windows server2016错误日志：Kerberos 密钥发行中心缺少帐户 krbtgt；密钥发行中心 (KDC) 在处理另一张票据请求时，遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行，并可能打开安全漏洞

Question

环境中有一台主域控，windows server2008R2，一台辅助域控，windows server2016，现在买了一台windows server2022系统的服务器，打算升级为主域控。但发现windows server2016的系统日志中有两个错误频繁出现：

**1）**Kerberos 密钥发行中心缺少帐户 krbtgt.

必须更新此帐户的密码以防止使用不安全的加密。

请参阅https://go.microsoft.com/fwlink/?linkid=2215265

**2）**密钥发行中心 (KDC) 在处理另一张票据请求时，遇到了一张不包含请求该票据的账户信息票据。这使安全检查无法运行，并可能打开安全漏洞。请参阅 https://go.microsoft.com/fwlink/?linkid=2173051 了解更多信息。

我看了一下，说是需要安装更新，然后修改注册表中的项值。

但我下载了更新( (KB5008601))到windwos server2016中，却提示我无法安装，其他的更新也提示过期无法下载，我在注册表中的也无法找到所需要的值 （ PacRequestorEnforcement）

下面是之前安装的更新：

现在我也不知道怎么解决这个问题了，感谢

Answer 1

Hi Dongdong Xu,

您可以尝试以下步骤来解决这个问题：

1. 确认您的Windows Server 2016系统已经安装了最新的更新，您可以通过运行Windows Update来检查并安装最新的更新。
2. 如果您无法安装更新，可以尝试手动下载并安装更新。您可以从Microsoft官方网站下载更新，然后手动安装。
3. 如果您仍然无法安装更新，您可以尝试手动修改注册表中的项值。请注意，修改注册表可能会对系统造成不可逆的影响，因此请务必备份注册表并小心操作。
4. 关于修改注册表中的项值，您可以参考以下步骤： a. 打开注册表编辑器，定位到以下路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters b. 在Parameters下创建一个新的DWORD值，命名为PacRequestorEnforcement。 c. 将PacRequestorEnforcement的值设置为0。 d. 保存并关闭注册表编辑器。
5. 重启服务器，检查是否仍然出现错误日志。

希望这些步骤可以帮助您解决问题。

      此致

敬礼!

Answer 2

Hi Dongdong Xu,

您可以尝试以下步骤来解决这个问题：

1. 确认您的Windows Server 2016系统已经安装了最新的更新，您可以通过运行Windows Update来检查并安装最新的更新。
2. 如果您无法安装更新，可以尝试手动下载并安装更新。您可以从Microsoft官方网站下载更新，然后手动安装。
3. 如果您仍然无法安装更新，您可以尝试手动修改注册表中的项值。请注意，修改注册表可能会对系统造成不可逆的影响，因此请务必备份注册表并小心操作。
4. 关于修改注册表中的项值，您可以参考以下步骤：

a. 打开注册表编辑器，定位到以下路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

b. 在Parameters下创建一个新的DWORD值，命名为PacRequestorEnforcement。

c. 将PacRequestorEnforcement的值设置为0。

d. 保存并关闭注册表编辑器。

5. 重启服务器，检查是否仍然出现错误日志。

希望这些步骤可以帮助您解决问题。

      此致

敬礼!

感谢您的回答，不清楚直接更改注册表是否会产生严重的后果，比如我两台域控无法复制之类 的，如果 没有话，我今天会尝试下，再次感谢

Answer 3

Hi Dongdong Xu,

您的担忧是正确的，更改注册表可能会对系统产生不良影响。在进行任何更改之前，建议您备份系统和注册表，以确保您的系统安全和稳定。

      此致

敬礼!