KDC Event ID 16 atau 27 login jika DES untuk Kerberos dinonaktifkan

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 977321 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Ringkasan

Dimulai dengan Windows 7, Windows Server 2008 R2 dan kemudian semua sistem operasi Windows, enkripsi Standar Enkripsi Data (DES) untuk otentikasi Kerberos dinonaktifkan. Artikel ini menjelaskan berbagai skenario di mana Anda dapat menerima berikut peristiwa di log aplikasi, keamanan dan sistem karena enkripsi DES dinonaktifkan:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Selain itu, artikel ini menjelaskan cara mengaktifkan enkripsi DES untuk otentikasi Kerberos di Windows 7 dan Windows Server 2008 R2. Untuk informasi rinci, lihat "gejala," "Menyebabkan," dan "Solusi" bagian dari artikel ini.

Gejala

Pertimbangkan skenario berikut:
  • Layanan menggunakan account pengguna atau account komputer yang dikonfigurasi untuk enkripsi DES hanya pada komputer yang menjalankan Windows 7 atau Windows Server 2008 R2.
  • Layanan menggunakan account pengguna atau account komputer yang dikonfigurasi untuk hanya enkripsi DES dan yang ada di domain bersama pengendali domain berbasis Windows Server 2008 R2.
  • Klien yang sedang menjalankan Windows 7 atau Windows Server 2008 R2 terhubung ke layanan dengan menggunakan account pengguna atau account komputer yang dikonfigurasi untuk hanya enkripsi DES.
  • Hubungan kepercayaan dikonfigurasi untuk hanya enkripsi DES dan mencakup pengendali domain yang menjalankan Windows Server 2008 R2.
  • Aplikasi atau layanan adalah hardcoded menggunakan hanya enkripsi DES.
Dalam skenario ini, Anda mungkin menerima peristiwa berikut di log aplikasi, keamanan dan sistem bersama-sama dengan sumber Microsoft-Windows-Kerberos-Key-Distribution-Center :
Perkecil tabel iniPerbesar tabel ini
IDNama simbolisPesan
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSSedangkan pengolahan TGS permintaan untuk server target 1 %, account %2 tidak memiliki bukti kunci cocok untuk menghasilkan sebuah tiket Kerberos (kunci hilang memiliki ID dari %3). Etypes diminta adalah %4. Etypes tersedia rekening adalah %5.
ID Kejadian 27-KDC enkripsi jenis konfigurasi
16KDCEVENT_NO_KEY_INTERSECTION_TGSSedangkan pengolahan TGS permintaan untuk server target 1 %, account %2 tidak memiliki bukti kunci cocok untuk menghasilkan sebuah tiket Kerberos (kunci hilang memiliki ID dari %3). Etypes diminta adalah %4. Etypes tersedia rekening adalah %5. Mengubah atau membuat ulang sandi %6 akan menghasilkan sebuah bukti kunci yang tepat.
ID Kejadian 16-Kerberos Key integritas

Penyebab

secara asali, pengaturan keamanan enkripsi DES untuk Kerberos dinonaktifkan pada komputer berikut:
  • Komputer yang menjalankan Windows 7
  • Komputer yang menjalankan Windows Server 2008 R2
  • pengendali domain yang menjalankan Windows Server 2008 R2
Catatan Kriptografi dukungan untuk Kerberos ada di Windows 7 dan Windows Server 2008 R2.secara asali, Windows 7 menggunakan berikut Advance Encryption Standard (AES) atau RC4 cipher Suite untuk "enkripsi jenis" dan "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Layanan yang dikonfigurasi untuk hanya enkripsi DES gagal kecuali jika kondisi berikut ini benar:
  • Layanan ulang untuk mendukung RC4 enkripsi atau untuk mendukung enkripsi AES.
  • Semua komputer klien, semua server dan semua domain pengendali domain account layanan dikonfigurasi untuk mendukung enkripsi DES.
secara asali, Windows 7 dan Windows Server 2008 R2 mendukung berikut cipher Suite: The DES-CBC-MD5 cipher suite dan DES-CBC-CRC cipher suite dapat diaktifkan pada Windows 7 ketika diperlukan.

Teknik pemecahan masalah

Kami sangat menyarankan Anda memeriksa apakah enkripsi DES masih diperlukan dalam lingkungan atau periksa apakah layanan tertentu memerlukan hanya enkripsi DES. Periksa apakah layanan dapat menggunakan RC4 enkripsi atau enkripsi AES, atau memeriksa apakah penjual memiliki alternatif otentikasi yang memiliki kriptografi yang kuat.

Perbaikan terbaru 978055 diperlukan untuk pengendali domain berbasis Windows Server 2008 R2 dengan benar menangani informasi jenis enkripsi yang direplikasi dari pengontrol domain yang menjalankan Windows Server 2003. Lihat lebih banyak informasi di bawah ini.
  1. Menentukan apakah aplikasi keras-kode untuk menggunakan hanya enkripsi DES. Tetapi dinonaktifkan oleh pengaturan default pada klien yang menjalankan Windows 7 atau pusat distribusi bukti kunci (KDCs).

