로그인

Select the product you need help with

이벤트 ID 16 KDC 또는 27 기록 Kerberos DES를 사용할 수 없는 경우

기술 자료: 977321 - 이 문서가 적용되는 제품 보기.

기계 번역 고지 사항 보기

기계 번역된 문서와 영문 원본 문서 나란히 보기

모두 확대 | 모두 축소

요약

기본적으로 Windows Server 2008 R2 및 Windows 7에서 데이터 암호화 표준 (DES) 암호화 Kerberos 인증을 사용할 수 없습니다. DES 암호화 되지 않았기 때문에 응용 프로그램, 보안 및 시스템 로그에 다음 이벤트가 나타날 수 있습니다 다양 한 시나리오에 설명 합니다.

KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
KDCEVENT_NO_KEY_INTERSECTION_TGS

또한이 문서에서는 Windows Server 2008 R2 및 Windows 7에서 Kerberos 인증을 위해 DES 암호화를 사용 하는 방법을 설명 합니다. 자세한 내용은 "현상"원인"," 및이 문서의 "해결 방법" 절.

위로 가기 | 피드백 보내기

원인

기본적으로 Kerberos DES 암호화에 대 한 보안 설정은 다음 컴퓨터에 있습니다.

Windows 7을 실행 하는 컴퓨터
Windows Server 2008 r2를 실행 하는 컴퓨터
Windows Server 2008 r2를 실행 하는 도메인 컨트롤러

참고 Kerberos에 대 한 암호화 지원 Windows 7에서 및 Windows Server 2008 r2에서 존재합니다.기본적으로 Windows 7 "etypes" 및 "암호화 유형"에 대 한 다음의 AES (고급 암호화 표준) 또는 RC4 암호 그룹을 사용합니다.

AES256-CTS-HMAC-SHA1-96
AES128-CTS-HMAC-SHA1-96
HMAC RC4

다음 조건에 해당 하지 않는 한만 DES 암호화에 구성 된 서비스 실패:

서비스가 RC4 암호화를 지원 하도록 또는 AES 암호화를 지원 하도록 다시 구성 됩니다.
모든 클라이언트 컴퓨터, 모든 서버 및 모든 도메인 컨트롤러는 도메인 서비스 계정에 DES 암호화를 지원 하도록 구성 됩니다.

기본적으로 Windows 7 및 Windows Server 2008 r2를 다음 암호 그룹 지원: cipher suite는 DES-CBC-md5와 CRC-CBC-DES 암호화 제품군 사용 Windows 7에서 요구 되는 경우.

위로 가기 | 피드백 보내기

해결 과정

특정 서비스를 유일한 DES 암호화 필요 여부 DES 암호화 여전히 환경 또는 확인에 필요한 지 여부를 확인 하는 것이 좋습니다. 서비스가 RC4 암호화 또는 AES 암호화를 사용 하거나 공급 업체에 있는 강력한 암호화 인증 대신 있는지 여부를 확인 여부를 확인 합니다.

핫픽스 978055

(http://support.microsoft.com/kb/978055/ )

Windows Server 2003을 실행 하는 도메인 컨트롤러에서 복제 되는 암호화 형식 정보를 올바르게 처리 하는 Windows Server 2008 R2 기반 도메인 컨트롤러에 대 한 필수입니다. 아래 추가 정보 절을 참조 하십시오.

응용 프로그램에만 DES 암호화를 사용 하도록 하드 코딩 되는지 확인 합니다. 그러나 Windows 7을 실행 하는 클라이언트 또는 키 배포 센터 (Kdc)에서 기본 설정으로 사용할 수 없습니다.

이 문제가 발생 했는지 여부를 확인 하려면 주십시오 일부 네트워크 추적을 수집 하 고 다음 샘플 추적을 유사한 추적을 확인:

Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>

Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
	
0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
       - Etype: 
      + SequenceOfHeader: 
      + EType: aes256-cts-hmac-sha1-96 (18)
      + EType: aes128-cts-hmac-sha1-96 (17)
      + EType: rc4-hmac (23)
      + EType: rc4-hmac-exp (24)
      + EType: rc4 hmac old exp (0xff79)
     + TagA: 
     + EncAuthorizationData:

사용자 계정 또는 컴퓨터 계정에 DES 암호화에만 구성 되어 있는지 여부를 확인 합니다.

"Active Directory 사용자 및 컴퓨터" 스냅인에서 사용자 계정 속성 및 다음 체크 여부 열은 이 계정에 [NULL]에 대해 Kerberos DES 암호화 형식 사용 옵션에서 설정 되어 있는 계정 탭입니다.

