16 De ID de evento KDC o 27 se registra si DES de Kerberos está deshabilitado

Seleccione idioma Seleccione idioma
Id. de artículo: 977321 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Resumen

A partir de Windows 7, Windows Server 2008 R2 y todos los sistemas operativos Windows posteriores, el cifrado estándar de cifrado de datos (DES) para la autenticación Kerberos está deshabilitado. Este artículo describe varios escenarios en los que puede recibir los siguientes sucesos en los registros de aplicación, seguridad y sistema porque está deshabilitado el cifrado DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Además, en este artículo se explica cómo habilitar el cifrado DES para la autenticación Kerberos en Windows 7 y Windows Server 2008 R2. Para obtener información detallada, vea "Síntomas," "Causa" y las secciones "Solución" de este artículo.

Síntomas

Tenga en cuenta los siguientes escenarios:
  • Un servicio utiliza una cuenta de usuario o una cuenta de equipo está configurada para el cifrado de DES sólo en un equipo que ejecuta Windows 7 o Windows Server 2008 R2.
  • Un servicio utiliza una cuenta de usuario o una cuenta de equipo que está configurado para sólo el cifrado DES y que está en un dominio con controladores de dominio basados en Windows Server 2008 R2.
  • Un cliente que ejecuta Windows 7 o Windows Server 2008 R2 se conecta a un servicio mediante una cuenta de usuario o una cuenta de equipo está configurada para sólo el cifrado DES.
  • Una relación de confianza se configura para el cifrado de DES sólo e incluye controladores de dominio que ejecutan Windows Server 2008 R2.
  • Una aplicación o un servicio está codificado para utilizar sólo el cifrado DES.
En cualquiera de estos escenarios, puede recibir los siguientes sucesos en los registros de aplicación, seguridad y sistema junto con el origen de Microsoft-Windows-Kerberos-Key-Distribution-Center :
Contraer esta tablaAmpliar esta tabla
ID.Nombre simbólicoMensaje
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSMientras se procesa una solicitud TGS para el servidor de destino %1, la cuenta %2 no tiene una clave adecuada para generar un vale de Kerberos (falta la clave tiene un identificador de 3%). El ETYPE solicitada fue %4. El ETYPE cuentas disponibles era %5.
ID de evento 27: Configuración del tipo de cifrado KDC
16KDCEVENT_NO_KEY_INTERSECTION_TGSMientras se procesa una solicitud TGS para el servidor de destino %1, la cuenta %2 no tiene una clave adecuada para generar un vale de Kerberos (falta la clave tiene un identificador de 3%). El ETYPE solicitada fue %4. El ETYPE cuentas disponibles era %5. Cambiar o restablecer la contraseña de %6 generará la clave correcta.
ID de evento 16: Integridad de claves de Kerberos

Causa

De forma predeterminada, la configuración de seguridad para el cifrado DES de Kerberos está deshabilitada en los siguientes equipos:
  • Equipos que ejecutan Windows 7
  • Equipos que ejecutan Windows Server 2008 R2
  • Controladores de dominio que ejecutan Windows Server 2008 R2
Nota Compatibilidad con cifrado Kerberos existe en Windows 7 y Windows Server 2008 R2.De forma predeterminada, Windows 7 utiliza los siguientes paquetes de cifrado RC4 o de avance Encryption Standard (AES) para "tipos de cifrado" y "ETYPE":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC.
Servicios configurados para el cifrado de DES sólo producirá un error a menos que las siguientes condiciones son verdaderas:
  • El servicio se configurará para admitir cifrado RC4 o para admitir cifrado AES.
  • Todos los equipos cliente, todos los servidores y todos los controladores de dominio para el dominio de la cuenta de servicio están configurados para admitir cifrado DES.
De manera predeterminada, Windows 7 y Windows Server 2008 R2 admiten los siguientes conjuntos de cifrados: conjunto de cifrado el DES-CBC-MD5 y el conjunto de cifrado DES-CBC-CRC pueden habilitarse en Windows 7 cuando sea necesario.

Solución

Se recomienda encarecidamente que compruebe si cifrado DES todavía es necesaria en el entorno o la verificación si servicios específicos requieren sólo el cifrado DES. Compruebe si el servicio puede utilizar cifrado RC4 o AES o comprobar si el proveedor tiene la alternativa de autenticación con cifrado fuerte.

