안녕하세요. 한국 마이크로소프트 플랫폼 기술지원팀 이현정 입니다.
도메인 컨틀롤러를 Windows Server 2003 에서 Windows Server 2012 R2 로 업그레이드 후 도메인 멤버 서버 혹은 도메인 멤버 클라이언트 에서 도메인 계정으로 로그인 시 계정과 암호가 정상적임에도 로그인이 안 되는 문제가 발생 하고 있습니다.
[문제 증상]
1. 도메인 멤버 서버 / 클라이언트에서 시스템 이벤트 로그에 다음과 같은 이벤트가 발생 합니다.
Event ID: 4
Source: Kerberos
Type: Error
"The Kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/myserver.domain.com. This indicates that the password used to encrypt the Kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (domain.com), and the client realm. Please contact your system administrator."
2. 도메인 계정으로 로그인 시 다음과 같은 오류 메시지가 발생 하면서 로그인이 되지 않습니다.
3. 로컬 계정으로 로그인이 가능하고 시스템을 재 부팅 하면 로그인이 가능 합니다.
[문제 원인]
Windows Server 2008 R2 / Windows 7 부터 DES-CBC-MD5 및 DES-CBC-CRC 암호화를 사용하지 않고 AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96, RC4-HMAC 암호화만을 사용하게 됩니다.
그런데 AD 서버가 Windows Server 2012 R2이고 Domain Member 가 Windows Server 2008 / Windows Server 2008 R2 / Windows Server 2012 / Windows Server 2012 R2 또는 Windows Vista / Windows 7 / Windows 8 / Windows 8.1 일 경우 컴퓨터 계정에 대한 암호 갱신 시에 AES 키 생성이 실패하는 제품 상의 이슈로 인해 발생한 현상입니다.
Changes in Kerberos Authentication
http://technet.microsoft.com/en-us/library/dd560670(v=WS.10).aspx
[해결 방법]
1. 도메인 컨트롤러에 다음 hotfix 를 설치 합니다.
Can't log on after changing machine account password in mixed Windows Server 2012 R2 and Windows Server 2003 environment
http://support.microsoft.com/kb/2989971
2. KB2989971은 2014년 9월 업데이트 롤업에 포함 되어 있습니다.
9월 업데이트 롤업을 설치 하게 되면 KB2989971 이 적용 됩니다.
Windows RT 8.1, 8.1 Windows 및 Windows Server 2012 R2 2014 년 9 월 업데이트 롤업
http://support.microsoft.com/kb/2984006
[참고 자료]
It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers
감사합니다.