Ошибка (неправильное имя целевой учетной записи), когда пользователь домена обращается к общей папке на файловом сервере, на котором выполняется Windows Server 2012 R2

В этой статье описывается решение проблемы, из-за которой пользователи не могут получить доступ к общей папке на файловом сервере, на котором выполняется Windows Server 2012 R2.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 3040803

Симптомы

Когда пользователи домена пытаются получить доступ к общей папке на файловом сервере, работающем Windows Server 2012 R2, они не могут получить доступ к общей папке и получают следующее сообщение об ошибке:

Сбой входа: имя целевой учетной записи неверно.

Кроме того, при возникновении этой проблемы события с идентификатором 4 и событием 1097 регистрируются в журнале сервера. Эта проблема может возникать в течение нескольких часов или до суток. Затем пользователь теряет доступ к общей папке на сервере.

• Идентификатор события 4

  The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server server_name$. The target name used was server_name$. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DNS_prefix.dns_suffix) is different from the client domain (DNS_prefix.dns_suffix), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
  

• Идентификатор события 1097

  The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.
  

Причина

Эта проблема возникает из-за того, что файловый сервер не может расшифровать билет, зашифрованный в AES256.

Разрешение

Чтобы устранить эту проблему, задайте для атрибута SupportedEncryptionTypes значение 0x7fffffff. Для этого выполните следующие действия:

1. В консоли управления групповая политика (GPMC) разверните узел Конфигурация компьютера, Параметры Windows, Параметры безопасности, Локальные политики, а затем выберите Параметры безопасности.
2. Щелкните, чтобы выбрать параметр Безопасность сети: настройка типов шифрования, разрешенных для Kerberos .
3. Щелкните, чтобы выбрать проверка поле Определить эти параметры политики и все шесть проверка для типов шифрования.
4. Нажмите кнопку ОК и закройте GPMC.

Состояние

Корпорация Майкрософт подтвердила, что это проблема в Windows Server 2012 R2.

Ссылки

• Kerberos;

• Изменения в проверке подлинности Kerberos

• Интерпретация раздела реестра SupportedEncryptionTypes

• Усовершенствования Kerberos

• Невозможно войти на клиентский компьютер под управлением Windows 7 или Windows Server 2008 R2 после отключения шифрования AES для проверки подлинности Kerberos.