在混合式 Windows Server 2012 R2 或 Windows Server 2016 和 Windows server 2003 環境中變更電腦帳戶密碼後無法登入

徵狀

請試想下列案例:

  • 您在網域中有執行 Windows Server 2003 基礎的網網域控制站,並將 Windows Server 2012 R2 或 Windows Server 2016 網網域控制站加入這個網域。

  • 您有一個加入網域的電腦,該電腦首先針對 Windows Server 2003 的網網域控制站進行驗證,然後電腦會針對 Windows Server 2012 R2 的網網域控制站進行驗證。

  • 您登入電腦,並將電腦帳戶密碼變更兩次。

  • 再次登入電腦。

在此案例中,您收到下列錯誤訊息:

未知的使用者名稱或密碼錯誤

原因

Kerberos 用戶端會根據金鑰發佈中心(KDC)中的 salt,在用戶端建立進階加密標準(AES)金鑰。 這些 AES 金鑰是用來散列使用者在用戶端輸入的密碼,並保護在網路上傳輸的密碼,使密碼無法遭到截獲和解密。 Salt 是指送入演算法中用來產生金鑰的資訊,讓 KDC 能驗證密碼雜湊及問題給使用者。 在 Windows Server 2003 網網域控制站存在的環境中新增 Windows 2012 R2 網網域控制站時,KDCs 上支援並用於 salt 的加密類型不相符。 Windows Server 網網域控制站不支援 AES,且 Windows Server 2012 R2 網網域控制站不支援 salt 的資料加密標準(DES)。

如何取得此更新或修補程式

若要解決此問題,我們已針對安裝 Active Directory 的 Windows Server 2012 R2 發行修復程式和更新彙總套件。 安裝此熱修復程式之前,請先檢查修復程式的先決條件。 除了修復程式修正的問題之外,更新彙總套件還修正了許多其他問題。 建議您使用更新彙總套件。 更新彙總套件大於修復程式。 因此,更新彙總套件需要較長的時間來下載。

注意: 安裝更新之後,我們建議您重新開機所有支援進階加密標準(AES)加密的用戶端電腦。 如果客戶先前針對沒有安裝更新的 Windows Server 2012 R2 網網域控制站重新開機,這就是復原用戶端。

Windows Server 2012 R2 的更新

下列更新彙總套件可供使用:

Windows Server 2016 的修補程式

下列更新彙總套件可供使用:

2020年2月25日— KB4537806 (OS 組建14393.3542)

修補程式詳細資訊

先決條件

若要套用此熱修復程式,您必須先在 Windows Server 2012 R2 上安裝更新2919355。 如需詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:

2014 年 4 月的 Windows RT 8.1、Windows 8.1 和 Windows Server 2012 R2 更新

登錄資訊

若要在此套件中使用此熱修復程式,您不需要對註冊表進行任何變更。

重新啟動需求

套用此熱修復程式後,您可能必須重新開機電腦。

Hotfix 取代資訊

此熱修復程式不會取代先前發佈的熱修復程式。

狀態

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×