Die KDC-Ereignis-ID 16 oder 27 wird protokolliert, wenn DES für Kerberos deaktiviert ist.

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die DES-Verschlüsselung für die Kerberos-Authentifizierung in Windows 7 und Windows Server 2008 R2 aktivieren.

              Gilt für: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 977321

Zusammenfassung

Ab Windows 7, Windows Server 2008 R2 und allen späteren Windows-Betriebssystemen ist die Des-Verschlüsselung (Data Encryption Standard) für die Kerberos-Authentifizierung deaktiviert. In diesem Artikel werden verschiedene Szenarien beschrieben, in denen Sie die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen erhalten können, da die DES-Verschlüsselung deaktiviert ist:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Darüber hinaus wird in diesem Artikel erläutert, wie Sie die DES-Verschlüsselung für die Kerberos-Authentifizierung in Windows 7 und Windows Server 2008 R2 aktivieren. Ausführliche Informationen finden Sie in den Abschnitten "Symptome", "Ursache" und "Problemumgehung" dieses Artikels.

Symptome

Betrachten Sie dazu die folgenden Szenarien:

  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für die DES-Verschlüsselung auf einem Computer konfiguriert ist, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird.
  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für die DES-Verschlüsselung konfiguriert ist und sich in einer Domäne zusammen mit Windows Server 2008 R2-basierten Domänencontrollern befindet.
  • Ein Client, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird, stellt eine Verbindung mit einem Dienst her, indem ein Benutzerkonto oder ein Computerkonto verwendet wird, das nur für die DES-Verschlüsselung konfiguriert ist.
  • Eine Vertrauensstellung ist nur für die DES-Verschlüsselung konfiguriert und umfasst Domänencontroller, auf denen Windows Server 2008 R2 ausgeführt wird.
  • Eine Anwendung oder ein Dienst ist hartcodiert, um nur DIE DES-Verschlüsselung zu verwenden.

In jedem dieser Szenarien erhalten Sie möglicherweise die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen zusammen mit der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center :

ID Symbolischer Name Nachricht
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS Beim Verarbeiten einer TGS-Anforderung für den Zielserver %1 verfügte das Konto %2 nicht über einen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel weist die ID %3 auf). Die angeforderten Etypes waren %4. Die verfügbaren Kontotypen waren %5.
Ereignis-ID 27 – Konfiguration des KDC-Verschlüsselungstyps
16 KDCEVENT_NO_KEY_INTERSECTION_TGS Beim Verarbeiten einer TGS-Anforderung für den Zielserver %1 verfügte das Konto %2 nicht über einen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel weist die ID %3 auf). Die angeforderten Etypes waren %4. Die verfügbaren Kontotypen waren %5. Wenn Sie das Kennwort von %6 ändern oder zurücksetzen, wird ein ordnungsgemäßer Schlüssel generiert.
Ereignis-ID 16 – Kerberos-Schlüsselintegrität

Ursache

Standardmäßig sind die Sicherheitseinstellungen für die DES-Verschlüsselung für Kerberos auf den folgenden Computern deaktiviert:

  • Computer unter Windows 7
  • Computer mit Windows Server 2008 R2
  • Domänencontroller mit Windows Server 2008 R2

Hinweis

Kryptografische Unterstützung für Kerberos ist in Windows 7 vorhanden, und in Windows Server 2008 R2.By Standard verwendet Windows 7 die folgenden AES- oder RC4-Verschlüsselungssammlungen für "Verschlüsselungstypen" und für "etypes":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Dienste, die nur für die DES-Verschlüsselung konfiguriert sind, schlagen fehl, es sei denn, die folgenden Bedingungen sind erfüllt:

  • Der Dienst wird neu konfiguriert, um rc4-Verschlüsselung oder AES-Verschlüsselung zu unterstützen.
  • Alle Clientcomputer, alle Server und alle Domänencontroller für die Domäne des Dienstkontos sind für die Unterstützung der DES-Verschlüsselung konfiguriert.

Windows 7 und Windows Server 2008 R2 unterstützen standardmäßig die folgenden Verschlüsselungssammlungen: Die Verschlüsselungssammlung DES-CBC-MD5 und die Verschlüsselungssammlung DES-CBC-CRC können in Windows 7 aktiviert werden, wenn dies erforderlich ist.

Problemumgehung

Es wird dringend empfohlen, zu überprüfen, ob die DES-Verschlüsselung in der Umgebung weiterhin erforderlich ist, oder ob bestimmte Dienste nur DIE DES-Verschlüsselung erfordern. Überprüfen Sie, ob der Dienst RC4- oder AES-Verschlüsselung verwenden kann, oder überprüfen Sie, ob der Anbieter über eine Authentifizierungsalternative mit stärkerer Kryptografie verfügt.

Hotfix 978055 ist erforderlich, damit die Windows Server 2008 R2-basierten Domänencontroller Informationen zum Verschlüsselungstyp ordnungsgemäß verarbeiten können, die von den Domänencontrollern unter Windows Server 2003 repliziert werden. Weitere Informationen finden Sie weiter unten.

