現象
次のような状況で問題が発生します。
-
Windows Server 2003 ベースのドメインコントローラーがドメインで実行されていて、Windows server 2012 R2 または Windows Server 2016 ドメインコントローラーをこのドメインに追加している。
-
最初に Windows Server 2003 ベースのドメインコントローラーに対して認証を行うドメインに参加しているコンピューターがあり、そのコンピューターは Windows Server 2012 R2 ベースのドメインコントローラーに対して認証されます。
-
コンピューターにログオンし、コンピューターアカウントのパスワードを2回変更します。
-
もう一度コンピューターにログオンします。
このとき、次のエラー メッセージが表示されます。
不明なユーザー名またはパスワードが間違っています
原因
クライアント側で Advanced Encryption Standard (AES) キーを作成するために、Kerberos クライアントはキー配布センター (KDC) の salt に依存します。 これらの AES キーを使って、ユーザーがクライアントで入力したパスワードをハッシュし、パスワードを傍受して解読できないように、ネットワーク経由で転送されたパスワードを保護します。 Salt は、キーを生成するために使用されるアルゴリズムに取り込まれる情報を表します。これにより、KDC はパスワードのハッシュを確認し、チケットをユーザーに発行することができます。 Windows Server 2003 ドメインコントローラーが存在する環境に Windows 2012 R2 ドメインコントローラーが追加されている場合、Kdc でサポートされていて、ソルトで使用されている暗号化の種類に不一致があります。 Windows Server ドメインコントローラーが AES および Windows Server 2012 R2 ドメインコントローラーでは、ソルトのデータ暗号化標準 (DES) をサポートしていません。
この更新プログラムまたは修正プログラムの入手方法
この問題を解決するには、修正プログラムと、Active Directory がインストールされている Windows Server 2012 R2 用の更新プログラムのロールアップをリリースしました。 この修正プログラムをインストールする前に、修正プログラムの前提条件を確認してください。 更新プログラムのロールアップでは、修正プログラムが修正された問題に加えて、その他の多くの問題も修正されます。 更新プログラムのロールアップを使用することをお勧めします。 更新プログラムのロールアップは、修正プログラムよりも大きくなります。 そのため、更新プログラムロールアップのダウンロードに時間がかかります。
注: 更新プログラムをインストールした後、Advanced Encryption Standard (AES) 暗号化をサポートするすべてのクライアントコンピューターを再起動することをお勧めします。 これは、更新プログラムがインストールされていない Windows Server 2012 R2 ドメインコントローラーに対して以前に再起動したクライアントを回復するために使用されます。
Windows Server 2012 R2 の更新プログラム
次の更新プログラムのロールアップを利用できます。
Windows Server 2016 の修正プログラム
次の更新プログラムのロールアップを利用できます。
修正プログラムの詳細情報
必要条件
この修正プログラムを適用するには、最初に Windows Server 2012 R2 に更新プログラム2919355をインストールする必要があります。 詳細については、次のマイクロソフト サポート技術情報番号をクリックしてください。
2919355 Windows RT 8.1、Windows 8.1、および Windows Server 2012 R2 の更新プログラム (2014 年 4 月)
レジストリ情報
このパッケージに含まれている修正プログラムを使用するために、レジストリを変更する必要はありません。
再起動の必要性
この修正プログラムを適用した後で、コンピューターの再起動が必要になることがあります。
修正プログラムの置き換えに関する情報
この修正プログラムを適用しても、以前にリリースされた修正プログラムが置き換えられることはありません。
状態
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。