Код ошибки при сбое протокола kpasswd после выполнения принудительного восстановления: «KDC_ERROR_S_PRINCIPAL_UNKNOWN»

Применимо к: Windows Server 2008 Service Pack 2Windows Server 2008 Datacenter without Hyper-VWindows Server 2008 Enterprise without Hyper-V

Симптомы


Для выполнения принудительного восстановления для учетной записи krbtgt на на базе Windows Server 2008 или в домене под управлением Windows Server 2008 R2. После выполнения этой операции протокола kpasswd завершается неудачей и приводит к возникновению ошибки с кодом ошибки KDC_ERROR_S_PRINCIPAL_UNKNOWN. Кроме того возможно, не удалось установить пароль пользователя с помощью протокола kpasswd. Кроме того эта проблема блокирует kpasswd протокол взаимодействия между доменом и сферой Массачусетского технологического института (MIT). Например нельзя установить пароль пользователя с помощью диспетчера жизненного цикла удостоверений Microsoft во время подготовки пользователя.

Примечание. Учетная запись krbtgt используется для проверки подлинности Kerberos. Нельзя использовать учетную запись для входа в домен.


Могут возникнуть дополнительные проблемы в кластере серверов под управлением Windows Server 2012. Предположим, при попытке установить пароль для объекта-компьютера кластера в кластере серверов под управлением Windows Server 2012. Кроме того предполагается, что контроллеры домена под управлением Windows Server 2008 или Windows Server 2008 R2 в среде. В этом случае появляется следующее сообщение об ошибке:
CreateClusterNameCOIfNotExists (6783): Не удается установить пароль на < Имя_кластера $>
Чтобы устранить эту проблему, данное исправление на контроллерах домена под управлением Windows Server 2008 или Windows Server 2008 R2 и создайте кластера серверов под управлением Windows Server 2012.

Примечание. Это исправление, если у вас установлен Windows Server 2008 R2 Пакет обновления 1 не требуется.

Причина


Когда пользователь запрашивает билет службы Kpasswd, неправильно установлен флаг в Kerberos предоставления билетов (TGS) запросе службы для службы Kpasswd. В результате центр распространения ключей (KDC) неправильно создавать новое имя службы. Таким образом используется имя неправильно службы и происходит сбой службы KPasswd.

Примечание. Ожидаемым поведением является то, что центр распространения ключей (KDC) непосредственно правильной службе имя копируется из билеты на выдачу билета Kerberos TGT.

Решение


Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Для установки этого исправления на компьютере должна быть установлена в Пакет обновления 2 (SP2) для Windows Server 2008 или Windows Server 2008 R2. Кроме того компьютер должен иметь роль сервера доменных служб Active Directory (AD DS).

Дополнительные сведения о том, как получить пакет обновления для Windows Server 2008, щелкните следующий номер статьи базы знаний Майкрософт:

Как получить последний пакет обновления для Windows Server 2008 968849

Сведения о реестре

Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.

Необходимость перезагрузки

После установки исправления компьютер необходимо перезагрузить.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения о файлах