  1. Bestimmen Sie, ob die Anwendung hartcodiert ist, um nur DIE DES-Verschlüsselung zu verwenden. Sie ist jedoch durch die Standardeinstellungen auf Clients unter Windows 7 oder in Schlüsselverteilungscentern (Key Distribution Center, KDCs) deaktiviert.

    Um zu überprüfen, ob Sie von diesem Problem betroffen sind, sammeln Sie einige Netzwerkablaufverfolgungen, und suchen Sie dann nach Ablaufverfolgungen, die den folgenden Beispielablaufverfolgungen ähneln:

    Frame 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>

    Frame 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR – KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <Quell-IP-Ziel><IP KerberosV5> KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>Fqdn>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Bestimmen Sie, ob das Benutzerkonto oder das Computerkonto nur für die DES-Verschlüsselung konfiguriert ist.

    Öffnen Sie im Snap-In "Active Directory-Benutzer und -Computer" die Eigenschaften des Benutzerkontos, und überprüfen Sie dann, ob die Option Kerberos DES-Verschlüsselungstypen für dieses Konto verwenden auf der Registerkarte Konto festgelegt ist.

Wenn Sie zu dem Schluss kommen, dass sie von diesem Problem betroffen sind und den DES-Verschlüsselungstyp für die Kerberos-Authentifizierung aktivieren müssen, aktivieren Sie die folgenden Gruppenrichtlinien, um den DES-Verschlüsselungstyp auf alle Computer anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird:

  1. Suchen Sie in der Gruppenrichtlinie Management Console (GPMC) den folgenden Speicherort:

    Computerkonfiguration\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicherheitsoptionen

  2. Klicken Sie auf diese Option, um die Option Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren auszuwählen.

  3. Klicken Sie, um diese Richtlinieneinstellungen und alle sechs Kontrollkästchen für die Verschlüsselungstypen definieren auszuwählen.

  4. Klicken Sie auf OK. Schließen Sie die GPMC.

Hinweis

Die Richtlinie legt den SupportedEncryptionTypes Registrierungseintrag auf den Wert 0x7FFFFFFF fest. Der SupportedEncryptionTypes Registrierungseintrag befindet sich am folgenden Speicherort:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

Je nach Szenario müssen Sie diese Richtlinie möglicherweise auf Domänenebene festlegen, um den DES-Verschlüsselungstyp auf alle Clients anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Oder Sie müssen diese Richtlinie möglicherweise in der Organisationseinheit (OE) des Domänencontrollers für die Domänencontroller festlegen, auf denen Windows Server 2008 R2 ausgeführt wird.

Weitere Informationen

Die Kompatibilitätsprobleme nur für DES-Anwendungen treten in den folgenden beiden Konfigurationen auf:

  • Die aufrufende Anwendung ist nur für die DES-Verschlüsselung hartcodiert.
  • Das Konto, das den Dienst ausführt, ist so konfiguriert, dass nur DIE DES-Verschlüsselung verwendet wird.

Die folgenden Verschlüsselungstypkriterien müssen erfüllt sein, damit die Kerberos-Authentifizierung funktioniert:

  1. Zwischen dem Client und dem Domänencontroller ist ein gemeinsamer Typ für den Authentifikator auf dem Client vorhanden.
  2. Zwischen dem Domänencontroller und dem Ressourcenserver ist ein gemeinsamer Typ vorhanden, um das Ticket zu verschlüsseln.
  3. Zwischen dem Client und dem Ressourcenserver ist ein gemeinsamer Typ für den Sitzungsschlüssel vorhanden.

Betrachten Sie die folgende Situation:

Rolle Betriebssystem Unterstützte Verschlüsselungsebene für Kerberos
Gleichstrom Windows Server 2003 RC4 und DES
Client Windows 7 AES und RC4
Ressourcenserver J2EE DES

In diesem Fall wird das Kriterium 1 durch die RC4-Verschlüsselung erfüllt, und die Kriterien 2 werden durch DES-Verschlüsselung erfüllt. Das dritte Kriterium schlägt fehl, weil der Server nur DES ist und der Client DES nicht unterstützt.

Der Hotfix 978055 muss auf jedem Windows Server 2008 R2-basierten Domänencontroller installiert werden, wenn die folgenden Bedingungen in der Domäne zutreffen:

  • Es gibt einige DES-aktivierte Benutzer- oder Computerkonten.
  • In derselben Domäne gibt es mindestens einen Domänencontroller, auf dem Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2 ausgeführt wird.

Hinweis

  • Hotfix 978055 ist erforderlich, damit die Windows Server 2008 R2-basierten Domänencontroller Informationen zum Verschlüsselungstyp ordnungsgemäß verarbeiten können, die von den Domänencontrollern unter Windows Server 2003 repliziert werden.
  • Für windows Server 2008-basierte Domänencontroller ist dieser Hotfix nicht erforderlich.
  • Dieser Hotfix ist nicht erforderlich, wenn die Domäne nur über Windows Server 2008-basierte Domänencontroller verfügt.

Weitere Informationen finden Sie, indem Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:

978055 FIX: Benutzerkonten, die DIE DES-Verschlüsselung für Kerberos-Authentifizierungstypen verwenden, können nicht in einer Windows Server 2003-Domäne authentifiziert werden, nachdem ein Windows Server 2008 R2-Domänencontroller der Domäne hinzugefügt wurde.