Симптоми
Обмислете следния сценарий:
-
Имате домейнови контролери, на които се изпълнява Windows Server 2003-Base в домейн и добавяне на домейн контролер за Windows Server 2012 R2 или Windows Server 2016 за този домейн.
-
Имате компютър, който е присъединен към домейн, който се удостоверява срещу домейнов контролер, базиран на Windows Server 2003, и след това компютърът се удостоверява с Windows Server 2012 R2-базиран домейнов контролер.
-
Можете да влезете в компютъра и да промените паролата на акаунта за машина два пъти.
-
Можете да влезете в компютъра отново.
В този случай получавате следното съобщение за грешка:
неизвестно потребителско име или лоша парола
Причина
Kerberos клиентът зависи от сол от центъра за разпространение на ключове (KDC), за да създадете стандартните стандартни (AES) ключове за шифроване в страната на клиента. Тези ключове за AES се използват за хеширане на паролата, която потребителят въвежда в клиента, и защита на паролата при прехвърляне през телта, така че паролата да не може да бъде засечена и дешифрирана. Солта се отнася за информацията, която се подава в алгоритъма, който се използва за генериране на ключове, така че KDC да може да провери Хеширането на парола и да издава билети за потребителя. Когато домейнов контролер на Windows 2012 R2 е добавен в среда, в която се намират домейновите контролери на Windows Server 2003, има несъответствие в типовете шифроване, които се поддържат в KDCs и се използват за осоляване. Контролерите на домейни на Windows Server не поддържат AES и домейновите контролери за Windows Server 2012 R2 не поддържат стандарт за шифроване на данни (DES) за осоляване.
Как да получите тази актуализация или актуална корекция
За да отстраните този проблем, ние пуснахме актуална корекция и сборна актуализация за Windows Server 2012 R2, в който е инсталирана активна директория. Преди да инсталирате тази спешна корекция, проверете предварителното условие за актуалната корекция. Пакетът за актуализиране поправя много други проблеми в допълнение към проблема, който коригира корекцията. Препоръчваме ви да използвате сборната актуализация на актуализацията. Сборната актуализация е по-голяма от актуалната корекция. Следователно Пакетът за актуализиране отнема повече време за изтегляне.
Забележка След инсталирането на актуализацията ви препоръчваме да рестартирате всички клиентски компютри, които поддържат шифроване стандартното шифроване (AES). Това е възстановяване на клиентите, ако преди това са били рестартирани срещу домейнов контролер на Windows Server 2012 R2, на който не е инсталирана актуализацията.
Актуализация за Windows Server 2012 R2
Има налична следната сборна актуализация:
Актуална корекция за Windows Server 2016
Има налична следната сборна актуализация:
Подробна информация за актуалната корекция
Предпоставки
За да приложите тази спешна корекция, трябва първо да инсталирате Update 2919355 в Windows Server 2012 R2. За допълнителна информация щракнете върху следния номер на статия, за да прегледате статията в базата знания на Microsoft:
2919355 Windows RT 8,1, Windows 8,1 и Windows Server 2012 R2 актуализация април, 2014
Информация от системния регистър
За да използвате актуалната корекция в този пакет, не е необходимо да правите промени в системния регистър.
Изискване за рестартиране
Може да се наложи да рестартирате компютъра, след като приложите тази спешна корекция.
Информация за заместване на актуална корекция
Тази спешна корекция не замества издадената по-рано актуална корекция.
Състоянието
Microsoft потвърди, че това е проблем в продуктите на Microsoft, които са посочени в секцията "важи за".