El identificador de evento 16 o 27 de KDC se registra si DES para Kerberos está deshabilitado

  • Artículo

En este artículo se describe cómo habilitar el cifrado DES para la autenticación Kerberos en Windows 7 y en Windows Server 2008 R2.

Se aplica a: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Número de KB original: 977321

Resumen

A partir de Windows 7, Windows Server 2008 R2 y todos los sistemas operativos Windows posteriores, el cifrado estándar de cifrado de datos (DES) para la autenticación Kerberos está deshabilitado. En este artículo se describen varios escenarios en los que puede recibir los siguientes eventos en los registros de aplicación, seguridad y sistema porque el cifrado de DES está deshabilitado:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Además, en este artículo se explica cómo habilitar el cifrado DES para la autenticación Kerberos en Windows 7 y en Windows Server 2008 R2. Para obtener información detallada, consulte las secciones "Síntomas", "Causa" y "Solución alternativa" de este artículo.

Síntomas

Considere los escenarios siguientes:

  • Un servicio usa una cuenta de usuario o una cuenta de equipo configurada solo para el cifrado DES en un equipo que ejecuta Windows 7 o Windows Server 2008 R2.
  • Un servicio usa una cuenta de usuario o una cuenta de equipo configurada solo para el cifrado DES y que se encuentra en un dominio junto con controladores de dominio basados en Windows Server 2008 R2.
  • Un cliente que ejecuta Windows 7 o Windows Server 2008 R2 se conecta a un servicio mediante una cuenta de usuario o una cuenta de equipo configurada solo para el cifrado DES.
  • Una relación de confianza está configurada solo para el cifrado DES e incluye controladores de dominio que ejecutan Windows Server 2008 R2.
  • Una aplicación o un servicio se codifican de forma rígida para usar solo el cifrado DES.

En cualquiera de estos escenarios, puede recibir los siguientes eventos en los registros De aplicación, Seguridad y Sistema junto con el origen Microsoft-Windows-Kerberos-Key-Distribution-Center :

Id. Nombre simbólico Mensaje
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS Al procesar una solicitud TGS para el servidor de destino %1, la cuenta %2 no tenía una clave adecuada para generar un vale kerberos (la clave que falta tiene un identificador de %3). Los tipos de etype solicitados eran %4. Los tipos de etype disponibles de las cuentas eran %5.
Id. de evento 27: configuración del tipo de cifrado KDC
16 KDCEVENT_NO_KEY_INTERSECTION_TGS Al procesar una solicitud TGS para el servidor de destino %1, la cuenta %2 no tenía una clave adecuada para generar un vale kerberos (la clave que falta tiene un identificador de %3). Los tipos de etype solicitados eran %4. Los tipos de etype disponibles de las cuentas eran %5. Cambiar o restablecer la contraseña de %6 generará una clave adecuada.
Id. de evento 16: integridad de clave kerberos

Causa

De forma predeterminada, la configuración de seguridad del cifrado DES para Kerberos está deshabilitada en los equipos siguientes:

  • Equipos que ejecutan Windows 7
  • Equipos que ejecutan Windows Server 2008 R2
  • Controladores de dominio que ejecutan Windows Server 2008 R2

Nota:

La compatibilidad criptográfica con Kerberos existe en Windows 7 y en Windows Server 2008 R2.By valor predeterminado, Windows 7 usa los siguientes conjuntos de cifrado de Advanced Encryption Standard (AES) o RC4 para "tipos de cifrado" y para "etypes":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Se produce un error en los servicios configurados solo para el cifrado DES, a menos que se cumplan las condiciones siguientes:

  • El servicio se vuelve a configurar para admitir el cifrado RC4 o para admitir el cifrado AES.
  • Todos los equipos cliente, todos los servidores y todos los controladores de dominio del dominio de la cuenta de servicio están configurados para admitir el cifrado DES.

De forma predeterminada, Windows 7 y Windows Server 2008 R2 admiten los siguientes conjuntos de cifrado: el conjunto de cifrado DES-CBC-MD5 y el conjunto de cifrado DES-CBC-CRC se pueden habilitar en Windows 7 cuando sea necesario.

Solución alternativa

Se recomienda encarecidamente comprobar si el cifrado DES sigue siendo necesario en el entorno o comprobar si los servicios específicos solo requieren cifrado DES. Compruebe si el servicio puede usar cifrado RC4 o cifrado AES, o compruebe si el proveedor tiene una alternativa de autenticación que tenga criptografía más segura.

