Symptom
Föreställ dig följande:
-
Har du en domänkontrollant som kör Windows Server 2008 R2.
-
Du kan utföra en auktoritär återställning åtgärd för KRBTGT-kontot.
-
Du loggar in på en Windows 8.1-klient och en Windows 8-klient med filen Kerberos.dll update 2883201 eller en senare uppdatering eller en Windows 7-klient med uppdatering 2845626 eller en senare uppdatering.
-
Du försöker återställa eller ändra lösenord för domänen.
Lösenordet kan inte återställa eller ändras i det här scenariot. Dessutom visas följande felmeddelande:
Säkerhet databas på servern har inte något datorkonto för denna arbetsstations förtroenderelation
Orsak
Detta problem uppstår eftersom Windows Server 2008 R2-domänkontrollant hanterar en speciell flagga felaktigt. Flaggan infördes på klientsidan att lösa ett problem där filen kerberos.dll uppdateras referenscache för en användare om användaren loggar in med sina användarens huvudnamn (UPN).
Lösning
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd bara den här snabbkorrigeringen för system med just detta problem.
Om snabbkorrigeringen är tillgänglig för hämtning finns "Snabbkorrigeringen tillgänglig för hämtning" överst i den här Knowledge Base-artikeln. Om det här avsnittet inte visas, skicka en begäran till Microsofts kundtjänst och Support för att få snabbkorrigeringen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigering tillgänglig för hämtning" formuläret visar de språk som snabbkorrigeringen är tillgänglig på. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Om du vill installera den här uppdateringen måste du köra Windows Server 2008 R2.
Registerinformation
Om du vill installera den här uppdateringen behöver du inte göra några ändringar i registret.
Krav på omstart
Du måste starta om datorn när du har installerat den här uppdateringen.
Information om vad uppdateringen ersätter
Den här uppdateringen ersätter inte några tidigare utgivna uppdateringar.
Den globala versionen av den här uppdateringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
Filinformation för Windows Server 2008 R2
-
De filer som gäller en viss produkt, milstolpe (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av att undersöka versionsnumren som visas i följande tabell:
Version
Produkt
Milstolpe
Verksamhetsgren
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 enligt xxxWindows Server 2008 R2
SP1
LDR
-
GDR-verksamhetsgrenar innehåller endast korrigeringar brett utgivna för vitt spridda, mycket viktigt problem. LDR-verksamhetsgrenar innehåller snabbkorrigeringar utöver brett utgivna korrigeringar.
-
MANIFEST-filerna (.manifest) och MUM-filerna (.mum) som installeras för varje miljö är listade separat i avsnittet "Ytterligare filinformation". MUM, MANIFEST och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x64-baserade versioner av Windows Server 2008 R2 som stöds
|
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
|---|---|---|---|---|---|
|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
|
Kdcsvc.mof |
Ej tillämplig |
5,300 |
05-Nov-2010 |
02:14 |
Ej tillämplig |
|
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
|
Kdcsvc.mof |
Ej tillämplig |
5,300 |
05-Nov-2010 |
02:14 |
Ej tillämplig |
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Du kan köra följande kommando från en domän administratör kommandorad om du vill ta reda på om du har en återställd KRBTGT-kontot i din domän:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Eftersom standard-Återställ ökar alla attribut med 100000 i utdatafilen krbtgt.txt, förekomma Ver (version)-värdet för attributet pwdLastSet är 100002 eller större. Till exempel är utdata följande:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
För mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684 beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar
Ytterligare filinformation
