KDC Event ID 16 sau 27 este înregistrat dacă DES pentru Kerberos este dezactivat

Traduceri articole Traduceri articole
ID articol: 977321 - View products that this article applies to.
Măriți totul | Reduceți totul

Rezumat

Incepand cu Windows 7, Windows Server 2008 R2, și sistemele de operare Windows mai târziu, Data Encryption Standard (DES) encryption pentru autentificarea Kerberos este dezactivat. Acest articol descrie diverse scenarii în care este posibil să primiți următoarele evenimente în jurnalele de cerere, de securitate și de sistem deoarece DES criptare este dezactivată:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
În plus, acest articol explică cum să activați DES criptare pentru autentificarea Kerberos în Windows 7 și în Windows Server 2008 R2. Pentru informații detaliate, consultați "Simptome", "Cauza", "Workaround" sec?iuni din acest articol.

Simptome

Luați în considerare următoarele scenarii:
  • Un serviciu foloseste un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare pe un computer care execută Windows 7 sau Windows Server 2008 R2.
  • Un serviciu foloseste un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare și că este într-un domeniu cu controlere de domeniu Windows Server 2008 R2.
  • Un client care se execută Windows 7 sau Windows Server 2008 R2 se conectează la un serviciu utilizând un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare.
  • O relație de încredere este configurat pentru numai DES criptare și include controlerii de domeniu care execută Windows Server 2008 R2.
  • O aplica?ie sau un serviciu este hardcoded să utilizeze numai DES criptare.
În oricare dintre aceste situații, este posibil să primiți următoarele evenimente în jurnalele de cerere, de securitate și sistemul cu sursa Microsoft-Windows-Kerberos-Key-Distribution-Center :
Reduceți tabelulMăriți tabelul
ID-ULnume de sign-in simbolicMesaj
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSÎn marcă de timp ce o cerere TGS de prelucrare pentru server ?intă %1, contul %2 nu au o cheie potrivite pentru generarea de un bilet de Kerberos (tasta lipsă a unui ID de %3). Etypes solicitate au fost %4. Conturile disponibile etypes au fost de %5.
ID eveniment 27 — KDC criptare de tip Configuration
16KDCEVENT_NO_KEY_INTERSECTION_TGSÎn marcă de timp ce o cerere TGS de prelucrare pentru server ?intă %1, contul %2 nu au o cheie potrivite pentru generarea de un bilet de Kerberos (tasta lipsă a unui ID de %3). Etypes solicitate au fost %4. Conturile disponibile etypes au fost de %5. Schimbarea sau resetarea parola de %6 va genera o cheie adecvată.
ID eveniment 16 — Kerberos cheie integritatea

Cauză

implicit, setările de securitate pentru DES criptare pentru Kerberos sunt dezactivate la calculatoare următoarele:
  • Computere care execută Windows 7
  • Computere care execută Windows Server 2008 R2
  • Controlerii de domeniu care execută Windows Server 2008 R2
Notă Suport criptografic pentru Kerberos există în Windows 7 și în Windows Server 2008 R2.implicit, Windows 7 utilizează următoarele avans Encryption Standard (AES) sau RC4 cifru Suite pentru "tipuri de criptare" și pentru "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
consolidare servicii care sunt configurate pentru numai DES criptare eșua excepția cazului în care următoarele condiții sunt adevărate:
  • Serviciul este reconfigurat pentru a sprijini criptare RC4 sau pentru a sprijini criptare AES.
  • Toate computerele client, toate serverele și toți controlerii de domeniu pentru domeniul de la contul de serviciu sunt configurate pentru a sprijini DES criptare.
implicit, Windows 7 și Windows Server 2008 R2 acceptă următoarele Suite cifru: DES-CBC-MD5 cifru suite și suite, cifrul DES-CBC-CRC pot fi activate în Windows 7 atunci când este necesar.

Remediere

Vă recomandăm insistent că vă verificați dacă DES criptare încă este necesar în mediul sau verifica dacă consolidare servicii specifice impun numai DES criptare. Verificați dacă serviciul poate utiliza criptare RC4 sau criptare AES, sau verificați dacă furnizorul are o alternativă de autentificare care a criptografiei puternice.

Remedierea rapidă 978055 este necesară pentru controlere de domeniu Windows Server 2008 R2 pentru a gestiona corect criptare tipul de informații care este reprodusă din controlerele de domeniu care execută Windows Server 2003. Sectiunea mai multe informații mai jos.
  1. Determina dacă aplicația este greu codificate pentru a utiliza numai DES criptare. Dar acesta este dezactivată în setările implicite pe clientii care execută Windows 7 sau pe centre de distribuție cheie (KDCs).

