16 Αναγνωριστικό συμβάντος KDC ή 27 καταγράφεται εάν DES για το Kerberos είναι απενεργοποιημένο

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 977321 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Από προεπιλογή, κρυπτογράφησης Data Encryption Standard (DES) για τον έλεγχο ταυτότητας Kerberos είναι απενεργοποιημένη στα Windows 7 και Windows Server 2008 R2. Αυτό το άρθρο περιγράφει τα διάφορα σενάρια όπου ενδέχεται να λάβετε τα ακόλουθα συμβάντα στα αρχεία καταγραφής εφαρμογής, ασφαλείας και συστήματος επειδή είναι απενεργοποιημένη κρυπτογράφηση DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Επιπλέον, αυτό το άρθρο εξηγεί πώς μπορείτε να ενεργοποιήσετε την κρυπτογράφηση DES για έλεγχο ταυτότητας Kerberos σε Windows 7 και Windows Server 2008 R2. Για αναλυτικές πληροφορίες, ανατρέξτε στην ενότητα "Συμπτώματα," "Αιτία", και οι ενότητες "Επίλυση" αυτού του άρθρου.

Συμπτώματα

Σκεφθείτε τα παρακάτω σενάρια:
  • Μια υπηρεσία χρησιμοποιεί έναν λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί μόνο κρυπτογράφηση DES σε έναν υπολογιστή που εκτελεί Windows 7 ή Windows Server 2008 R2.
  • Μια υπηρεσία χρησιμοποιεί ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και που βρίσκεται σε έναν τομέα και οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2.
  • Ένα πρόγραμμα-πελάτη που εκτελεί Windows 7 ή Windows Server 2008 R2 που συνδέεται με μια υπηρεσία, χρησιμοποιώντας ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES.
  • Μια σχέση αξιοπιστίας έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και περιλαμβάνει ελεγκτές τομέα που εκτελούν τον Windows Server 2008 R2.
  • Μια εφαρμογή ή μια υπηρεσία είναι κωδικοποιημένα για χρήση μόνο κρυπτογράφηση DES.
Σε οποιοδήποτε από αυτά τα σενάρια, ενδέχεται να λάβετε τα ακόλουθα συμβάντα στην εφαρμογή του, ασφάλεια, και το σύστημα συνδέεται μαζί με το Microsoft-Windows-Kerberos-Key-Distribution-Center προέλευση:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΑΝΑΓΝΩΡΙΣΤΙΚΌΣυμβολικό όνομαΜήνυμα
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSΚατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού % 1, το λογαριασμό %2 δεν είχε ένα κατάλληλο κλειδί για τη δημιουργία του δελτίου Kerberos (λείπει το κλειδί έχει ένα Αναγνωριστικό % 3). Το etypes που ζητήθηκε ήταν % 4. Το etypes διαθέσιμοι λογαριασμοί ήταν % 5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSΚατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού % 1, το λογαριασμό %2 δεν είχε ένα κατάλληλο κλειδί για τη δημιουργία του δελτίου Kerberos (λείπει το κλειδί έχει ένα Αναγνωριστικό % 3). Το etypes που ζητήθηκε ήταν % 4. Το etypes διαθέσιμοι λογαριασμοί ήταν % 5. Η αλλαγή ή η επαναφορά του κωδικού πρόσβασης του %6 θα δημιουργήσει ένα κατάλληλο κλειδί.

Αιτία

Από προεπιλογή, οι ρυθμίσεις ασφαλείας για την κρυπτογράφηση DES για το Kerberos είναι απενεργοποιημένο στους ακόλουθους υπολογιστές:
  • Υπολογιστές που εκτελούν Windows 7
  • Υπολογιστές που εκτελούν τον Windows Server 2008 R2
  • Οι ελεγκτές τομέα που εκτελούν τον Windows Server 2008 R2
Σημείωση Υποστήριξη κρυπτογράφησης Kerberos υπάρχει στα Windows 7 και Windows Server 2008 R2.Από προεπιλογή, τα Windows 7 χρησιμοποιούν τα ακόλουθα προγράμματα κρυπτογράφησης τυπική προκαταβολή κρυπτογράφησης (AES) ή RC4 για "τύπους κρυπτογράφησης" και "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
Υπηρεσίες που έχουν ρυθμιστεί για μόνο κρυπτογράφηση DES αποτύχει, εκτός αν ισχύουν οι ακόλουθες συνθήκες:
  • Η υπηρεσία είναι απαιτείται να υποστηρίζει κρυπτογράφηση RC4 ή να υποστηρίζει την κρυπτογράφηση AES.
  • Όλοι οι υπολογιστές-πελάτες, όλους τους διακομιστές και όλοι οι ελεγκτές τομέα για τον τομέα του λογαριασμού υπηρεσίας έχουν ρυθμιστεί ώστε να υποστηρίζει κρυπτογράφηση DES.
Από προεπιλογή, τα Windows 7 και Windows Server 2008 R2 υποστηρίζουν τα ακόλουθα προγράμματα κρυπτογράφησης: οικογένεια προγραμμάτων κρυπτογράφησης του DES-CBC-MD5 και η οικογένεια προγραμμάτων κρυπτογράφησης DES-CBC-CRC μπορεί να ενεργοποιηθεί σε Windows 7 όταν είναι απαραίτητο.

