Usuários de domínio não podem alterar ou redefinir suas senhas quando conta KRBTGT é restaurada no cliente Windows

Sintomas

Considere o seguinte cenário:

  • Você tem um controlador de domínio que executa o Windows Server 2008 R2.

  • Executar uma ação de restauração autoritativa na conta KRBTGT.

  • Você faz logon um cliente Windows 8.1, um cliente do Windows 8 com o arquivo Kerberos. dll de atualização ou uma atualização posterior, ou um cliente do Windows 7 com a atualização ou uma atualização posterior.

  • Tente redefinir ou alterar a senha de domínio.

Nesse cenário, a senha não pode ser redefinida ou alterada. Além disso, você recebe a seguinte mensagem de erro:

A banco de dados de segurança no servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho

Causa

Esse problema ocorre porque o controlador de domínio do Windows Server 2008 R2 manipula incorretamente um sinalizador específico. O sinalizador é apresentado no lado do cliente para resolver um problema no qual o arquivo Kerberos. dll não é a atualização cache de credenciais do usuário se o usuário fizer logon usando seu nome de usuário principal (UPN).

Resolução

Informações sobre o hotfix

Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente aos sistemas que apresentarem esse problema específico.

Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, envie uma solicitação ao suporte e atendimento ao cliente Microsoft para obter o hotfix.

Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:

Observação: "Download de Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.

Pré-requisitos:

Para aplicar essa atualização, você deve estar executando o Windows Server 2008 R2.

Informações do registro:

Para aplicar essa atualização, não é necessário fazer alterações no Registro.

Requisitos de reinicialização:

Você precisa reiniciar o computador após aplicar essa atualização.

Informações de substituição da atualização

Esta atualização não substitui uma atualização lançada previamente.

A versão global desta atualização instala arquivos que têm os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.

Observações sobre o arquivo Windows Server 2008 R2

  • Os arquivos que se aplicam a um produto, etapa (RTM, SPn) e ramificação do serviço (LDR, GDR) específicos podem ser identificados examinando os números de versão do arquivo, conforme exibido na seguinte tabela:

  • As ramificações do serviço GDR contêm somente as correções amplamente disponibilizadas para resolver problemas importantes muito difundido. As ramificações do serviço LDR contém hotfixes, além de correções amplamente disponibilizadas.

  • Os arquivos MANIFEST (.manifest) e os arquivos MUM (.mum) instalados para cada ambiente são listados separadamente na seção "informações adicionais sobre os arquivos". Os arquivos de catálogo de segurança associados (.cat), MUM e MANIFEST, são muito importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.

Status

A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".

Mais informações

Para determinar se você tem uma conta KRBTGT restaurada em seu domínio, você pode executar o seguinte comando em um prompt de comando de administrador elevado domínio:

repadmin /showobjmeta  <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt

Porque a restauração padrão aumenta todos os atributos por 100000 no arquivo de krbtgt.txt de saída, você pode observar o valor de versão (versão) do atributo pwdLastSet é 100002 ou maior. Por exemplo, a saída é a seguinte:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========

8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet


Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:

descrição da terminologia padrão usada para descrever as atualizações de software

Informações adicionais sobre os arquivos:

Precisa de mais ajuda?

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×