Fehler (Zielkontoname ist falsch), wenn ein Domänenbenutzer auf eine Freigabe auf einem Dateiserver zugreift, auf dem Windows Server 2012 R2 ausgeführt wird

Dieser Artikel enthält eine Lösung für ein Problem, bei dem Benutzer nicht auf eine Freigabe auf einem Dateiserver zugreifen können, auf dem Windows Server 2012 R2 ausgeführt wird.

Ursprüngliche KB-Nummer: 3040803

Symptome

Wenn Domänenbenutzer versuchen, auf eine Freigabe auf einem Dateiserver zuzugreifen, auf dem Windows Server 2012 R2 ausgeführt wird, können sie nicht auf die Freigabe zugreifen und erhalten die folgende Fehlermeldung:

Anmeldefehler: Der Zielkontoname ist falsch.

Darüber hinaus werden ereignis-ID 4 und Ereignis-ID 1097 im Serverprotokoll protokolliert. Dieses Problem kann mehrere Stunden oder bis zu einem Tag auftreten. Anschließend verliert der Benutzer den Zugriff auf die Freigabe auf dem Server.

• Ereignis-ID 4

  The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server server_name$. The target name used was server_name$. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DNS_prefix.dns_suffix) is different from the client domain (DNS_prefix.dns_suffix), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
  

• Ereignis-ID 1097

  The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.
  

Ursache

Dieses Problem tritt auf, da der Dateiserver das in AES256 verschlüsselte Ticket nicht entschlüsseln kann.

Lösung

Um dieses Problem zu beheben, legen Sie den Wert des SupportedEncryptionTypes-Attributs auf 0x7fffffff fest. Gehen Sie dazu wie folgt vor:

1. Erweitern Sie in der Gruppenrichtlinien-Verwaltungskonsole (GROUP Policy Management Console, GPMC) die Computerkonfiguration, erweitern Sie Windows-Einstellungen, erweitern Sie Sicherheitseinstellungen, erweitern Sie lokale Richtlinien, und wählen Sie dann "Sicherheitsoptionen" aus.
2. Klicken Sie, um die Netzwerksicherheit auszuwählen: Konfigurieren sie für die Kerberos-Option zulässige Verschlüsselungstypen.
3. Klicken Sie, um das Kontrollkästchen "Diese Richtlinieneinstellungen definieren" und alle sechs Kontrollkästchen für die Verschlüsselungstypen zu aktivieren.
4. Klicken Sie auf "OK", und schließen Sie dann die Gruppenrichtlinien-Verwaltungskonsole.

Notiz

Diese Richtlinie legt den Registrierungseintrag "SupportedEncryptionTypes" auf einen Wert von 0x7FFFFFFF fest. Der Registrierungseintrag "SupportedEncryptionTypes" befindet sich am Speicherort: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters.

Status

Microsoft hat bestätigt, dass dies ein Problem in Windows Server 2012 R2 ist.

References

• Kerberos

• Änderungen an der Kerberos-Authentifizierung

• Interpretieren des Registrierungsschlüssels "SupportedEncryptionTypes"

• Kerberos-Verbesserungen

• Sie können sich nicht bei einem Windows 7- oder Windows Server 2008 R2-basierten Clientcomputer anmelden, nachdem Sie die AES-Verschlüsselung für die Kerberos-Authentifizierung deaktiviert haben.