Sintomas
Suponha que tem um computador cliente que tem uma conta bloqueada em cache num ambiente baseado no Windows Server 2008 R2 Active Directory Domain Services (AD DS). Quando tenta iniciar sessão no computador utilizando um smart card, o comportamento difere o comportamento que ocorre se iniciar sessão utilizando o nome de utilizador e palavra-passe.
Considere os seguintes cenários.
Cenário 1
-
Utilizar um smart card para iniciar sessão na conta bloqueada em cache. O início de sessão falha e recebe a seguinte mensagem de erro:
O sistema não conseguiu iniciar a sessão. A conta foi desactivada. Consulte o administrador do sistema.
-
Desligue o computador do ambiente de AD DS e, em seguida, tentar iniciar sessão novamente.
Neste cenário, o início de sessão falha e recebe a seguinte mensagem de erro:
O sistema não conseguiu iniciar a sessão. O domínio especificado não está disponível. Tente novamente mais tarde.
Cenário 2
-
Utilize o nome de utilizador e palavra-passe para iniciar sessão na conta bloqueada em cache. O início de sessão falha e recebe a seguinte mensagem de erro:
A conta de referência está actualmente bloqueada e não pode ser registada no.
-
Desligue o computador do ambiente de AD DS.
Neste cenário, o início de sessão for bem sucedida, utilizando as credenciais em cache.
Causa
Este problema ocorre porque o Key Distribution Center (KDC) envia um erro KDC_ERR_CLIENT_REVOKED apenas quando utilizar o smart card para iniciar sessão na conta de utilizador bloqueada. Esta mensagem de erro é mapeada para o valor STATUS_ACCOUNT_DISABLED. Isto faz com que a conta em cache a ser declarado como desactivado no computador. As credenciais em cache relacionadas, em seguida, são eliminadas.
Resolução
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correção apenas em sistemas que tenham o problema descrito neste artigo. Esta correcção poderá ser submetida a testes adicionais. Por conseguinte, se não estiver a ser gravemente afetado por este problema, recomendamos que aguarde pela próxima atualização de software que contenha esta correção.
Se a correcção estiver disponível para transferência, existirá uma secção de "Transferência de correcção disponível" na parte superior deste artigo da Base de dados de conhecimento. Se esta secção não for apresentada, contacte o Suporte ao Cliente da Microsoft para obter a correção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de estar a executar o Windows Server 2008 R2 Service Pack 1 (SP1). Para obter informações sobre como obter um service pack do Windows Server 2008 R2, ver informações sobre o Service Pack 1 para o Windows 7 e Windows Server 2008 R2.
Requisito de reinício
Tem de reiniciar o computador depois de aplicar esta correcção.
Informações sobre substituição da correção
Esta correção não substitui uma correção disponibilizada anteriormente.
A versão inglesa (Estados Unidos) desta correcção instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Notas de informações de ficheiros do Windows Server 2008 R2Importante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Consulte a secção "Aplica-se aos" artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
-
Os ficheiros aplicáveis a um produto específico, SR_Level (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela.
Versão
Produto
SR_Level
Ramo de serviço
6.1.760
1.
22 xxxWindows Server 2008 R2
SP1
LDR
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows Server 2008 R2 ficheiros adicionais". Ficheiros MUM, MANIFESTO e os ficheiros de catálogo de segurança (. cat) associados, são extremamente importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.22313 |
435,200 |
01-May-2013 |
05:17 |
x64 |
Kdcsvc.mof |
Não aplicável |
e 5.300 |
05-Nov-2010 |
02:14 |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Contas de utilizador são bloqueadas após um determinado número de tentativas de início de sessão inválido.
Para uma conta bloqueada, as seguintes mensagens de erro são geradas pelo KDC.
G eneric mensagem:
(KDC_ERR_CLIENT_REVOKED)
Mensagem de erro expandidas, específicos:
(STATUS_ACCOUNT_LOCKED_OUT, STATUS_ACCOUNT_DISABLED, STATUS_INVALID_LOGON_HOURS, STATUS_LOGIN_TIME_RESTRICTION,STATUS_LOGIN_WKSTA_RESTRICTION, STATUS_ACCOUNT_EXPIRED).
Para obter informações sobre a terminologia de actualização de software, consulte a Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft.
Informações sobre ficheiros adicionais para Windows Server 2008 R2
Ficheiros adicionais para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas
Nome do ficheiro |
Amd64_c7dbe0bd4a7cdc0bb1289388edc11708_31bf3856ad364e35_6.1.7601.22313_none_d4616d19b594862c.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
724 |
Data (UTC) |
01-May-2013 |
Hora (UTC) |
20:21 |
Plataforma |
Não aplicável |
Nome do ficheiro |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7601.22313_none_ea664dc6c3ff15cc.manifest |
Versão do ficheiro |
Não aplicável |
Tamanho do ficheiro |
35,825 |
Data (UTC) |
01-May-2013 |
Hora (UTC) |
05:44 |
Plataforma |
Não aplicável |