Симптомы
Предполагается, что клиентский компьютер имеет кэшированных заблокированной учетной записи в среде под управлением Windows Server 2008 R2 Active Directory доменных службах (AD DS). При попытке войти на компьютер с помощью смарт-карты, поведение отличается от поведения, возникающая при входе в систему, используя имя пользователя и пароль.
Рассмотрим следующие сценарии.
Сценарий 1
-
Использовать смарт-карту для входа кэшированные заблокированной учетной записи. Вход в систему происходит сбой и появляется следующее сообщение об ошибке:
Пользователь не может войти в систему. Ваша учетная запись отключена. Обратитесь к системному администратору.
-
Отключите компьютер от среды AD DS, а затем повторите попытку входа.
В этом случае заканчивается неудачно, и появляется следующее сообщение об ошибке:
Пользователь не может войти в систему. Домен недоступен. Повторите попытку позже.
Сценарий 2
-
Использовать имя пользователя и пароль для входа кэшированные заблокированной учетной записи. Вход в систему происходит сбой и появляется следующее сообщение об ошибке:
Учетная запись ссылки в данный момент заблокирована и не может быть зарегистрировано в.
-
Отключите компьютер от среды AD DS.
В этом случае вход в систему выполняется успешно, с помощью кэшированных учетных данных.
Причина
Эта проблема возникает, так как центр распространения ключей (KDC) отправляет ошибку KDC_ERR_CLIENT_REVOKED только при использовании смарт-карты для входа в учетную запись пользователя заблокированной. Это сообщение об ошибке сопоставляется значение STATUS_ACCOUNT_DISABLED. Это приводит к кэшированной учетной записи будет считаться запрещено для этого компьютера. Связанные кэшированные учетные данные будут удалены.
Решение
Сведения об исправлении
Существует исправление от корпорации Майкрософт. Однако данное исправление предназначено для устранения только проблемы, описанной в этой статье. Применяйте это исправление только в тех случаях, когда наблюдается проблема, описанная в данной статье. Это исправление может проходить дополнительное тестирование. Таким образом если вы не подвержены серьезно этой проблеме, рекомендуется дождаться следующего пакета обновления, содержащего это исправление.
Если исправление доступно для скачивания, имеется раздел "Пакет исправлений доступен для скачивания" в верхней части этой статьи базы знаний. Если этот раздел не отображается, обратитесь в службу поддержки для получения исправления.
Примечание. Если наблюдаются другие проблемы или необходимо устранить неполадки, вам может понадобиться создать отдельный запрос на обслуживание. Стандартная оплата за поддержку будет взиматься только за дополнительные вопросы и проблемы, которые не соответствуют требованиям конкретного исправления. Для получения полного списка телефонов поддержки и обслуживания клиентов корпорации Майкрософт, или для создания отдельного запроса на обслуживание, посетите следующий веб-сайт Майкрософт:
http://support.microsoft.com/contactus/?ws=supportПримечание. В форме "Пакет исправлений доступен для скачивания" отображаются языки, для которых доступно исправление. Если нужный язык не отображается, значит исправление для данного языка отсутствует.
Предварительные условия
Это исправление необходимо использовать Пакет обновления 1 (SP1) для Windows Server 2008 R2. Сведения о получении пакета обновления Windows Server 2008 R2 просмотреть информацию о Пакет обновления 1 для Windows 7 и Windows Server 2008 R2.
Необходимость перезагрузки
После установки исправления компьютер необходимо перезагрузить.
Сведения о замене исправлений
Это исправление не заменяет ранее выпущенные исправления.
Английский (США) версия данного исправления устанавливает файлы с атрибутами, указанными в приведенных ниже таблицах. Дата и время для файлов указаны в формате UTC. Дата и время для файлов на локальном компьютере отображаются в местном времени с вашим текущим смещением летнего времени (DST). Кроме того, при выполнении определенных операций с файлами, даты и время могут изменяться.
Примечания к сведениям о файле Windows Server 2008 R2Важно. Исправления для Windows Server 2008 R2 и Windows 7 включены в одни и те же пакеты. Однако исправления на странице запроса исправлений перечислены под обеими операционными системами. Чтобы запросить пакет исправления, который применяется к одной или обеим ОС, установите исправление, описанное в разделе "Windows 7/Windows Server 2008 R2" страницы. Всегда обращайтесь к разделу «Применяется к» в статьи для определения фактических операционной системы, к которому применяется каждое исправление.
-
Файлы, относящиеся к определенному продукту, этапу разработки (RTM, SPn) и направлению поддержки (LDR, GDR) можно определить путем проверки номера версий файлов, как показано в следующей таблице.
Версия
Продукт
SR_Level
Направление поддержки
6.1.760
1.
22 xxxWindows Server 2008 R2
SP1
LDR
-
Файлы МАНИФЕСТА (.manifest) и MUM (.mum), устанавливаемые для каждой среды, указаны отдельно в разделе Дополнительные сведения о файлах» для Windows Server 2008 R2». Файлы MUM и MANIFEST, а также связанные файлы каталога безопасности (CAT) чрезвычайно важны для поддержания состояния обновленных компонентов. Файлы каталога безопасности, для которых не перечислены атрибуты, подписаны цифровой подписью корпорации Майкрософт.
Для всех поддерживаемых 64-разрядных версий Windows Server 2008 R2
|
Имя файла |
Версия файла |
Размер файла |
Дата |
Время |
Платформа |
|---|---|---|---|---|---|
|
Kdcsvc.dll |
6.1.7601.22313 |
435,200 |
01-May-2013 |
05:17 |
x64 |
|
Kdcsvc.mof |
Неприменимо |
5 300 |
05-Nov-2010 |
02:14 |
Неприменимо |
Статус
Корпорация Майкрософт подтверждает, что это проблема продуктов Майкрософт, перечисленных в разделе "Относится к".
Дополнительные сведения
Учетные записи будут блокированы после определенного числа ошибок при подключении.
Для заблокированной учетной записи следующие сообщения об ошибках создаются KDC.
G eneric сообщения:
(KDC_ERR_CLIENT_REVOKED)
Расширенные, конкретных появляется сообщение об ошибке
(STATUS_ACCOUNT_LOCKED_OUT, STATUS_ACCOUNT_DISABLED, STATUS_INVALID_LOGON_HOURS, STATUS_LOGIN_TIME_RESTRICTION,STATUS_LOGIN_WKSTA_RESTRICTION, STATUS_ACCOUNT_EXPIRED).
Дополнительные сведения о терминологии, обновления программного обеспечения см. Описание стандартной терминологии, которая используется для описания обновлений программных продуктов Майкрософт.
Сведения о дополнительных файлах для Windows Server 2008 R2
Дополнительные файлы для всех поддерживаемых версий Windows Server 2008 R2 для систем на базе x64
|
Имя файла |
Amd64_c7dbe0bd4a7cdc0bb1289388edc11708_31bf3856ad364e35_6.1.7601.22313_none_d4616d19b594862c.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
724 |
|
Дата (UTC) |
01-May-2013 |
|
Время (UTC) |
20:21 |
|
Платформа |
Неприменимо |
|
Имя файла |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7601.22313_none_ea664dc6c3ff15cc.manifest |
|
Версия файла |
Неприменимо |
|
Размер файла |
35,825 |
|
Дата (UTC) |
01-May-2013 |
|
Время (UTC) |
05:44 |
|
Платформа |
Неприменимо |