Εναλλακτικός τρόπος αντιμετώπισης

Συνιστάται να ελέγξετε αν κρυπτογράφηση DES εξακολουθεί να απαιτείται στο περιβάλλον ή ελέγχου είτε συγκεκριμένες υπηρεσίες απαιτούν μόνο κρυπτογράφηση DES. Ελέγξτε αν η υπηρεσία μπορεί να χρησιμοποιήσετε κρυπτογράφηση RC4 ή AES κρυπτογράφησης ή ελέγξτε αν ο προμηθευτής έχει μια εναλλακτική επιλογή ελέγχου ταυτότητας που έχει ισχυρότερη κρυπτογράφηση.

Η επείγουσα επιδιόρθωση 978055 απαιτείται για τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που έχει αναπαραχθεί από τους ελεγκτές τομέα που εκτελούν Windows Server 2003. Δείτε την παρακάτω ενότητα περισσότερες πληροφορίες.
  1. Καθορίστε αν η εφαρμογή είναι σχεδιασμένο για χρήση μόνο κρυπτογράφηση DES. Αλλά είναι απενεργοποιημένη από τις προεπιλεγμένες ρυθμίσεις σε υπολογιστές-πελάτες που εκτελούν Windows 7 ή σε κέντρα διανομής κλειδιού (KDCs).

    Για να ελέγξετε αν επηρεάζεστε από αυτό το ζήτημα, συλλέξτε ορισμένα ίχνη δικτύου και στη συνέχεια ελέγξτε για ίχνη που μοιάζουν με το ακόλουθο δείγμα ίχνη:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Προσδιορίστε αν ο λογαριασμός χρήστη ή το λογαριασμό υπολογιστή έχει ρυθμιστεί για μόνο κρυπτογράφηση DES.

    Στο "Active Directory χρήστες και υπολογιστές" συμπληρωματικό Άνοιγμα ιδιοτήτων του λογαριασμού χρήστη και στη συνέχεια ελέγξτε εάν η Χρησιμοποιήστε τύπους κρυπτογράφησης Kerberos DES για αυτόν το λογαριασμό η επιλογή ορίζεται σύμφωνα με το Λογαριασμός στην καρτέλα.
Εάν συμπεράνει ότι επηρεάζονται από αυτό το θέμα και ότι πρέπει να ενεργοποιήσετε τον τύπο κρυπτογράφησης DES για τον έλεγχο ταυτότητας Kerberos, ενεργοποιήστε τις ακόλουθες πολιτικές ομάδας, για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλους τους υπολογιστές που εκτελούν Windows 7 ή Windows Server 2008 R2:
  1. Σε της πολιτικής ομάδας διαχείρισης κονσόλας (GPMC), εντοπίστε την ακόλουθη θέση:
    Υπολογιστής Configuration\ Windows Settings\ ασφαλείας Settings\ τοπικό Policies\ επιλογές ασφαλείας
  2. Κάντε κλικ για να επιλέξετε το Ασφάλεια δικτύου: ρύθμιση επιτρέπεται για το Kerberos τύπους κρυπτογράφησης επιλογή.
  3. Κάντε κλικ στην επιλογή Προσδιορισμός των ρυθμίσεων πολιτικής και όλες τις έξι ελέγχου πλαίσια για τους τύπους κρυπτογράφησης.
  4. Κάντε κλικ στο κουμπί OK. Κλείστε την κονσόλα GPMC.
Σημείωση Η πολιτική ορίζει μια τιμή 0x7FFFFFFFτην καταχώρηση μητρώου SupportedEncryptionTypes . Η καταχώρηση μητρώου SupportedEncryptionTypes είναι στην ακόλουθη θέση:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Ανάλογα με το σενάριο, ίσως χρειαστεί να ορίσετε αυτήν την πολιτική σε επίπεδο τομέα για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλα τα προγράμματα-πελάτες που εκτελούν Windows 7 ή Windows Server 2008 R2. Ή, ίσως χρειαστεί να ορίσετε αυτήν την πολιτική με την οργανωτική μονάδα (OU) του ελεγκτή τομέα για τους ελεγκτές τομέα που εκτελούν τον Windows Server 2008 R2.

