Príznaky
Zoberme si nasledujúcu situáciu:
-
Máte radiče domén so systémom Windows Server 2003 – base v doméne a do tejto domény pridáte radič domény Windows Server 2012 R2 alebo Windows Server 2016.
-
Máte počítač spojený s doménou, ktorá sa overuje v porovnaní s radičom domény založenom na systéme Windows Server 2003 a potom sa počítač overí na radiči domény založenom na systéme Windows Server 2012 R2.
-
Prihlásite sa do počítača a dvakrát zmeňte heslo konta počítača.
-
Znova sa prihlásite do počítača.
V tomto scenári sa zobrazí nasledujúce chybové hlásenie:
neznáme meno používateľa alebo nesprávne heslo
Príčina
Klient Kerberos je závislý od soli z distribučného centra kľúčov (KDC) s cieľom vytvoriť rozšírené šifrovacie štandardné (AES) kľúče na strane klienta. Tieto kľúče AES sa používajú na hash hesla, ktoré používateľ zadá klientovi, a chráni heslo pri prechode cez kábel tak, aby sa heslo nemohlo zachytiť a dešifrovať. Soľ odkazuje na informácie, ktoré sa pridávajú do algoritmu, ktorý sa používa na generovanie kľúčov, aby KDC mohol overiť hash hesla a vystaviť vstupenky používateľovi. Po pridaní radiča domény Windows 2012 R2 v prostredí, v ktorom sa nachádzajú radiče domén systému Windows Server 2003, sa nezhodujú typy šifrovania podporované na KDCs a používajú sa na solenie. Radiče domén systému Windows Server nepodporujú radiče domén AES a Windows Server 2012 R2 nepodporujú štandard DES (Data Encryption Standard) na solenie.
Získanie tejto aktualizácie alebo rýchlej opravy
Ak chcete vyriešiť tento problém, vydali sme rýchlu opravu a súhrn aktualizácie pre Windows Server 2012 R2, v ktorom je nainštalovaná služba Active Directory. Skôr než nainštalujete túto rýchlu opravu, skontrolujte, či je požadovaná rýchla oprava nevyhnutná . Kumulatívna aktualizácia rieši mnoho ďalších problémov okrem problému, ktorý rieši rýchla oprava. Odporúčame použiť súhrn aktualizácie. Kumulatívna aktualizácia je väčšia ako rýchla oprava. Preto Kumulatívna aktualizácia trvá dlhšie na stiahnutie.
Poznámka: Po nainštalovaní aktualizácie odporúčame reštartovať všetky klientske počítače, ktoré podporujú šifrovanie AES (Advanced Encryption Standard). Toto je obnovenie klientov v prípade, že sa predtým reštartovali pred radičom domény Windows Server 2012 R2, ktorý nemá nainštalovanú aktualizáciu.
Aktualizácia pre Windows Server 2012 R2
K dispozícii je nasledujúca Kumulatívna aktualizácia:
Rýchla oprava pre Windows Server 2016
K dispozícii je nasledujúca Kumulatívna aktualizácia:
Podrobné informácie o rýchlej oprave
Požiadavky
Ak chcete použiť túto rýchlu opravu, musíte najprv nainštalovať aktualizáciu 2919355 na Windows Server 2012 R2. Ďalšie informácie nájdete v článku databázy Microsoft Knowledge Base, ktorý sa zobrazí po kliknutí na príslušné číslo článku:
2919355 Windows RT 8,1, Windows 8,1 a Windows Server 2012 R2 – aktualizácia z apríla, 2014
Informácie o databáze Registry
Ak chcete použiť rýchlu opravu v tomto balíku, nemusíte vykonávať žiadne zmeny v databáze Registry.
Požiadavka na reštartovanie
Možno budete musieť reštartovať počítač po použití tejto rýchlej opravy.
Informácie o výmene hotfix
Táto rýchla oprava nenahrádza predchádzajúcu vydanú rýchlu opravu.
Stav
Spoločnosť Microsoft potvrdzuje, že ide o problém v produktoch spoločnosti Microsoft, ktoré sú uvedené v tomto článku v časti Informácie v tomto článku sa týkajú nasledujúcich produktov.