MS16-101：Windows 驗證方法的安全性更新：2016 年 8 月 9 日
官方是說要開TCP 464 出來...

已知問題 1
此安全性更新包含在 MS16-101 和更新的更新中。在 Kerberos 驗證出現 STATUS_NO_LOGON_SERVERS (0xc000005e) 錯誤碼，無法進行密碼變更作業時，此安全性更新會停用透過訊號交涉程序，切換回 NTLM　的能力。在此情況下，您可能會收到下列其中一個錯誤碼：

十六進位	十進位	字串	說明

0xc0000388|1073740920|STATUS_DOWNGRADE_DETECTED |系統偵測到可能危害安全性的企圖，請確定您可以連線至驗證您的伺服器。|
0x4f1|1265|ERROR_DOWNGRADE_DETECTED|系統偵測到可能危害安全性的企圖，請確定您可以連線至驗證您的伺服器。|

如果安裝　MS16-101　後，先前成功的密碼變更作業現已無法進行，則有可能是該密碼變更作業先>前因為　Kerberos　驗證失敗，改而採用　NTLM 進行。為了透過 Kerberos 通訊協定成功變更密碼，請依照下列步驟執行：

1. 在已安裝 MS16-101 的用戶端，以及提供密碼重設服務的網域控制站之間的 TCP 連接埠 464 上，設定開放通訊。

如果唯讀網域控制站 (RODC) 密碼複寫原則允許使用者，RODC 便可提供自助密碼重設服務。未獲 RODC 密碼原則允許的使用者，則需要透過網路連線至使用者帳戶網域內的讀取/寫入網域控制站 (RWDC)。
2. 確認目標 Kerberos 名稱有效。(Kerberos 通訊協定的 IP 位址無效。Kerberos 支援簡短名稱和完整網域名稱。)
3. 確認服務主體名稱 (SPN) 已正確登錄。

Client端無法修改密碼