KORRIGERA: Användarkonton som använder DES-kryptering för Kerberos-autentisering inte kan autentiseras i en domän med Windows Server 2003 efter en domänkontrollant med Windows Server 2008 R2 som ansluts till domänen

Symptom

Föreställ dig följande:

  • Ett användarkonto har skapats i Windows Server 2003-domän.

  • Alla domänkontrollanter i domänen kör Windows Server 2003.

  • Användarkontot har konfigurerats för att använda krypteringstyper Data Encryption Standard (DES) för Kerberos-autentisering.

  • En dator som kör Windows Server 2008 R2 till domänen.

  • Active Directory har installerats på en medlemsserver.

I det här scenariot användarkontot kan inte logga in på domänen omedelbart efter att Windows Server 2008 R2-domänkontrollant startas. Du kan också få följande felmeddelande:

KDC har inget stöd för kryptering när första autentiseringsuppgifter.

Dessutom loggas följande händelser i systemloggen på den domänkontrollant som kör Windows Server 2008 R2:

Logga namn: System
Källa: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Händelse-ID: 14
Uppgift kategori: None
Nivå: fel
Nyckelord: klassisk
Användare: saknas
Dator: datornamn
Beskrivning:
När du bearbetar en begäran som för målet service krbtgt hade namn inte en lämplig nyckel för att skapa en Kerberos-biljett (nyckeln saknas har ID 1). Den begärda etypes: 16 1 11 10 15 12 13. Konton tillgängliga etypes: 23-133-128. Ändra eller återställa lösenordet för användarnamn kommer att generera en nyckel.

Logga namn: System
Källa: Microsoft-Windows-Kerberos-Key-Distribution-Center
Datum: datum
Händelse-ID: 16
Uppgift kategori: None
Nivå: fel
Nyckelord: klassisk
Användare: saknas
Dator: datornamn
Beskrivning:
Vid bearbetning av begäran för mål server servernamnTGS hade konto kontonamn inte en lämplig nyckel för att skapa en Kerberos-biljett (nyckeln saknas har ID 9). De begärda etypes har 3-1. Konton tillgängliga etypes var 23-133-128. Ändra eller återställa lösenordet för kontonamn kommer att generera en nyckel.

Orsak

Det här problemet beror på att olika datastrukturer som används för att spara information om kryptering om användarkontot på domänkontrollanter med Windows Server 2003 och Windows Server 2008 R2-domänkontrollanter.

När ett användarkonto har skapats på en domänkontrollant med Windows Server 2003 sparas typinformation kryptering i en datastruktur. Den här informationen kopieras sedan till domänkontrollanter med Windows Server 2008 R2 med hjälp av AD-replikering.

Obs! Det här problemet uppstår även när lösenordet för ett användarkonto återställs.

När en domänkontrollant med Windows Server 2008 R2 autentiserar användaren, läser domänkontrollanten kryptering typinformationen från den datastruktur som används av Windows Server 2003-domänkontrollant. Det bör sedan kopiera informationen kryptering typ till en annan struktur. Informationen kopieras inte som förväntat. Därför misslyckas autentiseringen.

Lösning

Information om snabbkorrigeringen

En snabbkorrigering är tillgänglig från Microsoft. Den här snabbkorrigeringen är emellertid avsedd att åtgärda det problem som beskrivs i denna artikel. Använd den här snabbkorrigeringen endast på datorer som har problemet som beskrivs i denna artikel. Snabbkorrigeringen kan komma att testas igen. Om du inte störs alltför mycket av detta problem rekommenderar vi att du väntar på nästa programuppdatering som innehåller den här snabbkorrigeringen.

Om snabbkorrigeringen är tillgänglig för hämtning finns ett avsnitt för "Snabbkorrigeringen är tillgänglig" överst i den här Knowledge Base-artikeln. Om den sektionen saknas, kontakta Microsofts support för att få tag på hotfixen.

Obs! Om det uppstår ytterligare problem eller krävs felsökning, kan du behöva skapa en serviceförfrågan. De vanliga supportkostnaderna gäller för övriga supportfrågor och problem som inte uppfyller kraven för den här snabbkorrigeringen. En fullständig lista över telefonnummer för Microsofts kundtjänst och Support eller skapa en serviceförfrågan finns på följande Microsoft-webbplats:

Obs! "Snabbkorrigeringen tillgänglig"-formuläret visar de språk som snabbkorrigeringen är tillgänglig. Om ditt språk inte visas beror det på att ingen snabbkorrigering är tillgänglig för språket.

Förutsättningar

Följande lista innehåller förutsättningar för snabbkorrigeringen:

  • Du måste ha installerat Windows Server 2008 R2.

  • Du måste ha Active Directory Domain Service-rolltjänsten installerad.

Anmärkning för installation

Installera den här snabbkorrigeringen på alla domänkontrollanter som kör Windows Server 2008 R2 i en Windows Server 2003-domän. Den här snabbkorrigeringen bör inte tillämpas på Windows Server 2003-servrar har domänen.

Registerinformation

För att kunna använda snabbkorrigeringen i det här paketet behöver du inte göra några ändringar i registret.

Information om omstart

Du kan behöva starta om datorn när du har installerat den här snabbkorrigeringen.

Ersättningsinformation för Hotfix

Den här snabbkorrigeringen ersätter inte någon tidigare utgiven snabbkorrigering.

Filinformation

Engelska (USA) versionen av den här snabbkorrigeringen installerar filer med de filattribut som visas i följande tabeller. Datum och tider för dessa filer anges i UTC-tid (UTC). Datum och tider för dessa filer på den lokala datorn visas i lokal tid tillsammans med din aktuella sommartid (DST). Datum och tider kan dessutom ändras när du utför vissa åtgärder på filerna.

Filinformation för Windows Server 2008 R2
  • I MANIFESTET (.manifest) och MUM filerna (.mum) som installeras för varje miljö är anges separat i avsnittet "Ytterligare filinformation för Windows Server 2008 R2". MUM- och MANIFEST-filer, och tillhörande säkerhetskatalogfiler (.cat) filer, är mycket viktigt att bibehålla statusen för de uppdaterade komponenterna. Säkerhetskatalogfilerna attribut som inte finns listade, är signerade med en digital Microsoft-signatur

För alla x64-baserade versioner av Windows Server 2008 R2 som stöds

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×