ИСПРАВИТЬ: Учетные записи пользователей, которые используют шифрование DES для типов проверки подлинности Kerberos не может проходить проверку подлинности в домене Windows Server 2003 после к домену контроллера домена Windows Server 2008 R2

Симптомы

Рассмотрим следующий сценарий:

  • Создается учетная запись пользователя в домене Windows Server 2003.

  • Все контроллеры домена в этом домене под управлением Windows Server 2003.

  • Учетная запись пользователя настроена для использования типов шифрования данных DES (Encryption Standard) для проверки подлинности Kerberos.

  • Компьютер под управлением Windows Server 2008 R2 к домену.

  • Active Directory установлены на рядовом сервере.

В этом случае учетная запись пользователя не удается войти в домен сразу после запуска контроллера домена Windows Server 2008 R2. Кроме того, может появиться следующее сообщение об ошибке:

KDC не имеет поддержки для типа шифрования при получении начального учетные данные.

Кроме того в системный журнал на контроллере домена под управлением Windows Server 2008 R2 регистрируются следующие события:

Имя журнала: системы
Источник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата: Дата
Код события: 14
Категории задач: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
При обработке запроса AS для целевой службы krbtgt, имя учетной записи не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор 1). Запрошенный etypes: 16 1 11 10 15 12 13. Etypes доступных учетных записей: 23-133 -128. Изменения или сброса пароля user_name будет создать подходящий ключ.

Имя журнала: системы
Источник: Microsoft-Windows-Kerberos-Key-Distribution-Center
Дата: Дата
Код события: 16
Категории задач: нет
Уровень: ошибка
Ключевые слова: классический
Пользователь: н/д
Компьютер: имя_компьютера
описание
При обработке запроса TGS в целевой сервер имя_сервераaccount_name учетная запись не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор 9). Запрошенный etypes были 3 1. 23-133 были etypes доступных учетных записей -128. Изменения или сброса пароля account_name создает подходящий ключ.

Причина

Эта проблема возникает из-за различных структур данных, используются для сохранения шифрования типа сведения об учетной записи пользователя на контроллерах домена Windows Server 2003 и на контроллерах домена Windows Server 2008 R2.

При создании учетной записи пользователя на контроллере домена Windows Server 2003, сведения о типе шифрования сохраняется в структуре данных. Затем эта информация копируется на контроллеры домена Windows Server 2008 R2 с помощью репликации AD.

Примечание. Эта проблема также возникает при сбросе пароля учетной записи пользователя.

Когда контроллер домена Windows Server 2008 R2 выполняет проверку подлинности учетной записи пользователя, контроллер домена считывает сведения о типе шифрования из структуры данных, используемый контроллером домена Windows Server 2003. Затем он должен скопировать сведения о типе шифрования другой структурой данных. Однако сведения не копируются, должным образом. Таким образом проверка подлинности завершается неудачно.

Решение

Сведения об исправлении

Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.

Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.

Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Чтобы получить полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание, посетите следующий веб-сайт корпорации Майкрософт:

Примечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.

Предварительные условия

Следующий список содержит необходимые условия для установки исправления.

  • Необходимо установить Windows Server 2008 R2.

  • Должна быть установлена служба роли доменных служб Active Directory.

Примечание для установки

Установите это исправление на всех контроллерах домена под управлением Windows Server 2008 R2 в домене Windows Server 2003. Данное исправление не следует применять к серверам Windows Server 2003, которые находятся в домене.

Сведения о реестре

Для использования исправления из этого пакета нет необходимости вносить изменения в реестр.

Сведения о перезагрузке компьютера

Может потребоваться перезагрузить компьютер после установки данного исправления.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенные исправления.

Сведения о файлах

Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.

Примечание Сведения файла Windows Server 2008 R2
  • Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе Дополнительные сведения о файлах» для Windows Server 2008 R2». Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.

Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×