[目標帳戶名稱不正確 」 錯誤,當網域使用者存取檔案伺服器上的共用執行 Windows Server 2012 R2

適用於: Windows Server 2012 R2 DatacenterWindows Server 2012 R2 Standard

狀況


當網域使用者嘗試存取正在執行 Windows Server 2012 R2 的檔案伺服器上的共用時,他們無法存取共用,,並且收到下列錯誤訊息︰

登入失敗︰ 目標帳戶名稱不正確。

此外發生這個問題時,事件識別碼 4 」 和 「 事件 ID 1097 登入伺服器記錄檔。最多一天或數個小時,可能會發生這個問題。然後,使用者將會遺失在伺服器上共用的存取權。

事件識別碼 4

從 [伺服器管理員$ 的 Kerbero 用戶端接收到的 KRB_AP_ERR_MODIFIED 錯誤。使用的目標名稱會不server_name$。這表示目標伺服器無法將用戶端提供該票證解密。目標伺服器主體名稱 (SPN) 註冊上目標服務所使用的帳戶以外的帳號時,也可能會發生。請確認 SPN 註冊,並僅註冊的伺服器所使用的帳戶上的目標。目標服務使用不同的密碼,比 Kerberos 金鑰發佈中心 (KDC) 目標服務帳戶具有目標服務帳戶時,也可能會發生這個錯誤。請確定伺服器和 KDC 服務會更新為使用目前的密碼。如果伺服器名稱不完整,和目標網域 (DNS_prefixdns_suffix) 不同於用戶端網域 (DNS_prefixdns_suffix)、 檢查如果那里相同名稱的伺服器帳號,在這些兩個網域中,或使用完整限定名稱來識別伺服器。

事件識別碼 1097

群組原則處理失敗。Windows 無法判定電腦帳戶,來強制執行群組原則 」 設定。這可能是暫時性的。群組的原則設定,包括電腦設定的變更不會強制執行這台電腦。

原因


之所以發生這個問題,是因為檔案伺服器無法解密已加密,在 AES256 中的票證。

解決方案


若要解決這個問題,設定SupportedEncryptionTypes屬性的值為0x7fffffff。若要執行這項操作,請參考下列步驟:
  1. 在 [群組原則管理主控台 (GPMC),展開 [電腦設定,展開 [ Windows 設定、 展開 [安全性設定、 展開 [本機原則],然後選取 [安全性選項
  2. 按一下以選取網路安全性︰ 設定所允許的 Kerberos 加密類型選項。
  3. 按一下以選取 [定義這些原則設定] 核取方塊和所有的六個核取方塊,加密類型。
  4. 按一下 [確定],然後再關閉 [GPMC。


注意此原則設定值為0x7FFFFFFFSupportedEncryptionTypes登錄項目。SupportedEncryptionTypes登錄項目位於下列位置︰

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters

狀態


Microsoft 已確認這是<套用>一節所列出的 Microsoft 產品的問題。