Síntomas
Imagine la siguiente situación:
-
Tiene controladores de dominio que ejecutan Windows Server 2003-base en un dominio y agregan un controlador de dominio de Windows Server 2012 R2 o Windows Server 2016 a este dominio.
-
En primer lugar, tiene un equipo unido a un dominio que se autentica en un controlador de dominio basado en Windows Server 2003 y, a continuación, el equipo se autentica con un controlador de dominio basado en Windows Server 2012 R2.
-
Inicia sesión en el equipo y cambia la contraseña de la cuenta de equipo dos veces.
-
Vuelve a iniciar sesión en el equipo.
En esta situación, aparece este mensaje de error:
nombre de usuario desconocido o contraseña incorrecta
Causa
El cliente Kerberos depende de un valor Salt del centro de distribución de claves (KDC) para crear las claves del estándar de cifrado avanzado (AES) en el cliente. Estas claves AES se usan para aplicar un algoritmo hash a la contraseña que el usuario introduce en el cliente y protegerla en tránsito a través del cable, de modo que la contraseña no se pueda interceptar ni descifrar. El valor Salt se refiere a la información que se introduce en el algoritmo que se usa para generar las claves, de modo que el KDC pueda comprobar el hash de la contraseña y emitir tíquets para el usuario. Cuando se agrega un controlador de dominio de Windows 2012 R2 en un entorno en el que los controladores de dominio de Windows Server 2003 están presentes, no coinciden los tipos de cifrado que se admiten en los KDC y se usan para el Salt. Los controladores de dominio de Windows Server no son compatibles con los controladores de dominio AES y Windows Server 2012 R2 no admiten el estándar de cifrado de datos (DES) para Salt.
Cómo obtener esta actualización o revisión
Para resolver este problema, hemos publicado una revisión y un paquete de continuación de actualizaciones para Windows Server 2012 R2 en el que está instalado Active Directory. Antes de instalar este hotfix, compruebe el requisito previo de la revisión. El paquete acumulativo de actualizaciones arregla muchos otros problemas además del problema corregido por la revisión. Le recomendamos que use el paquete de continuación de actualizaciones. El paquete de continuación de la actualización es más grande que el Hotfix. Por lo tanto, el paquete acumulativo de actualizaciones tarda más tiempo en descargarse.
Nota Después de instalar la actualización, le recomendamos que reinicie todos los equipos cliente que admitan el cifrado estándar de cifrado avanzado (AES). Esto se hace para recuperar los clientes si ya se habían reiniciado con un controlador de dominio de Windows Server 2012 R2 que no tiene instalada la actualización.
Actualización para Windows Server 2012 R2
Está disponible el siguiente paquete acumulativo de actualizaciones:
Obtener el paquete de continuación de actualizaciones 2984006
Revisión para Windows Server 2016
Está disponible el siguiente paquete acumulativo de actualizaciones:
25 de febrero de 2020 — KB4537806 (compilación de SO 14393,3542)
Información detallada del hotfix
Requisitos previos
Para aplicar este hotfix, primero debe instalar la actualización 2919355 en Windows Server 2012 R2. Si desea obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
2919355 Actualización de abril de 2014 para Windows RT 8.1, Windows 8.1 y Windows Server 2012 R2:
Información de Registro
Para usar la revisión de este paquete, no tiene que realizar ningún cambio en el registro.
Requisito de reinicio
Es posible que tenga que reiniciar el equipo después de aplicar este Hotfix.
Información de la sustitución de revisión
Este hotfix no reemplaza a una revisión publicada previamente.
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft recogidos en la sección "Se aplica a".