Περισσότερες πληροφορίες

Τα ζητήματα συμβατότητας εφαρμογών μόνο DES συναντώνται στις ακόλουθες δύο ρυθμίσεις παραμέτρων:
  • Η εφαρμογή κλήσης είναι κωδικοποιημένα για μόνο κρυπτογράφηση DES.
  • Ο λογαριασμός που εκτελεί την υπηρεσία έχει ρυθμιστεί για χρήση μόνο κρυπτογράφηση DES.
Πρέπει να πληρούνται τα ακόλουθα κριτήρια τύπος κρυπτογράφησης για τον έλεγχο ταυτότητας Kerberos για να:
  1. Υπάρχει ένας κοινός τύπος μεταξύ του πελάτη και του ελεγκτή τομέα για την υπηρεσία ελέγχου ταυτότητας του υπολογιστή-πελάτη.
  2. Υπάρχει ένας κοινός τύπος μεταξύ του ελεγκτή τομέα και το διακομιστή του πόρου για την κρυπτογράφηση του δελτίου.
  3. Υπάρχει ένας κοινός τύπος μεταξύ του πελάτη και το διακομιστή του πόρου για το κλειδί περιόδου λειτουργίας.
Εξετάστε την ακόλουθη περίπτωση:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
ΡόλοςOSΥποστηρίζεται το επίπεδο κρυπτογράφησης για το Kerberos
DCWindows Server 2003RC4 και DES
Πρόγραμμα-πελάτης Τα Windows 7AES και RC4
Πόρων διακομιστήJ2EEDES
Σε αυτήν την περίπτωση, τα κριτήρια 1 ικανοποιείται με κρυπτογράφηση RC4 και τα κριτήρια 2 ικανοποιείται με την κρυπτογράφηση DES. Το τρίτο κριτήριο αποτυγχάνει, επειδή ο διακομιστής δεν είναι μόνο για DES και επειδή ο υπολογιστής-πελάτης δεν υποστηρίζει τον αλγόριθμο DES.

Η επείγουσα επιδιόρθωση 978055 πρέπει να εγκατασταθεί σε κάθε ελεγκτή τομέα που βασίζεται σε Windows Server 2008 R2, εάν ισχύουν οι ακόλουθες συνθήκες στον τομέα:
  • Υπάρχουν ορισμένες ενεργοποιημένη DES λογαριασμούς χρήστη ή υπολογιστή.
  • Στον ίδιο τομέα, υπάρχει ένας ή περισσότεροι ελεγκτές τομέα που εκτελούν Windows 2000 Server, Windows Server 2003 ή Windows Server 2003 R2.
Σημείωση
  • Απαιτείται η επείγουσα επιδιόρθωση 978055 για τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που έχει αναπαραχθεί από τους ελεγκτές τομέα που εκτελούν Windows Server 2003.
  • Οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008 δεν απαιτούν αυτήν την επείγουσα επιδιόρθωση.
  • Αυτή η επείγουσα επιδιόρθωση δεν είναι απαραίτητη, εάν ο τομέας έχει μόνο ελεγκτές τομέα που βασίζεται σε Windows Server 2008.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
978055ΕΠΙΔΙΌΡΘΩΣΗ: Λογαριασμοί χρηστών που χρησιμοποιούν κρυπτογράφηση DES για τους τύπους ελέγχου ταυτότητας Kerberos δεν ελέγχεται σε έναν τομέα Windows Server 2003 μετά από έναν ελεγκτή τομέα Windows Server 2008 R2 συμμετέχει στον τομέα

Ιδιότητες

Αναγν. άρθρου: 977321 - Τελευταία αναθεώρηση: Δευτέρα, 24 Σεπτεμβρίου 2012 - Αναθεώρηση: 7.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Λέξεις-κλειδιά: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 977321

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com