Sintomas
Considere o seguinte cenário:
-
Uma conta de usuário é criada em um domínio do Windows Server 2003.
-
Todos os controladores de domínio no domínio estiver executando o Windows Server 2003.
-
A conta de usuário é configurada para usar tipos de criptografia padrão de criptografia de dados (DES) para a autenticação Kerberos.
-
Um computador que esteja executando o Windows Server 2008 R2 ingressa no domínio.
-
Active Directory é instalado no servidor membro.
Nesse cenário, a conta de usuário não pode fazer logon no domínio imediatamente após inicia o controlador de domínio do Windows Server 2008 R2. Você também pode receber a seguinte mensagem de erro:
KDC tem suporte para o tipo de criptografia ao obter credenciais iniciais.
Além disso, os seguintes eventos são registrados no log do sistema no controlador de domínio que esteja executando o Windows Server 2008 R2:
Nome de logon: sistema
Fonte: Microsoft-Windows-Kerberos-Key-Distribution-Center Data: Data Identificação do evento: 14 Categoria da Tarefa: Nenhum Nível: erro Palavras-chave: clássico Usuário: n/d Computador: nome_do_computador Descrição: Ao processar uma solicitação como para krbtgt do serviço de destino, o nome da conta não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de 1). Etypes solicitada: 16 1 11 10 15 12 13. O etypes disponível contas: 23-133 -128. Alterar ou redefinir a senha do nome_de_usuário gerará uma chave adequada. Nome de logon: sistema Fonte: Microsoft-Windows-Kerberos-Key-Distribution-Center Data: Data Identificação do evento: 16 Categoria da Tarefa: Nenhum Nível: erro Palavras-chave: clássico Usuário: n/d Computador: nome_do_computador Descrição: Ao processar uma solicitação TGS para o servidor de destino nome_do_servidor, a conta nome_da_conta não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de 9). Etypes solicitadas eram 1 3. Os etypes disponível contas foram 23-133 -128. Alterar ou redefinir a senha de nome_da_conta gerará uma chave adequada.Causa
Esse problema ocorre porque as estruturas de dados diferentes são usadas para salvar informações sobre a conta de usuário do tipo de criptografia em controladores de domínio do Windows Server 2003 e nos controladores de domínio do Windows Server 2008 R2.
Quando uma conta de usuário é criada em um controlador de domínio do Windows Server 2003, as informações de tipo de criptografia é salva em uma estrutura de dados. Em seguida, essa informação é copiada para controladores de domínio do Windows Server 2008 R2 usando a replicação do AD. Observação: Esse problema também ocorre quando a senha de uma conta de usuário for redefinida. Quando um controlador de domínio do Windows Server 2008 R2 autentica a conta de usuário, o controlador de domínio lê essas informações de tipo de criptografia da estrutura de dados que é usada pelo controlador de domínio Windows Server 2003. Ele deve copiar essas informações do tipo de criptografia para uma estrutura de dados diferente. No entanto, as informações não são copiadas como esperado. Portanto, a autenticação falhará.Resolução
Informações sobre o hotfix
Um hotfix compatível foi disponibilizado pela Microsoft. No entanto, esse hotfix destina-se a corrigir somente o problema descrito neste artigo. Aplique este hotfix somente nos sistemas que estiverem enfrentando o problema descrito neste artigo. Esta correção poderá ser submetida a testes adicionais. Portanto, se esse problema não o prejudicar, recomendamos que você aguarde a próxima atualização de software que contenha esse hotfix.
