Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Active Directory-Authentifizierungsprobleme treten auf, und Beim Ausführen des klist tgt
Befehls wird ein Fehler 0x8009030e angezeigt. In diesem Artikel wird beschrieben, wie Sie die Probleme beheben.
Gilt für: Unterstützte Versionen von Windows Server
Ursprüngliche KB-Nummer: 4619950
Active Directory-Authentifizierungsprobleme
Es treten mindestens eine der folgenden Probleme auf:
Beim Versuch, sich bei einem Remotedesktopdienstserver (RDS) anzumelden, wird die folgende Fehlermeldung angezeigt:
Windows benötigt Ihre aktuellen Anmeldeinformationen
Bitte sperren Sie diesen Computer, und entsperren Sie ihn dann mit Ihrem neuesten Kennwort oder Ihrer Smartcard.Beim Öffnen des Active Directory-Benutzer und -Computer oder eines Active Directory-Snap-Ins wird die folgende Fehlermeldung angezeigt:
Benennungsinformationen können nicht gefunden werden, da der Anmeldeversuch fehlgeschlagen ist.
Sie erhalten die folgende Fehlermeldung, wenn Sie versuchen, das GPMC-Snap-In zu öffnen:
Der angegebene Domänencontroller konnte nicht kontaktiert werden: "Der Zugriff wurde verweigert"
Wenn Sie versuchen, mithilfe der Eingabeaufforderung auf das
Sysvol
Verzeichnis zuzugreifen, wird die folgende Fehlermeldung angezeigt:dir \\contoso.com\sysvol Account restrictions are preventing this user from signing in. For example: blank passwords aren't allowed, sign-in times are limited, or a policy restriction has been enforced.
Wenn Sie ausgeführt werden
klist tgt
, wird die folgende Fehlermeldung zurückgegeben:Fehler bei der klist mit 0x8009030e/-2146893042: Im Sicherheitspaket sind keine Anmeldeinformationen verfügbar.
Ursache
Diese Probleme treten auf, da das Benutzerkonto Mitglied der Sicherheitsgruppe "Geschützte Benutzer " ist, sodass die folgenden Schutzmaßnahmen angewendet werden:
Die Delegierung von Anmeldeinformationen (CredSSP) speichert die Nur-Text-Anmeldeinformationen des Benutzers nicht zwischen, auch wenn die Einstellung " Delegieren standardmäßiger Gruppenrichtlinien für Anmeldeinformationen zulassen" aktiviert ist.
Ab Windows 8.1 und Windows Server 2012 R2 speichert Windows Digest die Nur-Text-Anmeldeinformationen des Benutzers nicht zwischen, auch wenn Windows Digest aktiviert ist.
Windows New Technology LAN Manager (NTLM) speichert die Nur-Text-Anmeldeinformationen oder NT-Unidirektionale Funktionen (NTOWF) nicht zwischen.
Kerberos erstellt keine Data Encryption Standard (DES) oder Rivest Cipher 4 (RC4)-Schlüssel mehr. Außerdem werden die Nur-Text-Anmeldeinformationen des Benutzers oder die langfristigen Schlüssel nicht zwischengespeichert, nachdem das anfängliche Ticketgewährungsticket (TGT) erworben wurde.
Eine zwischengespeicherte Überprüfung wird beim Anmelden oder Entsperren von Windows nicht erstellt, sodass Offlineanmeldungen nicht mehr unterstützt werden.
Lösung
Entfernen Sie die betroffenen Benutzerkonten aus den Gruppen "Geschützte Benutzer " in Active Directory. Führen Sie folgende Schritte aus:
- Öffnen Sie Active Directory-Benutzer und -Computer.
- Wechseln Sie zum Container "Benutzer ".
- Suchen Sie im rechten Bereich die Gruppe "Geschützte Benutzer ".
- Entfernen Sie die Benutzerkonten aus der Gruppe.
Verweis
Weitere Informationen finden Sie in den folgenden Artikeln: