Příznaky
Zvažte následující scénář:
-
Máte řadiče domény, které používají Windows Server 2003-Base v doméně, a do této domény přidejte řadič domény Windows Server 2012 R2 nebo Windows Server 2016.
-
Máte počítač připojený k doméně, který se nejdřív ověřuje na řadiči domény založeném na systému Windows Server 2003, a pak se počítač ověří na řadiči domény se systémem Windows Server 2012 R2.
-
Přihlásíte se do počítače a dvakrát změníte heslo účtu počítače.
-
Přihlásíte se do počítače znova.
V tomto scénáři se zobrazí následující chybová zpráva:
neznámé uživatelské jméno nebo špatné heslo
Příčina
Pokud chcete na straně klienta vytvořit klíče AES (Advanced Encryption Standard), klient protokolu Kerberos závisí na této soli. Tyto klíče AES se používají k výpočtu hesla, které uživatel zadá do klienta, a chrání heslo při přenosu přes drát, takže heslo nelze zachytit a dešifrovat. Hodnota Salt označuje informace, které jsou podávány algoritmu, který se používá ke generování klíčů, aby služba KDC mohla ověřovat hash a vystavení hesel uživateli. Když je řadič domény Windows 2012 R2 přidaný v prostředí, kde jsou přítomné řadiče domény Windows Server 2003, dochází k neshodě typů šifrování, které jsou podporované pro KDCs a používají se pro solení. Řadiče domén systému Windows Server nepodporují standard AES a řadiče domény Windows Server 2012 R2 nepodporují pro solení normu DES (Data Encryption Standard).
Jak získat tuto aktualizaci nebo opravu hotfix
Tento problém vyřešíme vydáním opravy hotfix a kumulativní aktualizace pro Windows Server 2012 R2, ve které je nainstalovaný služba Active Directory. Než nainstalujete tuto opravu hotfix, zkontrolujte předpoklad opravy hotfix. Kumulativní aktualizace opravuje mnoho dalších problémů Kromě problému, který opravuje oprava hotfix. Doporučujeme používat kumulativní aktualizaci. Kumulativní aktualizace je větší než oprava hotfix. Kumulativní aktualizace proto trvá déle, než se stáhne.
Poznámka Po instalaci aktualizace doporučujeme restartovat všechny klientské počítače, které podporují šifrování AES (Advanced Encryption Standard). Tento postup slouží k obnovení klientů, kteří byli předtím restartováni na řadiči domény Windows Server 2012 R2, který nemá nainstalovanou aktualizaci.
Aktualizace pro Windows Server 2012 R2
K dispozici je následující kumulativní aktualizace:
Oprava hotfix pro Windows Server 2016
K dispozici je následující kumulativní aktualizace:
Podrobné informace o opravě hotfix
Požadavky
Pokud chcete nainstalovat tuto opravu hotfix, musíte nejdřív nainstalovat aktualizaci 2919355 v systému Windows Server 2012 R2. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
2919355 Windows RT 8,1, Windows 8,1 a Windows Server 2012 R2 Update duben, 2014
Informace v registru
Pokud chcete v tomto balíčku použít opravu hotfix, nemusíte v registru dělat žádné změny.
Požadavky na restartování
Po instalaci této opravy hotfix může být nutné restartovat počítač.
Informace o nahrazení opravy Hotfix
Tato oprava hotfix nenahrazuje dříve vydanou opravu hotfix.
Stav
Společnost Microsoft potvrzuje, že se jedná o problém v produktech této společnosti, které jsou uvedeny v části Informace v tomto článku jsou určeny pro produkt.