Windows Server 2003 ドメイン コントローラーでのイベント ID 27 KDC エラー

この記事では、Windows Server 2003 ドメイン コントローラーで発生するイベント ID 27 KDC エラーを修正するためのヘルプを提供します。

適用対象: Windows 10 - すべてのエディション、Windows Server 2012 R2
元の KB 番号: 2002141

現象

Windows Server 2003 ドメイン コントローラーと Windows Vista および Windows Server 2008 以降のメンバー サーバーの両方を含む環境では、Windows Server 2003 ドメイン コントローラーで次のエラーが記録されることがあります。

型: エラー イベント: 27 ソース: KDC カテゴリ: None Computer: イベント メッセージ: ターゲット サーバー krbtgt/に対する TGS 要求の処理中に、アカウント <アカウント名> に Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は 8)。 要求された etype は 18 でした。 使用可能な etype のアカウントは 23 -133 -128 3 1 でした。

原因

Windows Vista または Server 2008 メンバー サーバーは、18 (AES) の暗号化の種類を使用して TGS 要求を送信しています。 Windows Server 2003 では、Kerberos ではこの暗号化の種類はサポートされていません。

解決方法

Windows Server 2003 ドメイン コントローラーでログに記録されているイベント ID 27 エラーは、設計上無視しても問題ありません。 ドメイン コントローラーは、サポートされている暗号化の種類をクライアントに通知するだけです。 その後、Windows Server 2008 サーバーは、サポートされている暗号化の種類のいずれかにフォールバックします。 Windows Server 2008 で使用される既定の暗号化の種類を変更できます。 これにより、Windows Server 2003 ドメイン コントローラーにエラーが記録されなくなります。 次のレジストリ値を Windows Server 2008 サーバーに追加する必要があります。

• パス: HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
• 値名: DefaultEncryptionType
• 値の種類: Reg_DWORD
• 値データ: 0x17(23)