KDC událost ID 16 nebo 27 je zaznamenána, pokud DES ověřování pomocí protokolu Kerberos je zakázáno.

Překlady článku Překlady článku
ID článku: 977321 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Souhrn

Ve výchozím nastavení je šifrování Data Encryption Standard (DES) pro ověřování pomocí protokolu Kerberos zakázán v systému Windows 7 a Windows Server 2008 R2. Tento článek popisuje různé scénáře, ve kterých můžete obdržet následující události do protokolu aplikace, zabezpečení a systém protože šifrování DES je zakázáno:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Kromě toho tento článek popisuje, jak povolit šifrování DES pro ověřování pomocí protokolu Kerberos v systému Windows 7 a Windows Server 2008 R2. Podrobné informace naleznete v tématu "Příznaky," "Způsobit" a "Řešení" částech tohoto článku.

Příznaky

Zvažte následující scénáře:
  • Služba používá uživatelský účet nebo účet počítače, který je konfigurován pouze DES šifrování v počítači se systémem Windows 7 nebo Windows Server 2008 R2.
  • Služba používá uživatelský účet nebo účet počítače, který je konfigurován pouze šifrování DES a který je v doméně, společně s řadiči domény se systémem Windows Server 2008 R2.
  • Klient se systémem Windows 7 nebo Windows Server 2008 R2 připojení ke službě uživatelského účtu nebo účtu počítače, který je konfigurován pouze šifrování DES.
  • Vztah důvěryhodnosti je konfigurován pouze šifrování DES a obsahuje řadiče domény se systémem Windows Server 2008 R2.
  • Aplikace nebo služba je pevně zakódovanou používat pouze šifrování DES.
V žádné z těchto scénářů, můžete obdržet následující události v aplikaci zabezpečení, a systémové protokoly, jakož i Microsoft-Windows-Kerberos-Key-Distribution-Center Zdroj:
Zmenšit tuto tabulkuRozšířit tuto tabulku
IDSymbolický názevZpráva
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSPři zpracování požadavku služby TGS pro cílový server % 1, %2 účtu neměl vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID % 3). Požadované protokoly ETYPE byly % 4. K dispozici ETYPE účty byly % 5.
Událost s ID 27 – Konfigurační typ šifrování KDC
16KDCEVENT_NO_KEY_INTERSECTION_TGSPři zpracování požadavku služby TGS pro cílový server % 1, %2 účtu neměl vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID % 3). Požadované protokoly ETYPE byly % 4. K dispozici ETYPE účty byly % 5. Změna nebo resetování hesla %6 bude generovat správný klíč.
ID události: 16 – Klíčů protokolu Kerberos Integrity

Příčina

Ve výchozím nastavení jsou nastavení zabezpečení pro šifrování DES pro protokol Kerberos zakázán v následujících počítačích:
  • Počítače se systémem Windows 7
  • Počítače se systémem Windows Server 2008 R2
  • Řadiče domény se systémem Windows Server 2008 R2
Poznámka: Kryptografická podpora protokolu Kerberos existuje v systému Windows 7 a Windows Server 2008 R2.Ve výchozím nastavení používá systém Windows 7 následující šifrovací sada předem Encryption Standard (AES) nebo RC4 "typy šifrování" a "ETYPE":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
Služby, které jsou konfigurovány pouze šifrování DES nezdaří, pokud jsou splněny následující podmínky:
  • Služba bude překonfigurováno podporovat šifrování RC4 nebo podpora šifrování AES.
  • Všechny klientské počítače, všechny servery a všechny řadiče domény v doméně účtu služby jsou konfigurovány pro podporu šifrování DES.
Standardně podporuje následující šifrovací sada Windows 7 a Windows Server 2008 R2: šifrovací sada DES-CBC-MD5 a DES-CBC-CRC šifrovací sada lze povolit v systému Windows 7, pokud je požadováno.

Jak potíže obejít

Důrazně doporučujeme zkontrolovat, zda šifrování DES stále vyžadováno v prostředí nebo kontrola zda konkrétní služby vyžadují pouze šifrování DES. Zkontrolujte, zda služba může použít šifrování RC4 nebo AES šifrování nebo zkontrolujte, zda dodavatel alternativu ověřování, který má silnější šifrování.

Oprava hotfix 978055 je vyžadována pro řadiče domény se systémem Windows Server 2008 R2 správně zpracovávat informace o typu šifrování, který je replikován z řadičů domény se systémem Windows Server 2003. V části Další informace níže.
  1. Určete, zda aplikace je pevně používat pouze šifrování DES. Ale podle výchozího nastavení v klientech se systémem Windows 7 nebo centra distribuce klíčů (KDCs) je zakázáno.

