你目前正处于脱机状态,正在等待 Internet 重新连接

FIX: 对 Kerberos 身份验证类型使用 DES 加密的用户帐户不能进行身份验证 Windows Server 2003 域中后 Windows Server 2008 R2 的域控制器加入到域

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 978055
症状
请考虑以下情形:
  • 在 Windows Server 2003 域中创建用户帐户。
  • 在此域中的所有域控制器都运行 Windows Server 2003。
  • 要使用 Kerberos 身份验证的数据加密标准 (DES) 加密类型配置用户帐户。
  • 运行 Windows Server 2008 R2 的计算机加入到域。
  • 在成员服务器上安装 active Directory。
在这种情况下用户帐户无法登录到域 Windows Server 2008 R2 域控制器启动后立即。您还可能会收到以下错误消息:
KDC 获取初始凭据时具有不支持加密类型。
此外,在运行 Windows Server 2008 R2 的域控制器上的系统日志中记录以下事件:
登录名称: 系统
源: Microsoft-Windows-Kerberos-Key-Distribution-Center
日期: date
事件 ID: 14
任务类别: 无
级别: 错误
关键字: 经典
用户: 不适用
计算机: computer_name
说明:
处理 AS 时对请求目标服务 krbtgt,帐户 name 没有用于生成 (缺少键具有一个 ID 为 1) 的 Kerberos 票证的合适项。请求的 etypes: 16 1 11 10 15 12 13。帐户可用 etypes: 23-133-128。更改或重置密码的 user_name 将生成正确的密钥。

登录名称: 系统
源: Microsoft-Windows-Kerberos-Key-Distribution-Center
日期: date
事件 ID: 16
任务类别: 无
级别: 错误
关键字: 经典
用户: 不适用
计算机: computer_name
说明:
在处理目标服务器 server_name 的 TGS 请求时帐户 account_name 没有用于生成 (缺少键具有一个 ID 为 9) 的 Kerberos 票证的合适项。请求的 etypes 了 3 个 1。帐户可用 etypes 了 23-133-128。更改或重置密码的 account_name 将生成正确的密钥。
原因
因为不同的数据结构可用于保存有关用户帐户的加密类型信息,Windows Server 2003 域控制器上和 Windows Server 2008 R2 域控制器上,将发生此问题。

Windows Server 2003 的域控制器上创建一个用户帐户时, 将在数据结构中保存加密类型信息。然后,此信息将复制到 Windows Server 2008 R2 域控制器通过使用 AD 复制。

注意重置用户帐户的密码时,也会发生此问题。

当 Windows Server 2008 R2 的域控制器的身份验证的用户帐户时, 域控制器将从数据结构所使用的 Windows Server 2003 域控制器读取此加密类型信息。然后,它应将此加密类型信息复制到一个不同的数据结构。但是,如预期的那样,不会复制该信息。因此,身份验证将失败。
解决方案

修补程序信息

可以从 Microsoft 获得支持的修补程序。但是,此修补程序被用于解决本文所述的此问题。此修补程序仅应用于出现本文所述问题的系统。此修补程序可能会接受进一步的测试。因此,如果此问题没有对您造成严重的影响,我们建议您等待包含此修补程序的下一个软件更新。

是否可供下载此修补程序没有"提供修补程序下载"部分中,在这篇知识库文章的顶部。如果不会显示此部分,请联系 Microsoft 客户服务和支持以获取此修复程序。

注意如果出现其他问题,或者如果需要进行任何故障诊断,则您可能不得不创建单独的服务请求。将正常收取支持费用将应用于其他支持问题和不需要进行此特定的修补程序的问题。有关完整列表的 Microsoft 客户服务和支持的电话号码,或创建一个单独的服务请求,请访问下面的 Microsoft 网站:注意"提供修补程序下载"窗体所显示的此修复程序是可用的语言。如果您看不到您的语言,则是一个修复程序不能用于该语言。

系统必备组件

下面的列表包含该修补程序的先决条件:
  • 您必须安装 Windows Server 2008 R2。
  • 您必须安装在 Active Directory 域服务角色服务。

安装备注

在 Windows Server 2003 域中运行 Windows Server 2008 R2 的所有域控制器上安装此修补程序。此修补程序之前,不应将应用到域中的 Windows Server 2003 服务器。

注册表信息

若要使用此修补程序在此程序包中,您不必对注册表进行任何更改。

重新启动信息

您可能必须应用此修补程序后,重新启动计算机。

修补程序替换信息

此修补程序不替代以前发布的修补程序。

文件信息

此修补程序的英语 (美国) 版本将安装具有下表中列出的属性的文件。日期和时间对这些文件列出在协调世界时 (UTC)。在您的本地时间与当前夏令时 (DST) 偏差一起显示日期和本地计算机上这些文件的时间。此外,日期和时间可能发生变化时执行某些操作文件。
Windows Server 2008 R2 文件信息注意
  • 清单文件 (.manifest) 和 $ MUM 文件 (.mum) 已安装的每个环境都是 listed separately 在"附加文件的 Windows Server 2008 R2 信息"部分中。MUM 和清单的文件和关联的安全的目录 (.cat) 文件是维护更新组件的状态非常重要的。为其未列出属性,该安全编录文件进行签名与 Microsoft 的数字签名。
支持所有 Windows Server 2008 R2 的基于 x64 的版本 x
文件的名称文件版本文件大小日期时间平台
Kdcsvc.dll6.1.7600.20597429,5682009 年十二月 16 日16: 18x64
Kdcsvc.mof不适用5,3002009 年六月 10 日21: 01不适用
替代方法
要变通解决此问题,重置正在运行 Windows Server 2008 R2 的域控制器上有问题的用户帐户的密码。
状态
Microsoft 已经确认这是在"适用于"一节中列出的 Microsoft 产品中的问题。
更多信息
有关软件更新术语的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824684用于描述 Microsoft 软件更新的标准术语的说明

其他文件信息

Windows Server 2008 R2 的其他文件信息

所有受支持的其他文件 x 的 Windows Server 2008 R2 的基于 x64 的版本
文件的名称Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
文件版本不适用
文件大小724
日期 (UTC)2009 年十二月 17 日
时间 (UTC)01: 36
平台不适用
---
文件的名称Amd64_microsoft-窗口-k...通讯组 center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
文件版本不适用
文件大小35,825
日期 (UTC)2009 年十二月 16 日
时间 (UTC)16: 49
平台不适用
---
文件的名称Update.mum
文件版本不适用
文件大小1,700
日期 (UTC)2009 年十二月 17 日
时间 (UTC)01: 36
平台不适用
linux

警告:本文已自动翻译

属性

文章 ID:978055 - 上次审阅时间:03/22/2010 03:38:22 - 修订版本: 2.2

Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbmt kbautohotfix kberrmsg kbfix kbbug kbexpertiseinter kbsurveynew kbpubtypekc kbqfe kbhotfixserver KB978055 KbMtzh
反馈