Se o hotfix estiver disponível para download, há uma seção "Download de Hotfix disponível" na parte superior deste artigo da Base de Conhecimento. Se essa seção não for exibida, entre em contato com o suporte e atendimento ao cliente Microsoft para obter o hotfix. Observação: caso outros problemas estejam ocorrendo ou caso qualquer solução de problemas seja necessária, talvez você precise criar uma solicitação de serviço separada. Os custos normais de suporte serão aplicados a questões de suporte adicionais e problemas que não sejam específicos deste hotfix. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e suporte ou para criar uma solicitação de serviço separada, visite o seguinte site da Microsoft:http://support.microsoft.com/contactus/?ws=supportObservação: o formulário "Baixar Hotfix disponível" exibe os idiomas para os quais o hotfix está disponível. Caso você não veja seu idioma, é porque um hotfix não está disponível para esse idioma.
Pré-requisitos:
A seguinte lista contém os pré-requisitos para o hotfix:
-
Você deve ter o Windows Server 2008 R2 instalado.
-
Você deve ter o serviço de função Serviços de domínio Active Directory instalado.
Nota de instalação
Instale esse hotfix em todos os controladores de domínio que executam o Windows Server 2008 R2 em um domínio do Windows Server 2003. Esse hotfix não deve ser aplicado aos servidores Windows Server 2003 que estão no domínio.
Informações do registro:
Para usar o hotfix neste pacote, não é necessário efetuar quaisquer alterações no registro.
Informações sobre reinicialização
Você terá que reiniciar o computador após aplicar esse hotfix.
Informações de substituição do hotfix:
Esse hotfix não substitui um hotfix lançado anteriormente.
Informações sobre o arquivo:
A versão em inglês (Estados Unidos) deste hotfix instala arquivos que possuem os atributos listados nas tabelas a seguir. As datas e horas desses arquivos estão listadas no Tempo Universal Coordenado (UTC). As datas e horas desses arquivos em seu computador local são exibidas em sua hora local com a diferença de horário de verão (DST) atual. Além disso, as datas e as horas podem ser alteradas quando você realizar determinadas operações nos arquivos.
Observação de informações de arquivo do Windows Server 2008 R2
-
Os arquivos MANIFEST (. manifest) e os arquivos MUM (. mum) instalados para cada ambiente são listados separadamente na seção "Informações adicionais sobre arquivos para Windows Server 2008 R2". MUM e arquivos de manifesto e os arquivos de catálogo (. cat) de segurança associadas são extremamente importantes para manter o estado dos componentes atualizados. Os arquivos do catálogo de segurança, para os quais os atributos não estejam listados, são assinados com uma assinatura digital da Microsoft.
Para todas as versões compatíveis baseadas em x64 do Windows Server 2008 R2
Nome do Arquivo |
Versão do arquivo |
Tamanho do arquivo |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
Kdcsvc.mof |
Não aplicável |
5.300 |
10-Jun-2009 |
21:01 |
Não aplicável |
Solução alternativa
Para contornar esse problema, redefina a senha da conta do usuário problemático no controlador de domínio que esteja executando o Windows Server 2008 R2.
Status
A Microsoft confirma que este é um problema em seus produtos listados na seção "Aplica-se a".
Mais informações
Para obter mais informações sobre a terminologia de atualização de software, clique no número abaixo para ler o artigo na Base de Conhecimento da Microsoft:
824684 descrição da terminologia padrão usada para descrever as atualizações de software
Informações adicionais sobre os arquivos:
Informações sobre arquivo adicional para Windows Server 2008 R2
Arquivos adicionais para todas as versões compatíveis baseadas em x64 do Windows Server 2008 R2
Nome do Arquivo |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
724 |
Data (UTC) |
17-Dec-2009 |
Hora (UTC) |
01:36 |
Plataforma |
Não aplicável |
--- |
|
Nome do Arquivo |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
35,825 |
Data (UTC) |
16-Dec-2009 |
Hora (UTC) |
16:49 |
Plataforma |
Não aplicável |
--- |
|
Nome do Arquivo |
Update.mum |
Versão do arquivo |
Não aplicável |
Tamanho do arquivo |
1.700 |
Data (UTC) |
17-Dec-2009 |
Hora (UTC) |
01:36 |
Plataforma |
Não aplicável |