Идентификатор события KDC 16 или 27 регистрируется при отключении проверки подлинности DES для Kerberos

Переводы статьи Переводы статьи
Код статьи: 977321 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Аннотация

По умолчанию шифрование Data Encryption Standard (DES) для проверки подлинности Kerberos отключено в Windows 7 и Windows Server 2008 R2. В данной статье описаны различные сценарии, в которых может появиться следующие события в журнале приложений, безопасности и системы из-за отключения шифрования DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Кроме того в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Подробные сведения см. «Проблема,» «Причина» и раздела «Временное решение» этой статьи.

Проблема

Рассмотрим следующие сценарии:
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенного для шифрования DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенного для только шифрование DES и который находится в домене с контроллеров домена под управлением Windows Server 2008 R2.
  • Клиент под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или учетной записи компьютера, настроенного только для шифрования DES.
  • Отношение доверия настроено только для шифрования DES и включают контроллеры домена под управлением Windows Server 2008 R2.
  • Приложение или служба на уровене кода использует только шифрование DES.
В любой из этих сценариев может появиться следующие события в приложений, безопасности и системных журналов вместе с Microsoft-Windows-Kerberos-Key-Distribution-Center Источник:
Свернуть эту таблицуРазвернуть эту таблицу
ИДЕНТИФИКАТОРСимволическое имяСообщение
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSПри обработке запроса TGS для целевого сервера % 1, %2 учетная запись не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор % 3). Запрошенный etypes были % 4. Etypes доступные учетные записи были % 5.
Событие с кодом 27 — Тип шифрования KDC конфигурации
16KDCEVENT_NO_KEY_INTERSECTION_TGSПри обработке запроса TGS для целевого сервера % 1, %2 учетная запись не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор % 3). Запрошенный etypes были % 4. Etypes доступные учетные записи были % 5. Изменения или сброса пароля %6 создает подходящий ключ.
КОД события 16 — Целостности ключей Kerberos

Причина

По умолчанию параметры безопасности для шифрования Kerberos DES отключены на следующих компьютерах:
  • Компьютеры под управлением Windows 7
  • На компьютерах с Windows Server 2008 R2
  • Контроллеры домена под управлением Windows Server 2008 R2
Примечание Поддержка шифрования для Kerberos существует в Windows 7 и Windows Server 2008 R2.По умолчанию Windows 7 использует следующее предварительное стандарт шифрования (AES) или RC4 шифров для «типы шифрования» и «etypes»:
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
Службы, настроенные только для шифрование DES, вызовут сбой, если выполняются следующие условия:
  • Службы переконфигурированы для поддержки использования шифрования RC4 или для поддержки шифрования AES.
  • Все клиентские компьютеры, все серверы и все контроллеры домена в домене учетной записи службы настроены для поддержки шифрования DES.
По умолчанию Windows 7 и Windows Server 2008 R2 поддерживают следующие шифров: комплект шифров DES-CBC-MD5 и комплект шифров DES CBC-CRC можно включить в Windows 7 при необходимости.

Временное решение

Настоятельно рекомендуется проверить, по-прежнему ли требуется шифрование DES в среде или проверить специфические службы, которым требуется исключительно DES шифрование. Проверьте, могут ли службы использовать шифрование RC4 или AES, либо проверьте, имеет ли поставщик альтернативную аутентификацию с более сильной криптографией.

Исправление 978055 требуется для контроллеров домена под управлением Windows Server 2008 R2 для правильной обработки сведений о типе шифрования, реплицированных на контроллеры домена, работающих под управлением Windows Server 2003. В разделе Дополнительные сведения ниже.
  1. Определите, использует ли приложение на уровне кода только шифрование DES. Эта настройка отключена по умолчанию на клиентских компьютерах, работающих под управлением Windows 7 или центров распостранения ключей (KDC).

    Для проверки наличия этой проблемы соберите данные сетевых трассировок и проверьте те трассировки, которые напоминают следующий пример трассировки:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Определите, настроена ли учетная запись пользователя или учетная запись компьютера для использования только шифрования DES.

