KDC udalosť ID 16 alebo 27 je prihlásený keď DES pre Kerberos je zakázaný

Preklady článku Preklady článku
ID článku: 977321 - Zobraziť produkty, ktorých sa tento článok týka.
Rozbaliť všetko | Zbaliť všetko

Súhrn

Počnúc Windows 7, Windows Server 2008 R2, a všetky neskoršie operačné systémy Windows, štandard DES (DES) šifrovanie pre overovanie Kerberos je vypnuté. Tento článok popisuje rôzne scenáre v ktorom dostanete nasledujúcich udalostí v denníkoch aplikácie, zabezpečenia a systému pretože DES šifrovania je zakázané:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Navyše, tento článok vysvetľuje, ako povoliť šifrovanie DES pre overenie protokolom Kerberos v systéme Windows 7 a Windows Server 2008 R2. Podrobné informácie, nájdete v časti "Príznaky," "Spôsobiť", a "Riešenie" časti tohto článku.

Príznaky

Zvážte nasledovné scenáre:
  • Služba používa používateľské konto alebo konto počítača, ktorý je nakonfigurovaný iba DES šifrovania v počítači so systémom Windows 7 alebo Windows Server 2008 R2.
  • Služba používa používateľské konto alebo konto počítača, ktorý je konfigurovaný pre len DES šifrovania a to je v doméne s radičmi domény systému Windows Server 2008 R2-založené.
  • Klient so systémom Windows 7 alebo Windows Server 2008 R2 pripojí k službe pomocou používateľské konto alebo konto počítača, ktorý je nakonfigurovaný iba šifrovanie DES.
  • Vzťah dôveryhodnosti je nastavený na iba DES šifrovania a zahŕňa radičov domény so systémom Windows Server 2008 R2.
  • Aplikácia alebo služba je napevno používať iba DES šifrovania.
V každom z týchto scenárov, dostanete nasledujúcich udalostí v denníkoch aplikácie, zabezpečenia a systému spolu s Microsoft-Windows-Kerberos-Key-Distribution-Center zdroj:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
IDSymbolický názovSprávu
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSPri spracovaní žiadosti TGS pre cieľový server %1, konto %2 nemá vhodného kľúča pre generovanie lístku protokolu Kerberos (chýbajúci kľúč má ID 3%). Požadovaná etypes boli %4. K dispozícii etypes účty boli %5.
Udalosť ID 27-KDC šifrovanie druhu konfigurácia
16KDCEVENT_NO_KEY_INTERSECTION_TGSPri spracovaní žiadosti TGS pre cieľový server %1, konto %2 nemá vhodného kľúča pre generovanie lístku protokolu Kerberos (chýbajúci kľúč má ID 3%). Požadovaná etypes boli %4. K dispozícii etypes účty boli %5. Zmena alebo obnovenie hesla %6 bude generovať správny kľúč.
Udalosť ID 16 — Kerberos Key Integrity

Príčina

Predvolene sú vypnuté nastavenie zabezpečenia pre DES šifrovania pre Kerberos na nasledujúcich počítačoch:
  • Počítače so systémom Windows 7
  • Počítače so systémom Windows Server 2008 R2
  • Radiče domény, ktoré sú systémom Windows Server 2008 R2
Poznámka Kryptografické podporu pre Kerberos neexistuje v systéme Windows 7 a Windows Server 2008 R2.V predvolenom nastavení Windows 7 používa tieto vopred Encryption Standard (AES) alebo RC4 šifrovacia "typy šifrovania" a "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Služby, ktoré sú konfigurované pre len DES šifrovania zlyhať ak sú splnené nasledovné podmienky:
  • Služba je prestavba podporuje šifrovanie RC4 alebo podporu šifrovania AES.
  • Všetky klientske počítače, všetky servery a všetky radiče domény pre doménu z konta služby sú nakonfigurované podporuje šifrovanie DES.
V predvolenom nastavení Windows 7 a Windows Server 2008 R2 podporovať tieto šifrovacie sady: DES-CBC-MD5 šifrovanie suite a suite šifry DES-CBC-CRC môže povoliť Windows 7 keď sa požaduje.

