Det går inte att logga in efter ändring av lösen ord för dator konton i Windows Server 2012 R2 eller Windows Server 2016 och Windows Server 2003-miljön

Symptom

Tänk dig följande situation:

  • Du har domänkontrollanter som kör Windows Server 2003-base i en domän och lägger till en Windows Server 2012 R2-eller Windows Server 2016-domänkontrollant i den här domänen.

  • Du har en domänansluten dator som autentiseras mot en Windows Server 2003-baserad domänkontrollant först, och sedan autentiseras datorn mot en Windows Server 2012 R2-baserad domänkontrollant.

  • Du loggar på datorn och ändrar lösen ordet för dator kontot två gånger.

  • Du loggar på datorn igen.

I det här scenariot visas följande fel meddelande:

okänt användar namn eller dåligt lösen ord

Orsak

Kerberos-klienten beror på ett salt från KDC (Key Distribution Center) för att kunna skapa AES-nycklar (Advanced Encryption Standard) på klient sidan. Dessa AES-nycklar används för att ta bort lösen ordet som användaren anger på klienten och skyddar lösen ordet i transit via sladden så att lösen ordet inte kan fångas upp och dekrypteras. Salt syftar på information som matas in i den algoritm som används för att generera nycklarna så att KDC kan verifiera lösen ords-hash och utfärda biljetter till användaren. När en Windows 2012 R2-domänkontrollant läggs till i en miljö där Windows Server 2003-domänkontrollanter finns, finns det en avvikelse i de krypterings typer som stöds på KDCs och som används för saltning. Windows Server-domänkontrollanter stöder inte AES och Windows Server 2012 R2-domänkontrollanter stöder inte data krypterings standard (DES) för saltning.

Skaffa uppdateringen eller hotfixen

För att lösa det här problemet har vi släppt en snabb korrigering och en samlad uppdatering för Windows Server 2012 R2 där Active Directory är installerat. Innan du installerar den här snabb korrigeringen bör du kontrol lera kravet på snabb korrigeringen. Genom den samlade uppdateringen åtgärdas många andra problem, utöver det problem som åtgärdas i snabb korrigeringen. Vi rekommenderar att du använder den samlade uppdateringen. Den samlade uppdateringen är större än snabb korrigeringen. Därför tar det längre tid att ladda ned den samlade uppdateringen.

Obs! När uppdateringen är installerad rekommenderar vi att du startar om alla klient datorer som stöder AES-kryptering (Advanced Encryption Standard). Det här återställer klienterna om de har startat om på en Windows Server 2012 R2-domänkontrollant som inte har uppdateringen installerad.

Uppdatering för Windows Server 2012 R2

Följande samlade uppdatering är tillgänglig:

Snabb korrigering för Windows Server 2016

Följande samlade uppdatering är tillgänglig:

25 februari 2020 – KB4537806 (OS-version 14393,3542)

Detaljerad information om snabb korrigeringar

Förutsättningar

För att du ska kunna använda denna snabb korrigering måste du först installera uppdatering 2919355 på Windows Server 2012 R2. Om du vill veta mer klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

Windows RT 8,1, Windows 8,1 och Windows Server 2012 R2 Update april, 2014

Register information

Du behöver inte göra några ändringar i registret för att använda snabb korrigeringen i det här paketet.

Krav på omstart

Du kan behöva starta om datorn när du har installerat den här snabb korrigeringen.

Information om utbyte av snabb korrigeringar

Denna snabb korrigering ersätter inte en tidigare utgiven snabb korrigering.

Status

Microsoft har bekräftat att det här är ett problem i Microsoft-produkterna som nämns i "gäller".

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×