Symptômes
Prenons l’exemple du scénario suivant :
-
Vous avez des contrôleurs de domaine qui exécutent Windows Server 2003 sur un domaine et un contrôleur de domaine Windows Server 2012 R2 ou Windows Server 2016 à ce domaine.
-
Vous avez un ordinateur appartenant à un domaine, qui s’authentifie par le biais d’un contrôleur de domaine Windows Server 2003, puis l’ordinateur s’authentifie sur un contrôleur de domaine Windows Server 2012 R2.
-
Vous ouvrez une session sur l’ordinateur et changez le mot de passe du compte d’ordinateur à deux reprises.
-
Vous rouvrez une session sur l’ordinateur.
Dans ce scénario, le message d'erreur suivant s'affiche :
nom d’utilisateur inconnu ou mot de passe incorrect
Cause
Le client Kerberos dépend d’un Salt du centre de distribution principal (KDC) pour créer les clés AES (Advanced Encryption Standard) du côté client. Ces clés AES sont utilisées pour hacher le mot de passe que l’utilisateur entre sur le client, et protéger le mot de passe en transit sur le réseau, de sorte que le mot de passe ne peut pas être intercepté et déchiffré. Le sel fait référence aux informations fournies dans l’algorithme qui est utilisé pour générer les clés de sorte que le KDC puisse vérifier le hachage du mot de passe et émettre des tickets pour l’utilisateur. Lorsque vous ajoutez un contrôleur de domaine Windows 2012 R2 dans un environnement dans lequel les contrôleurs de domaine Windows Server 2003 sont présents, il existe une incompatibilité dans les types de chiffrement pris en charge sur les KDC et utilisés pour le sel. Les contrôleurs de domaine Windows Server ne prennent pas en charge les contrôleurs de domaine AES et Windows Server 2012 R2 et ne prennent pas en charge le chiffrement DES données.
Obtention de cette mise à jour ou Hotfix
Pour résoudre ce problème, nous avons mis à jour un correctif et un correctif cumulatif pour Windows Server 2012 R2 dans lequel Active Directory est installé. Avant de procéder à l’installation, vérifiez la Configuration requise pour le correctif. Le correctif de mise à jour résout de nombreux autres problèmes, en plus du problème résolu par le correctif. Nous vous recommandons d’utiliser le correctif de mise à jour. Le correctif de mise à jour est plus volumineux que le correctif logiciel. Par conséquent, le package de mise à jour est plus long à télécharger.
Remarque Après l’installation de la mise à jour, nous vous recommandons de redémarrer tous les ordinateurs clients qui prennent en charge le chiffrement AES (Advanced Encryption Standard). Cette opération permet de récupérer les clients s’ils ont déjà redémarré sur un contrôleur de domaine Windows Server 2012 R2 pour lequel la mise à jour n’est pas installée.
Mise à jour pour Windows Server 2012 R2
Le correctif de mise à jour suivant est disponible :
Correctif pour Windows Server 2016
Le correctif de mise à jour suivant est disponible :
25 février 2020 : KB4537806 (version 14393,3542 du système d’exploitation)
Informations détaillées sur le correctif
Conditions préalables
Pour appliquer ce correctif, vous devez d’abord installer la mise à jour 2919355 sur Windows Server 2012 R2. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
2919355 Mise à jour d’avril 2014 pour Windows RT 8.1, Windows 8.1 et Windows Server 2012 R2
Informations sur le Registre
Pour utiliser le correctif de ce package, vous n’avez pas besoin d’apporter des modifications au registre.
Nécessité de redémarrer
Il est possible que vous deviez redémarrer l’ordinateur après avoir appliqué ce correctif.
Informations sur le remplacement de correctif logiciel
Ce correctif ne remplace pas un correctif antérieur.
Statut
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.