Hotfix 978055 es necesario para los controladores de dominio basados en Windows Server 2008 R2 controlar correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003. Consulte la siguiente sección de más información.
  1. Determinar si la aplicación está codificado de forma rígida para utilizar sólo el cifrado DES. Pero está deshabilitado de la configuración predeterminada en clientes que ejecutan Windows 7 o en centros de distribución de claves (KDC).

    Para comprobar si se ven afectados por este problema, recopile algunas trazas de red y, a continuación, comprobar los seguimientos que se asemejan a las trazas del ejemplo siguiente:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Determinar si la cuenta de usuario o la cuenta de equipo está configurada para el cifrado de DES sólo.

    En el complemento "Usuarios y equipos de Active Directory", abra las propiedades de la cuenta de usuario y, a continuación, compruebe si la opción tipos de cifrado DES de Kerberos del uso de esta cuenta está establecida en la ficha cuenta .
Si concluye que se ven afectados por este problema y que debe activar el tipo de cifrado DES para la autenticación Kerberos, habilite las siguientes directivas de grupo aplicar el tipo de cifrado DES a todos los equipos que ejecutan Windows 7 o Windows Server 2008 R2:
  1. En la consola de administración de directivas de grupo (GPMC), busque la siguiente ubicación:
    Equipo Configuration\ Windows Settings\ seguridad Settings\ Local Policies\ opciones de seguridad
  2. Haga clic para seleccionar la seguridad de red: configurar tipos de cifrado permitidos para Kerberos opción.
  3. Haga clic para seleccionar Definir esta configuración de directiva y las seis casillas de verificación para los tipos de cifrado.
  4. Haga clic en Aceptar. Cierre la GPMC.
Nota La directiva establece la entrada de registro SupportedEncryptionTypes a un valor de 0x7FFFFFFF. La entrada de registro SupportedEncryptionTypes está en la ubicación siguiente:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependiendo del escenario, deberá establecer esta directiva en el nivel de dominio para el tipo de cifrado DES se aplican a todos los clientes que ejecutan Windows 7 o Windows Server 2008 R2. O bien, puede que deba establecer esta directiva en la unidad organizativa (OU) del controlador de dominio para los controladores de dominio que ejecutan Windows Server 2008 R2.

Más información

Los problemas de compatibilidad de la aplicación sólo DES se encuentran en las dos configuraciones siguientes:
  • La aplicación de llamada está codificado para sólo el cifrado DES.
  • La cuenta que ejecuta el servicio está configurada para utilizar sólo el cifrado DES.
Deberán cumplirse los siguientes criterios de tipo de cifrado para que funcione la autenticación Kerberos:
  1. No existe un tipo común entre el cliente y el controlador de dominio para el autenticador en el cliente.
  2. Existe un tipo común entre el controlador de dominio y el servidor de recursos para cifrar el vale.
  3. Existe un tipo común entre el cliente y el servidor de recursos para la clave de sesión.
Tenga en cuenta la situación siguiente:
Contraer esta tablaAmpliar esta tabla
FunciónSISTEMA OPERATIVOAdmite el nivel de cifrado de Kerberos
CONTROLADOR DE DOMINIOWindows Server 2003RC4 y DES
Cliente Windows 7AES y RC4
Servidor de recursosJ2EEDES
En esta situación, el cifrado RC4 cumple los criterios 1 y cifrado DES cumple los criterios de 2. El tercer criterio se produce un error porque el servidor es sólo DES y porque el cliente no es compatible con DES.

La revisión 978055 debe instalarse en cada controlador de dominio basado en Windows Server 2008 R2, si las condiciones siguientes se cumplen en el dominio:
  • Hay algunas cuentas de usuario o equipo DES habilitado.
  • En el mismo dominio, hay uno o varios controladores de dominio que ejecutan Windows 2000 Server, Windows Server 2003 o Windows Server 2003 R2.
Nota
  • 978055 De revisión es necesario para los controladores de dominio basados en Windows Server 2008 R2 controlar correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003.
  • Los controladores de dominio basados en Windows Server 2008 no requieren esta revisión.
  • Esta revisión no es necesaria si el dominio tiene sólo los controladores de dominio basados en Windows Server 2008.
Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
978055 No corregir: Cuentas de usuario que utilizarán el cifrado DES para los tipos de autenticación de Kerberos se puede autenticar en un dominio de Windows Server 2003 después de que el dominio une a un controlador de dominio de Windows Server 2008 R2

Propiedades

Id. de artículo: 977321 - Última revisión: lunes, 4 de noviembre de 2013 - Versión: 4.0
La información de este artículo se refiere a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Palabras clave: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 977321

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com