    В оснастке «Active Directory пользователи и компьютеры», откройте свойства учетной записи пользователя, а затем ли Использовать тип шифрования Kerberos DES для этой учетной записи параметр устанавливается в разделе Учетная запись Вкладка.
Если заключить, что Вы наблюдаете эту проблему, и Вам нужно включить тип шифрования DES для проверки подлинности Kerberos, необходимо включить следующие групповые политики для применения типа шифрования DES для всех компьютеров, работающих под управлением Windows 7 или Windows Server 2008 R2:
  1. В групповой политике управления консоли (GPMC), найдите следующую папку:
    Компьютер Configuration\ Windows появляется безопасности появляется локальной Policies\ параметры безопасности
  2. Выберите Сетевая безопасность: Настройка типов шифрования, разрешенных для Kerberos параметр.
  3. Выберите Определить параметры политики и все шесть флажки для типов шифрования.
  4. Нажмите кнопку ОК. Закройте консоль управления групповыми Политиками.
Примечание Политика устанавливает значение 0x7FFFFFFF в записи реестра SupportedEncryptionTypes. Запись реестра SupportedEncryptionTypes , по следующему адресу:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
В зависимости от сценария необходимо задать этот параметр на уровне домена для применения типа шифрования DES для всех клиентов, работающих под управлением Windows 7 или Windows Server 2008 R2. Или, возможно, вам потребуется задать этот параметров подразделения (OU) контроллера домена для контроллеров домена под управлением Windows Server 2008 R2.

Дополнительная информация

В следующих двух конфигурациях возникают проблемы совместимости приложения только для DES шифрования:
  • Вызывающее приложение на уровне кода использует только шифрование DES.
  • Учетная запись, от имени которой запускается служба, настроена на использование только шифрования DES.
Для проверки подлинности Kerberos для работы должны быть выполнены следующие условия типа шифрования:
  1. Общий тип существует между клиентом и контроллером домена для проверки подлинности на клиенте.
  2. Общий тип существует между контроллером домена и сервером ресурса для шифрования билета.
  3. Общий тип существует между клиентом и сервером ресурсов для создания ключей сеансов.
Рассмотрим следующую ситуацию:
Свернуть эту таблицуРазвернуть эту таблицу
РольОСПоддерживаемый уровень шифрования для Kerberos
КОНТРОЛЛЕР ДОМЕНАWindows Server 2003RC4 и DES
Клиент Windows 7AES и RC4
Ресурс сервераJ2EEDES
В этом случае удовлетворяет критериям 1 шифрование RC4 и удовлетворяет условиям 2 шифрования DES. Третье условие не выполняется, поскольку сервер использует только DES, и потому, что клиент не поддерживает алгоритм DES.

Исправление 978055 должно быть установлено на каждом контроллере домена под управлением Windows Server 2008 R2, если в домене выполняются следующие условия:
  • Существуют некоторые пользователи с включенной поддержкой DES в свойствах учетной записи пользователя или учетной записи компьютера.
  • В том же домене присутствует один или несколько контроллеров домена, работающих под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.
Примечание
  • Исправление 978055 является обязательным для контроллеров домена под управлением Windows Server 2008 R2 для правильной обработки сведений о типе шифрования, реплицированных на контроллеры домена, работающих под управлением Windows Server 2003.
  • Контроллеры домена под управлением Windows Server 2008 не требуют исправления.
  • Это исправление не является обязательным, если домен имеет только контроллеры домена под управлением Windows Server 2008.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
978055ИСПРАВЛЕНИЕ: Учетные записи пользователей, использующих шифрование DES для типов проверки подлинности Kerberos не может пройти проверку подлинности в домене Windows Server 2003 после контроллера домена Windows Server 2008 R2 к домену

Свойства

Код статьи: 977321 - Последний отзыв: 30 октября 2012 г. - Revision: 8.0
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Корпоративная
  • Windows 7 Профессиональная
  • Windows 7 Максимальная
  • Windows Server 2008 R2 Service Pack 1
Ключевые слова: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке: 977321

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com