Symptom
Tänk dig följande situation:
-
Du har domänkontrollanter som kör Windows Server 2003-base i en domän och lägger till en Windows Server 2012 R2-eller Windows Server 2016-domänkontrollant i den här domänen.
-
Du har en domänansluten dator som autentiseras mot en Windows Server 2003-baserad domänkontrollant först, och sedan autentiseras datorn mot en Windows Server 2012 R2-baserad domänkontrollant.
-
Du loggar på datorn och ändrar lösen ordet för dator kontot två gånger.
-
Du loggar på datorn igen.
I det här scenariot visas följande fel meddelande:
okänt användar namn eller dåligt lösen ord
Orsak
Kerberos-klienten beror på ett salt från KDC (Key Distribution Center) för att kunna skapa AES-nycklar (Advanced Encryption Standard) på klient sidan. Dessa AES-nycklar används för att ta bort lösen ordet som användaren anger på klienten och skyddar lösen ordet i transit via sladden så att lösen ordet inte kan fångas upp och dekrypteras. Salt syftar på information som matas in i den algoritm som används för att generera nycklarna så att KDC kan verifiera lösen ords-hash och utfärda biljetter till användaren. När en Windows 2012 R2-domänkontrollant läggs till i en miljö där Windows Server 2003-domänkontrollanter finns, finns det en avvikelse i de krypterings typer som stöds på KDCs och som används för saltning. Windows Server-domänkontrollanter stöder inte AES och Windows Server 2012 R2-domänkontrollanter stöder inte data krypterings standard (DES) för saltning.
Skaffa uppdateringen eller hotfixen
För att lösa det här problemet har vi släppt en snabb korrigering och en samlad uppdatering för Windows Server 2012 R2 där Active Directory är installerat. Innan du installerar den här snabb korrigeringen bör du kontrol lera kravet på snabb korrigeringen. Genom den samlade uppdateringen åtgärdas många andra problem, utöver det problem som åtgärdas i snabb korrigeringen. Vi rekommenderar att du använder den samlade uppdateringen. Den samlade uppdateringen är större än snabb korrigeringen. Därför tar det längre tid att ladda ned den samlade uppdateringen.
Obs! När uppdateringen är installerad rekommenderar vi att du startar om alla klient datorer som stöder AES-kryptering (Advanced Encryption Standard). Det här återställer klienterna om de har startat om på en Windows Server 2012 R2-domänkontrollant som inte har uppdateringen installerad.
Uppdatering för Windows Server 2012 R2
Följande samlade uppdatering är tillgänglig:
Snabb korrigering för Windows Server 2016
Följande samlade uppdatering är tillgänglig:
Detaljerad information om snabb korrigeringar
Förutsättningar
För att du ska kunna använda denna snabb korrigering måste du först installera uppdatering 2919355 på Windows Server 2012 R2. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
2919355 Windows RT 8,1, Windows 8,1 och Windows Server 2012 R2 Update april, 2014
Register information
Du behöver inte göra några ändringar i registret för att använda snabb korrigeringen i det här paketet.
Krav på omstart
Du kan behöva starta om datorn när du har installerat den här snabb korrigeringen.
Information om utbyte av snabb korrigeringar
Denna snabb korrigering ersätter inte en tidigare utgiven snabb korrigering.
Status
Microsoft har bekräftat att det här är ett problem i Microsoft-produkterna som nämns i "gäller".