修正︰ Kerberos 驗證類型都使用 DES 加密的使用者帳戶無法驗證 Windows Server 2003 網域中的 Windows Server 2008 R2 的網域控制站加入網域之後

適用於: Windows Server 2008 R2 DatacenterWindows Server 2008 R2 EnterpriseWindows Server 2008 R2 Standard

狀況


請考慮下列情況:

  • Windows Server 2003 網域中建立使用者帳戶。
  • 在這個網域中的所有網域控制站正在都執行 Windows Server 2003。
  • 使用者帳戶設定為使用 Kerberos 驗證資料加密標準 (DES) 加密類型。
  • 如果要在執行 Windows Server 2008 R2 電腦加入網域。
  • 在成員伺服器上安裝 active Directory。
在這個案例中,使用者帳戶無法登入到網域的 Windows Server 2008 R2 的網域控制站啟動之後,立即。您也可能會收到下列錯誤訊息︰
KDC 取得初始的認證時,有不支援加密類型。
此外,正在執行 Windows Server 2008 R2 的網域控制站的系統記錄檔會記錄下列事件︰
記錄檔名稱︰ 系統
來源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center
日期:date
事件識別碼︰ 14
工作類別︰ 無
層級︰ 錯誤
關鍵字︰ 傳統
使用者︰ n/A
電腦︰電腦名稱
描述:
在處理目標服務 krbtgt 的 AS 要求時,帳戶名稱沒有適合的機碼,產生 Kerberos 票證 (遺漏機碼具有編號為 1)。要求的 etypes: 16 1 11 10 15 12 13。帳戶可以使用 etypes: 23-133-128。變更或重設密碼的使用者名稱將會產生適當的索引鍵。

記錄檔名稱︰ 系統
來源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center
日期:date
事件識別碼︰ 16
工作類別︰ 無
層級︰ 錯誤
關鍵字︰ 傳統
使用者︰ n/A
電腦︰電腦名稱
描述:
在處理目標伺服器server_nameTGS 要求時,帳戶account_name沒有適合的機碼,產生 Kerberos 票證 (遺漏機碼具有 ID 為 9)。要求的 etypes 是 3 1。帳戶可以使用 etypes 所 23-133-128。變更或重設密碼的account_name將會產生適當的索引鍵。

原因


因為不同的資料結構用來儲存加密型別資訊的使用者帳戶,在 Windows Server 2003 網域控制站和 Windows Server 2008 R2 網域控制站上,就會發生這個問題。

建立使用者帳戶時,Windows Server 2003 網域控制站上,便可以在資料結構的加密型別資訊。那麼,這項資訊會複製到 Windows Server 2008 R2 網域控制站使用 AD 複寫。

注意使用者帳戶的密碼重設時,也會發生這個問題。

當 Windows Server 2008 R2 的網域控制站驗證的使用者帳戶時,網域控制站會讀取資料結構由 Windows Server 2003 網域控制站的這個加密型別資訊。然後它就應該將此加密型別資訊複製到不同的資料結構中。不過,資訊不會複製如預期般運作。因此,驗證會失敗。

解決方案


Hotfix 資訊

支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。

如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。

注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。

先決條件

下列清單包含 hotfix 的必要條件︰
  • 您必須安裝 Windows Server 2008 R2。
  • 您必須已安裝的使用中的目錄網域服務角色服務。

安裝附註

在執行 Windows Server 2008 R2 Windows Server 2003 網域中的所有網域控制站上安裝此 hotfix。此 hotfix 不應該套用到網域中的 Windows Server 2003 伺服器。

登錄資訊

若要使用此套件中的 hotfix,您不需對登錄進行任何變更。

重新啟動資訊

您可能必須套用此 hotfix 之後,請重新啟動電腦。

Hotfix 取代資訊

此 hotfix 不會取代先前發行的 hotfix。

檔案資訊

此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。
Windows Server 2008 R2 檔案資訊附註
  • 資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案的="" windows="" server="" 2008="" r2="" 資訊=""> 一節中的 [分別列出。MUM 及 MANIFEST 檔案,以及相關的安全性目錄 (.cat) 檔案,對維護更新元件的狀態非常重要。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
所有支援 x64 型版本的 Windows Server 2008 R2
檔案名稱檔案版本檔案大小日期時間平台
Kdcsvc.dll6.1.7600.20597429,56816-Dec-200916:18x64
Kdcsvc.mof不適用5,30010-Jun-200921:01不適用

因應措施


要解決這個問題,請重設網域控制站執行 Windows Server 2008 R2 的有問題的使用者帳戶的密碼。

狀態


Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。

更多的資訊


如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

用來描述 Microsoft 軟體更新標準術語的編號 824684描述

其他檔案資訊

Windows Server 2008 R2 的其他檔案資訊

所有支援 x64 型版本的 Windows Server 2008 R2 的其他檔案
檔案名稱Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest
檔案版本不適用
檔案大小724
日期 (UTC)17-Dec-2009
時間 (UTC)01:36
平台不適用
---
檔案名稱Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest
檔案版本不適用
檔案大小35,825
日期 (UTC)16-Dec-2009
時間 (UTC)16:49
平台不適用
---
檔案名稱Update.mum
檔案版本不適用
檔案大小1,700
日期 (UTC)17-Dec-2009
時間 (UTC)01:36
平台不適用