Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описано решение проблемы, из-за которой пользователи не могут войти в домен после изменения пароля на удаленном контроллере домена.
Область применения: Windows 2000
Исходный номер базы знаний: 318364
Симптомы
После изменения пароля учетной записи пользователя на удаленном контроллере домена, в котором хранится роль гибкого контроллера домена (PDC), пользователь может не войти в локальный контроллер домена, введя новый пароль. Однако пользователь по-прежнему может войти в домен с помощью предыдущего пароля.
Причина
Это поведение может произойти, если выполняются следующие условия:
Удаленный контроллер домена еще не реплицировался с локальным контроллером домена.
Kerberos настроен для использования протокола UDP (UDP) (конфигурация по умолчанию).
Маркер безопасности пользователя слишком велик, чтобы поместиться в сообщение UDP Kerberos.
Примечание.
Маркер безопасности пользователя может быть большим, если этот пользователь является членом многих групп.
Эта проблема вызвана функцией защиты от воспроизведения проверки подлинности Kerberos на локальном контроллере домена. Ниже показано следующее поведение:
- Пароль учетной записи пользователя изменяется на удаленном контроллере домена, но это изменение еще не реплицировано на локальный контроллер домена.
- Пользователь пытается войти в домен с помощью нового пароля. Сообщение Exchange службы проверки подлинности Kerberos (KRB_AS_REQ) отправляется локальному контроллеру домена с помощью UDP.
- Локальный контроллер домена завершается сбоем проверки подлинности, так как у него еще нет новых сведений о пароле.
- Локальный контроллер домена перенаправит запрос на удаленный PDC (
KDCSVC!FailedLogon). FailedLogonВ функции запись запроса вводится в таблицу обнаружения воспроизведения, а сообщение KRB_AS_REQ отправляется в удаленный PDC.- Удаленный PDC успешно проходит проверку подлинности запроса, а затем возвращает положительный ответ локальному контроллеру домена.
- Локальный контроллер домена обнаруживает, что ответ слишком велик для пакета UDP, и именно поэтому отправляет запрос на клиентский компьютер для повторной отправки запроса с помощью протокола TCP.
- Клиентский компьютер повторно отправляет запрос проверки подлинности с помощью TCP.
- Локальный контроллер домена завершается сбоем проверки подлинности, так как у него еще нет новых сведений о паролях (как и на шаге 3).
- Локальный контроллер домена перенаправит запрос на удаленный контроллер домена PDC (
KDCSVC!FailedLogonкак и на шаге 4). - Проверка обнаружения воспроизведения в
FailedLogonфункции возвращает сообщение KRB_AP_ERR_REPEAT, так как запись для этого запроса уже присутствует в таблице обнаружения воспроизведения. Это запись, созданная на шаге 5.
Попытка проверки подлинности завершается ошибкой.
Решение
Чтобы устранить эту проблему, получите последний пакет обновления для Windows 2000.
В английской версии этого исправления есть атрибуты файла (или более поздней версии), перечисленные в следующей таблице. Даты и время для этих файлов перечислены в согласованном универсальном времени (UTC). При просмотре сведений о файле он преобразуется в локальное время. Чтобы найти разницу между utc и локальным временем, перейдите на вкладку часового пояса в средстве "Дата и время" в панель управления.
Date Time Version Size File name
-----------------------------------------------------------
22-Mar-2002 23:55 5.0.2195.4959 123,664 Adsldp.dll
30-Jan-2002 00:52 5.0.2195.4851 130,832 Adsldpc.dll
30-Jan-2002 00:52 5.0.2195.4016 62,736 Adsmsext.dll
22-Mar-2002 23:55 5.0.2195.5201 356,624 Advapi32.dll
22-Mar-2002 23:55 5.0.2195.4985 135,952 Dnsapi.dll
22-Mar-2002 23:55 5.0.2195.4985 95,504 Dnsrslvr.dll
22-Mar-2002 23:56 5.0.2195.5013 521,488 Instlsa5.dll
22-Mar-2002 23:55 5.0.2195.5246 145,680 Kdcsvc.dll
22-Mar-2002 23:50 5.0.2195.5246 199,952 Kerberos.dll
07-Feb-2002 19:35 5.0.2195.4914 71,024 Ksecdd.sys
02-Mar-2002 21:32 5.0.2195.5013 503,568 Lsasrv.dll
02-Mar-2002 21:32 5.0.2195.5013 33,552 Lsass.exe
08-Dec-2001 00:05 5.0.2195.4745 107,280 Msv1_0.dll
22-Mar-2002 23:55 5.0.2195.4917 306,960 Netapi32.dll
22-Mar-2002 23:55 5.0.2195.4979 360,208 Netlogon.dll
22-Mar-2002 23:55 5.0.2195.5221 917,264 Ntdsa.dll
22-Mar-2002 23:55 5.0.2195.5201 386,832 Samsrv.dll
30-Jan-2002 00:52 5.0.2195.4874 128,784 Scecli.dll
22-Mar-2002 23:55 5.0.2195.4968 299,792 Scesrv.dll
30-Jan-2002 00:52 5.0.2195.4600 48,400 W32time.dll
06-Nov-2001 19:43 5.0.2195.4600 56,592 W32tm.exe
22-Mar-2002 23:55 5.0.2195.5011 125,712 Wldap32.dll
Обходное решение
Чтобы обойти эту проблему, измените пароль учетной записи пользователя на локальном контроллере домена или принудите Kerberos использовать ПРОТОКОЛ TCP (протокол управления передачей) вместо UDP (протокол пользовательской диаграммы данных).
Дополнительные сведения см. в статье "Как принудительно использовать ПРОТОКОЛ TCP вместо UDP в Windows".
Состояние
Корпорация Майкрософт подтвердила, что это проблема в продуктах Майкрософт, перечисленных в начале этой статьи. Эта проблема была впервые исправлена в Windows 2000 с пакетом обновления 3.
Дополнительная информация
Функция защиты от воспроизведения Kerberos предотвращает получение одного пакета двумя разами с помощью сервера проверки подлинности. Атака воспроизведения — это атака, при которой допустимая передача данных злонамеренно или мошенническо повторяется либо источником, либо злоумышленником, который перехватывает данные и повторно отправляет его. Злоумышленник может попытаться воспроизвести допустимое имя пользователя и пароль в попытке пройти проверку подлинности с помощью учетных данных этого пользователя.