증상
다음과 같은 경우를 생각해 볼 수 있습니다.
-
도메인에서 Windows Server 2003-base를 실행 하는 도메인 컨트롤러가 있고 Windows Server 2012 R2 또는 Windows Server 2016 도메인 컨트롤러를이 도메인에 추가 합니다.
-
Windows Server 2003 기반 도메인 컨트롤러에 대해 먼저 인증 하는 도메인 가입 컴퓨터를 사용 하는 경우 컴퓨터는 Windows Server 2012 R2 기반 도메인 컨트롤러에 대해 인증 합니다.
-
컴퓨터에 로그온 하 고 컴퓨터 계정 암호를 두 번 변경 하는 경우
-
컴퓨터에 다시 로그온 합니다.
이 경우 다음과 유사한 내용의 오류 메시지가 나타납니다.
알 수 없는 사용자 이름 또는 잘못 된 비밀 번호
원인
Kerberos 클라이언트는 클라이언트 쪽에서 AES (고급 암호화 표준) 키를 만들기 위해 KDC (키 배포 센터)의 솔트에 따라 달라 집니다. 이러한 AES 키는 사용자가 클라이언트에 입력 하는 암호를 해시 하는 데 사용 되며, 비밀 번호를 가로채서 해독할 수 없도록 회선을 통해 암호를 보호 합니다. Salt는 KDC가 암호 해시를 확인 하 고 사용자에 게 티켓을 발급할 수 있도록 키를 생성 하는 데 사용 되는 알고리즘으로 공급 되는 정보를 참조 합니다. Windows Server 2003 도메인 컨트롤러가 있는 환경에서 Windows 2012 R2 도메인 컨트롤러를 추가 하면 Kdc에서 지원 되 고 솔트에 사용 되는 암호화 종류가 일치 하지 않게 됩니다. Windows Server 도메인 컨트롤러는 AES 및 Windows Server 2012 R2 도메인 컨트롤러가 솔트에 대 한 DES (데이터 암호화 표준)를 지원 하지 않습니다.
이 업데이트 또는 핫픽스를 구하는 방법
이 문제를 해결 하려면 Active Directory가 설치 되어 있는 Windows Server 2012 R2에 대 한 핫픽스 및 업데이트 롤업을 출시 했습니다. 이 핫픽스를 설치 하기 전에 핫픽스의 필수 구성 요소 를 확인 합니다. 업데이트 롤업은 핫픽스가 해결 하는 문제 외에도 다른 많은 문제를 해결 합니다. 업데이트 롤업을 사용 하는 것이 좋습니다. 업데이트 롤업이 핫픽스 보다 큽니다. 따라서 업데이트 롤업은 다운로드 하는 데 더 오래 걸립니다.
참고 업데이트를 설치한 후 AES (고급 암호화 표준) 암호화를 지 원하는 모든 클라이언트 컴퓨터를 다시 시작 하는 것이 좋습니다. 이는 업데이트가 설치 되지 않은 Windows Server 2012 R2 도메인 컨트롤러에 대해 이전에 다시 시작한 경우 클라이언트를 복구 하는 것입니다.
Windows Server 2012 R2 업데이트
다음과 같은 업데이트 롤업을 사용할 수 있습니다.
Windows Server 2016 용 핫픽스
다음과 같은 업데이트 롤업을 사용할 수 있습니다.
핫픽스 세부 정보
전제 조건
이 핫픽스를 적용 하려면 먼저 Windows Server 2012 R2에 업데이트 2919355을 설치 해야 합니다. 자세한 내용을 확인하려면 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
2919355 Windows RT 8.1, Windows 8.1 및 Windows Server 2012 R2 업데이트(2014년 4월)
레지스트리 정보
이 패키지에서 핫픽스를 사용 하려면 레지스트리를 변경할 필요가 없습니다.
다시 시작 요구 사항
이 핫픽스를 적용 한 후 컴퓨터를 다시 시작 해야 할 수 있습니다.
핫픽스 대체 정보
이 핫픽스는 이전에 릴리스된 핫픽스를 대체 하지 않습니다.
상태
Microsoft는 "적용 대상" 절에 나열한 제품에서 이 문제를 확인했습니다.