Código de erro quando o protocolo de kpasswd falha depois de efectuar um restauro autoritário: "KDC_ERROR_S_PRINCIPAL_UNKNOWN"

Aplica-se a: Windows Server 2008 Service Pack 2Windows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise without Hyper-V

Sintomas


Executar um restauro autoritário da conta krbtgt com base no Windows Server 2008 ou um domínio baseado no Windows Server 2008 R2. Depois de efectuar esta operação, o protocolo de kpasswd falha e gera um código de erro KDC_ERROR_S_PRINCIPAL_UNKNOWN. Além disso, poderá não ser possível definir a palavra-passe de um utilizador utilizando o protocolo de kpasswd. Além disso, este problema bloqueia interoperabilidade de protocolo de kpasswd entre o domínio e um realm de Massachusetts Institute of Technology (MIT). Por exemplo, é possível definir a palavra-passe de utilizador utilizando o Gestor de ciclo de vida de identidade de Microsoft durante o aprovisionamento do utilizador.

Nota A conta krbtgt é utilizada para a autenticação Kerberos. A conta não pode ser utilizada para iniciar sessão num domínio.


Poderá detectar sintomas adicionais num cluster de servidor baseado no Windows Server 2012. Suponha que tenta definir a palavra-passe para o objecto de computador do cluster num cluster de servidor baseado no Windows Server 2012. Além disso, partem do princípio de que não existem controladores de domínio baseado no Windows Server 2008 ou Windows Server 2008 R2 no ambiente. Nesta situação, recebe a seguinte mensagem de erro:
CreateClusterNameCOIfNotExists (6783): Não é possível definir palavra-passe < NomeCluster$ >
Para resolver este problema, aplique esta correcção nos controladores de domínio baseado no Windows Server 2008 ou Windows Server 2008 R2 e, em seguida, criar o cluster de servidor baseado no Windows Server 2012.

Nota Não é necessário aplicar esta correcção, se tiver o Windows Server 2008 R2 Service Pack 1 instalado...

Causa


Quando um utilizador pede uma permissão para o serviço de Kpasswd, um sinalizador está definido incorrectamente no pedido de serviço (TGS) do Kerberos senha-concessão para o serviço Kpasswd. Este comportamento faz com que o Centro de distribuição de chaves (KDC) incorrectamente a criar um novo nome de serviço. Por conseguinte, é utilizado um nome de serviço incorrecto e o serviço KPasswd falhar.

Nota O comportamento esperado é que o Centro de distribuição de chaves (KDC) directamente copia o nome de serviço correcto as Kerberos senha-concessão TGT (permissões).

Resolução


Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.

Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

Para aplicar esta correcção, o computador tem de ter o Windows Server 2008 Service Pack 2 (SP2) ou Windows Server 2008 R2. Além disso, o computador tem de ter a função de servidor de serviços de domínio do Active Directory (AD DS) instalada.

Para mais informações sobre como obter um Windows Server 2008 service pack, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

968849 como obter o service pack mais recente do Windows Server 2008

Informações de registo

Para utilizar a correção neste pacote, não é necessário efetuar alterações ao registo.

Requisito de reinício

Tem de reiniciar o computador depois de aplicar esta correcção.

Informações sobre substituição da correção

Esta correção não substitui uma correção disponibilizada anteriormente.

