症状
该 krbtgt 帐户在基于 Windows Server 2008 中,或在基于 Windows Server 2008 R2 的域上执行权威性还原。执行此操作后,kpasswd 协议失败,将生成 KDC_ERROR_S_PRINCIPAL_UNKNOWN 错误代码。此外,您可能无法使用 kpasswd 协议设置用户的密码。此外,此问题会阻止 kpasswd 协议的互操作性之间的域和美国麻省理工学院 (MIT) 领域。例如,您不能通过用户提供在使用 Microsoft 身份生命周期管理器设置用户密码。
注意:该 krbtgt 帐户用于 Kerberos 身份验证。该帐户不能用于登录到域。
您可能会遇到的基于 Windows Server 2012 的服务器群集中的其他症状。假定您尝试在基于 Windows Server 2012 的服务器群集设置群集的计算机对象的密码。此外,假定环境中基于 Windows Server 2008 的或基于 Windows Server 2008 R2 的域控制器。在此情况下,您将收到以下错误消息︰
CreateClusterNameCOIfNotExists (6783): 无法在 <ClusterName$> 上设置密码
要解决此问题,请在基于 Windows Server 2008 的或基于 Windows Server 2008 R2 的域控制器上应用此修补程序,然后创建基于 Windows Server 2012 的服务器群集。
注意:不需要应用此修补程序,如果您有安装的 Windows 服务器 2008 R2 Service Pack 1.
原因
当用户请求 Kpasswd 服务票证时,是不正确的 Kerberos 票证授予服务 (TGS) 请求 Kpasswd 服务中设置标志。这种现象导致密钥分发中心 (KDC) 错误地生成新的服务名称。因此,使用不正确的服务名称,并且 KPasswd 服务失败。
注意: 预期的行为是密钥分发中心 (KDC) 直接从 Kerberos 票证授予票证 (Tgt) 复制正确的服务名称。
解决方案
修补程序信息
可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。此修复程序仅适用于遇到本文中描述的问题的系统。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。
如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。
注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰
注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。
系统必备组件
若要应用此修补程序,计算机必须运行 Windows 2008 Service Pack 2 (SP2) 或 Windows Server 2008 R2。此外,计算机必须安装了 Active Directory 域服务 (AD DS) 服务器角色。
有关如何获取 Windows Server 2008 服务包的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何获取最新的 service pack 的 Windows Server 2008
注册表信息
若要使用此程序包中的修复程序,您不必对注册表进行任何更改。
重启要求
应用此修补程序后,必须重新启动计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
文件信息
此修复程序的全球版本将安装具有下表所列属性的文件。这些文件的日期和时间以协调世界时 (UTC) 列出。您的本地计算机上这些文件的日期和时间以您的本地时间加上当前夏令时 (DST) 偏差显示。此外,当您对文件执行某些操作时,日期和时间可能会更改。
Windows Server 2008 文件信息说明
重要:相同的软件包中包含 Windows Vista 的修复程序和 Windows Server 2008 的修复程序。但是,只有"Windows Vista" 在修复程序请求页上列出。要请求到一个或两个操作系统的系统应用此修补程序包,请选择在"Windows Vista"页上列出的此修补程序。始终参考"适用于"一节文章,以确定每个修补程序适用于实际的操作系统。
-
通过检查下表中显示的文件版本号,可以识别应用于特定产品、 SR_Level (RTM、 SPn) 和服务 (LDR、 GDR) 的分支的文件。
-
为每个环境所安装的MANIFEST文件 (.manifest) 和MUM文件 (.mum) 都单独列在了Windows Server 2008 和 Windows Vista 的信息"部分中的"附加文件大文件和清单文件和关联的安全目录 (.cat) 文件,是极重要的维护更新组件的状态。对其属性没有列出的安全目录文件已签署 Microsoft 数字签名。
