Sintomas
Considere o seguinte cenário:
-
Você tem controladores de domínio que executam o Windows Server 2003-base em um domínio e adiciona um controlador de domínio do Windows Server 2012 R2 ou Windows Server 2016 a esse domínio.
-
Você tem um computador associado a um domínio que se autentica em um controlador de domínio baseado no Windows Server 2003 primeiro e, em seguida, o computador é autenticado em um controlador de domínio baseado no Windows Server 2012 R2.
-
Você faz logon no computador e altera a senha da conta do computador duas vezes.
-
Você faz logon no computador novamente.
Nesse cenário, a seguinte mensagem de erro é exibida:
nome de usuário desconhecido ou senha incorreta
Causa
O cliente Kerberos depende de um Salt do centro de distribuição de chaves (KDC) para criar as chaves AES (padrão de criptografia avançada) no lado do cliente. Essas chaves AES são usadas para fazer o hash da senha que o usuário insere no cliente e proteger a senha em trânsito pela conexão para que a senha não possa ser interceptada e descriptografada. O Salt se refere a informações que são inseridas no algoritmo que é usado para gerar as chaves para que o KDC possa verificar o hash de senha e emitir tíquetes para o usuário. Quando um controlador de domínio do Windows 2012 R2 é adicionado em um ambiente em que os controladores de domínio do Windows Server 2003 estão presentes, há uma incompatibilidade nos tipos de criptografia com suporte no KDCs e usado para Salting. Os controladores de domínio do Windows Server não dão suporte a controladores de domínio AES e Windows Server 2012 R2 não dão suporte a DES (padrão de criptografia de dados) para Salting.
Como obter esta atualização ou hotfix
Para solucionar esse problema, lançamos um hotfix e um pacote cumulativo de atualizações para Windows Server 2012 R2 no qual o Active Directory está instalado. Antes de instalar esse hotfix, verifique o pré-requisito do hotfix. O pacote cumulativo de atualizações corrige muitos outros problemas, além do problema corrigido pelo hotfix. Recomendamos que você use o pacote cumulativo de atualizações. O pacote cumulativo de atualizações é maior do que o hotfix. Portanto, o pacote cumulativo de atualizações leva mais tempo para baixar.
Observação Após a instalação da atualização, recomendamos que você reinicie todos os computadores cliente que dão suporte à criptografia AES (padrão de criptografia avançada). Isso é recuperar os clientes se eles já tivessem sido reiniciados em um controlador de domínio do Windows Server 2012 R2 que não tenha a atualização instalada.
Atualização para o Windows Server 2012 R2
O pacote cumulativo de atualizações a seguir está disponível:
Hotfix para Windows Server 2016
O pacote cumulativo de atualizações a seguir está disponível:
25 de fevereiro de 2020 — KB4537806 (Build do so 14393,3542)
Informações detalhadas sobre o hotfix
Pré-requisitos
Para aplicar esse hotfix, você deve primeiro instalar a atualização 2919355 no Windows Server 2012 R2. Para obter mais informações, clique no número abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft:
2919355 Atualização do Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 de abril de 2014
Informações do Registro
Para usar o hotfix neste pacote, você não precisa fazer alterações no registro.
Necessidade de reinicialização
Talvez seja necessário reiniciar o computador após a aplicação desse hotfix.
Informações sobre a substituição de hotfixes
Esse hotfix não substitui nenhum hotfix lançado anteriormente.
Status
A Microsoft confirmou que este é um problema nos produtos Microsoft listados na seção "Aplicável a".
