Problembeschreibung
Stellen Sie sich folgendes Szenario vor:
-
Sie verfügen über Domänencontroller, auf denen Windows Server 2003-Base in einer Domäne ausgeführt wird, und fügen einen Windows Server 2012 R2-oder Windows Server 2016-Domänencontroller zu dieser Domäne hinzu.
-
Sie verfügen über einen Domänen verbundenen Computer, der sich zunächst für einen Windows Server 2003-basierten Domänencontroller authentifiziert, und dann wird der Computer für einen Windows Server 2012 R2-basierten Domänencontroller authentifiziert.
-
Sie melden sich auf dem Computer an und ändern das Kennwort für das Computerkonto zwei Mal.
-
Sie melden sich erneut am Computer an.
In diesem Szenario wird die folgende Fehlermeldung angezeigt:
Unbekannter Nutzername oder schlechtes Kennwort
Ursache
Der Kerberos-Client hängt von einem Salt des Key Distribution Center (KDC) ab, um die AES-Schlüssel (Advanced Encryption Standard) auf der Clientseite zu erstellen. Diese AES-Schlüssel werden verwendet, um das Kennwort zu hashen, das der Benutzer auf dem Client eingibt, und das Kennwort bei der Übertragung über den Draht zu schützen, damit das Kennwort nicht abgefangen und entschlüsselt werden kann. Das Salz bezieht sich auf Informationen, die dem Algorithmus zugeführt werden, der zum Generieren der Schlüssel verwendet wird, damit das KDC den Kennwort-Hash überprüfen und dem Benutzertickets ausgeben kann. Wenn ein Windows 2012 R2-Domänencontroller in einer Umgebung hinzugefügt wird, in der Windows Server 2003-Domänencontroller vorhanden sind, gibt es einen Konflikt bei den Verschlüsselungstypen, die auf der KDCs unterstützt werden und für die Verwendung in Salting verwendet werden. Windows Server-Domänencontroller unterstützen keine AES-und Windows Server 2012 R2-Domänencontroller unterstützen keine Data Encryption Standard (des) für Salting.
So erhalten Sie dieses Update oder Hotfix
Um dieses Problem zu beheben, haben wir einen Hotfix und ein Updaterollup für Windows Server 2012 R2 veröffentlicht, in dem Active Directory installiert ist. Bevor Sie diesen Hotfix installieren, überprüfen Sie die Voraussetzungen für den Hotfix. Das Update-Rollup behebt viele andere Probleme zusätzlich zu dem Problem, das vom Hotfix behoben wird. Wir empfehlen, das Updaterollup zu verwenden. Das Update-Rollup ist größer als der Hotfix. Daher dauert das Herunterladen des Update-Rollups länger.
Hinweis Nach der Installation des Updates empfehlen wir, dass Sie alle Clientcomputer neu starten, die AES-Verschlüsselung (Advanced Encryption Standard) unterstützen. Damit werden die Clients wiederhergestellt, wenn Sie zuvor mit einem Windows Server 2012 R2-Domänencontroller neu gestartet wurden, auf dem das Update nicht installiert ist.
Update für Windows Server 2012 R2
Das folgende Update-Rollup steht zur Verfügung:
Hotfix für Windows Server 2016
Das folgende Update-Rollup steht zur Verfügung:
Hotfix-Detailinformationen
Voraussetzungen
Um diesen Hotfix anwenden zu können, müssen Sie zuerst Update 2919355 unter Windows Server 2012 R2 installieren. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
2919355 Update für Windows RT 8.1, Windows 8.1 und Windows Server 2012 R2 vom April 2014
Registrierungsinformationen
Wenn Sie den Hotfix in diesem Paket verwenden möchten, müssen Sie keine Änderungen an der Registrierung vornehmen.
Neustartanforderung
Möglicherweise müssen Sie den Computer neu starten, nachdem Sie diesen Hotfix angewendet haben.
Ersetzte Hotfixes
Dieser Hotfix ersetzt keinen zuvor veröffentlichten Hotfix.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.