16 De ID de evento KDC ou 27 é registrada se DES para o Kerberos está desabilitado

Traduções deste artigo Traduções deste artigo
ID do artigo: 977321 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sumário

Iniciando com o Windows 7, Windows Server 2008 R2 e todos os sistemas Windows posteriores, criptografia padrão de criptografia de dados (DES) para a autenticação Kerberos está desabilitada. Este artigo descreve vários cenários em que você pode receber os seguintes eventos nos logs de aplicativo, segurança e sistema porque a criptografia DES é desativada:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Além disso, este artigo explica como habilitar a criptografia DES para a autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, consulte os "Sintomas", "Causa" e as seções de "Solução alternativa" deste artigo.

Sintomas

Considere os seguintes cenários:
  • Um serviço usa uma conta de usuário ou uma conta de computador está configurada para criptografia de DES somente em um computador que esteja executando o Windows 7 ou Windows Server 2008 R2.
  • Um serviço usa uma conta de usuário ou uma conta de computador que está configurado para somente criptografia DES e que esteja em um domínio com controladores de domínio baseados no Windows Server 2008 R2.
  • Um cliente que esteja executando o Windows 7 ou Windows Server 2008 R2 se conecta a um serviço, usando uma conta de usuário ou uma conta de computador está configurada para somente criptografia DES.
  • Uma relação de confiança está configurada para somente criptografia DES e inclui controladores de domínio que estão executando o Windows Server 2008 R2.
  • Um aplicativo ou um serviço é codificado para usar somente a criptografia DES.
Em qualquer um desses cenários, você pode receber os seguintes eventos nos logs de aplicativo, segurança e sistema junto com a fonte de Microsoft-Windows-Kerberos-Key-Distribution-Center :
Recolher esta tabelaExpandir esta tabela
IDNome simbólicoMensagem
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSEnquanto o processamento de uma solicitação TGS para o servidor de destino %1, conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de %3). Os etypes solicitadas foi %4. Os etypes disponível contas foram %5.
ID de evento 27 ? Configuração do tipo KDC criptografia
16KDCEVENT_NO_KEY_INTERSECTION_TGSEnquanto o processamento de uma solicitação TGS para o servidor de destino %1, conta %2 não tinha uma chave adequada para gerar um tíquete Kerberos (chave ausente tem uma identificação de %3). Os etypes solicitadas foi %4. Os etypes disponível contas foram %5. Alterar ou redefinir a senha de %6 gerará uma chave adequada.
Identificação do evento 16 ? Kerberos Key Integrity

Causa

Por padrão, as configurações de segurança para a criptografia DES de Kerberos estão desabilitadas nos seguintes computadores:
  • Computadores que estejam executando o Windows 7
  • Computadores que executam o Windows Server 2008 R2
  • Controladores de domínio que estão executando o Windows Server 2008 R2
Observação Suporte à criptografia Kerberos existe no Windows 7 e no Windows Server 2008 R2.Por padrão, o Windows 7 usa a seguinte conjuntos de codificação antecipada criptografia AES (padrão) ou RC4 para "tipos de criptografia" e "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • HMAC RC4
Serviços que são configurados para apenas criptografia DES falharem, a menos que as seguintes condições forem verdadeiras:
  • O serviço será reconfigurado para oferecer suporte à criptografia RC4 ou para oferecer suporte à criptografia AES.
  • Todos os controladores de domínio para o domínio da conta de serviço, todos os servidores e todos os computadores cliente estão configurados para oferecer suporte a criptografia DES.
Por padrão, o Windows 7 e Windows Server 2008 R2 suportam os seguintes conjuntos de codificação: conjunto de codificação o DES-CBC-MD5 e o conjunto de codificação DES-CBC-CRC, podem ser habilitados no Windows 7 quando ele é necessário.

Como Contornar

É altamente recomendável que você verifique se criptografia DES ainda é necessária no ambiente ou verifique se serviços específicos requerem somente criptografia DES. Verifique se o serviço pode usar criptografia RC4 ou AES criptografia ou verifique se o fornecedor tem uma alternativa de autenticação que possui uma criptografia mais forte.

Hotfix 978055 é necessária para os controladores de domínio baseados no Windows Server 2008 R2 tratar corretamente as informações de tipo de criptografia que são replicadas dos controladores de domínio que executam o Windows Server 2003. Consulte a seção mais informações abaixo.
  1. Determine se o aplicativo está codificado para usar somente a criptografia DES. Mas ele está desativado, as configurações padrão em clientes que estejam executando o Windows 7 ou centros de distribuição de chave (KDCs).

