Kerberos の DES が無効の場合、KDC のイベント ID の 16 または 27 が記録されます。

文書翻訳 文書翻訳
文書番号: 977321 - 対象製品
すべて展開する | すべて折りたたむ

概要

以降、Windows 7、Windows Server 2008 R2、および以降のすべての Windows オペレーティング システムでは、Kerberos 認証、データ暗号化標準 (DES) 暗号化が無効になります。この資料ではさまざまなシナリオが DES 暗号化が無効なため、アプリケーション、セキュリティ、およびシステム ログに次のイベントを受け取ることがあります。
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
さらに、Windows Server 2008 R2 および Windows 7 での Kerberos 認証の DES 暗号化を有効にする方法について説明します。詳細については、「現象」、「原因」を参照してください、この資料の「回避策」のセクションします。

現象

次のシナリオを検討してください。
  • サービスは、ユーザー アカウントまたはコンピューター アカウントで構成されている Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上の DES 暗号化のみを使用します。
  • サービスは、ユーザー アカウントまたはコンピューター アカウントに DES 暗号化にのみ構成されていると、Windows Server 2008 R2 ベースのドメイン コント ローラーとドメイン内にあるを使用します。
  • Windows 7 または Windows Server 2008 R2 を実行しているクライアントは、ユーザー アカウントまたはコンピューター アカウントが構成されていることを DES 暗号化のみを使用してサービスに接続します。
  • 信頼関係が DES 暗号化にのみ構成されている Windows Server 2008 R2 を実行しているドメイン コント ローラーが含まれています.
  • アプリケーションまたはサービスは、DES 暗号化のみを使用するには、ハードコードされたです。
これらのシナリオのいずれかでMicrosoft-Windows-Kerberos-Key-Distribution-Centerのソースとは、アプリケーション、セキュリティ、およびシステム ログに次のイベントが表示されます。
元に戻す全体を表示する
IDシンボル名メッセージ
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSながら、TGS 要求をターゲット サーバー %1、%2 のアカウントの処理 (存在しないキーが % の)、Kerberos チケットを生成するための適切なキーがあるありませんでした。要求された etype は、%4 が発生しました。アカウントで利用できる etype %5 が発生しました。
イベント ID 27: KDC の暗号化の種類の構成
16KDCEVENT_NO_KEY_INTERSECTION_TGSながら、TGS 要求をターゲット サーバー %1、%2 のアカウントの処理 (存在しないキーが % の)、Kerberos チケットを生成するための適切なキーがあるありませんでした。要求された etype は、%4 が発生しました。アカウントで利用できる etype %5 が発生しました。変更または %6 のパスワードをリセットすると正しいキーが生成されます。
イベント ID 16 が Kerberos キーの整合性

原因

既定では、以下のコンピューターでは Kerberos の DES 暗号化のセキュリティ設定は無効になります。
  • Windows 7 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているドメイン コント ローラー
メモ Kerberos 暗号化のサポートは、Windows Server 2008 R2 および Windows 7 に存在します。既定では、「暗号化の種類」および「etype」の Windows 7 の次の高度暗号化標準 (AES)] または [RC4 暗号スイートを使用します。
  • AES256 の CTS の HMAC SHA1-1996
  • AES128 に CTS の HMAC SHA1-1996
  • RC4 HMAC
DES 暗号化にのみ構成されているサービスは、次の条件に該当する場合を除き、失敗します。
  • RC4 暗号化をサポートするために、または AES 暗号化をサポートするためには、サービスが再構成されます。
  • DES の暗号化をサポートするすべてのクライアント コンピューター、すべてのサーバー、およびサービス アカウントのドメインのすべてのドメイン コント ローラーが構成されます。
既定では、Windows 7 および Windows Server 2008 R2 のサポート、次の暗号スイート: の DES-CBC MD5 暗号および CRC-DES-CBC 暗号できる Windows 7 では、必要なとき。

回避策

特定のサービスだけ DES 暗号化を必要とするかどうか DES 暗号化はまだ環境またはチェックで必要かどうかを確認することを強くお勧めします。サービスできる RC4 暗号化または AES 暗号化を使用するかがより強力な暗号化認証の代わりがあるかどうかを確認を確認します。

修正プログラム 978055 Windows Server 2008 R2 ベースのドメイン コント ローラーを Windows Server 2003 を実行しているドメイン コント ローラーからレプリケートされる暗号化の種類の情報を正しく処理する必要があります。以下の「詳細を参照してください。
  1. アプリケーションは、DES 暗号化のみを使用するハード コーディングされたかどうかを確認します。Windows 7 を実行しているクライアントまたはキー配布センター (Kdc) で、既定の設定で無効になっています。