Informações de ficheiro

A versão global desta correção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Notas de informações de ficheiros do Windows Server 2008
Importante Correcções do Windows Vista e as correcções do Windows Server 2008 são incluídas nos pacotes mesmos. No entanto, apenas "Windows Vista" é listado na página de pedido de correcção. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows Vista" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
  • Os ficheiros aplicáveis a um produto específico, SR_Level (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela.
    VersãoProdutoSR_LevelRamo de serviço
    6.0.600
    2.
    22 xxx
    Windows Server 2008SP2LDR
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows Server 2008 e Windows Vista ficheiros adicionais". Os ficheiros MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são extremamente importantes para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x86 do Windows Server 2008 suportadas
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Kdcsvc.dll6.0.6002.22313312,83215-Jan-201019:56x86
Kdcsvc.mofNão aplicávele 5.30003-Apr-200921:47Não aplicável
Para todas as versões baseadas em x64 do Windows Server 2008 suportadas
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Kdcsvc.dll6.0.6002.22313406,52815-Jan-201019:49x64
Kdcsvc.mofNão aplicávele 5.30003-Apr-200921:07Não aplicável
Notas de informações de ficheiros do Windows Server 2008 R2
Importante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows Server 2008 R2 ficheiros adicionais". Ficheiros MUM, MANIFESTO e os ficheiros de catálogo de segurança (. cat) associados, são extremamente importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas
Nome do ficheiroVersão do ficheiroTamanho do ficheiroDataHoraPlataforma
Kdcsvc.dll6.1.7600.20768430,08030-Jul-201005:09x64
Kdcsvc.mofNão aplicávele 5.30010-Jun-200921:01Não aplicável

Estado


A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".

Mais informações


Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Base de Dados de Conhecimento Microsoft

968140 o protocolo de kpasswd falha com um erro KDC_ERR_S_PRINCIPAL_UNKNOWN depois de efectuar um restauro autoritário da conta krbtgt num domínio do Windows Server 2008

Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:

824684 descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft

Informações sobre ficheiros adicionais

Informações sobre ficheiros adicionais para o Windows Server 2008

Ficheiros adicionais para todas as versões baseadas em x86 do Windows Server 2008 suportadas
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro2,253
Data (UTC)19-Jan-2010
Hora (UTC)08:10
PlataformaNão aplicável
Nome do ficheiroX86_d0f3d955d2b5768a71aff47151566751_31bf3856ad364e35_6.0.6002.22313_none_638710039e605b6e.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro720
Data (UTC)19-Jan-2010
Hora (UTC)08:10
PlataformaNão aplicável
Nome do ficheiroX86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6002.22313_none_8e201173aa8a3193.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro42,276
Data (UTC)16-Jan-2010
Hora (UTC)01:16
PlataformaNão aplicável
Ficheiros adicionais para todas as versões baseadas em x64 do Windows Server 2008 suportadas
Nome do ficheiroAmd64_91f846b3bad6ae4dbddb26da25d7ef85_31bf3856ad364e35_6.0.6002.22313_none_b544072e4ea8e655.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro724
Data (UTC)19-Jan-2010
Hora (UTC)08:10
PlataformaNão aplicável
Nome do ficheiroAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6002.22313_none_ea3eacf762e7a2c9.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro42,320
Data (UTC)16-Jan-2010
Hora (UTC)01:09
PlataformaNão aplicável
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro2,269
Data (UTC)19-Jan-2010
Hora (UTC)08:10
PlataformaNão aplicável

Informações sobre ficheiros adicionais para Windows Server 2008 R2

Ficheiros adicionais para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas
Nome do ficheiroAmd64_6690add2dc1b7c06f724dbb33e5059e6_31bf3856ad364e35_6.1.7600.20768_none_b47174a5a615abf4.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro724
Data (UTC)30-Jul-2010
Hora (UTC)07:34
PlataformaNão aplicável
Nome do ficheiroAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20768_none_e84efd2ac6fc94f5.manifest
Versão do ficheiroNão aplicável
Tamanho do ficheiro35,825
Data (UTC)30-Jul-2010
Hora (UTC)05:54
PlataformaNão aplicável
Versão do ficheiroNão aplicável
Tamanho do ficheiro1,699
Data (UTC)30-Jul-2010
Hora (UTC)07:34
PlataformaNão aplicável
Nome do ficheiroUpdate.mum
Versão do ficheiroNão aplicável
Tamanho do ficheiro1,700
Data (UTC)30-Jul-2010
Hora (UTC)07:34
PlataformaNão aplicável