修复︰ 使用 DES 加密的 Kerberos 身份验证类型的用户帐户无法进行身份验证的 Windows Server 2003 域中 Windows Server 2008 R2 域控制器加入到域后

适用于: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

症状


请考虑以下情形:

  • 在 Windows Server 2003 域中创建一个用户帐户。
  • 在此域中的所有域控制器都运行 Windows Server 2003。
  • 用户帐户配置为使用 Kerberos 身份验证的数据加密标准 (DES) 加密类型。
  • 运行 Windows Server 2008 R2 的计算机加入到域。
  • 在成员服务器上安装 active Directory。
在此方案中,用户帐户无法登录到域的 Windows Server 2008 R2 域控制器启动后立即。您还可能收到以下错误消息︰
KDC 获取初始的凭据时有不支持的加密类型。
此外,在运行 Windows Server 2008 R2 的域控制器上的系统日志中记录以下事件︰
登录名称︰ 系统
来源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center
日期︰日期
事件 ID: 14
任务类别: 无
级别︰ 错误
关键词︰ 经典
用户︰ 不适用
计算机︰计算机名称
说明:
在处理目标服务 krbtgt 一个 AS 请求,帐户名称没有合适键生成 Kerberos 票证 (丢失注册表项的 ID 为 1)。请求的 etype: 16 1 11 10 15 12 13。帐户的可用 etype: 23-133-128。更改或重置密码的用户名将生成一个正确的密钥。

登录名称︰ 系统
来源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center
日期︰日期
事件 ID: 16
任务类别: 无
级别︰ 错误
关键词︰ 经典
用户︰ 不适用
计算机︰计算机名称
说明:
在处理 TGS 请求的目标服务器服务器名称,帐户account_name没有合适键生成 (丢失注册表项的 ID 为 9) 的 Kerberos 票证。请求的 etype 为 3 1。帐户的可用 etype 了 23-133-128。更改或重置密码的account_name将生成一个正确的密钥。

原因


因为不同的数据结构可用于保存加密类型信息的用户帐户在 Windows Server 2003 的域控制器和 Windows Server 2008 R2 域控制器上,将出现此问题。

在 Windows Server 2003 的域控制器上创建用户帐户时,加密类型信息将保存在数据结构中。然后,此信息将复制到 Windows Server 2008 R2 域控制器使用 AD 复制。

注意:重置用户帐户的密码时,也会发生此问题。

Windows Server 2008 R2 域控制器对用户帐户进行身份验证,当域控制器从 Windows Server 2003 的域控制器使用的数据结构中读取此加密类型信息。它然后应将此加密类型信息复制到不同的数据结构。但是,如预期的那样是不会复制信息。因此,身份验证就会失败。

解决方案


修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

系统必备组件

下面的列表包含该修补程序的先决条件︰
  • 您必须安装 Windows Server 2008 R2。
  • 您必须安装了活动目录域服务角色服务。

安装说明

在 Windows Server 2003 域中运行 Windows Server 2008 R2 中的所有域控制器上安装此修复程序。此修补程序不应应用到域中的 Windows Server 2003 服务器中。

注册表信息

若要使用此程序包中的修复程序,您不必对注册表进行任何更改。

重新启动信息

您可能需要在应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修复程序的英语 (美国) 版本将安装具有下表中列出的属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows Server 2008 R2 文件信息注意
  • 为每个环境所安装的 MANIFEST文件 (.manifest) 和MUM (.mum) 文件都在" Windows Server 2008 R2 附加文件的信息"部分中被单独列出。MUM 和 MANIFEST 文件以及关联的安全目录 (.cat) 文件对维护更新组件的状态极其重要。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
对于所有受支持的基于 x64 的 Windows Server 2008 R2 版本
文件名称文件版本文件大小日期时间平台
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mof不适用530010-Jun-200921:01不适用

解决方法


若要变通解决此问题,请重置域控制器运行 Windows Server 2008 R2 上的有问题的用户帐户的密码。

状态


Microsoft 已经确认这是“适用于”一节中列出的 Microsoft 产品中的问题。

详细信息


有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

用于描述 Microsoft 软件更新的标准术语的824684说明

其他文件信息

Windows Server 2008 R2 的其他文件信息

所有受支持的基于 x64 版本的 Windows Server 2008 R2 的附加文件
文件名称Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
文件版本不适用
文件大小724
日期(UTC)17-Dec-2009
时间 (UTC)01:36
平台不适用
---
文件名称Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
文件版本不适用
文件大小35,825
日期(UTC)16-Dec-2009
时间 (UTC)16:49
平台不适用
---
文件名称Update.mum
文件版本不适用
文件大小1700
日期(UTC)17-Dec-2009
时间 (UTC)01:36
平台不适用