Sintomas
Considere o seguinte cenário:
-
Tem controladores de domínio que estão a executar a base do Windows Server 2003 num domínio e adicionar um controlador de domínio Windows Server 2012 R2 ou Windows Server 2016 a este domínio.
-
Tem um computador unificado a domínio que autentica primeiro um controlador de domínio baseado no Windows Server 2003 e, em seguida, o computador autentica-se contra um controlador de domínio baseado no Windows Server 2012.
-
Faça login no computador e altere a palavra-passe da conta da máquina duas vezes.
-
Volte a entrar no computador.
Neste cenário, recebe a seguinte mensagem de erro:
nome de utilizador desconhecido ou má palavra-passe
Causa
O cliente Kerberos depende de um sal do Key Distribution Center (KDC) para criar as teclas Advanced Encryption Standard (AES) no lado do cliente. Estas teclas AES são utilizadas para hash a palavra-passe que o utilizador introduz no cliente, e proteger a palavra-passe em trânsito sobre o fio para que a palavra-passe não possa ser intercetada e desencriptada. O sal refere-se a informações que são alimentadas no algoritmo que é usado para gerar as chaves para que o KDC possa verificar o hash de senha e emitir bilhetes para o utilizador. Quando um controlador de domínio R2 Do Windows 2012 é adicionado num ambiente onde os controladores de domínio do Windows Server 2003 estão presentes, existe uma incompatibilidade nos tipos de encriptação que são suportados nos KDCs e utilizados para salgar. Os controladores de domínio do Windows Server não suportam controladores de domínio AES e Windows Server 2012 R2 não suportam o Padrão de Encriptação de Dados (DES) para salga.
Como obter esta atualização ou hotfix
Para resolver este problema, lançámos um hotfix e um roll-up de atualização para o Windows Server 2012 R2 no qual o Ative Directory está instalado. Antes de instalar este hotfix, verifique o pré-requisito do hotfix. O rollup da atualização corrige muitos outros problemas para além do problema que o hotfix corrige. Recomendamos que utilize o rollup da atualização. O rollup da atualização é maior do que o hotfix. Por isso, o rollup da atualização demora mais tempo a ser descarregado.
Nota Após a instalação da atualização, recomendamos que reinicie todos os computadores clientes que suportem encriptação Advanced Encryption Standard (AES). Isto é para recuperar os clientes se já tinham reiniciado contra um controlador de domínio R2 Do Windows Server 2012 que não tenha a atualização instalada.
Atualização para Windows Server 2012 R2
O seguinte rollup da atualização está disponível:
Hotfix para Windows Server 2016
O seguinte rollup da atualização está disponível:
Informação de detalhes hotfix
Pré-requisitos
Para aplicar este hotfix, tem primeiro de instalar a atualização 2919355 no Windows Server 2012 R2. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
2919355 Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 Update abril, 2014
Informação do registo
Para utilizar o hotfix nesta embalagem, não é preciso fazer alterações no registo.
Requisito de reinício
Pode ter de reiniciar o computador depois de aplicar este hotfix.
Informações sobre substituição de correções
Este hotfix não substitui um hotfix previamente lançado.
Estado
A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".