Applies ToWindows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows Server 2016 Windows Server 2016 Standard Windows Server 2016 Essentials Microsoft Windows Server 2003

Проблемы

Рассмотрим следующий сценарий.

  • У вас есть контроллеры домена под управлением Windows Server 2003 — базовый в домене и добавлен контроллер домена Windows Server 2012 R2 или Windows Server 2016 в этот домен.

  • У вас есть компьютер, подключенный к домену, который сначала проходит проверку подлинности на контроллере домена под управлением Windows Server 2003, а затем компьютер удостоверяется на контроллере домена под управлением Windows Server 2012 R2.

  • Вы входите в систему на компьютере и дважды измените пароль учетной записи компьютера.

  • Вы снова вошли на компьютер.

В этом случае появляется следующее сообщение об ошибке:

неизвестное имя пользователя или неверный пароль

Причина

Клиент Kerberos зависит от расширяющего значения в центре распространения ключей (KDC), чтобы создать ключи AES (Advanced Encryption Standard) на стороне клиента. Эти ключи AES используются для хеширования пароля, который пользователь вводит на клиенте, и для защиты пароля при передаче по каналу, чтобы пароль не мог быть перехвачен и расшифрован. Соль — это информация, которая помещается в алгоритм, который используется для создания ключей, чтобы KDC мог проверить хэш пароля и мандаты на выдаче пользователю. При добавлении контроллера домена Windows 2012 R2 в среду, в которой присутствуют контроллеры домена Windows Server 2003, существует несоответствие типов шифрования, поддерживаемых в Кдкс и используемых для Salt. Контроллеры домена Windows Server не поддерживают алгоритмы AES и Windows Server 2012 R2, не поддерживающие стандарт шифрования данных (DES) для Salt-версии.

Как получить это обновление или исправление

Чтобы устранить эту проблему, мы выпустили исправление и накопительный пакет обновления для Windows Server 2012 R2, на котором установлена служба каталогов Active Directory. Прежде чем устанавливать это исправление, установите флажок Обязательное обновление. Накопительный пакет обновления устраняет многие другие проблемы, а также проблему, устраняемую исправлением. Мы рекомендуем использовать накопительный пакет обновления. Накопительный пакет обновления больше, чем исправление. Таким образом, Загрузка набора обновлений занимает больше времени.

Примечание. После установки обновления мы рекомендуем перезапустить все клиентские компьютеры, поддерживающие шифрование AES (Advanced Encryption Standard). Это необходимо для восстановления клиентов, если они ранее перезапускались на контроллере домена Windows Server 2012 R2, на котором не установлено обновление.

Обновление для Windows Server 2012 R2

Доступен следующий накопительный пакет обновления:

Получить накопительный пакет обновления 2984006

Исправление для Windows Server 2016

Доступен следующий накопительный пакет обновления:

25 февраля 2020 г. — KB4537806 (ОС сборка 14393,3542)

Подробные сведения об исправлениях

Предварительные условия

Чтобы применить это исправление, необходимо сначала установить обновление 2919355 для Windows Server 2012 R2. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

2919355 Обновление для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 за апрель 2014 г.

Сведения о внесении изменений в реестр

Чтобы использовать исправление из этого пакета, вам не нужно вносить изменения в реестр.

Требование перезагрузки

После установки этого исправления может потребоваться перезагрузить компьютер.

Сведения о замене исправлений

Это исправление не заменяет ранее выпущенное исправление.

Статус

Корпорация Майкрософт подтверждает наличие этой проблемы в своих продуктах, которые перечислены в разделе "Применяется к".

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.