Por predefinição, a encriptação Data Encryption Standard (DES) para a autenticação Kerberos é desactivada no Windows 7 e no Windows Server 2008 R2. Este artigo descreve vários cenários em que poderá receber os seguintes eventos nos registos de aplicação, segurança e de sistema porque a encriptação DES está desactivada:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Além disso, este artigo explica como activar a encriptação DES para a autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, consulte "Sintomas," "Causa" e as secções "Como contornar" deste artigo.
Considere os seguintes cenários:
- Um serviço utiliza uma conta de utilizador ou uma conta de computador que esteja configurada para apenas encriptação DES num computador que esteja a executar o Windows 7 ou Windows Server 2008 R2.
- Um serviço utiliza uma conta de utilizador ou uma conta de computador que está configurado para apenas a encriptação DES e que esteja num domínio em conjunto com controladores de domínio baseado no Windows Server 2008 R2.
- Um cliente que esteja a executar o Windows 7 ou Windows Server 2008 R2 liga a um serviço utilizando uma conta de utilizador ou uma conta de computador que esteja configurada para apenas a encriptação DES.
- Uma relação de fidedignidade está configurada para apenas a encriptação DES e inclui controladores de domínio que executem o Windows Server 2008 R2.
- Uma aplicação ou um serviço é codificado para utilizar apenas a encriptação DES.
Em qualquer um destes cenários, poderá receber os seguintes eventos na aplicação, segurança, e registos de sistema em conjunto com o
Microsoft-Windows-Kerberos-Key-Distribution-Center origem:
Reduzir esta tabelaExpandir esta tabela
| ID | Nome simbólico | Mensagem |
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Ao processar um pedido TGS para o servidor de destino % 1, a conta %2 não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de % 3). Os pedido etypes foram % 4. Os etypes disponíveis contas foram % 5. |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Ao processar um pedido TGS para o servidor de destino % 1, a conta %2 não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de % 3). Os pedido etypes foram % 4. Os etypes disponíveis contas foram % 5. Alterar ou repor a palavra-passe de %6 irá gerar uma chave adequada. |
Por predefinição, as definições de segurança para encriptação DES Kerberos são desactivadas nos seguintes computadores:
- Computadores que executem o Windows 7
- Computadores que executem o Windows Server 2008 R2
- Controladores de domínio que executem o Windows Server 2008 R2
Nota Apoio criptográfico para Kerberos existe no Windows 7 e no Windows Server 2008 R2.Por predefinição, o Windows 7 utiliza os seguintes conjuntos de cifras Advance Encryption Standard (AES) ou o RC4 para "tipos de encriptação" e "etypes":
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4 HMAC
Serviços que estão configurados para apenas a encriptação DES falharem, a menos que se verifiquem as seguintes condições:
- O serviço foi reconfigurado para suportar encriptação RC4 ou para suportar a encriptação AES.
- Todos os computadores cliente, todos os servidores e todos os controladores de domínio para o domínio da conta de serviço estão configurados para suportar a encriptação DES.
Por predefinição, o Windows 7 e Windows Server 2008 R2 suportam conjuntos de cifras seguintes: conjunto de cifras O CBC-DES-MD5 e o conjunto de cifras DES-CBC-CRC podem ser activados no Windows 7 quando for necessário.
Recomendamos vivamente que verifique se a encriptação DES ainda é necessária no ambiente ou da verificação se a serviços específicos requerem apenas encriptação DES. Verifique se o serviço pode utilizar a encriptação RC4 ou encriptação AES ou verificar se o fornecedor tem uma alternativa de autenticação que tenha mais forte criptografia.
Correcção
978055
(http://support.microsoft.com/kb/978055/
)
é necessário para os controladores de domínio baseado no Windows Server 2008 R2 processar correctamente as informações do tipo de encriptação que são replicadas a partir dos controladores de domínio que executem o Windows Server 2003. Consulte a secção de informações mais abaixo.
- Determine se a aplicação é pré-programada para utilizar apenas a encriptação DES. Mas está desactivado pelas predefinições em clientes que executem o Windows 7 ou em centros de distribuição de chave (KDCs).
