徵狀
請試想下列案例:
-
您在網域中有執行 Windows Server 2003 基礎的網網域控制站,並將 Windows Server 2012 R2 或 Windows Server 2016 網網域控制站加入這個網域。
-
您有一個加入網域的電腦,該電腦首先針對 Windows Server 2003 的網網域控制站進行驗證,然後電腦會針對 Windows Server 2012 R2 的網網域控制站進行驗證。
-
您登入電腦,並將電腦帳戶密碼變更兩次。
-
再次登入電腦。
在此案例中,您收到下列錯誤訊息:
未知的使用者名稱或密碼錯誤
原因
Kerberos 用戶端會根據金鑰發佈中心(KDC)中的 salt,在用戶端建立進階加密標準(AES)金鑰。 這些 AES 金鑰是用來散列使用者在用戶端輸入的密碼,並保護在網路上傳輸的密碼,使密碼無法遭到截獲和解密。 Salt 是指送入演算法中用來產生金鑰的資訊,讓 KDC 能驗證密碼雜湊及問題給使用者。 在 Windows Server 2003 網網域控制站存在的環境中新增 Windows 2012 R2 網網域控制站時,KDCs 上支援並用於 salt 的加密類型不相符。 Windows Server 網網域控制站不支援 AES,且 Windows Server 2012 R2 網網域控制站不支援 salt 的資料加密標準(DES)。
如何取得此更新或修補程式
若要解決此問題,我們已針對安裝 Active Directory 的 Windows Server 2012 R2 發行修復程式和更新彙總套件。 安裝此熱修復程式之前,請先檢查修復程式的先決條件。 除了修復程式修正的問題之外,更新彙總套件還修正了許多其他問題。 建議您使用更新彙總套件。 更新彙總套件大於修復程式。 因此,更新彙總套件需要較長的時間來下載。
注意: 安裝更新之後,我們建議您重新開機所有支援進階加密標準(AES)加密的用戶端電腦。 如果客戶先前針對沒有安裝更新的 Windows Server 2012 R2 網網域控制站重新開機,這就是復原用戶端。
Windows Server 2012 R2 的更新
下列更新彙總套件可供使用:
Windows Server 2016 的修補程式
下列更新彙總套件可供使用:
修補程式詳細資訊
先決條件
若要套用此熱修復程式,您必須先在 Windows Server 2012 R2 上安裝更新2919355。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
2919355 2014 年 4 月的 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 更新
登錄資訊
若要在此套件中使用此熱修復程式,您不需要對註冊表進行任何變更。
重新啟動需求
套用此熱修復程式後,您可能必須重新開機電腦。
Hotfix 取代資訊
此熱修復程式不會取代先前發佈的熱修復程式。
狀態
Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。