Sintomas
Considere o seguinte cenário:
-
Tem um controlador de domínio que executa o Windows Server 2008 R2.
-
Executar uma acção de restauro autoritário da conta KRBTGT.
-
Iniciar sessão a um cliente Windows 8.1, um cliente Windows 8 com o ficheiro de Kerberos.dll de actualização 2883201 ou uma actualização posterior, ou um cliente de Windows 7 com a actualização 2845626 ou uma actualização posterior.
-
Tente repor ou alterar a palavra-passe de domínio.
Neste cenário, a palavra-passe não pode ser reposta ou alterada. Além disso, recebe a seguinte mensagem de erro:
A segurança da base de dados no servidor não tem uma conta de computador para esta relação de fidedignidade da estação de trabalho
Causa
Este problema ocorre porque o controlador de domínio do Windows Server 2008 R2 processa incorrectamente um sinalizador específico. O sinalizador é introduzido no lado do cliente para resolver um problema em que o ficheiro kerberos.dll é não actualizar cache de credenciais do utilizador se o utilizador iniciar sessão utilizando o respectivo nome principal de utilizador (UPN).
Resolução
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.
Se a correção está disponível para transferência, existe uma secção de "Transferência de Correção Disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentado, submeta um pedido de suporte e serviço de cliente Microsoft para obter a correcção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta actualização, terá de ter o Windows Server 2008 R2.
Informações de registo
Para aplicar esta atualização, não é necessário efetuar alterações ao registo.
Requisito de reinício
Tem de reiniciar o computador depois de aplicar esta atualização.
Atualizar informações de substituição
Esta atualização não substitui uma atualização anteriormente lançada.
A versão global desta atualização instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros.
Notas de informações de ficheiros do Windows Server 2008 R2
-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela:
Versão
Produto
Marco
Ramo de serviço
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Ramos de serviço GDR contêm apenas as correcções amplamente distribuídas para resolver problemas muito importante generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "informações sobre ficheiros adicionais". MUM, MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são muito importantes para manter o estado dos componentes atualizados. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Para todas as versões baseadas em x64 do Windows Server 2008 R2 suportadas
Nome do ficheiro |
Versão do ficheiro |
Tamanho do ficheiro |
Data |
Hora |
Plataforma |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Não aplicável |
e 5.300 |
05-Nov-2010 |
02:14 |
Não aplicável |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Não aplicável |
e 5.300 |
05-Nov-2010 |
02:14 |
Não aplicável |
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Para determinar se tem uma conta KRBTGT restaurada no seu domínio, pode executar o seguinte comando a partir de uma linha de comandos de administrador direitos de administrador de domínio:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Uma vez que o restauro de predefinição incrementa todos os atributos por 100000 no ficheiro de krbtgt.txt de saída, poderá verificar o valor de versão (versão) do atributo pwdLastSet é 100002 ou superior. Por exemplo, a saída é o seguinte:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
824684 descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
Informações sobre ficheiros adicionais