Gejala
Pertimbangkan skenario berikut:
-
Anda memiliki pengontrol domain yang menjalankan Windows Server 2003-basis dalam domain dan menambahkan pengontrol domain Windows Server 2012 R2 atau Windows Server 2016 ke domain ini.
-
Anda memiliki komputer yang tergabung dengan domain yang mengotentikasi terhadap pengontrol domain berbasis Windows Server 2003 terlebih dahulu, lalu komputer mengautentikasi pengontrol domain berbasis Windows Server 2012 R2.
-
Anda masuk ke komputer dan mengubah kata sandi akun mesin dua kali.
-
Anda masuk lagi ke komputer.
Dalam skenario ini, Anda menerima pesan kesalahan berikut:
nama pengguna atau kata sandi tidak diketahui
Penyebab
Klien Kerberos tergantung pada garam dari pusat distribusi kunci (KDC) untuk membuat kunci Advanced Encryption Standard (AES) di sisi klien. Kunci AES ini digunakan untuk hash kata sandi yang dimasukkan pengguna pada klien, dan melindungi kata sandi dalam transit di atas kabel sehingga kata sandi tidak dapat disadap dan didekripsi. Garam mengacu pada informasi yang dimasukkan ke dalam algoritma yang digunakan untuk membuat kunci sehingga KDC bisa memverifikasi hash kata sandi dan mengeluarkan tiket kepada pengguna. Saat pengontrol domain Windows 2012 R2 ditambahkan di lingkungan di mana pengontrol domain Windows Server 2003 ada, terdapat ketidakcocokan dalam tipe enkripsi yang didukung pada KDCs dan digunakan untuk pengasahan. Pengontrol domain server Windows tidak mendukung AES dan pengontrol domain Windows Server 2012 R2 tidak mendukung data Encryption Standard (DES) untuk pengasahan.
Cara mendapatkan pembaruan atau perbaikan terbaru ini
Untuk mengatasi masalah ini, kami telah merilis hotfix dan Batal pembaruan untuk Windows Server 2012 R2 di mana direktori aktif diinstal. Sebelum Anda menginstal perbaikan terbaru ini, periksa prasyarat hotfix. Rollup pembaruan memperbaiki banyak masalah lain selain masalah yang diperbaiki hotfix. Kami menyarankan agar Anda menggunakan rollup pembaruan. Rollup pembaruan lebih besar dari hotfix. Oleh karena itu, rollup pembaruan memerlukan waktu lebih lama untuk diunduh.
Catatan Setelah pembaruan diinstal, kami menyarankan agar Anda memulai ulang semua komputer klien yang mendukung enkripsi Advanced Encryption Standard (AES). Ini adalah untuk memulihkan klien jika mereka sebelumnya telah dimulai ulang terhadap pengontrol domain Windows Server 2012 R2 yang tidak memiliki pembaruan yang terinstal.
Pembaruan untuk Windows Server 2012 R2
Rollup pembaruan berikut ini tersedia:
Perbaikan terbaru untuk Windows Server 2016
Rollup pembaruan berikut ini tersedia:
Informasi detail hotfix
Prasyarat
Untuk menerapkan hotfix ini, Anda harus menginstal pembaruan 2919355 di Windows Server 2012 R2 terlebih dahulu. Untuk informasi selengkapnya, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
2919355 Windows RT 8,1, Windows 8,1, dan Windows Server 2012 R2 memperbarui April, 2014
Informasi registri
Untuk menggunakan hotfix dalam paket ini, Anda tidak perlu melakukan perubahan apa pun pada registri.
Persyaratan mulai ulang
Anda mungkin harus memulai ulang komputer setelah menerapkan hotfix ini.
Informasi penggantian hotfix
Hotfix ini tidak menggantikan hotfix yang diedarkan sebelumnya.
Status
Microsoft telah mengonfirmasi bahwa ini adalah masalah pada produk Microsoft yang tercantum di bagian "Berlaku untuk".