La 978055 de revisiones es necesaria para que los controladores de dominio basados en Windows Server 2008 R2 controlen correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003. Vea más información a continuación.

  1. Determine si la aplicación está codificada de forma rígida para usar solo el cifrado DES. Pero está deshabilitada por la configuración predeterminada en los clientes que ejecutan Windows 7 o en centros de distribución de claves (KDC).

    Para comprobar si se ve afectado por este problema, recopile algunos seguimientos de red y, a continuación, compruebe si hay seguimientos similares a los siguientes seguimientos de ejemplo:

    Frame 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>

    Marco 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <IP de destino IP<>de origen KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<>Fqdn>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Determine si la cuenta de usuario o la cuenta de equipo está configurada solo para el cifrado DES.

    En el complemento "Usuarios y equipos de Active Directory", abra las propiedades de la cuenta de usuario y compruebe si la opción Usar tipos de cifrado DES kerberos para esta cuenta está establecida en la pestaña Cuenta.

Si llega a la conclusión de que está afectado por este problema y que tiene que activar el tipo de cifrado DES para la autenticación Kerberos, habilite las siguientes directivas de grupo para aplicar el tipo de cifrado DES a todos los equipos que ejecutan Windows 7 o Windows Server 2008 R2:

  1. En la consola de administración de directiva de grupo (GPMC), busque la siguiente ubicación:

    Configuración del equipo\ Configuración de Windows\ Configuración de seguridad\ Directivas locales\ Opciones de seguridad

  2. Haga clic para seleccionar la opción Seguridad de red: configurar los tipos de cifrado permitidos para Kerberos.

  3. Haga clic para seleccionar Definir esta configuración de directiva y todas las seis casillas de verificación para los tipos de cifrado.

  4. Haga clic en Aceptar. Cierre el GPMC.

Nota:

La directiva establece la entrada del SupportedEncryptionTypes Registro en un valor de 0x7FFFFFFF. La SupportedEncryptionTypes entrada del Registro se encuentra en la siguiente ubicación:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

En función del escenario, es posible que tenga que establecer esta directiva en el nivel de dominio para aplicar el tipo de cifrado DES a todos los clientes que ejecutan Windows 7 o Windows Server 2008 R2. O bien, es posible que tenga que establecer esta directiva en la unidad organizativa (OU) del controlador de dominio para los controladores de dominio que ejecutan Windows Server 2008 R2.

Más información

Los problemas de compatibilidad de aplicaciones solo de DES se encuentran en las dos configuraciones siguientes:

  • La aplicación que realiza la llamada está codificada de forma rígida solo para el cifrado DES.
  • La cuenta que ejecuta el servicio está configurada para usar solo el cifrado DES.

Se deben cumplir los siguientes criterios de tipo de cifrado para que funcione la autenticación Kerberos:

  1. Existe un tipo común entre el cliente y el controlador de dominio para el autenticador en el cliente.
  2. Existe un tipo común entre el controlador de dominio y el servidor de recursos para cifrar el vale.
  3. Existe un tipo común entre el cliente y el servidor de recursos para la clave de sesión.

Tenga en cuenta la siguiente situación:

Role SO Nivel de cifrado admitido para Kerberos
DC Windows Server 2003 RC4 y DES
Cliente Windows 7 AES y RC4
Servidor de recursos J2EE DES

En esta situación, el cifrado RC4 cumple los criterios 1 y el cifrado DES cumple los criterios 2. Se produce un error en el tercer criterio porque el servidor es solo DES y porque el cliente no admite DES.

La revisión 978055 debe instalarse en cada controlador de dominio basado en Windows Server 2008 R2 si se cumplen las condiciones siguientes en el dominio:

  • Hay algunas cuentas de usuario o equipo habilitadas para DES.
  • En el mismo dominio, hay uno o varios controladores de dominio que ejecutan Windows 2000 Server, Windows Server 2003 o Windows Server 2003 R2.

Nota:

  • La 978055 de revisiones es necesaria para que los controladores de dominio basados en Windows Server 2008 R2 controlen correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003.
  • Los controladores de dominio basados en Windows Server 2008 no requieren esta revisión.
  • Esta revisión no es necesaria si el dominio solo tiene controladores de dominio basados en Windows Server 2008.

Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

978055 CORRECCIÓN: Las cuentas de usuario que usan el cifrado DES para los tipos de autenticación Kerberos no se pueden autenticar en un dominio de Windows Server 2003 después de que un controlador de dominio de Windows Server 2008 R2 se una al dominio.