Compartilhar via

Os usuários não podem entrar no domínio após alterações de senha em um Controlador de Domínio Remoto

Este artigo fornece uma solução para um problema em que os usuários não podem entrar no domínio após alterações de senha em um Controlador de Domínio Remoto.

Aplica-se a: Windows 2000
Número original do KB: 318364

Sintomas

Depois de alterar a senha de uma conta de usuário em um controlador de domínio remoto que contém a função FSMO (Operação Mestra Única Flexível) do controlador de domínio primário (PDC), o usuário pode não conseguir entrar em um controlador de domínio local inserindo a nova senha. No entanto, o usuário ainda poderá entrar no domínio usando sua senha anterior.

Causa

Esse comportamento pode ocorrer quando as seguintes condições são verdadeiras:

  • O controlador de domínio remoto ainda não foi replicado com o controlador de domínio local.

  • O Kerberos está configurado para usar o protocolo UDP (User Datagram Protocol) (a configuração padrão).

  • O token de segurança do usuário é muito grande para caber em uma mensagem UDP Kerberos.

    Observação

    O token de segurança do usuário pode ser grande se esse usuário for membro de muitos grupos.

Esse problema é causado pelo recurso anti-reprodução da autenticação Kerberos no controlador de domínio local. As etapas a seguir ilustram esse comportamento:

  1. A senha da conta de usuário é alterada no controlador de domínio remoto, mas essa alteração ainda não foi replicada para o controlador de domínio local.
  2. O usuário tenta entrar no domínio usando a nova senha. A mensagem do Kerberos Authentication Service Exchange (KRB_AS_REQ) é enviada ao controlador de domínio local usando UDP.
  3. O controlador de domínio local falha na autenticação porque ainda não tem as novas informações de senha.
  4. O controlador de domínio local encaminha a solicitação para o PDC remoto (KDCSVC!FailedLogon).
  5. FailedLogon Na função, uma entrada para a solicitação é inserida na tabela de detecção de reprodução e a mensagem KRB_AS_REQ é enviada para o PDC remoto.
  6. O PDC remoto autentica com êxito a solicitação e, em seguida, retorna uma resposta positiva ao controlador de domínio local.
  7. O controlador de domínio local detecta que a resposta é muito grande para um pacote UDP e é por isso que envia uma solicitação ao computador cliente para reenviar a solicitação usando o TCP.
  8. O computador cliente reenvia a solicitação de autenticação usando TCP.
  9. O controlador de domínio local falha na autenticação porque ainda não tem as novas informações de senha (como na etapa 3).
  10. O controlador de domínio local encaminha a solicitação para o controlador de domínio PDC remoto (KDCSVC!FailedLogon) (como na etapa 4).
  11. A verificação de detecção de repetição na FailedLogon função retorna uma mensagem KRB_AP_ERR_REPEAT porque uma entrada para essa solicitação já está presente na tabela de detecção de repetição. Esta é a entrada que foi criada na etapa 5.

A tentativa de autenticação falha.

Solução

Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000.

A versão em inglês dessa correção tem os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas em UTC (tempo universal coordenado). Quando você exibe as informações do arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e hora local, use a guia Fuso Horário na ferramenta Data e Hora no Painel de Controle.

Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll

Solução alternativa

Para contornar esse problema, faça alterações de senha da conta de usuário no controlador de domínio local ou force o Kerberos a usar TCP (Transmission Control Protocol) em vez de UDP (User Datagram Protocol).

Para obter mais informações, consulte Como forçar o Kerberos a usar TCP em vez de UDP no Windows.

Status

A Microsoft confirmou que é um problema nos produtos da Microsoft listados no início deste artigo. Esse problema foi corrigido pela primeira vez no Windows 2000 Service Pack 3.

Mais informações

O recurso anti-reprodução Kerberos impede que o mesmo pacote seja recebido duas vezes pelo servidor de autenticação. Um ataque de repetição é um ataque no qual uma transmissão de dados válida é repetida de forma maliciosa ou fraudulenta, seja pelo originador ou por um adversário que intercepta os dados e os retransmite. Um invasor pode tentar "reproduzir" o nome de usuário e a senha de um usuário válido na tentativa de autenticar usando as credenciais desse usuário.