이 문제의 영향을 받지 것 고 DES 암호화 형식에 대 한 Kerberos 인증을 설정 해야 한다는 결론을 내릴 경우 DES 암호화 형식 Windows 7 또는 Windows Server 2008 r2를 실행 하는 모든 컴퓨터에 적용 하려면 다음 그룹 정책 설정:

GPMC (그룹 정책 관리 콘솔에서), 다음 위치를 찾습니다.
컴퓨터 Configuration\ Windows Settings\ 보안 Settings\ 로컬 Policies\ 보안 옵션
선택 하는 네트워크 보안:에 대 한 Kerberos 암호화 유형 구성 옵션입니다.
선택 합니다. 이 정책 설정 정의 및 모든 6 암호화 종류를 선택 합니다.
클릭 확인. GPMC를 닫습니다.

참고 정책 설정의 SupportedEncryptionTypes 값을 레지스트리 항목 0x7FFFFFFF. 는 SupportedEncryptionTypes 레지스트리 항목은 다음 위치에 다음과 같습니다.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

시나리오에 따라 Windows 7 또는 Windows Server 2008 r2를 실행 하는 모든 클라이언트에 DES 암호화 형식 적용 도메인 수준에서이 정책 설정 할 수 있습니다. 또는 Windows Server 2008 r2를 실행 하는 도메인 컨트롤러에 [NULL]에 대해 도메인 컨트롤러의 조직 구성 단위 (OU)에서이 정책 설정에 있을 수 있습니다.

위로 가기 | 피드백 보내기

추가 정보

DES 전용 응용 프로그램 호환성 문제는 다음 두 가지 구성으로 발생 합니다.

호출 응용 프로그램에 하드 코드 된 DES 암호화만입니다.
서비스가 실행 되는 계정만 DES 암호화를 사용 하도록 구성 됩니다.

작동 하려면 Kerberos 인증에는 다음 암호화 형식 조건 충족 되어야 합니다.

공용 형식 클라이언트와 도메인 컨트롤러 간에 인증자는 클라이언트에 존재합니다.
도메인 컨트롤러 및 티켓을 암호화할 리소스 서버 간의 일반적인 형식을 존재 합니다.
클라이언트 및 세션 키에 대 한 리소스 서버 간의 일반적인 형식을 있습니다.

다음과 같은 경우를 고려 하십시오.

표 축소표 확대

역할	운영 체제	암호화 수준에 대 한 Kerberos 지원
DC	Windows Server 2003	RC4 및 DES
클라이언트	Windows 7	AES 및 RC4
서버 리소스	J2EE	DES

이 경우 조건 1 RC4 암호화에 의해 충족 되 고 조건 2 DES 암호화가 충족 됩니다. 서버 이기 때문에 세 번째 조건을 실패 DES 전용 및 클라이언트 DES 지원 하지 않기 때문입니다.

도메인에서 다음 조건에 해당 하는 경우 각 Windows Server 2008 R2 기반 도메인 컨트롤러에서 핫픽스 978055를 설치 합니다.

일부 DES 사용이 가능한 사용자 또는 컴퓨터 계정입니다.
동일한 도메인에는 하나 이상의 도메인 컨트롤러가 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2003 r2를 실행 하는.

참고

핫픽스 978055 Windows Server 2003을 실행 하는 도메인 컨트롤러에서 복제 되는 암호화 형식 정보를 올바르게 처리 하는 Windows Server 2008 R2 기반 도메인 컨트롤러에 대 한 필수입니다.
Windows Server 2008 기반 도메인 컨트롤러는이 핫픽스가 필요 하지 않습니다.
이 핫픽스는 Windows Server 2008 기반 도메인 컨트롤러의 도메인에 있는 경우에 필요 하지 않습니다.

에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

978055

(http://support.microsoft.com/kb/978055/ )

FIX: Windows Server 2008 R2 도메인 컨트롤러의 도메인 가입 후 Kerberos 인증 형식에 [NULL]에 대해 DES 암호화를 사용 하는 사용자 계정이 Windows Server 2003 도메인에서 인증할 수 없습니다.

위로 가기 | 피드백 보내기

속성

기술 자료: 977321 - 마지막 검토: 2011년 4월 22일 금요일 - 수정: 2.0

본 문서의 정보는 다음의 제품에 적용됩니다.

Windows Server 2008 R2 Datacenter
Windows Server 2008 R2 Enterprise
Windows Server 2008 R2 Standard
Windows 7 Enterprise
Windows 7 Professional
Windows 7 Ultimate
Windows Server 2008 R2 Service Pack 1

kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtko

기계 번역된 문서

중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

이 문서의 영문 버전 보기:977321

(http://support.microsoft.com/kb/977321/en-us/ )

위로 가기 | 피드백 보내기