Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit artikel biedt een oplossing voor een probleem waarbij gebruikers zich niet kunnen aanmelden bij het domein nadat het wachtwoord is gewijzigd op een externe domeincontroller.
Van toepassing op: Windows 2000
Oorspronkelijk KB-nummer: 318364
Symptomen
Nadat u een gebruikersaccountwachtwoord hebt gewijzigd op een externe domeincontroller met de rol primaire domeincontroller (PDC) Flexible Single Master Operation (FSMO), kan de gebruiker zich mogelijk niet aanmelden bij een lokale domeincontroller door het nieuwe wachtwoord in te voeren. De gebruiker kan zich echter nog steeds aanmelden bij het domein met behulp van het vorige wachtwoord.
Oorzaak
Dit gedrag kan optreden wanneer aan de volgende voorwaarden wordt voldaan:
De externe domeincontroller is nog niet gerepliceerd met de lokale domeincontroller.
Kerberos is geconfigureerd voor het gebruik van het UDP-protocol (User Datagram Protocol) (de standaardconfiguratie).
Het beveiligingstoken van de gebruiker is te groot om in een UDP Kerberos-bericht te passen.
Notitie
Het beveiligingstoken van de gebruiker kan groot zijn als die gebruiker lid is van veel groepen.
Dit probleem wordt veroorzaakt door de anti-herhalingsfunctie van Kerberos-verificatie op de lokale domeincontroller. De volgende stappen illustreren dit gedrag:
- Het wachtwoord van het gebruikersaccount wordt gewijzigd op de externe domeincontroller, maar deze wijziging is nog niet gerepliceerd naar de lokale domeincontroller.
- De gebruiker probeert zich aan te melden bij het domein met behulp van het nieuwe wachtwoord. Het Kerberos Authentication Service Exchange-bericht (KRB_AS_REQ) wordt verzonden naar de lokale domeincontroller met behulp van UDP.
- De lokale domeincontroller mislukt de verificatie omdat deze nog niet beschikt over de nieuwe wachtwoordgegevens.
- De lokale domeincontroller stuurt de aanvraag door naar de externe PDC (
KDCSVC!FailedLogon). - In de
FailedLogonfunctie wordt een vermelding voor de aanvraag ingevoerd in de replaydetectietabel en wordt het KRB_AS_REQ bericht verzonden naar de externe PDC. - De externe PDC verifieert de aanvraag en retourneert vervolgens een positief antwoord op de lokale domeincontroller.
- De lokale domeincontroller detecteert dat het antwoord te groot is voor een UDP-pakket en daarom verzendt een aanvraag naar de clientcomputer om de aanvraag opnieuw te verzenden met behulp van Transmission Control Protocol (TCP).
- De clientcomputer verzendt de verificatieaanvraag opnieuw via TCP.
- De lokale domeincontroller mislukt de verificatie omdat deze nog niet beschikt over de nieuwe wachtwoordgegevens (zoals in stap 3).
- De lokale domeincontroller stuurt de aanvraag door naar de externe PDC-domeincontroller () (
KDCSVC!FailedLogonzoals in stap 4). - De detectiecontrole voor opnieuw afspelen in de
FailedLogonfunctie retourneert een KRB_AP_ERR_REPEAT bericht omdat er al een vermelding voor deze aanvraag aanwezig is in de detectietabel voor opnieuw afspelen. Dit is de vermelding die is gemaakt in stap 5.
De verificatiepoging mislukt.
Oplossing
U kunt dit probleem oplossen door het nieuwste servicepack voor Windows 2000 te verkrijgen.
De Engelse versie van deze fix bevat de bestandskenmerken (of hoger) die worden vermeld in de volgende tabel. De datums en tijden voor deze bestanden worden vermeld in gecoƶrdineerde universele tijd (UTC). Wanneer u de bestandsgegevens bekijkt, wordt deze geconverteerd naar lokale tijd. Als u het verschil tussen UTC en lokale tijd wilt vinden, gebruikt u het tabblad Tijdzone in het hulpmiddel Datum en tijd in Configuratiescherm.
Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll
Tijdelijke oplossing
U kunt dit probleem omzeilen door wachtwoordwijzigingen voor gebruikersaccounts op de lokale domeincontroller uit te voeren of Kerberos te dwingen TCP (Transmission Control Protocol) te gebruiken in plaats van UDP (User Datagram Protocol).
Zie Kerberos dwingen tcp te gebruiken in plaats van UDP in Windows voor meer informatie.
Status
Microsoft heeft bevestigd dat het een probleem is in de Microsoft-producten die aan het begin van dit artikel worden vermeld. Dit probleem is voor het eerst opgelost in Windows 2000 Service Pack 3.
Meer informatie
De Kerberos-anti-herhalingsfunctie voorkomt dat hetzelfde pakket twee keer wordt ontvangen door de verificatieserver. Een herhalingsaanval is een aanval waarbij een geldige gegevensoverdracht kwaadwillig of frauduleus wordt herhaald, hetzij door de originator of door een kwaadwillende persoon die de gegevens onderschept en opnieuw doorvoert. Een aanvaller kan proberen om een geldige gebruikersnaam en wachtwoord van een geldige gebruiker af te spelen in een poging om zich te verifiƫren met behulp van de referenties van die gebruiker.