狀況
請考慮下列情況:
-
Windows Server 2003 網域中建立使用者帳戶。
-
在這個網域中的所有網域控制站正在都執行 Windows Server 2003。
-
使用者帳戶設定為使用 Kerberos 驗證資料加密標準 (DES) 加密類型。
-
如果要在執行 Windows Server 2008 R2 電腦加入網域。
-
在成員伺服器上安裝 active Directory。
在這個案例中,使用者帳戶無法登入到網域的 Windows Server 2008 R2 的網域控制站啟動之後,立即。您也可能會收到下列錯誤訊息︰
KDC 取得初始的認證時,有不支援加密類型。
此外,正在執行 Windows Server 2008 R2 的網域控制站的系統記錄檔會記錄下列事件︰
記錄檔名稱︰ 系統來源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center日期:date事件識別碼︰ 14工作類別︰ 無層級︰ 錯誤關鍵字︰ 傳統使用者︰ n/A電腦︰電腦名稱描述:在處理目標服務 krbtgt 的 AS 要求時,帳戶名稱沒有適合的機碼,產生 Kerberos 票證 (遺漏機碼具有編號為 1)。要求的 etypes: 16 1 11 10 15 12 13。帳戶可以使用 etypes: 23-133-128。變更或重設密碼的使用者名稱將會產生適當的索引鍵。記錄檔名稱︰ 系統來源︰ Microsoft-Windows-Kerberos-Key-Distribution-Center日期:date事件識別碼︰ 16工作類別︰ 無層級︰ 錯誤關鍵字︰ 傳統使用者︰ n/A電腦︰電腦名稱描述:在處理目標伺服器server_nameTGS 要求時,帳戶account_name沒有適合的機碼,產生 Kerberos 票證 (遺漏機碼具有 ID 為 9)。要求的 etypes 是 3 1。帳戶可以使用 etypes 所 23-133-128。變更或重設密碼的account_name將會產生適當的索引鍵。
原因
因為不同的資料結構用來儲存加密型別資訊的使用者帳戶,在 Windows Server 2003 網域控制站和 Windows Server 2008 R2 網域控制站上,就會發生這個問題。建立使用者帳戶時,Windows Server 2003 網域控制站上,便可以在資料結構的加密型別資訊。那麼,這項資訊會複製到 Windows Server 2008 R2 網域控制站使用 AD 複寫。注意使用者帳戶的密碼重設時,也會發生這個問題。當 Windows Server 2008 R2 的網域控制站驗證的使用者帳戶時,網域控制站會讀取資料結構由 Windows Server 2003 網域控制站的這個加密型別資訊。然後它就應該將此加密型別資訊複製到不同的資料結構中。不過,資訊不會複製如預期般運作。因此,驗證會失敗。
解決方案
Hotfix 資訊
支援的 hotfix 可從 Microsoft 取得。不過,此 Hotfix 僅用於修正本文中所述的問題。此 hotfix 只適用於發生本文所述之問題的系統。此 hotfix 可能會接受其他測試。因此,如果此問題的影響不會很嚴重,我們建議您等候含此 hotfix 的下一版軟體更新。如果 hotfix 可供下載,在此知識庫文件頂端將出現「可用的 Hotfix」區段。如果這個區段沒有出現,請連絡 Microsoft 客戶服務及支援以取得 hotfix。注意如果發生其他問題,或如果需要進行疑難排解,您可能必須建立個別的服務要求。收取支援費用會套用到其他支援問題和此特定 hotfix 無法解決的問題。如 Microsoft 客戶服務及支援的電話號碼或建立個別的服務要求的完整清單,請造訪下列 Microsoft 網站︰
http://support.microsoft.com/contactus/?ws=support注意「 下載 Hotfix 」 表單會顯示 hotfix 可用的語言。如果看不到您的語言,是因為未提供該語言的 Hotfix 。
先決條件
下列清單包含 hotfix 的必要條件︰
-
您必須安裝 Windows Server 2008 R2。
-
您必須已安裝的使用中的目錄網域服務角色服務。
安裝附註
在執行 Windows Server 2008 R2 Windows Server 2003 網域中的所有網域控制站上安裝此 hotfix。此 hotfix 不應該套用到網域中的 Windows Server 2003 伺服器。
登錄資訊
若要使用此套件中的 hotfix,您不需對登錄進行任何變更。
重新啟動資訊
您可能必須套用此 hotfix 之後,請重新啟動電腦。
Hotfix 取代資訊
此 hotfix 不會取代先前發行的 hotfix。
檔案資訊
此 hotfix 的英文 (美國) 版會安裝具有下列表格中所列的屬性的檔案。這些檔案的日期和時間均以國際標準時間 (UTC) 列出。本機電腦上這些檔案是以您當地的時間與目前的日光節約時間 (DST) 的時差來顯示日期和時間。此外,當您在檔案上執行特定作業時,日期和時間可能會變更。
Windows Server 2008 R2 檔案資訊附註
-
資訊清單檔案 (.manifest) 及菊檔案 (.mum) 所安裝的每個環境都 < 其他檔案的="" windows="" server="" 2008="" r2="" 資訊=""> 一節中的 [分別列出。MUM 及 MANIFEST 檔案,以及相關的安全性目錄 (.cat) 檔案,對維護更新元件的狀態非常重要。安全性類別目錄檔案 (將不會為其列出屬性) 是使用 Microsoft 數位簽章簽署的。
所有支援 x64 型版本的 Windows Server 2008 R2
|
檔案名稱 |
檔案版本 |
檔案大小 |
日期 |
時間 |
平台 |
|---|---|---|---|---|---|
|
Kdcsvc.dll |
6.1.7600.20597 |
429,568 |
16-Dec-2009 |
16:18 |
x64 |
|
Kdcsvc.mof |
不適用 |
5,300 |
10-Jun-2009 |
21:01 |
不適用 |
因應措施
要解決這個問題,請重設網域控制站執行 Windows Server 2008 R2 的有問題的使用者帳戶的密碼。
狀態
Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。
更多的資訊
如需有關軟體更新術語的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
用來描述 Microsoft 軟體更新標準術語的編號 824684描述
其他檔案資訊
Windows Server 2008 R2 的其他檔案資訊
所有支援 x64 型版本的 Windows Server 2008 R2 的其他檔案
|
檔案名稱 |
Amd64_ace4830253e8e7b2cdbd3bb4f417cba1_31bf3856ad364e35_6.1.7600.20597_none_ec1bf3810896c5c8.manifest |
|
檔案版本 |
不適用 |
|
檔案大小 |
724 |
|
日期 (UTC) |
17-Dec-2009 |
|
時間 (UTC) |
01:36 |
|
平台 |
不適用 |
|
--- |
|
|
檔案名稱 |
Amd64_microsoft-windows-k..distribution-center_31bf3856ad364e35_6.1.7600.20597_none_e82d8950c715d523.manifest |
|
檔案版本 |
不適用 |
|
檔案大小 |
35,825 |
|
日期 (UTC) |
16-Dec-2009 |
|
時間 (UTC) |
16:49 |
|
平台 |
不適用 |
|
--- |
|
|
檔案名稱 |
Update.mum |
|
檔案版本 |
不適用 |
|
檔案大小 |
1,700 |
|
日期 (UTC) |
17-Dec-2009 |
|
時間 (UTC) |
01:36 |
|
平台 |
不適用 |