Para verificar se são afectadas por este problema, verifique recolher alguns vestígios de rede e, em seguida, verificar a existência de vestígios semelhantes os traços de exemplo seguinte:Frame 1 {TCP:48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
- Etype:
+ SequenceOfHeader:
+ EType: aes256-cts-hmac-sha1-96 (18)
+ EType: aes128-cts-hmac-sha1-96 (17)
+ EType: rc4-hmac (23)
+ EType: rc4-hmac-exp (24)
+ EType: rc4 hmac old exp (0xff79)
+ TagA:
+ EncAuthorizationData:
- Determine se a conta de utilizador ou a conta de computador está configurada para apenas a encriptação DES.
No snap-in "Utilizadores e computadores do Active Directory", abra Propriedades da conta de utilizador e, em seguida, verifique se o Utilizar tipos de encriptação Kerberos DES para esta conta opção está definida na Conta separador.
Se concluir que são afectados por esta questão e que tem de activar o tipo de encriptação DES para a autenticação Kerberos, Active as seguintes políticas de grupo aplicar o tipo de encriptação DES para todos os computadores que executem o Windows 7 ou Windows Server 2008 R2:
- Na gestão da consola GPMC (Group Policy), localize a seguinte localização:
Computador Configuration\ Windows Settings \ segurança Settings \ Local Policies\ opções de segurança
- Clique para seleccionar o Segurança de rede: Configurar tipos de encriptação permitidos para Kerberos opção.
- Clique para seleccionar Definir estas definições de política e todos os seis caixas para os tipos de encriptação de verificação.
- Clique em OK. Feche a GPMC.
Nota Os conjuntos de política a
SupportedEncryptionTypes entrada de registo para um valor de
0x7FFFFFFF. O
SupportedEncryptionTypes entrada de registo está na seguinte localização:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependendo do cenário, poderá ter de definir esta política ao nível do domínio para aplicar o tipo de encriptação DES para todos os clientes que executem o Windows 7 ou Windows Server 2008 R2. Ou, poderá ter de definir esta política na unidade organizacional (UO) do controlador de domínio para controladores de domínio que executem o Windows Server 2008 R2.
Os problemas de compatibilidade de aplicação de apenas DES são encontrados nas duas seguintes configurações:
- A aplicação de chamada é codificada para apenas a encriptação DES.
- A conta que executa o serviço está configurada para utilizar apenas a encriptação DES.
Devem ser satisfeitos os seguintes critérios de tipo de encriptação para a autenticação Kerberos trabalhar:
- Existe um tipo comum entre o cliente e o controlador de domínio para o autenticador no cliente.
- Existe um tipo comum entre o controlador de domínio e o servidor de recursos para encriptar a permissão.
- Existe um tipo comum entre o cliente e o servidor de recursos para a chave de sessão.
Considere a seguinte situação:
Reduzir esta tabelaExpandir esta tabela
| Função | SO | Suportado o nível de encriptação para Kerberos |
| DC | Windows Server 2003 | RC4 e DES |
| Cliente | Windows 7 | AES e RC4 |
| Servidor de recursos | J2EE | DES |
Nesta situação, os critérios 1 é satisfeita por encriptação RC4 e os critérios 2 é satisfeita por encriptação DES. O terceiro critério falha porque o servidor é só de DES e uma vez que o cliente não suporta o DES.
A correcção 978055 deve ser instalada em cada controlador de domínio baseado no Windows Server 2008 R2, caso se verifiquem as seguintes condições no domínio:
- Existem alguns activada DES contas de utilizador ou computador.
- No mesmo domínio, existe um ou mais controladores de domínio que executem o Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Nota- 978055 De correcção é necessário para os controladores de domínio baseado no Windows Server 2008 R2 processar correctamente as informações do tipo de encriptação que são replicadas a partir dos controladores de domínio que executem o Windows Server 2003.
- Os controladores de domínio baseado no Windows Server 2008 não requerem esta correcção.
- Esta correcção não é necessária se o domínio tiver apenas controladores de domínio baseado no Windows Server 2008.
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
978055
(http://support.microsoft.com/kb/978055/
)
CORRECÇÃO: Contas de utilizador que utilizam encriptação DES para tipos de autenticação Kerberos não podem ser autenticadas no domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 adere ao domínio
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Tradução automática
Voltar ao topo
