症状
请考虑以下情况:
-
你的域控制器运行的是 Windows Server 2003-base in 域,并将 Windows Server 2012 R2 或 Windows Server 2016 域控制器添加到此域。
-
你拥有一个加入域的计算机,该计算机首先根据基于 Windows Server 2003 的域控制器进行身份验证,然后计算机将针对基于 Windows Server 2012 R2 的域控制器进行身份验证。
-
您登录计算机并将计算机帐户密码更改两次。
-
您再次登录计算机。
在这种情况下,您会收到以下错误消息:
用户名未知或密码错误
原因
Kerberos 客户端依赖密钥发行中心(KDC)中的 salt,以便在客户端创建高级加密标准(AES)密钥。 这些 AES 密钥用于对用户在客户端上输入的密码进行哈希处理,并在通过线路传输时保护密码,以便无法截获和解密密码。 Salt 是指送入算法中用于生成密钥的信息,以便 KDC 可以验证密码哈希和向用户颁发票证。 将 Windows 2012 R2 域控制器添加到存在 Windows Server 2003 域控制器的环境中时,KDCs 上支持的加密类型与用于 salting 的加密类型不匹配。 Windows Server 域控制器不支持 AES 和 Windows Server 2012 R2 域控制器不支持 salting 的数据加密标准(DES)。
如何获取此更新或修补程序
为了解决此问题,我们已发布了安装了 Active Directory 的 Windows Server 2012 R2 的修补程序和更新汇总。 在安装此修补程序之前,请检查修复程序的先决条件。 除了修复程序修复的问题之外,更新汇总还修复了许多其他问题。 我们建议你使用更新汇总。 更新汇总比修补程序更大。 因此,下载更新汇总需要较长时间。
注意 安装更新后,建议重新启动所有支持高级加密标准(AES)加密的客户端计算机。 这是在用户以前针对未安装更新的 Windows Server 2012 R2 域控制器重新启动的情况下恢复客户端。
Windows Server 2012 R2 更新
以下更新汇总可用:
Windows Server 2016 的修补程序
以下更新汇总可用:
修补程序详细信息
先决条件
若要应用此修补程序,必须首先在 Windows Server 2012 R2 上安装更新2919355。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
2919355 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 更新(2014 年 4 月)
注册表信息
若要使用此程序包中的修补程序,不必对注册表进行任何更改。
重启要求
应用此修补程序后,您可能需要重新启动计算机。
修补程序替换信息
此修补程序不替代以前发布的修补程序。
状态
Microsoft 已确认这是在“适用范围”部分中列出的 Microsoft 产品存在的问题。
