Aplica-se AWindows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2016 Windows Server 2016 Standard Windows Server 2016 Essentials Microsoft Windows Server 2003

Sintomas

Considere o seguinte cenário:

  • Tem controladores de domínio que estão a executar a base do Windows Server 2003 num domínio e adicionar um controlador de domínio Windows Server 2012 R2 ou Windows Server 2016 a este domínio.

  • Tem um computador unificado a domínio que autentica primeiro um controlador de domínio baseado no Windows Server 2003 e, em seguida, o computador autentica-se contra um controlador de domínio baseado no Windows Server 2012.

  • Faça login no computador e altere a palavra-passe da conta da máquina duas vezes.

  • Volte a entrar no computador.

Neste cenário, recebe a seguinte mensagem de erro:

nome de utilizador desconhecido ou má palavra-passe

Causa

O cliente Kerberos depende de um sal do Key Distribution Center (KDC) para criar as teclas Advanced Encryption Standard (AES) no lado do cliente. Estas teclas AES são utilizadas para hash a palavra-passe que o utilizador introduz no cliente, e proteger a palavra-passe em trânsito sobre o fio para que a palavra-passe não possa ser intercetada e desencriptada. O sal refere-se a informações que são alimentadas no algoritmo que é usado para gerar as chaves para que o KDC possa verificar o hash de senha e emitir bilhetes para o utilizador. Quando um controlador de domínio R2 Do Windows 2012 é adicionado num ambiente onde os controladores de domínio do Windows Server 2003 estão presentes, existe uma incompatibilidade nos tipos de encriptação que são suportados nos KDCs e utilizados para salgar. Os controladores de domínio do Windows Server não suportam controladores de domínio AES e Windows Server 2012 R2 não suportam o Padrão de Encriptação de Dados (DES) para salga.

Como obter esta atualização ou hotfix

Para resolver este problema, lançámos um hotfix e um roll-up de atualização para o Windows Server 2012 R2 no qual o Ative Directory está instalado. Antes de instalar este hotfix, verifique o pré-requisito do hotfix. O rollup da atualização corrige muitos outros problemas para além do problema que o hotfix corrige. Recomendamos que utilize o rollup da atualização. O rollup da atualização é maior do que o hotfix. Por isso, o rollup da atualização demora mais tempo a ser descarregado.

Nota Após a instalação da atualização, recomendamos que reinicie todos os computadores clientes que suportem encriptação Advanced Encryption Standard (AES). Isto é para recuperar os clientes se já tinham reiniciado contra um controlador de domínio R2 Do Windows Server 2012 que não tenha a atualização instalada.

Atualização para Windows Server 2012 R2

O seguinte rollup da atualização está disponível:

Obtenha atualização rollup 2984006

Hotfix para Windows Server 2016

O seguinte rollup da atualização está disponível:

25 de fevereiro de 2020 -KB4537806 (OS Build 14393.3542)

Informação de detalhes hotfix

Pré-requisitos

Para aplicar este hotfix, tem primeiro de instalar a atualização 2919355 no Windows Server 2012 R2. Para mais informações, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:

2919355 Windows RT 8.1, Windows 8.1 e Windows Server 2012 R2 Update abril, 2014

Informação do registo

Para utilizar o hotfix nesta embalagem, não é preciso fazer alterações no registo.

Requisito de reinício

Pode ter de reiniciar o computador depois de aplicar este hotfix.

Informações sobre substituição de correções

Este hotfix não substitui um hotfix previamente lançado.

Estado

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.