    Untuk memeriksa apakah Anda terpengaruh oleh masalah ini, Ambil beberapa jejak jaringan, dan kemudian memeriksa jejak yang menyerupai jejak contoh berikut:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Menentukan apakah pengguna account atau rekening komputer yang dikonfigurasi untuk hanya enkripsi DES.

    Di "Active Directory pengguna dan komputer" snap-in, buka properti account pengguna, dan kemudian memeriksa apakah opsi menggunakan Kerberos DES enkripsi jenis account ini terletak di bawah Account tab.
Jika Anda menyimpulkan bahwa Anda terpengaruh oleh masalah ini dan bahwa Anda harus mengubah jenis enkripsi DES untuk otentikasi Kerberos, mengaktifkan kelompok kebijakan berikut untuk menerapkan jenis enkripsi DES ke semua komputer yang menjalankan Windows 7 atau Windows Server 2008 R2:
  1. Dalam kelompok kebijakan konsol manajemen (GPMC), Telisik lokasi berikut:
    Komputer Configuration\ Windows Settings\ keamanan Settings\ lokal Policies\ opsi keamanan
  2. Klik untuk memilih keamanan jaringan: mengkonfigurasi jenis enkripsi yang diperbolehkan untuk Kerberos pilihan.
  3. Klik untuk memilih menetapkan pengaturan kebijakan ini dan semua enam centang untuk jenis enkripsi.
  4. Klik OK. Dekat GPMC.
Catatan Kebijakan ini menetapkan entri registri SupportedEncryptionTypes ke nilai 0x7FFFFFFF. Entri registri SupportedEncryptionTypes adalah di lokasi berikut:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Tergantung pada skenario, Anda mungkin harus menetapkan kebijakan ini pada tingkat domain untuk menerapkan jenis enkripsi DES untuk semua klien yang menjalankan Windows 7 atau Windows Server 2008 R2. Atau, Anda mungkin harus menetapkan kebijakan ini pada unit organisasi (OU) dari domain controller untuk pengendali domain yang menjalankan Windows Server 2008 R2.

Informasi lebih lanjut

Masalah-masalah kompatibilitas mundur aplikasi DES-hanya ditemui dalam dua konfigurasi berikut:
  • Aplikasi yang memanggil adalah hardcoded untuk hanya enkripsi DES.
  • Account yang menjalankan layanan dikonfigurasi untuk menggunakan hanya enkripsi DES.
Enkripsi jenis kriteria berikut harus dipenuhi untuk otentikasi Kerberos bekerja:
  1. Jenis yang umum ada antara klien dan pengendali domain untuk authenticator pada klien.
  2. Jenis yang umum ada antara domain controller dan sumber daya server untuk mengenkripsi Tiket.
  3. Jenis yang umum ada antara klien dan server sumber daya untuk sesi bukti kunci.
Perhatikan situasi berikut:
Perkecil tabel iniPerbesar tabel ini
PeranOSTingkat enkripsi yang didukung untuk Kerberos
DCWindows Server 2003RC4 dan DES
Klien Windows 7AES dan RC4
Sumber daya ServerJ2EEDES
Dalam situasi ini, kriteria 1 adalah puas dengan RC4 enkripsi, dan kriteria 2 adalah puas dengan enkripsi DES. Kriteria ketiga gagal karena server hanya DES dan karena klien tidak mendukung DES.

Perbaikan terbaru 978055 harus diinstal pada pengendali domain berbasis Windows Server 2008 R2 setiap jika kondisi berikut ini benar dalam domain:
  • Ada beberapa berkemampuan DES komputer atau pengguna account.
  • Dalam domain yang sama, ada pengendali domain yang satu atau lebih yang menjalankan Windows 2000 Server, Windows Server 2003, atau Windows Server 2003 R2.
Catatan
  • Perbaikan terbaru 978055 diperlukan untuk pengendali domain berbasis Windows Server 2008 R2 dengan benar menangani informasi jenis enkripsi yang direplikasi dari pengontrol domain yang menjalankan Windows Server 2003.
  • pengendali domain berbasis Windows Server 2008 tidak memerlukan perbaikan terbaru ini.
  • Perbaikan terbaru ini tidak diperlukan jika domain telah hanya pengendali domain berbasis Windows Server 2008.
Untuk informasi lebih lanjut, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
978055 FIX: Account pengguna yang menggunakan enkripsi DES untuk jenis otentikasi Kerberos tidak diotentikasi di domain Windows Server 2003 setelah pengendali domain Windows Server 2008 R2 bergabung dengan domain

Properti

ID Artikel: 977321 - Kajian Terakhir: 04 November 2013 - Revisi: 2.0
Berlaku bagi:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Kata kunci: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 977321

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com