Ознаки
Розглянемо такий сценарій:
-
У вас є контролери доменів, на яких запущено Windows Server 2003-Base, і додайте Windows Server 2012 R2 або Windows Server 2016 контролера домену до цього домену.
-
У вас є комп'ютер, підключений до домену, який засвідчує справжність на контролері домену під керуванням Windows Server 2003, а потім комп'ютер автентифічується на контролері домену під керуванням Windows Server 2012 R2.
-
Ви увійдете на комп'ютер і змінюєте пароль машинного облікового запису у два рази.
-
Знову ввійдіть на комп'ютер.
У цьому сценарії з'являється таке повідомлення про помилку:
Невідоме ім'я користувача або неправильний пароль
Причина
Клієнт Kerberos залежить від солі в центрі розподілу ключів (KDC), щоб створити розширені клавіші стандарту шифрування (AES) на стороні клієнта. Ці ключі AES використовуються для хеш-пароля, який користувач вводить в клієнта, і захистить пароль у дорозі через провід, щоб пароль не міг перехоплені та розшифровано. Сіль посилається на інформацію, яка міститься в алгоритмі, який використовується для створення ключів, завдяки чому KDC може перевірити хеш пароля та оформити квитки користувачу. Під час додавання контролера домену Windows 2012 R2 в середовищі, на якому присутні контролери доменів Windows Server 2003, у типах шифрування, які підтримуються в KDCs і використовуються для salting. Контролери доменів Windows Server не підтримують контролери доменів AES і Windows Server 2012 R2 не підтримують Стандарт шифрування даних (DES) для salting.
Отримання оновлення або виправлення
Щоб вирішити цю проблему, ми випустили термінове виправлення та зведене оновлення для Windows Server 2012 R2, у якому інстальовано службу Active Directory. Перш ніж інсталювати це виправлення, перевірте передумови виправлення. Зведене оновлення усуває багато інших проблем, крім того, що виправлення виправлень виправлено. Радимо використовувати зведене оновлення. Зведене оновлення більше, ніж виправлення. Таким чином, зведене оновлення триває довше для завантаження.
Примітка. Після інсталяції оновлення радимо перезапустити всі клієнтські комп'ютери, які підтримують шифрування за допомогою розширеного стандарту шифрування (AES). Це потрібно відновити клієнтів, якщо їх було попередньо перезавантажено на контролері домену Windows Server 2012 R2, у якому не інстальовано оновлення.
Оновлення для Windows Server 2012 R2
Доступні такі зведення оновлень:
Виправлення для Windows Server 2016
Доступні такі зведення оновлень:
Докладні відомості про виправлення
Попередні вимоги
Щоб застосовувати це виправлення, спочатку потрібно інсталювати оновлення 2919355 на Windows Server 2012 R2. Щоб отримати докладні відомості, клацніть номер цієї статті бази знань Microsoft:
2919355 Windows RT 8,1, Windows 8,1 і Windows Server 2012 R2 оновлення за квітень, 2014
Внесення змін до реєстру
Щоб використовувати виправлення в цьому пакеті, не потрібно вносити будь-які зміни до реєстру.
Необхідність перезавантаження
Після інсталяції цього виправлення може знадобитися перезавантажити комп'ютер.
Відомості про заміну виправлення
Це виправлення не замінює попередні випущені виправлення.
Стан
Корпорація Майкрософт підтвердила, що це проблема в продуктах Microsoft, перелічених у розділі "застосовується до".