当域用户访问运行 Windows Server 2012 R2 的文件服务器上的共享时出错（目标帐户名称不正确）

本文提供了一个解决方案，说明用户在运行 Windows Server 2012 R2 的文件服务器上无法访问共享的问题。

原始 KB 数： 3040803

现象

当域用户尝试在运行 Windows Server 2012 R2 的文件服务器上访问共享时，他们无法访问该共享，并收到以下错误消息：

登录失败：目标帐户名称不正确。

此外，此问题发生时，事件 ID 4 和事件 ID 1097 将记录在服务器日志中。 此问题可能发生几个小时或长达一天。 然后，用户将失去对服务器上的共享的访问权限。

• 事件 ID 4

  The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server server_name$. The target name used was server_name$. This indicates that the target server failed to decrypt the ticket provided by the client. This can occur when the target server principal name (SPN) is registered on an account other than the account the target service is using. Please ensure that the target SPN is registered on, and only registered on, the account used by the server. This error can also happen when the target service is using a different password for the target service account than what the Kerberos Key Distribution Center (KDC) has for the target service account. Please ensure that the service on the server and the KDC are both updated to use the current password. If the server name is not fully qualified, and the target domain (DNS_prefix.dns_suffix) is different from the client domain (DNS_prefix.dns_suffix), check if there are identically named server accounts in these two domains, or use the fully-qualified name to identify the server.
  

• 事件 ID 1097

  The processing of Group Policy failed. Windows could not determine the computer account to enforce Group Policy settings. This may be transient. Group Policy settings, including computer configuration, will not be enforced for this computer.
  

原因

出现此问题的原因是文件服务器无法解密在 AES256 中加密的票证。

解决方法

若要解决此问题，请将 SupportedEncryptionTypes 属性的值设置为0x7fffffff。 为此，请按照下列步骤进行操作：

1. 在组策略管理控制台（GPMC）中，依次展开 计算机配置、 Windows 设置、 安全设置、 本地策略，然后选择 “安全选项”。
2. 单击以选择 “网络安全：配置 Kerberos ”选项允许的加密类型。
3. 单击以选中“ 定义这些策略设置 ”复选框和加密类型的所有六个复选框。
4. 单击“确定”，然后关闭 GPMC。

注意

此策略将 SupportedEncryptionTypes 注册表项设置为0x7FFFFFFF的值。 SupportedEncryptionTypes 注册表项位于以下位置： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters

Status

Microsoft已确认这是 Windows Server 2012 R2 中的问题。

参考

• Kerberos

• Kerberos 身份验证中的更改

• 解释 SupportedEncryptionTypes 注册表项

• Kerberos 增强功能

• 为 Kerberos 身份验证禁用 AES 加密后，无法登录到基于 Windows 7 或基于 Windows Server 2008 R2 的客户端计算机