Triệu chứng
Hãy xem xét tình huống sau:
-
Bạn có bộ điều khiển tên miền đang chạy Windows Server 2003-cơ sở trong một tên miền và thêm Windows Server 2012 R2 hoặc Windows Server 2016 Domain Controller vào miền này.
-
Bạn có một máy tính miền được gia nhập mà xác định đối với bộ điều khiển tên miền dựa trên Windows Server 2003 trước tiên, rồi sau đó xác thực máy tính đối với bộ điều khiển tên miền dựa trên Windows Server 2012 R2.
-
Bạn đăng nhập vào máy tính và thay đổi mật khẩu tài khoản máy hai lần.
-
Bạn đã đăng nhập lại vào máy tính.
Trong trường hợp này, bạn nhận được thông báo lỗi sau đây:
không xác định được tên người dùng hoặc mật khẩu xấu
Nguyên nhân
Máy khách Kerberos phụ thuộc vào một muối từ Trung tâm phân phối then chốt (KDC) để tạo các phím tiêu chuẩn mã hóa nâng cao (AES) trên máy khách. Các phím AES này được sử dụng để băm mật khẩu mà người dùng nhập vào máy khách và bảo vệ mật khẩu trong quá trình chuyển qua dây để mật khẩu không thể bị chặn và giải mã. Muối tham chiếu đến thông tin được đưa vào thuật toán được sử dụng để tạo ra các phím để KDC có thể xác nhận mật khẩu băm và phát hành vé cho người dùng. Khi bộ điều khiển tên miền Windows 2012 R2 được thêm vào một môi trường nơi trình điều khiển tên miền Windows Server 2003 có mặt, có một không khớp trong các loại mã hóa được hỗ trợ trên các KDCs và được sử dụng để tạo ra. Bộ điều khiển miền của Windows Server không hỗ trợ bộ điều khiển tên miền AES và Windows Server 2012 R2 không hỗ trợ tiêu chuẩn mã hóa dữ liệu (DES) cho Salat.
Làm thế nào để có được bản Cập Nhật hoặc hotfix này
Để giải quyết sự cố này, chúng tôi đã phát hành một hotfix và bản Cập Nhật Rollup cho Windows Server 2012 R2 trong đó Active Directory được cài đặt. Trước khi bạn cài đặt hotfix này, hãy kiểm tra các điều kiện tiên quyết của các hotfix. Bản Cập Nhật rollup sẽ khắc phục nhiều sự cố khác ngoài vấn đề bản sửa lỗi. Chúng tôi khuyên bạn nên sử dụng bản Cập Nhật rollup. Bản Cập Nhật rollup lớn hơn so với các hotfix. Vì vậy, bản Cập Nhật rollup sẽ mất nhiều thời gian hơn để tải về.
Lưu ý Sau khi cài đặt bản Cập Nhật, chúng tôi khuyên bạn nên khởi động lại tất cả máy tính khách hỗ trợ mã hóa tiêu chuẩn mã hóa nâng cao (AES). Điều này là phục hồi các khách hàng nếu trước đó đã khởi động lại đối với bộ điều khiển tên miền Windows Server 2012 R2 không cài đặt Cập Nhật.
Bản Cập Nhật cho Windows Server 2012 R2
Bản Cập Nhật rollup sau đây có sẵn:
Hotfix cho Windows Server 2016
Bản Cập Nhật rollup sau đây có sẵn:
Ngày 25 tháng 2 năm 2020 — KB4537806 (hệ điều hành bản dựng 14393,3542)
Thông tin chi tiết hotfix
Điều kiện tiên quyết
Để áp dụng hotfix này, trước tiên bạn phải cài đặt bản Cập Nhật 2919355 trên Windows Server 2012 R2. Để biết thêm thông tin, hãy bấm vào số bài viết sau đây để xem bài viết trong Cơ sở Kiến thức Microsoft:
2919355 Windows RT 8,1, Windows 8,1 và Windows Server 2012 R2 Update tháng tư, 2014
Thông tin sổ đăng ký
Để sử dụng các hotfix trong gói này, bạn không phải thực hiện bất kỳ thay đổi nào đối với sổ đăng ký.
Yêu cầu khởi động lại
Bạn có thể phải khởi động lại máy tính sau khi áp dụng hotfix này.
Thông tin thay thế hotfix
Hotfix này không thay thế hotfix đã phát hành trước đó.
Trạng thái
Microsoft đã xác nhận đây là sự cố trong các sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".