Symptomy
Rozpatrzmy następujący scenariusz:
-
Masz kontrolery domeny z systemem operacyjnym Windows Server 2003 w domenie i Dodaj do tej domeny kontroler domeny z systemem Windows Server 2012 R2 lub Windows Server 2016.
-
Masz komputer przyłączony do domeny, który najpierw uwierzytelnia się na kontrolerze domeny z systemem Windows Server 2003, a następnie komputer uwierzytelnia się na kontrolerze domeny opartym na systemie Windows Server 2012 R2.
-
Zalogujesz się na komputerze i dwa razy Zmień hasło do konta komputera.
-
Zaloguj się ponownie na komputerze.
W tym scenariuszu jest wyświetlany następujący komunikat o błędzie:
Nieznana nazwa użytkownika lub złe hasło
Przyczyna
Klient protokołu Kerberos zależy od soli z centrum dystrybucji kluczy (KDC), aby utworzyć klucze Advanced Encryption Standard (AES) po stronie klienta. Te klucze AES są używane do mieszania hasła wprowadzanego przez użytkownika na kliencie, a następnie chronią hasło w tranzycie, aby nie można było przechwycić i odszyfrować hasła. Sól odwołuje się do informacji podawanych w algorytmie używanym do generowania kluczy, aby centrum dystrybucji kluczy mogły zweryfikować skrót hasła i bilety do emisji dla użytkownika. Gdy kontroler domeny systemu Windows 2012 R2 jest dodawany w środowisku, w którym są obecne kontrolery domeny systemu Windows Server 2003, są niezgodne typy szyfrowania obsługiwane w KDCs i używane do solenia. Kontrolery domeny systemu Windows Server nie obsługują algorytmów AES i Windows Server 2012 R2 kontrolery domeny nie obsługują funkcji szyfrowania danych DES (Data Encryption Standard) do solenia.
Jak uzyskać tę aktualizację lub poprawkę
Aby rozwiązać ten problem, opublikowano poprawkę i pakiet aktualizacji dla systemu Windows Server 2012 R2, w którym zainstalowano aplikację Active Directory. Przed zainstalowaniem tej poprawki należy sprawdzić wymagania wstępne poprawki. Pakiet zbiorczy aktualizacji rozwiązuje wiele innych problemów oprócz problemu rozwiązywanego przez poprawkę. Zalecamy korzystanie z pakietu zbiorczego aktualizacji. Pakiet aktualizacyjny jest większy niż poprawka. Z tego powodu pakiet aktualizacyjny Update Rollup jest dłużej pobierany.
Uwaga Po zainstalowaniu aktualizacji zalecamy ponowne uruchomienie wszystkich komputerów klienckich, które obsługują szyfrowanie AES (Advanced Encryption Standard). Ma to na celu odzyskanie klientów, którzy zostali wcześniej ponownie instalowani na kontrolerze domeny systemu Windows Server 2012 R2, na którym nie zainstalowano tej aktualizacji.
Aktualizacja dla systemu Windows Server 2012 R2
Dostępny jest następujący pakiet aktualizacyjny Update Rollup:
Poprawka dla systemu Windows Server 2016
Dostępny jest następujący pakiet aktualizacyjny Update Rollup:
Informacje szczegółowe dotyczące poprawki
Wymagania wstępne
Aby zastosować tę poprawkę, należy najpierw zainstalować aktualizację 2919355 w systemie Windows Server 2012 R2. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
2919355 Windows RT 8,1, Windows 8,1 i Windows Server 2012 R2 Update Kwiecień, 2014
Informacje dotyczące rejestru
Aby użyć poprawki w tym pakiecie, nie trzeba wprowadzać żadnych zmian w rejestrze.
Wymaganie ponownego uruchamiania
Po zastosowaniu tej poprawki może być konieczne ponowne uruchomienie komputera.
Informacje dotyczące zastępowania poprawek
Ta poprawka nie zastępuje uprzednio wydanej poprawki.
Stan
Firma Microsoft potwierdziła, że jest to problem występujący w produktach firmy Microsoft wymienionych w sekcji "dotyczy".