Domänenbenutzer können ihre Kennwörter nicht ändern oder zurücksetzen, wenn das KRBTGT-Konto im Windows-Client wiederhergestellt wird
Symptome
Stellen Sie sich das folgende Szenario vor:
Sie verfügen über einen Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt wird.
Sie führen eine autorisierende Wiederherstellungsaktion für das KRBTGT-Konto durch.
Sie melden sich bei einem Windows 8.1-Client, einem Windows 8-Client mit der Datei Kerberos.dll aus Update 2883201 oder einem späteren Update oder einem Windows 7-Client mit Update 2845626 oder einem späteren Update an.
Sie versuchen, das Domänenkennwort zurückzusetzen oder zu ändern.
In diesem Szenario kann das Passwort nicht zurückgesetzt oder geändert werden. Darüber hinaus erhalten Sie die folgende Fehlermeldung:
Die Sicherheitsdatenbank auf dem Server verfügt über kein Computerkonto für diese Workstation-Vertrauensbeziehung
Ursache
Dieses Problem tritt auf, weil der Domänencontroller von Windows Server 2008 R2 ein bestimmtes Flag falsch verarbeitet. Das Flag wird auf der Clientseite eingeführt, um ein Problem zu beheben, bei dem die Datei kerberos.dll den Anmeldeinformationscache eines Benutzers nicht aktualisiert, wenn sich der Benutzer mit seinem Benutzerprinzipalnamen (UPN) anmeldet.
Auflösung
Hotfix-Informationen
Ein unterstützter Hotfix ist von Microsoft erhältlich. Dieser Hotfix soll jedoch nur das in diesem Artikel beschriebene Problem beheben. Wenden Sie diesen Hotfix nur auf Systemen an, bei denen dieses spezielle Problem auftritt. Wenn der Hotfix zum Download verfügbar ist, finden Sie oben in diesem Knowledge Base-Artikel den Abschnitt „Hotfix-Download verfügbar". Wenn dieser Abschnitt nicht angezeigt wird, senden Sie eine Anfrage an den Microsoft-Kundendienst und -Support, um den Hotfix zu erhalten. Hinweis Wenn weitere Probleme auftreten oder eine Fehlerbehebung erforderlich ist, müssen Sie möglicherweise eine separate Serviceanfrage erstellen. Für weitere Supportfragen und Probleme, die für diesen speziellen Hotfix nicht in Frage kommen, fallen die üblichen Supportkosten an. Eine vollständige Liste der Microsoft-Kundendienst- und Support-Telefonnummern oder zum Erstellen einer separaten Serviceanfrage finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support Hinweis Im Formular „Hotfix-Download verfügbar" werden die Sprachen angezeigt, für die der Hotfix verfügbar ist. Wenn Ihre Sprache nicht angezeigt wird, liegt das daran, dass für diese Sprache kein Hotfix verfügbar ist.
Voraussetzungen
Um dieses Update anzuwenden, müssen Sie Windows Server 2008 R2 ausführen.
Registrierungsinformationen
Um dieses Update anzuwenden, müssen Sie keine Änderungen an der Registrierung vornehmen.
Neustartanforderung
Sie müssen den Computer neu starten, nachdem Sie dieses Update installiert haben.
Aktualisieren Sie die Ersatzinformationen
Dieses Update ersetzt kein zuvor veröffentlichtes Update.
Die globale Version dieses Updates installiert Dateien mit den in den folgenden Tabellen aufgeführten Attributen. Die Datums- und Uhrzeitangaben für diese Dateien werden in der koordinierten Weltzeit (UTC) angegeben. Die Datums- und Uhrzeitangaben für diese Dateien auf Ihrem lokalen Computer werden in Ihrer Ortszeit zusammen mit Ihrer aktuellen Sommerzeit (DST) angezeigt. Darüber hinaus können sich Datum und Uhrzeit ändern, wenn Sie bestimmte Vorgänge an den Dateien ausführen.
Hinweise zu Dateiinformationen zu Windows Server 2008 R2
Die Dateien, die für ein bestimmtes Produkt, einen Meilenstein (RTM, SP n ) und einen Servicezweig (LDR, GDR) gelten, können anhand der Dateiversionsnummern identifiziert werden, wie in der folgenden Tabelle dargestellt:
Version
Produkt
Meilenstein
Servicezweig
6.1.760 1,18xxx
Windows Server 2008 R2
SP1
DDR
6.1.760 1,22xxx
Windows Server 2008 R2
SP1
LDR
GDR-Servicezweige enthalten nur die Fixes, die allgemein veröffentlicht werden, um weit verbreitete, sehr wichtige Probleme zu beheben. LDR-Dienstzweige enthalten neben allgemein veröffentlichten Fixes auch Hotfixes.
Die MANIFEST-Dateien (.manifest) und die MUM-Dateien (.mum), die für jede Umgebung installiert werden, werden im Abschnitt „Zusätzliche Dateiinformationen" separat aufgeführt . MUM, MANIFEST und die zugehörigen Sicherheitskatalogdateien (.cat) sind sehr wichtig, um den Status der aktualisierten Komponenten aufrechtzuerhalten. Die Sicherheitskatalogdateien, deren Attribute nicht aufgeführt sind, sind mit einer digitalen Signatur von Microsoft signiert.
Für alle unterstützten x64-basierten Versionen von Windows Server 2008 R2
Dateiname | Dateiversion | Dateigröße | Datum | Zeit | Plattform |
|---|---|---|---|---|---|
Kdcsvc.dll | 6.1.7601.18321 | 430.080 | 15. November 2013 | 08:40 | x64 |
Kdcsvc.mof | Nicht zutreffend | 5.300 | 05.11.2010 | 02:14 | Nicht zutreffend |
Kdcsvc.dll | 6.1.7601.22515 | 434.688 | 14. November 2013 | 09:06 | x64 |
Kdcsvc.mof | Nicht zutreffend | 5.300 | 05.11.2010 | 02:14 | Nicht zutreffend |
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den Microsoft-Produkten handelt, die im Abschnitt „Gilt für" aufgeführt sind.
Weitere Informationen
Um festzustellen, ob Sie über ein wiederhergestelltes KRBTGT-Konto in Ihrer Domäne verfügen, können Sie den folgenden Befehl an einer Eingabeaufforderung mit Domänenadministratorberechtigung ausführen:
repadmin /showobjmeta <My_DC> "CN=krbtgt,CN=Users,DC=contoso,DC=com" >krbtgt.txt
Da bei der Standardwiederherstellung alle Attribute in der Ausgabedatei krbtgt.txt um 100.000 erhöht werden, stellen Sie möglicherweise fest, dass der Ver-Wert (Version) des Attributs pwdLastSet 100.002 oder größer ist. Die Ausgabe lautet beispielsweise wie folgt:Loc.USN Originating DSA Org.USN Org.Time/Date Ver Attribute ======= =============== ========= ============= === === ====== … 8064 Default-First-Site-Name\CONTOSO-DC1 12327 2014-06-23 18:27:03 100002 pwdLastSet Für weitere Informationen zur Softwareupdate-Terminologie klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
824684 Beschreibung der Standardterminologie, die zur Beschreibung von Microsoft-Softwareupdates verwendet wird
Zusätzliche Dateiinformationen
No comments:
Post a Comment