    Pentru a verifica dacă sunt afectat de această problemă, vă rugăm să colecteze unele urme de rețea, și apoi verificați pentru urme care seamănă cu următorul urme de probă:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Determina dacă contul de utilizator sau cont pentru computer este configurat pentru numai DES criptare.

    În "Active Director utilizatori și computere" snap-in, deschide?i proprietă?ile de cont de utilizator, și apoi verificați dacă opțiunea utilizare Kerberos DES tipuri de criptare pentru acest cont este stabilită în fila cont .
În cazul în care veți încheia că sunt afectate de această problemă și că trebuie să rândul său, pe tipul de criptare DES pentru autentificarea Kerberos, permite următoarele politicile de grup pentru tipul de criptare DES se aplică toate computerele care execută Windows 7 sau Windows Server 2008 R2:
  1. În Grupa politica de consolă de gestionare (GPMC), localizați următoarea locație:
    Calculator Configuration\ Windows Settings\ securitate Settings\ locală Policies\ de opțiuni de securitate
  2. Clic pentru a selecta rețea de securitate: Configurarea tipuri de criptare permise pentru Kerberos opțiune.
  3. Faceți clic pentru a defini aceste setări de politică și toate șase casetele de selectare pentru tipurile de criptare.
  4. Faceți clic pe OK. Aproape GPMC.
Notă Politica seturi intrarea de registry SupportedEncryptionTypes la o valoare de 0x7FFFFFFF. Intrarea de registry SupportedEncryptionTypes este de la a urma a localiza:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
In functie de scenariu, trebuie să setați această politică la nivel de domeniu se aplică tipul de criptare DES toți clienții care execută Windows 7 sau Windows Server 2008 R2. Sau, este posibil să aveți pentru a seta această politică la unitatea organizaționale (OU) de controlerul de domeniu pentru controlerii de domeniu care execută Windows Server 2008 R2.

Informații suplimentare

DES-doar cerere compatibility publicare sunt întâlnite în următoarele două configurații:
  • Aplica?ia de asteptare este hardcoded pentru numai DES criptare.
  • Cont care execută serviciul este configurat pentru a utiliza numai DES criptare.
Criptare de tip criteriile următoare trebuie îndeplinite pentru autentificarea Kerberos la locul de muncă:
  1. Un tip comun există între client și controlerul de domeniu pentru Google authenticator pe client.
  2. Un tip comun există între controlerul de domeniu și serverul de resurse pentru a cripta biletul.
  3. Un tip comun există între client și server de resurse pentru cheia de sesiune.
Să analizăm următoarea situație:
Reduceți tabelulMăriți tabelul
Rolulsistem de operareNivel de criptare a sprijinit pentru Kerberos
DCWindows Server 2003RC4 și DES
Client Windows 7AES și RC4
Resurse ServerJ2EEDES
În această situație, criteriul 1 este satisfăcut de criptare RC4, și criteriile 2 este satisfăcut de criptare DES. Al treilea criteriu nu reușește, deoarece serverul este DES-doar și deoarece clientul nu acceptă DES.

Remedierea rapidă 978055 trebuie să fie instalat pe fiecare controler de domeniu Windows Server 2008 R2 dacă următoarele condiții sunt adevărate în domeniu:
  • Există unele conturi utilizator sau calculator cu DES-activat.
  • În același domeniu, există una sau mai multe controlere de domeniu care execută Windows 2000 Server, Windows Server 2003 sau Windows Server 2003 R2.
Notă
  • Remedierea rapidă 978055 este necesar pentru bazate pe Windows Server 2008 R2 controlerii de domeniu pentru a gestiona corect criptare tipul de informații care este reprodusă din controlerele de domeniu care execută Windows Server 2003.
  • Controlerele de domeniu Windows Server 2008 nu au nevoie de acest remediu rapid.
  • Această remediere rapidă nu este necesară în cazul în care domeniu a numai controlerele de domeniu Windows Server 2008.
Pentru mai multe informații, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
978055 FIX: Conturi de utilizator care utilizează DES criptare pentru tipurile de autentificare Kerberos nu poate fi autentificată într-un domeniu Windows Server 2003 după un controler de domeniu Windows Server 2008 R2 se alătură domeniu

Proprietă?i

ID articol: 977321 - Ultima examinare: 5 noiembrie 2013 - Revizie: 2.0
Se aplică la:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Cuvinte cheie: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 977321

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com