In der Standardeinstellung ist die Verschlüsselung DES (Data Encryption Standard), für die Kerberos-Authentifizierung in Windows 7 und Windows Server 2008 R2 deaktiviert. Dieser Artikel beschreibt verschiedene Szenarien, in denen Sie die folgenden Ereignisse in den Anwendungs-, Sicherheits- und System-Protokollen erhalten können, da der DES-Verschlüsselung deaktiviert ist:
KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
KDCEVENT_NO_KEY_INTERSECTION_TGS
Darüber hinaus erläutert dieser Artikel DES-Verschlüsselung für die Kerberos-Authentifizierung in Windows 7 und Windows Server 2008 R2 zu aktivieren. Ausführliche Informationen finden Sie unter "Problembeschreibung," "Ursache" und "Abhilfe" Abschnitten dieses Artikels.
Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das so konfiguriert ist, für die DES-Verschlüsselung auf einem Computer, auf der Windows 7 oder Windows Server 2008 R2 ausgeführt wird.
Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto für nur DES-Verschlüsselung konfiguriert ist, und das ist in einer Domäne mit Windows Server 2008 R2-basierten Domänencontrollern.
Ein Client mit Windows 7 oder Windows Server 2008 R2 verbindet sich mit einem Dienst über ein Benutzerkonto oder ein Computerkonto, das konfiguriert ist für nur DES-Verschlüsselung.
Eine Vertrauensstellung für den DES-Verschlüsselung konfiguriert ist, und umfasst Domänencontroller, auf denen Windows Server 2008 R2 ausgeführt werden.
Eine Anwendung oder ein Dienst ist nur DES-Verschlüsselung verwendet.
Wird in diesen Szenarien sollten Sie möglicherweise die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen zusammen mit der Microsoft-Windows-Kerberos-Key-Distribution-Center Quelle:
Tabelle minimierenTabelle vergrößern
ID
Symbolischer name
Nachricht
27
KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
Während der Verarbeitung einer TGS-Anforderung für den Zielserver % 1, das Konto %2 keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID % 3). Die angeforderte Etypes waren % 4. Die Konten verfügbaren Etypes waren 5 %.
Während der Verarbeitung einer TGS-Anforderung für den Zielserver % 1, das Konto %2 keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID % 3). Die angeforderte Etypes waren % 4. Die Konten verfügbaren Etypes waren 5 %. Ändern oder Zurücksetzen des Kennworts %6 wird den notwendigen Schlüssel generieren.
Standardmäßig sind die Sicherheitseinstellungen für Kerberos-DES-Verschlüsselung auf folgenden Computern deaktiviert:
Computer, auf denen Windows 7 ausgeführt wird
Computer, auf denen Windows Server 2008 R2 ausgeführt wird
Domänencontroller mit Windows Server 2008 R2
Hinweis Kryptografische Unterstützung für Kerberos ist in Windows 7 und Windows Server 2008 R2 vorhanden.Standardmäßig verwendet Windows 7 die folgenden AES (Advanced Encryption Standard) oder RC4 Cipher Suites für "Encryption-Types" und "Etypes":
AES256-CTS-HMAC-SHA1-96
AES128-CTS-HMAC-SHA1-96
RC4-HMAC
Dienste, die für den DES-Verschlüsselung konfiguriert sind nicht mehr, wenn die folgenden Bedingungen erfüllt sind:
Der Dienst wird zur Unterstützung der RC4-Verschlüsselung oder AES-Verschlüsselung unterstützt neu konfiguriert.
Alle Client-Computer, alle Server und alle Domänencontroller für die Domäne des Dienstkontos sind so konfiguriert, dass die DES-Verschlüsselung unterstützen.
In der Standardeinstellung, Windows 7 und Windows Server 2008 R2 unterstützen die folgenden Verschlüsselungssammlungen: der DES-CBC-MD5-Chiffre-Suite und DES-CBC-CRC-Chiffre-Suite können in Windows 7 aktiviert werden, wenn dies erforderlich ist.
Es wird dringend empfohlen, dass Sie überprüfen, ob die DES-Verschlüsselung in der Umgebung oder das Kontrollkästchen immer noch erforderlich ist, ob bestimmte Dienste nur DES-Verschlüsselung erfordern. Überprüfen Sie, ob der Dienst RC4-Verschlüsselung oder AES-Verschlüsselung verwenden kann, oder Überprüfen Sie, ob der Kreditor Alternative Authentifizierung hat, die eine leistungsstärkere Kryptografie hat.
ist erforderlich für die Windows Server 2008 R2-basierten Domänencontroller zur korrekten Behandlung von Typinformationen für Verschlüsselung, die von den Domänencontrollern repliziert wird, auf dem Windows Server 2003 ausgeführt werden. Finden Sie weitere Informationen im Abschnitt unten.
Bestimmen Sie, ob die Anwendung hartcodiert DES-Verschlüsselung verwenden. Aber es ist durch die Standardeinstellungen der unter Windows 7-Clients oder Key Distribution Center (KDCs) deaktiviert.
