CORRECÇÃO: Contas de utilizador que utilizam a encriptação DES para tipos de autenticação Kerberos não podem ser autenticadas no domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 adere ao domínio

Sintomas

Considere o seguinte cenário:

  • É criada uma conta de utilizador num domínio do Windows Server 2003.

  • Todos os controladores de domínio neste domínio executem o Windows Server 2003.

  • A conta de utilizador está configurada para utilizar tipos de encriptação Data Encryption Standard (DES) para a autenticação Kerberos.

  • Um computador que esteja a executar o Windows Server 2008 R2 adere ao domínio.

  • Active Directory é instalado no servidor membro.

Neste cenário, a conta de utilizador não é possível iniciar sessão domínio imediatamente depois de iniciado o controlador de domínio do Windows Server 2008 R2. Também poderá receber a seguinte mensagem de erro:

KDC tem sem suporte para o tipo de encriptação ao obter credenciais iniciais.

Além disso, os seguintes eventos são registados no registo do sistema no controlador de domínio que esteja a executar o Windows Server 2008 R2:

Nome de registo: sistema
Origem: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: data
ID do evento: 14
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: n/d
Computador: nome_do_computador
Descrição:
Ao processar um pedido como krbtgt do serviço de destino, o nome da conta não tem uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de 1). O pedido etypes: 16 1 11 10 15 12 13. O SAPs disponíveis contas: 23-133 -128. Alterar ou repor a palavra-passe do nome_utilizador irá gerar uma chave adequada.

Nome de registo: sistema
Origem: Microsoft-Windows-Kerberos-Key-Distribution-Center
Data: data
ID do evento: 16
Categoria de tarefa: nenhum
Nível: erro
Palavras-chave: clássico
Utilizador: n/d
Computador: nome_do_computador
Descrição:
Ao processar um pedido TGS para o servidor de destino nome_servidor, a conta nome_conta não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de 9). Os pedido etypes foram 3 1. Os SAPs disponíveis contas foram 23-133 -128. Alterar ou repor a palavra-passe nome_conta irá gerar uma chave adequada.

Causa

Este problema ocorre porque as estruturas de dados diferentes são utilizadas para guardar informações de tipo de encriptação sobre a conta de utilizador em controladores de domínio do Windows Server 2003 e em controladores de domínio do Windows Server 2008 R2.

Quando é criada uma conta de utilizador num controlador de domínio Windows Server 2003, as informações de tipo de encriptação são guardadas numa estrutura de dados. Em seguida, esta informação é copiada para controladores de domínio do Windows Server 2008 R2, utilizando a replicação de AD.

Nota Este problema também ocorre quando a palavra-passe de uma conta de utilizador é reposta.

Quando um controlador de domínio do Windows Server 2008 R2 autentica a conta de utilizador, o controlador de domínio lê esta informação do tipo de encriptação da estrutura de dados que é utilizada pelo controlador de domínio do Windows Server 2003. Deve, em seguida, copia esta informação do tipo de encriptação para uma estrutura de dados diferente. No entanto, as informações não são copiadas como esperado. Por conseguinte, a autenticação falha.

Resolução

Informações sobre correção

Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.

Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.

Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:

Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.

Pré-requisitos

A lista seguinte contém os pré-requisitos da correcção:

  • Tem de ter instalado o Windows Server 2008 R2.

  • Tem de ter o serviço de função Serviço de domínio do Active Directory instalado.

Nota de instalação

Instale esta correcção em todos os controladores de domínio que executam o Windows Server 2008 R2 num domínio do Windows Server 2003. Esta correcção não deve ser aplicada para os servidores de Windows Server 2003 no domínio.

Informações de registo

Para utilizar a correção neste pacote, não é necessário efetuar alterações ao registo.

Informações sobre reinício

Poderá ter de reiniciar o computador depois de aplicar esta correção.

Informações sobre substituição da correção

Esta correção não substitui uma correção disponibilizada anteriormente.

Informações de ficheiro

A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.

Nota informativa dos ficheiros Windows Server 2008 R2
  • Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows Server 2008 R2 ficheiros adicionais". Ficheiros MUM, MANIFESTO e os ficheiros de catálogo de segurança (. cat) associados, são extremamente importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.

Para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×