Kerberos 客户端请求一个 TGT 的基于 Windows Server 2008 的域控制器时,将返回的错误代码:"KERB5KDC_ERR_C_PRINICPAL_UNKNOWN"

适用于: Windows Server 2008 StandardWindows Server 2008 EnterpriseWindows Server 2008 Datacenter

症状


请考虑以下情形:
  • 美国麻省理工学院 (MIT) Kerberos 客户端执行 Kerberos 身份验证基于 Windows Server 2008 的域控制器。
  • KTPass 用于创建要在 MIT Kerberos 客户端使用的 keytab 文件。
  • 客户端请求票证授予票证 (TGT) 通过指定主机主体名为 KRB_AS_REQ 数据包中的客户端名称。

在这种情况下,身份验证失败,并返回下列错误代码︰
KERB5KDC_ERR_C_PRINICPAL_UNKNOWN
在 Kerberos 客户端的第三方实现互操作的基于 Windows Server 2008 的域控制器时,可能会发生此问题。例如,可能发生此问题,如果在主体名称"服务/用户@realm.com"格式用于生成 keytab 文件。

解决方案


修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

无法在计算机上安装此修补程序,除非安装 Active Directory 域服务 (AD DS) 角色。如果计算机上未安装此角色,无法成功安装修补程序,并且会返回以下错误︰
更新不适用于您的系统
有关如何添加 AD DS 角色的详细信息,请访问下面的 Microsoft 网站︰

重启要求

应用此修补程序后,必须重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。
Windows Server 2008 中,基于 x86 的版本
文件名称文件版本文件大小日期时间平台
Kdcsvc.dll6.0.6001.22162311,29618-Apr-200805:30x86
Kdcsvc.mof不适用530018-Dec-200721:27不适用
Windows Server 2008 中,基于 x64 版本
文件名称文件版本文件大小日期时间平台
Kdcsvc.dll6.0.6001.22162404,48018-Apr-200806:40x64
Kdcsvc.mof不适用530018-Dec-200721:27不适用

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
用于描述 Microsoft 软件更新的标准术语的824684说明