Um zu überprüfen, ob Sie von diesem Problem betroffen sind, bitte erfassen Sie einige Netzwerk-Traces, und überprüfen Sie für Ablaufverfolgungen, die die folgenden Beispiel Ablaufverfolgungen ähneln:
Bestimmen Sie, ob das Benutzerkonto oder das Computerkonto für den DES-Verschlüsselung konfiguriert ist.
Öffnen Sie im Snap-in "Active Directory-Benutzer und-Computer" die Eigenschaften des Benutzerkontos, und prüfen Sie, ob die Kerberos-DES-Verschlüsselungstypen für dieses Konto verwenden Option wird festgelegt, unter dem Konto Registerkarte.
Wenn Sie daraus schließen, dass Sie von diesem Problem betroffen sind und Sie den DES-Verschlüsselungstyp für die Kerberos-Authentifizierung aktivieren müssen, aktivieren Sie um den DES-Verschlüsselungstyp für alle Computer, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt werden, gelten die folgenden Gruppenrichtlinien:
Suchen Sie in der Group Policy Management Console (GPMC) nach folgenden Speicherort:
Computer Configuration\ Windows Einstellungen\ Einstellungen\ lokale Policies\ Security Sicherheitsoptionen
Aktivieren Sie die Netzwerksicherheit: Konfigurieren Sie die Verschlüsselungstypen für Kerberos zulässig Option.
Klicken Sie auf Diese Richtlinieneinstellungen definieren alle sechs Kontrollkästchen für die Encryption-Types und.
Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Hinweis Die Richtlinie legt die SupportedEncryptionTypes Eintrag in der Registrierung den Wert 0x7FFFFFFF. Die SupportedEncryptionTypes Registrierungseintrag ist am folgenden Speicherort:
Je nach Szenario müssen Sie möglicherweise stellen Sie diese Richtlinie auf Domänenebene den DES-Verschlüsselungstyp für alle Clients anwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt werden. Oder Sie haben um diese Richtlinie auf die Organisationseinheit (OU) des Domänencontrollers für die Domänencontroller, die Windows Server 2008 R2 ausgeführt werden.
Die reine DES Anwendungskompatibilitätsprobleme gefunden werden in den folgenden zwei Konfigurationen:
Die aufrufende Anwendung ist hartcodiert DES-Verschlüsselung.
Das Konto, das der Dienst ausgeführt wird ist für die Verwendung DES-Verschlüsselung konfiguriert.
Die folgenden Kriterien für die Verschlüsselung-Typ müssen für die Kerberos-Authentifizierung funktioniert erfüllt sein:
Ein allgemeiner Typ ist zwischen dem Client und dem Domänencontroller für die Echtheitsbestätigung auf dem Client vorhanden.
Ein allgemeiner Typ besteht zwischen dem Domänencontroller und dem Ressourcenserver, das Ticket zu verschlüsseln.
Ein allgemeiner Typ besteht zwischen dem Client und dem Ressourcenserver für den Sitzungsschlüssel.
Betrachten Sie die folgende Situation:
Tabelle minimierenTabelle vergrößern
Rolle
OS
Unterstützte Verschlüsselungsstufe für Kerberos
DC
WindowsServer 2003
RC4 und DES
Client
Windows 7
AES und RC4
Ressourcenserver
J2EE
DES
In diesem Fall die Kriterien 1 durch RC4-Verschlüsselung erfüllt ist und die Kriterien 2 durch Verschlüsselung DES erfüllt ist. Das dritte Kriterium schlägt fehl, da der Server ist nur DES- und da der Client DES nicht unterstützt.
Der Hotfix 978055 muss auf jedem Windows Server 2008 R2-basierten Domänencontroller installiert werden, wenn in der Domäne die folgenden Bedingungen erfüllt sind:
Es gibt einige Benutzer- oder Computerkonten DES aktiviert.
In der gleichen Domäne ist eine oder mehrere Domänencontroller mit Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2.
Hinweis
Hotfix 978055 ist erforderlich für die Windows Server 2008 R2-basierten Domänencontroller zur korrekten Behandlung von Typinformationen für Verschlüsselung, die von den Domänencontrollern repliziert wird, auf dem Windows Server 2003 ausgeführt werden.
Die Windows Server 2008-basierten Domänencontrollern ist dieser Hotfix nicht erforderlich.
Dieser Hotfix ist nicht erforderlich, wenn die Domäne nur Windows Server 2008-basierten Domänencontroller verfügt.
Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base anzuzeigen:
Update: Benutzerkonten, die des-Verschlüsselung für die Arten der Kerberos-Authentifizierung verwenden, können nicht in einer Windows Server 2003-Domäne authentifiziert werden, nachdem ein Windows Server 2008 R2-Domänencontroller der Domäne beitritt
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 977321
(http://support.microsoft.com/kb/977321/en-us/
)
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Wie hoch war der Aufwand für Sie persönlich, um diesen Artikel zu verwenden?
Sehr gering
Gering
Mittel
Hoch
Sehr hoch
Sagen Sie uns bitte, wie wir diese Informationen noch verbessern können
Danke! Dieses Feedback hilft uns dabei, die Supportartikel weiter zu verbessern. Weitere Informationen finden Sie auf der Hilfe und Support-Startseite.
Zum Anfang
