Triệu chứng
Xem xét tình huống sau:
-
Bạn có bộ điều khiển miền chạy Windows Server 2008 R2.
-
Bạn thực hiện hành động xác định khôi phục tài khoản KRBTGT.
-
Bạn đăng nhập vào máy khách Windows 8.1, máy khách Windows 8 có Kerberos.dll Cập Nhật 2883201 hoặc bản cập nhật mới hơn, hoặc máy khách Windows 7 với bản Cập Nhật 2845626 hoặc bản cập nhật mới hơn.
-
Bạn phải khởi động lại hoặc thay đổi mật khẩu vùng.
Trong trường hợp này, mật khẩu không thể đặt lại hoặc thay đổi. Ngoài ra, bạn nhận được thông báo lỗi sau:
Bảo mật cơ sở dữ liệu trên máy chủ không có tài khoản máy tính cho mối quan hệ tin cậy máy trạm
Nguyên nhân
Sự cố này xảy ra vì bộ điều khiển miền Windows Server 2008 R2 xử lý cụ thể cờ không đúng. Cờ được đưa vào phía máy khách để khắc phục sự cố trong đó các tập tin kerberos.dll không Cập Nhật bộ đệm ẩn thông tin đăng nhập người dùng nếu người dùng đăng nhập bằng tên người uỷ nhiệm người dùng (UPN).
Giải pháp
Thông tin về cập nhật nóng
Cập nhật nóng được hỗ trợ do Microsoft cung cấp. Tuy nhiên, cập nhật nóng này chỉ được dùng để khắc phục sự cố được mô tả trong bài viết này. Chỉ áp dụng cập nhật nóng này cho hệ thống đang gặp sự cố cụ thể này.
Nếu cập nhật nóng này sẵn có để tải xuống, có phần "Tải xuống Hotfix sẵn có" ở đầu bài viết Cơ sở Kiến thức này. Nếu phần này không xuất hiện, hãy gửi một yêu cầu tới bộ phận Hỗ trợ và Dịch vụ Khách hàng của Microsoft để nhận hotfix.
Lưu ý Nếu sự cố khác xảy ra hoặc nếu cần khắc phục sự cố, bạn có thể phải tạo một yêu cầu dịch vụ riêng. Chi phí hỗ trợ thông thường sẽ tính cho các câu hỏi hỗ trợ bổ sung và các sự cố không phù hợp với cập nhật nóng cụ thể này. Để có danh sách đầy đủ số điện thoại hỗ trợ và dịch vụ khách hàng của Microsoft hoặc để tạo yêu cầu dịch vụ riêng, hãy ghé thăm website sau của Microsoft:
http://support.microsoft.com/contactus/?ws=supportLưu ý "Tải xuống Hotfix sẵn có" Hiển thị các ngôn ngữ mà hotfix này sẵn có. Nếu bạn không thấy ngôn ngữ của mình thì đó là do cập nhật nóng này hiện không có ngôn ngữ đó.
Điều kiện tiên quyết
Để áp dụng bản cập nhật này, bạn phải đang chạy Windows Server 2008 R2.
Thông tin đăng ký
Để áp dụng bản cập nhật này, bạn không phải thực hiện bất kỳ thay đổi nào đối với đăng ký.
Yêu cầu khởi động lại
Bạn phải khởi động lại máy tính sau khi áp dụng bản cập nhật này.
Thông tin thay thế bản cập nhật
Bản cập nhật này không thay thế bản cập nhật được phát hành trước đó.
Phiên bản toàn cầu của bản cập nhật này cài đặt các tệp có các thuộc tính được liệt kê trong bảng sau. Ngày và giờ của các tệp này được liệt kê theo Giờ Phối hợp Quốc tế (UTC). Ngày và giờ của các tệp này trên máy tính cục bộ của bạn được hiển thị theo giờ địa phương cùng với độ lệch giờ mùa hè (DST) hiện tại của bạn. Ngoài ra, ngày và giờ cũng có thể thay đổi khi bạn thực hiện các thao tác nhất định trên tệp.
Ghi chú thông tin tệp Windows Server 2008 R2
-
Các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn) và chi nhánh dịch vụ (LDR, GDR) có thể được xác định bằng cách kiểm tra các số phiên bản tệp như trình bày ở bảng sau:
Phiên bản
Sản phẩm
Bản gốc
Chi nhánh dịch vụ
6.1.760
1.18 xxxWindows Server 2008 R2
SP1
GDR
6.1.760
1.22 xxxWindows Server 2008 R2
SP1
LDR
-
Chi nhánh dịch vụ GDR chỉ chứa các bản vá được phát hành rộng rãi để phục các sự cố phổ biến, rất quan trọng. Ngoài các bản vá được phát hành rộng rãi, chi nhánh dịch vụ LDR còn chứa các cập nhật nóng.
-
Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường là liệt kê riêng trong phần "thông tin tệp bổ sung". MUM, MANIFEST và các tệp danh mục bảo mật liên quan (.cat) có ý nghĩa rất quan trọng để duy trì trạng thái của các cấu phần được cập nhật. Các tệp danh mục bảo mật, không được liệt kê các thuộc tính, được ký bằng chữ kỹ số của Microsoft.
Dành cho tất cả phiên bản dựa trên x64 được hỗ trợ của Windows Server 2008 R2
Tên tệp |
Phiên bản tệp |
Kích thước tệp |
Ngày |
Giờ |
Nền tảng |
---|---|---|---|---|---|
Kdcsvc.dll |
6.1.7601.18321 |
430,080 |
15-Nov-2013 |
08:40 |
x64 |
Kdcsvc.mof |
Không áp dụng |
5,300 |
05-Nov-2010 |
02:14 |
Không áp dụng |
Kdcsvc.dll |
6.1.7601.22515 |
434,688 |
14-Nov-2013 |
09:06 |
x64 |
Kdcsvc.mof |
Không áp dụng |
5,300 |
05-Nov-2010 |
02:14 |
Không áp dụng |
Trạng thái
Microsoft đã xác nhận rằng đây là sự cố trong sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
Thông tin
Để xác định xem bạn có tài khoản KRBTGT phục hồi trong miền của bạn, bạn có thể chạy các lệnh sau từ dấu nhắc lệnh nâng lên quản trị viên miền:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Bởi vì khôi phục mặc định khoảng tăng tất cả các thuộc tính của 100000 trong tệp krbtgt.txt ra, bạn có thể thấy Ver (Phiên bản) giá trị của thuộc tính pwdLastSet 100002 hoặc lớn hơn. Ví dụ: kết quả là như sau:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute======= =============== ========= ============= === =========
…
8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet
Để biết thêm thông tin về thuật ngữ cập nhật phần mềm, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
824684 mô tả thuật ngữ chuẩn được sử dụng để miêu tả các bản cập nhật phần mềm Microsoft
Thông tin tệp bổ sung