Глобальная версия этого исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Server 2008
Важно. Исправления для Windows Server 2008 и Windows Vista исправления включены в те же пакеты. Однако только «Windows Vista» отображается на странице запрос исправления. Для получения пакета исправлений, который применяется к одной или обеих операционных систем, установите исправления, перечисленные в разделе «Windows Vista» на странице. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
  • Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
    ВерсияПродуктSR_LevelНаправление поддержки
    6.0.600
    2.
    22 xxx
    Windows Server 2008SP2LDR
  • Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах для системы Windows Vista и Windows Server 2008". MUM файлы и файлы МАНИФЕСТА и связанные файлы каталога безопасности (.cat), очень важны для поддержания состояния обновляемого компонента. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Kdcsvc.dll6.0.6002.22313312,83215-Jan-201019:56x86
Kdcsvc.mofНеприменимо5 30003-Apr-200921:47Неприменимо
Для всех поддерживаемых версий Windows Server 2008 для систем на базе x64
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Kdcsvc.dll6.0.6002.22313406,52815-Jan-201019:49x64
Kdcsvc.mofНеприменимо5 30003-Apr-200921:07Неприменимо
Примечания к сведениям о файле Windows Server 2008 R2
Важно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Чтобы запросить пакет исправления, который применяется к одной или обеим ОС, установите исправление, описанное в разделе "Windows 7/Windows Server 2008 R2" страницы. Всегда смотрите раздел "Информация в данной статье относится к следующим продуктам" статьи для определения фактических операционных систем, к которым применяется каждое исправление.
  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе Дополнительные сведения о файлах» для Windows Server 2008 R2». Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
Имя файлаВерсия файлаРазмер файлаДатаВремяПлатформа
Kdcsvc.dll6.1.7600.20768430,08030-Jul-201005:09x64
Kdcsvc.mofНеприменимо5 30010-Jun-200921:01Неприменимо

Статус


Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".

Дополнительные сведения


Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:

968140 протокол kpasswd завершается неудачно с ошибкой KDC_ERR_S_PRINCIPAL_UNKNOWN после выполнения принудительного восстановления учетной записи krbtgt в домене Windows Server 2008

Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:

Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт

Сведения о дополнительных файлах

Сведения о дополнительных файлах для Windows Server 2008

Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 для систем на базе x86
Имя файлаUpdate.mum
Версия файлаНеприменимо
Размер файла2,253
Дата (UTC)19-Jan-2010
Время (UTC)08:10
ПлатформаНеприменимо
Имя файлаX86_d0f3d955d2b5768a71aff47151566751_31bf3856ad364e35_6.0.6002.22313_none_638710039e605b6e.manifest
Версия файлаНеприменимо
Размер файла720
Дата (UTC)19-Jan-2010
Время (UTC)08:10
ПлатформаНеприменимо
Имя файлаX86_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6002.22313_none_8e201173aa8a3193.manifest
Версия файлаНеприменимо
Размер файла42,276
Дата (UTC)16-Jan-2010
Время (UTC)01:16
ПлатформаНеприменимо
Дополнительные файлы для всех поддерживаемых 64-разрядных версий Windows Server 2008
Имя файлаAmd64_91f846b3bad6ae4dbddb26da25d7ef85_31bf3856ad364e35_6.0.6002.22313_none_b544072e4ea8e655.manifest
Версия файлаНеприменимо
Размер файла724
Дата (UTC)19-Jan-2010
Время (UTC)08:10
ПлатформаНеприменимо
Имя файлаAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.0.6002.22313_none_ea3eacf762e7a2c9.manifest
Версия файлаНеприменимо
Размер файла42,320
Дата (UTC)16-Jan-2010
Время (UTC)01:09
ПлатформаНеприменимо
Имя файлаUpdate.mum
Версия файлаНеприменимо
Размер файла2,269
Дата (UTC)19-Jan-2010
Время (UTC)08:10
ПлатформаНеприменимо

Сведения о дополнительных файлах для Windows Server 2008 R2

Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе x64
Имя файлаAmd64_6690add2dc1b7c06f724dbb33e5059e6_31bf3856ad364e35_6.1.7600.20768_none_b47174a5a615abf4.manifest
Версия файлаНеприменимо
Размер файла724
Дата (UTC)30-Jul-2010
Время (UTC)07:34
ПлатформаНеприменимо
Имя файлаAmd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20768_none_e84efd2ac6fc94f5.manifest
Версия файлаНеприменимо
Размер файла35,825
Дата (UTC)30-Jul-2010
Время (UTC)05:54
ПлатформаНеприменимо
Версия файлаНеприменимо
Размер файла1,699
Дата (UTC)30-Jul-2010
Время (UTC)07:34
ПлатформаНеприменимо
Имя файлаUpdate.mum
Версия файлаНеприменимо
Размер файла1700
Дата (UTC)30-Jul-2010
Время (UTC)07:34
ПлатформаНеприменимо