    Para verificar se você está afetado por esse problema, por favor, coletar alguns rastreamentos de rede e procure rastreamentos que se parecem com os rastreamentos de exemplo a seguir:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Determine se a conta de usuário ou a conta do computador está configurada para somente criptografia DES.

    No snap-in "Utilizadores e computadores do Active Directory", abrir as propriedades de conta de usuário e, em seguida, verifique se a opção usar Kerberos DES tipos de criptografia para esta conta está definida na guia conta .
Se você concluir que são afetados por esse problema e o que você precisa ativar o tipo de criptografia DES para a autenticação Kerberos, habilite as seguintes diretivas de grupo aplicar o tipo de criptografia DES para todos os computadores que estão executando o Windows 7 ou Windows Server 2008 R2:
  1. No Group Policy Management Console (GPMC), localize o seguinte local:
    Computador configuração Windows Settings \ segurança Settings \ Local Policies\ opções de segurança
  2. Clique para selecionar o segurança de rede: configurar tipos de criptografia permitidos para Kerberos opção.
  3. Clique para selecionar todas as caixas de seleção seis para os tipos de criptografia e definir as configurações dessas diretivas .
  4. Clique em OK. Feche o GPMC.
Observação A diretiva define a entrada de registro SupportedEncryptionTypes para um valor de 0x7FFFFFFF. A entrada do registro SupportedEncryptionTypes está no seguinte local:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependendo do cenário, você precisará definir esta diretiva no nível do domínio para aplicar o tipo de criptografia DES para todos os clientes que estão executando o Windows 7 ou Windows Server 2008 R2. Ou, talvez seja necessário definir essa diretiva na unidade organizacional (UO) do controlador de domínio para os controladores de domínio que estão executando o Windows Server 2008 R2.

Mais Informações

Os problemas de compatibilidade de aplicativo somente DES são encontrados em duas configurações a seguir:
  • O aplicativo de chamada é codificado para somente criptografia DES.
  • A conta que executa o serviço está configurada para usar somente a criptografia DES.
Os critérios de tipo de criptografia a seguir devem ser atendidos para a autenticação Kerberos funcione:
  1. Um tipo comum existe entre o cliente e o controlador de domínio para o autenticador no cliente.
  2. Um tipo comum existe entre o controlador de domínio e o servidor de recurso para criptografar o tíquete.
  3. Um tipo comum existe entre o cliente e o servidor de recurso para a chave de sessão.
Considere a seguinte situação:
Recolher esta tabelaExpandir esta tabela
FunçãoSISTEMA OPERACIONALSuporte para o nível de criptografia para o Kerberos
CONTROLADOR DE DOMÍNIOWindows Server 2003RC4 e DES
Cliente O Windows 7AES e RC4
Servidor de recursosJ2EEDES
Nessa situação, os critérios 1 satisfeita por criptografia RC4 e os critérios 2 é satisfeita pela criptografia DES. O terceiro critério falha porque o servidor está somente DES e porque o cliente não dá suporte ao DES.

O hotfix 978055 deve ser instalado em cada controlador de domínio baseado no Windows Server 2008 R2 se as seguintes condições forem verdadeiras no domínio:
  • Existem algumas contas de usuário ou computador habilitado para DES.
  • No mesmo domínio, há um ou mais controladores de domínio que executam o Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Observação
  • Hotfix 978055 é necessária para os controladores de domínio baseados no Windows Server 2008 R2 tratar corretamente as informações de tipo de criptografia que são replicadas dos controladores de domínio que executam o Windows Server 2003.
  • Os controladores de domínio baseados no Windows Server 2008 não requerem esse hotfix.
  • Esse hotfix não é necessário se o domínio tiver somente controladores de domínio baseados no Windows Server 2008.
Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento Microsoft:
978055 CORREÇÃO: Contas de usuário que usam criptografia de DES para tipos de autenticação Kerberos não podem ser autenticadas em um domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 ingressa no domínio

Propriedades

ID do artigo: 977321 - Última revisão: terça-feira, 5 de novembro de 2013 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Palavras-chave: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.
Clique aqui para ver a versão em Inglês deste artigo: 977321

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com