Symptom
Anta att du har en klientdator som har en cachelagrad utelåst konto i en Windows Server 2008 R2-baserade Active Directory DS (AD DS)-miljö. När du försöker logga in på datorn med ett smartkort, beteendet skiljer sig från vad som händer om du loggar in med ditt användarnamn och lösenord.
Föreställ dig följande.
Scenario 1
-
Du kan använda ett smartkort för att logga in på cachelagrad utelåst konto. Inloggningen misslyckas och följande felmeddelande:
Kunde inte logga in. Ditt konto har inaktiverats. Se din systemadministratör.
-
Du kopplar från datorn från AD DS-miljö och försök logga in igen.
I det här fallet inloggningen misslyckas och följande felmeddelande:
Kunde inte logga in. Den angivna domänen finns inte. Försök igen senare.
Scenario 2
-
Du kan använda ditt användarnamn och lösenord för att logga in på cachelagrad utelåst konto. Inloggningen misslyckas och följande felmeddelande:
Referens-kontot är låst och kan inte loggas in på.
-
Du kopplar från datorn från AD DS-miljön.
I det här fallet lyckas inloggningen genom att använda den cachelagrade informationen.
Orsak
Det här problemet uppstår eftersom Key Distribution Center (KDC) skickar ett KDC_ERR_CLIENT_REVOKED-fel bara när du använder smartkortet för att logga in på kontot utelåst användare. Det här felmeddelandet mappas tillbaka till värdet STATUS_ACCOUNT_DISABLED. Detta medför att kontot cachelagrade ska rapporteras som inaktiverats på datorn. Relaterade cachelagrade referenser tas sedan bort.
Lösning
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.
Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Om du vill installera den här snabbkorrigeringen måste du köra Windows Server 2008 R2 Service Pack 1 (SP1). Information om hur du skaffar service Pack-versionen för Windows Server 2008 R2 finns Information om Service Pack 1 för Windows 7 och Windows Server 2008 R2.
Krav på omstart
Du måste starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.
Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
Filinformation för Windows Server 2008 R2 Viktigt Snabbkorrigeringar för Windows 7 och Windows Server 2008 R2 snabbkorrigeringar ingår i samma paket. Dock finns snabbkorrigeringar på sidan snabbkorrigeringen begäran under båda operativsystemen. Om du vill begära snabbkorrigeringspaket som gäller för en eller båda operativsystemen markerar du snabbkorrigeringen som anges under "Windows 7 och Windows Server 2008 R2" på sidan. Alltid finns i avsnittet "Gäller" i artiklarna för att fastställa själva operativsystemet som avser varje snabbkorrigering.
-
De filer som gäller en viss produkt, SR_Level (RTM, SPn) och verksamhetsgren (LDR, GDR) framgår av undersöker versionsnumren som visas i följande tabell.
Version
Produkt
SR_Level
Verksamhetsgren
6.1.760
1.
22 xxxWindows Server 2008 R2
SP1
LDR
-
I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008 R2". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.22313 |
435,200 |
01-May-2013 |
05:17 |
x64 |
Kdcsvc.mof |
Ej tillämplig |
5,300 |
05-Nov-2010 |
02:14 |
Ej tillämplig |
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
Användarkonton ska låsas ut efter ett visst antal felaktiga inloggningsförsök.
Följande felmeddelanden genereras av KDC för ett utelåst konto.
G eneric meddelande:
(KDC_ERR_CLIENT_REVOKED)
Utökade, specifika felmeddelande:
(STATUS_ACCOUNT_LOCKED_OUT, STATUS_ACCOUNT_DISABLED, STATUS_INVALID_LOGON_HOURS, STATUS_LOGIN_TIME_RESTRICTION,STATUS_LOGIN_WKSTA_RESTRICTION, STATUS_ACCOUNT_EXPIRED).
Mer information om terminologin för programuppdateringar finns i Beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar.
Ytterligare filinformation för Windows Server 2008 R2
Ytterligare filer för alla x64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Amd64_c7dbe0bd4a7cdc0bb1289388edc11708_31bf3856ad364e35_6.1.7601.22313_none_d4616d19b594862c.manifest |
Filversion |
Ej tillämplig |
Storlek |
724 |
Datum (UTC) |
01-May-2013 |
Tid (UTC) |
20:21 |
Plattform |
Ej tillämplig |
Filnamn |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7601.22313_none_ea664dc6c3ff15cc.manifest |
Filversion |
Ej tillämplig |
Storlek |
35,825 |
Datum (UTC) |
01-May-2013 |
Tid (UTC) |
05:44 |
Plattform |
Ej tillämplig |