de host
Causa
Esse problema ocorre porque o Windows 2000 não implementa totalmente o número de versão chave para objetos de segurança.

Um tíquete que é criado por um Windows 2000 Kerberos chave Centro de distribuição (KDC) sempre tem o número de versão chave definido como 1. Esse valor não é incrementado quando senha do objeto de uma for atualizada. No Windows Server 2003, um novo atributo msDS-KeyVersionNumber foi adicionado ao esquema. Portanto, esse comportamento foi alterado. Um controlador de domínio com Windows Server 2003 aumenta o atributo msDS-KeyVersionNumber sempre que altera senha do objeto. Permissões que distribuir de controladores de domínio com Windows Server 2003 incluem esse atributo atualizado.

Esse problema ocorre quando o valor do atributo de msDS-KeyVersionNumber da entidade é maior do que um e a entidade solicita um tíquete de serviço de um controlador de domínio com Windows Server 2003. Se keytab arquivo a entidade foi criada em um controlador de domínio baseados no Windows 2000, o número de versão chave no arquivo keytab é 1. Nesse cenário, o número da versão chave na solicitação de logon inicial do cliente não corresponde o número da versão chave no serviço de diretório do Active Directory. Portanto, autenticação não terá êxito.
Resolução
O seguinte hotfix permite que um administrador instruir todos os controladores de domínio baseado no Windows Server 2003 na floresta se comporte como controladores de domínio com Windows 2000 com relação ao número de versão chave. Depois que todos os controladores de domínio na floresta tiverem sido atualizados para o Windows Server 2003, você pode desativar esse comportamento. No entanto, depois de desativar esse comportamento, os clientes não podem verificar permissões até que um novo arquivo keytab é criado com o número de versão chave correta.

importante Depois de instalar esse hotfix, consulte a seção "Mais informações" para as etapas que você pode usar para ativar o novo comportamento.

Informações sobre o hotfix

Um hotfix suportado está disponível no Microsoft. No entanto, esse hotfix destina-se a corrigir o problema descrito neste artigo. Aplique-o somente aos sistemas que apresentarem esse problema específico. Esta correcção poderá submetida a testes adicionais. Portanto, se você não tiver sido gravemente afetado por esse problema, recomendamos que você aguarde a próxima atualização de software que contém esse hotfix.

Se o hotfix está disponível para download, há uma seção "Download de Hotfix disponível" na parte superior neste artigo da Base de dados de Conhecimento. Se esta seção não for exibida, contate o atendimento e suporte para obter o hotfix.

Observação Se ocorrerem problemas adicionais ou se qualquer solução de problemas é necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não se qualificam para esse hotfix específico. Para obter uma lista completa de números de telefone de suporte e Atendimento Microsoft ou para criar uma solicitação de serviço separada, visite o seguinte site: Observação O formulário "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Se você não vir seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos

Não pré-requisitos são necessários.

Requisitos de reinicialização

Reinicie o computador após aplicar esse hotfix.

Informações sobre a substituição do hotfix

Esse hotfix não substitui outros hotfixes.

Informações sobre o arquivo

A versão em inglês deste hotfix tem atributos de arquivo (ou atributos de arquivo posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas na acordo hora universal coordenada (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
Windows Server 2003, edições de 32 bits
   Date         Time   Version            Size  File name   --------------------------------------------------------   19-Aug-2004  02:15  5.2.3790.201  1,531,904  Ntdsa.dll   19-Aug-2004  02:15  5.2.3790.196     32,768  Ntdsatq.dll   05-Aug-2004  18:26  5.2.3790.197     59,392  Ws03res.dll
Windows Server 2003, Enterprise Edition para sistemas baseados no Itanium
   Date         Time   Version            Size  File name     Platform   -------------------------------------------------------------------   19-Aug-2004  03:08  5.2.3790.201  4,055,552  Ntdsa.dll        IA-64   19-Aug-2004  03:08  5.2.3790.196     82,432  Ntdsatq.dll      IA-64   05-Aug-2004  19:27  5.2.3790.197     58,880  Ws03res.dll      IA-64   05-Aug-2004  19:26  5.2.3790.197     59,392  Wws03res.dll       x86
Situação
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na seção "Aplica-se a".
Mais Informações
Aviso Se você usar o snap-in ADSI Edit, o utilitário LDP, ou qualquer outro cliente LDAP versão 3 e modificar incorretamente os atributos de objetos do Active Directory, você pode causar problemas sérios. Esses problemas podem exigir que você reinstalar o Microsoft Windows 2000 Server, Microsoft Windows Server 2003, Microsoft Exchange 2000 Server, Microsoft Exchange Server 2003, ou o Windows e Exchange. A Microsoft não garante que os problemas que ocorrem se você modificar incorretamente atributos de objeto do Active Directory possam ser solucionados. Modificar estes atributos de sua responsabilidade.

Para ativar o novo comportamento, modifique o atributo dSHeuristic no Active Directory. Para fazer isso, execute as seguintes etapas:
  1. Inicie o ADSI Edit. Para fazer isso, abra um prompt de comando na pasta Support\Tools, digite adsiedit.msc e, em seguida, pressione ENTER.

    Observação ADSI Edit está incluído com as ferramentas de suporte Microsoft Windows 2000 Server e com ferramentas de suporte do Microsoft Windows Server 2003. Para instalar as ferramentas de suporte do Windows 2000, clique duas vezes em Setup.exe na pasta Support\Tools do CD do Windows 2000. Para instalar ferramentas de suporte do Windows Server 2003, clique duas vezes em Suptools.msi na pasta Support\Tools no CD do Windows Server 2003.
  2. Clique com o botão direito do mouse CN = Directory Service no seguinte local e em seguida, clique em Propriedades :
    CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = forest root
  3. Clique na guia Attribute Editor e localize dSHeuristic na lista de atributos .

    Observação Por padrão, o valor deste atributo não está definido.
  4. Clique em dSHeuristic e em seguida, clique em Editar .
  5. Digite 00000000010000001 na caixa valor e, em seguida, clique em OK .
Observação Se um valor já foi definido para esse atributo, incorpore as configurações existentes o novo valor. Quando você fizer isso, observe o seguinte:
  • O décimo bit da esquerda deve ser 1.
  • O bit seventeenth da esquerda deve ser 1.
  • Nenhum dos bits do valor existente deve ser alterado.
Não é necessário reiniciar o computador após fazer essa alteração. Como essa alteração é replicada para todos os controladores de domínio na floresta, controladores de domínio com Windows Server 2003 ler o valor automaticamente e alterar seus comportamentos adequadamente.

Para confirmar a correção, execute estas etapas:
  1. Use o ADSI Edit para localizar uma conta de usuário no Active Directory.
  2. Clique com o botão direito do mouse o objeto de conta de usuário e, em seguida, clique em Propriedades .
  3. Clique na guia Attribute Editor e localize msDS-KeyVersionNumber na lista de atributos .
Antes de instalar o hotfix, esse valor é maior que 1 se a senha do usuário foi alterada. Depois de instalar o hotfix e ativar o novo comportamento, esse valor é 1.

Para obter informações adicionais sobre a terminologia usada neste artigo, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
824684Descrição da terminologia padrão que é usada para descrever as atualizações de software

Aviso: este artigo foi traduzido automaticamente

Eigenschappen

Artikel-id: 870987 - Laatst bijgewerkt: 07/24/2007 19:29:20 - Revisie: 1.10

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems

  • kbmt kbautohotfix kbqfe kbhotfixserver kberrmsg kbbug kbfix kbwinserv2003presp1fix KB870987 KbMtpt
Feedback