Симптомы
Рассмотрим следующий сценарий:
-
У контроллера домена под управлением Windows Server 2008 R2.
-
Выполнить действие принудительного восстановления для учетной записи KRBTGT.
-
Войдите в систему на клиентском компьютере Windows 8.1, клиент Windows 8 с Kerberos.dll файл обновления 2883201 или более поздней версии клиента Windows 7 с обновления 2845626 или более поздней версии.
-
При попытке сбросить или изменить пароль к домену.
В этом случае невозможно восстановить или изменении пароля. Кроме того появляется следующее сообщение об ошибке:
Безопасность баз данных на сервере отсутствует учетная запись компьютера для этого отношения доверия рабочей станции
Причина
Эта проблема возникает, поскольку контроллер домена Windows Server 2008 R2 неправильно обрабатывает конкретный флаг. Флаг появился на стороне клиента для решения проблемы, при которой файл kerberos.dll не обновляется кэш учетных данных пользователя при входе пользователя в систему, используя их основного имени пользователя (UPN).
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте данное исправление только в тех системах, которые имеют данную проблему.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этого раздела нет, отправьте запрос в службу технической поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Полный список телефонов поддержки и обслуживания клиентов корпорации Майкрософт или создать отдельный запрос на обслуживание посетите следующий веб-узел корпорации Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Чтобы применить это обновление, должна быть запущена Windows Server 2008 R2.
Сведения о реестре
Чтобы применить это обновление, нет необходимости вносить изменения в реестр.
Необходимость перезагрузки
Необходимо перезагрузить компьютер после установки этого обновления.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Глобальная версия этого обновления устанавливает файлы, которые имеют атрибуты, перечисленные в следующих таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Server 2008 R2
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить по номерам версий, как показано в следующей таблице.
Версия
Продукт
Контрольная точка
Направление поддержки
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Выпуски обновлений GDR содержат только те исправления, которые выпускаются повсеместно и предназначены для устранения распространенных очень важных проблем. В обновления LDR входят также специализированные исправления.
-
Файлы MANIFEST (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе "Сведения о дополнительных файлах". MUM, MANIFEST и связанные файлы каталога безопасности (.cat) очень важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Неприменимо |
5 300 |
05-Nov-2010 |
02:14 |
Неприменимо |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Неприменимо |
5 300 |
05-Nov-2010 |
02:14 |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Чтобы определить, имеют ли восстановленной учетной записи KRBTGT в вашем домене, вы выполните следующую команду из командной строки повышенных прав администратора домена:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Поскольку все атрибуты увеличивает восстановления по умолчанию на 100000 в выходной файл krbtgt.txt, можно заметить Ver (версия) значение атрибута pwdLastSet является 100002 или больше. Например выходные данные выглядят следующим образом:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Для получения дополнительных сведений о терминологии обновлений программного обеспечения щелкните следующий номер статьи базы знаний Майкрософт:
Описание 824684 Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
Сведения о дополнительных файлах