Sintomi
Considerare lo scenario descritto di seguito:
-
Sono presenti controller di dominio che esegue Windows Server 2003-base in un dominio e si aggiunge un controller di dominio Windows Server 2012 R2 o Windows Server 2016 a questo dominio.
-
Si dispone di un computer collegato al dominio che esegue l'autenticazione in un controller di dominio basato su Windows Server 2003 e quindi esegue l'autenticazione in un controller di dominio basato su Windows Server 2012 R2.
-
Si accede al computer e si cambia la password dell'account del computer due volte.
-
Si accede di nuovo al computer.
In questo scenario viene visualizzato il messaggio di errore seguente:
nome utente sconosciuto o password errata
Causa
Il client Kerberos dipende da un Salt dal centro distribuzione chiave (KDC) per creare le chiavi AES (Advanced Encryption Standard) sul lato client. Queste chiavi AES vengono usate per crittografare la password che l'utente immette nel client e proteggere la password in transito tramite il cavo in modo che la password non possa essere intercettata e decritta. Il Salt si riferisce alle informazioni inserite nell'algoritmo usato per generare le chiavi in modo che il KDC possa verificare l'hash della password e emettere i biglietti per l'utente. Quando un controller di dominio Windows 2012 R2 viene aggiunto in un ambiente in cui sono presenti i controller di dominio di Windows Server 2003, esiste una mancata corrispondenza nei tipi di crittografia supportati in KDC e usati per la salatura. I controller di dominio di Windows Server non supportano i controller di dominio AES e Windows Server 2012 R2 non supportano i Data Encryption Standard (DES) per la salatura.
Come ottenere questo aggiornamento o hotfix
Per risolvere il problema, è stato rilasciato un hotfix e un aggiornamento cumulativo per Windows Server 2012 R2 in cui è installato Active Directory. Prima di installare questo aggiornamento rapido, controllare il prerequisito dell'hotfix. L'aggiornamento cumulativo risolve molti altri problemi oltre al problema risolto dall'hotfix. È consigliabile usare l'aggiornamento cumulativo. L'aggiornamento cumulativo è più grande dell'hotfix. Di conseguenza, l'aggiornamento cumulativo richiede più tempo per il download.
Nota Dopo l'installazione dell'aggiornamento, è consigliabile riavviare tutti i computer client che supportano la crittografia AES (Advanced Encryption Standard). In questo caso, è possibile recuperare i client se in precedenza erano stati riavviati in un controller di dominio Windows Server 2012 R2 in cui non è installato l'aggiornamento.
Aggiornamento per Windows Server 2012 R2
È disponibile il seguente aggiornamento cumulativo:
Hotfix per Windows Server 2016
È disponibile il seguente aggiornamento cumulativo:
Informazioni dettagliate sull'hotfix
Requisiti
Per applicare questo hotfix, è necessario prima installare l'aggiornamento 2919355 in Windows Server 2012 R2. Per ulteriori informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo nella Microsoft Knowledge Base:
2919355 Aggiornamento di aprile 2014 per Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2
Informazioni sul Registro di sistema
Per usare l'hotfix in questo pacchetto, non è necessario apportare modifiche al registro di sistema.
Richiesta di riavvio
Potrebbe essere necessario riavviare il computer dopo aver applicato questo aggiornamento rapido.
Informazioni sulla sostituzione degli hotfix
Questo hotfix non sostituisce alcun altro hotfix precedentemente rilasciato.
Stato
Microsoft ha confermato che questo problema si verifica nei prodotti elencati nella sezione "Si applica a".
