Simptome
Luați în considerare următorul scenariu:
-
Aveți controlerele de domeniu care execută Windows Server 2003-Base într-un domeniu și adăugați un controler de domeniu Windows Server 2012 R2 sau Windows Server 2016 la acest domeniu.
-
Aveți un computer asociat domeniului care se autentifică mai întâi pe un controler de domeniu bazat pe Windows Server 2003, apoi computerul se autentifică pe un controler de domeniu Windows Server 2012 R2.
-
Vă conectați la computer și modificați parola contului de mașină de două ori.
-
Vă conectați din nou la computer.
În acest scenariu, veți primi următorul mesaj de eroare:
nume de utilizator necunoscut sau parolă greșită
Cauză
Clientul Kerberos depinde de o sare din centrul de distribuire cheie (KDC), pentru a crea tastele standard de criptare avansată (AES) în partea client. Aceste chei AES sunt utilizate pentru a hash parola pe care utilizatorul o introduce asupra clientului și a proteja parola în tranzit prin sârmă, astfel încât parola să nu poată fi interceptată și decriptată. Sarea se referă la informații care sunt hrănite în algoritmul utilizat pentru a genera cheile, astfel încât KDC să poată verifica codul hash al parolei și să emită bilete pentru utilizator. Atunci când un controler de domeniu Windows 2012 R2 este adăugat într-un mediu în care sunt prezenți controlerele de domeniu Windows Server 2003, există o nepotrivire în tipurile de criptare acceptate pe KDCs și utilizate pentru salt. Controlerele de domeniu Windows Server nu acceptă controlerele de domeniu AES și Windows Server 2012 R2 nu acceptă criptarea datelor standard (DES) pentru salt.
Cum se obține această actualizare sau remediere rapidă
Pentru a rezolva această problemă, am lansat o remediere rapidă și un pachet de actualizare pentru Windows Server 2012 R2 în care este instalat Active Directory. Înainte de a instala această remediere rapidă, verificați cerința de remediere rapidă. Pachetul de actualizare remediază multe alte probleme, în plus față de problema remedierii rapide. Vă recomandăm să utilizați pachetul de actualizare. Pachetul de actualizare este mai mare decât remedierea rapidă. Prin urmare, pachetul de actualizare durează mai mult timp pentru a descărca.
Notă După ce se instalează actualizarea, vă recomandăm să reporniți toate computerele client care acceptă criptarea Advanced Encryption Standard (AES). Aceasta este pentru a recupera clienții dacă au repornit anterior împotriva unui controler de domeniu Windows Server 2012 R2 care nu are instalată actualizarea.
Actualizare pentru Windows Server 2012 R2
Este disponibil următorul pachet de actualizare:
Remediere rapidă pentru Windows Server 2016
Este disponibil următorul pachet de actualizare:
Informații detaliate despre remedierea rapidă
Cerinţe preliminare
Pentru a aplica această remediere rapidă, trebuie mai întâi să instalați actualizarea 2919355 pe Windows Server 2012 R2. Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a-l vedea în Baza de cunoștințe Microsoft:
2919355 Windows RT 8,1, Windows 8,1 și Windows Server 2012 R2 Update aprilie, 2014
Informații despre registry
Pentru a utiliza remedierea rapidă în acest pachet, nu trebuie să efectuați modificări în registry.
Cerință de repornire
Poate fi necesar să reporniți computerul după ce aplicați această remediere rapidă.
Informații despre înlocuirea remedierii rapide
Această remediere rapidă nu înlocuiește o remediere rapidă lansate anterior.
Stare
Microsoft a confirmat că aceasta este o problemă în produsele Microsoft enumerate în secțiunea „Se aplică la”.