    Chcete-li zkontrolovat, zda se vás tento problém týká, shromážděte některé stopy sítě a zkontrolujte, zda je pro stopy, které se podobají následující ukázka trasování:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Zjistěte, zda je uživatelský účet nebo účet počítače konfigurován pouze šifrování DES.

    V modulu snap-in "Active Directory uživatele a počítače", otevřete vlastnosti uživatelského účtu a pak zkontrolujte zda Použít pro tento účet šifrování Kerberos DES nastavena možnost Účet na kartě.
Je-li uzavřít, že se vás tento problém a že máte zapnout ověřování pomocí protokolu Kerberos typ šifrování DES Povolte následující zásady skupiny použít typ šifrování DES pro všechny počítače se systémem Windows 7 nebo Windows Server 2008 R2:
  1. Zásady skupiny Management Console (GPMC), vyhledejte následující umístění:
    Počítač Configuration\ Windows Settings\ zabezpečení Settings\ místní Policies\ možnosti zabezpečení
  2. Klepnutím vyberte Zabezpečení sítě: konfigurovat typy šifrování povoleno ověřování pomocí protokolu Kerberos možnost.
  3. Klepnutím vyberte Definovat toto nastavení zásad a všech šest políček pro typy šifrování.
  4. Klepněte na tlačítko OK. Zavřete konzolu GPMC.
Poznámka: Nastaví zásady SupportedEncryptionTypes Položka registru na hodnotu 0x7FFFFFFF. Na SupportedEncryptionTypes Položka registru je v následujícím umístění:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
V závislosti na scénáři budete muset nastavit tuto zásadu použít typ šifrování DES pro všechny klienty se systémem Windows 7 nebo Windows Server 2008 R2 na úrovni domény. Nebo možná nastavení této zásady organizační jednotky (OU) řadiče domény u řadičů domény se systémem Windows Server 2008 R2.

Další informace

Problémy s kompatibilitou aplikací jen DES, se vyskytují následující dvě konfigurace:
  • Volající aplikace je pevně zakódovanou pouze šifrování DES.
  • Účet, který spouští službu je nakonfigurován pro použití pouze šifrování DES.
Pro ověřování pomocí protokolu Kerberos pro práci, musí být splněny následující kritéria typ šifrování:
  1. Běžným typem existuje mezi klientem a řadič domény pro ověřovatele na straně klienta.
  2. Běžným typem existuje mezi řadiči domény a server prostředků k šifrování lístku.
  3. Běžným typem existuje mezi klientem a serverem prostředků pro klíč relace.
Předpokládejme následující situaci:
Zmenšit tuto tabulkuRozšířit tuto tabulku
RoleOSPodporované úroveň šifrování pro protokol Kerberos
DCSystém Windows Server 2003RC4 a DES
Klient Windows 7AES a RC4
Server prostředkůJ2EEDES
V takovém případě je šifrování RC4 splňovat kritéria 1 a 2 kritérií splněno pomocí šifrování DES. Třetí kritérium se nezdaří, protože server je pouze DES a protože klient nepodporuje algoritmus DES.

978055 Opravy hotfix musí být nainstalována v každém řadiči domény se systémem Windows Server 2008 R2, pokud platí následující podmínky v doméně:
  • Existují některé povolené DES účty uživatele nebo počítače.
  • Ve stejné doméně je jeden nebo více řadičů domény se systémem Windows 2000 Server, Windows Server 2003 nebo Windows Server 2003 R2.
Poznámka:
  • Opravy hotfix 978055 je vyžadována pro řadiče domény systému Windows Server 2008 R2 správně zpracovávat informace o typu šifrování, který je replikován z řadičů domény se systémem Windows Server 2003.
  • Řadiče domény se systémem Windows Server 2008 nevyžaduje tuto opravu hotfix.
  • Tato oprava hotfix není vyžadován v případě, že doména má pouze řadiče domény se systémem Windows Server 2008.
Další informace získáte klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
978055Oprava: Uživatelské účty, které používají šifrování DES pro typy ověřování pomocí protokolu Kerberos nelze ověřit v doméně systému Windows Server 2003 po řadiče domény systému Windows Server 2008 R2, připojí se k doméně

Vlastnosti

ID článku: 977321 - Poslední aktualizace: 23. května 2011 - Revize: 3.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Klíčová slova: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:977321

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com