    この問題の影響を受けるかどうかを確認するには、一部のネットワーク トレースを収集してくださいと、次のサンプル トレースのようなトレースをチェックします。
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. DES 暗号化のみのユーザー アカウントまたはコンピューター アカウントが構成されているかどうかを確認します。

    Active Directory ユーザーとコンピューター] スナップインで、ユーザー アカウントのプロパティを開き、[アカウント] タブの [このアカウントを使用する Kerberos の DES 暗号化の種類オプションが設定されているかどうかを確認し、
この問題の影響を受けること、および DES 暗号化の種類は、Kerberos 認証を有効にするとするいると判断した場合に Windows 7 または Windows Server 2008 R2 を実行しているすべてのコンピューターに DES 暗号化タイプを適用する、次のグループ ポリシーを有効にします。
  1. グループ ポリシー管理コンソール (GPMC) では、次の場所を探します。
    コンピューターの Configuration\ Windows Settings\ セキュリティ Settings\ Policies\ のローカル セキュリティのオプション
  2. クリックして選択、ネットワーク セキュリティ: Kerberos に許可される暗号化の種類を構成するオプションです。
  3. これらのポリシー設定を定義して、暗号化の種類の 6 つすべてのチェック ボックスを選択する] をクリックします。
  4. [Ok]をクリックします。GPMC を閉じます。
メモ ポリシーの0x7FFFFFFF値に、 SupportedEncryptionTypesレジストリ エントリを設定します。SupportedEncryptionTypesレジストリ エントリは次の場所には。
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
、状況によっては DES の暗号化の種類を Windows 7 または Windows Server 2008 R2 を実行しているすべてのクライアントに適用するには、ドメイン レベルでこのポリシーを設定する必要があります。または、Windows Server 2008 R2 を実行しているドメイン コント ローラーのドメイン コント ローラーの組織単位 (OU) にこのポリシーを設定するに必要があります。

詳細

次の 2 つの構成に DES のみのアプリケーションの互換性の問題が発生しました。
  • 呼び出し元のアプリケーションはハードコーディングの DES 暗号化のみです。
  • サービスを実行するアカウントには、DES 暗号化のみを使用して構成されます。
Kerberos 認証が機能するため、次の暗号化の種類の条件を満たす必要があります。
  1. 共通の型はクライアントの認証をクライアントとドメイン コント ローラーの間で存在します。
  2. ドメイン コント ローラーと、チケットを暗号化するには、リソース サーバーの間で共通の型に存在しています。
  3. クライアントとセッション キーのリソース サーバーの間で共通の型に存在しています。
次のような状況を考えてみます。
元に戻す全体を表示する
ロールOSKerberos 暗号化レベルをサポート
DCWindows Server 2003RC4 および DES
クライアント Windows 7AES および RC4
リソース サーバーJ 2 EEDES
この状況では、1 の条件は、RC4 暗号化によって満たされ、条件 2 が DES 暗号化によって満たされます。サーバーが、3 番目の条件が失敗した DES のみクライアントが DES をサポートしていないためとします。

ドメインで、次の条件が true の場合、各 Windows Server 2008 R2 ベースのドメイン コント ローラーに修正プログラム 978055 をインストールしなければなりません。
  • いくつか DES が有効なユーザーまたはコンピューターのアカウントがあります。
  • 同じドメイン内は 1 つまたは複数ドメイン コント ローラーを Windows 2000 Server、Windows Server 2003、または Windows Server 2003 R2 を実行しています。
注:
  • 修正プログラム 978055 は、Windows Server 2008 R2 ベースのドメイン コント ローラーを Windows Server 2003 を実行しているドメイン コント ローラーからレプリケートされる暗号化の種類の情報を正しく処理するために必要です。
  • Windows Server 2008 ベースのドメイン コント ローラーでは、この修正プログラムは必要ありません。
  • ドメインに Windows Server 2008 ベースのドメイン コント ローラーのみの場合は、この修正プログラムは必要ありません。
詳細については、以下の資料番号をクリックして、マイクロソフト サポート技術情報資料を参照してください。
978055 修正: DES 暗号化を使用して、Kerberos 認証の種類用のユーザー アカウント認証できない Windows Server 2003 ドメインで、Windows Server 2008 R2 ドメイン コント ローラーがドメインに参加した後

プロパティ

文書番号: 977321 - 最終更新日: 2013年11月5日 - リビジョン: 6.0
この資料は以下の製品について記述したものです。
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
キーワード:?
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:977321
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com