Symptom
Föreställ dig följande:
-
Ett användarkonto har skapats i Windows Server 2003-domän.
-
Alla domänkontrollanter i domänen kör Windows Server 2003.
-
Användarkontot har konfigurerats för att använda krypteringstyper Data Encryption Standard (DES) för Kerberos-autentisering.
-
En dator som kör Windows Server 2008 R2 till domänen.
-
Active Directory har installerats på en medlemsserver.
I det här scenariot användarkontot kan inte logga in på domänen omedelbart efter att Windows Server 2008 R2-domänkontrollant startas. Du kan också få följande felmeddelande:
KDC har inget stöd för kryptering när första autentiseringsuppgifter.
Dessutom loggas följande händelser i systemloggen på den domänkontrollant som kör Windows Server 2008 R2:
Logga namn: System
Källa: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Händelse-ID: 14
Uppgift kategori: None
Nivå: fel
Nyckelord: klassisk
Användare: saknas
Dator: datornamn
Beskrivning:
När du bearbetar en begäran som för målet service krbtgt hade namn inte en lämplig nyckel för att skapa en Kerberos-biljett (nyckeln saknas har ID 1). Den begärda etypes: 16 1 11 10 15 12 13. Konton tillgängliga etypes: 23-133-128. Ändra eller återställa lösenordet för användarnamn kommer att generera en nyckel.
Logga namn: System
Källa: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Händelse-ID: 16
Uppgift kategori: None
Nivå: fel
Nyckelord: klassisk
Användare: saknas
Dator: datornamn
Beskrivning:
Vid bearbetning av begäran för mål server servernamnTGS hade konto kontonamn inte en lämplig nyckel för att skapa en Kerberos-biljett (nyckeln saknas har ID 9). De begärda etypes har 3-1. Konton tillgängliga etypes var 23-133-128. Ändra eller återställa lösenordet för kontonamn kommer att generera en nyckel.
Orsak
Det här problemet beror på att olika datastrukturer som används för att spara information om kryptering om användarkontot på domänkontrollanter med Windows Server 2003 och Windows Server 2008 R2-domänkontrollanter.
När ett användarkonto har skapats på en domänkontrollant med Windows Server 2003 sparas typinformation kryptering i en datastruktur. Den här informationen kopieras sedan till domänkontrollanter med Windows Server 2008 R2 med hjälp av AD-replikering.
Obs! Det här problemet uppstår även när lösenordet för ett användarkonto återställs.
När en domänkontrollant med Windows Server 2008 R2 autentiserar användaren, läser domänkontrollanten kryptering typinformationen från den datastruktur som används av Windows Server 2003-domänkontrollant. Det bör sedan kopiera informationen kryptering typ till en annan struktur. Informationen kopieras inte som förväntat. Därför misslyckas autentiseringen.
Lösning
Information om snabbkorrigeringen
En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.
Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.
Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:
http://support.microsoft.com/contactus/?ws=supportObs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.
Förutsättningar
Följande lista innehåller förutsättningar för snabbkorrigeringen:
-
Du måste ha installerat Windows Server 2008 R2.
-
Du måste ha Active Directory Domain Service-rolltjänsten installerad.
Anmärkning för installation
Installera den här snabbkorrigeringen på alla domänkontrollanter som kör Windows Server 2008 R2 i en Windows Server 2003-domän. Den här snabbkorrigeringen bör inte tillämpas på Windows Server 2003-servrar har domänen.
Registerinformation
För att kunna använda snabbkorrigeringen i det här paketet behöver du inte göra några ändringar i registret.
Information om omstart
Du kan behöva starta om datorn när du har installerat den här snabbkorrigeringen.
Ersättningsinformation för Hotfix
Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.
Filinformation
Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.
Filinformation för Windows Server 2008 R2
-
I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008 R2". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur
För alla x64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Filversion |
Storlek |
Datum |
Tid |
Plattform |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
Kdcsvc.mof |
Ej tillämplig |
5,300 |
10-Jun-2009 |
21:01 |
Ej tillämplig |
Temporär lösning
Undvik problemet genom att återställa lösenordet för problematiska användarkontot på den domänkontrollant som kör Windows Server 2008 R2.
Status
Microsoft har bekräftat att detta är ett problem i Microsoft-produkterna som nämns i avsnittet "Gäller".
Mer Information
För mer information om terminologin för programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
824684 beskrivning av standardterminologin som används för att beskriva Microsoft-programuppdateringar
Ytterligare filinformation
Ytterligare filinformation för Windows Server 2008 R2
Ytterligare filer för alla x64-baserade versioner av Windows Server 2008 R2 som stöds
Filnamn |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
Filversion |
Ej tillämplig |
Storlek |
724 |
Datum (UTC) |
17-Dec-2009 |
Tid (UTC) |
01:36 |
Plattform |
Ej tillämplig |
--- |
|
Filnamn |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
Filversion |
Ej tillämplig |
Storlek |
35,825 |
Datum (UTC) |
16-Dec-2009 |
Tid (UTC) |
16:49 |
Plattform |
Ej tillämplig |
--- |
|
Filnamn |
Update.mum |
Filversion |
Ej tillämplig |
Storlek |
1 700 |
Datum (UTC) |
17-Dec-2009 |
Tid (UTC) |
01:36 |
Plattform |
Ej tillämplig |