Ako problém obísť

Dôrazne odporúčame skontrolovať či DES šifrovania je ešte potrebné v prostredí alebo začiarknutie či slu ieb vyžadovať iba šifrovanie DES. Skontrolujte, či služby môžete použiť šifrovanie RC4 alebo AES šifrovanie, alebo skontrolovať, či dodávateľ má alternatíva overovania, ktorá má silnejší kryptografie.

Rýchla oprava 978055 je potrebné pre radiče domény systému Windows Server 2008 R2-založené správne zvládnuť informácie o type šifrovania, ktorý je replikovaný z radičov domény so systémom Windows Server 2003. Pozri viac informácií nižšie.
  1. Určiť, či uplatnenie naprogramovaného používať iba DES šifrovania. Ale to je zakázané podľa predvoleného nastavenia klientov so systémom Windows 7 alebo na kľúč distribučných centier (KDCs).

    Skontrolujte, či sú ovplyvnené týmto problémom, prosím zbierať nejaké stopy siete a potom skontrolujte na stopy, ktoré sa podobajú tieto vzorky stopy:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Určuje, či používateľské konto alebo konto počítača je nakonfigurovaná len šifrovanie DES.

    V "Active Directory používateľov a počítače" modulu, otvorte vlastnosti používateľského konta a potom skontrolujte, či je Použitie modulu Kerberos DES typy šifrovania pre toto konto voľba nastavená na karte konta .
Ak ste k záveru, že sú ovplyvnené týmto problémom a že budete musieť zapnúť typ šifrovania DES pre overovanie Kerberos, povoliť tieto skupiny politík použiť typ šifrovania DES na všetkých počítačoch so systémom Windows 7 alebo Windows Server 2008 R2:
  1. V skupinovej politiky Management Console (GPMC), vyhľadajte nasledovné umiestnenie:
    Počítač Configuration\ Windows Settings\ zabezpečenia Settings\ miestnej Policies\ možnosti zabezpečenia
  2. Kliknutím vyberte možnosť zabezpečenia siete: Konfigurovať typy šifrovania povolené pre Kerberos možnosť.
  3. Kliknutím vyberte možnosť určiť toto nastavenie politiky a všetkých šesť políčka pre typy šifrovania.
  4. Kliknite na tlačidlo OK. Uzavrieť GPMC.
Poznámka Politika nastavuje položka SupportedEncryptionTypes databázy registry hodnotu 0x7FFFFFFF. Položka databázy registry SupportedEncryptionTypes je v nasledujúcom umiestnení:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
V závislosti od scenára, musíte nastaviť túto politiku na úrovni domény použiť typ šifrovania DES všetkým klientom so systémom Windows 7 alebo Windows Server 2008 R2. Alebo, možno budete musieť nastaviť túto politiku na organizačné jednotky (OU) radiča domény pre radiče domény, ktoré sú systémom Windows Server 2008 R2.

Ďalšie informácie

DES-len kompatibilitou sa vyskytujú v týchto dvoch zostavách:
  • Volajúca aplikácia je napevno len šifrovanie DES.
  • Účet, ktorý prevádzkuje službu je nakonfigurovaný na používanie iba DES šifrovania.
Musia byť splnené tieto kritériá typ šifrovania pre overovanie Kerberos pracovať:
  1. Bežný typ existuje medzi klientom a radič domény pre overovateľom na strane klienta.
  2. Bežný typ existuje medzi radičom domény a serverom zdroja šifrovať letenky.
  3. Bežný typ existuje medzi klientom a serverom zdroja pre kľúč relácie.
Zoberme si nasledujúcu situáciu:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
ÚlohaOSPodporované úroveň šifrovania pre Kerberos
DCWindows Server 2003RC4 a DES
Klient Windows 7AES a RC4
Zdroj ServerJ2EEDES
V tejto situácii, kritériá 1 je splnená RC4 šifrovania a kritéria 2 je splnená šifrovanie DES. Tretie kritérium zlyhá, pretože server je len DES a pretože klient nepodporuje DES.

Rýchla 978055 musí byť nainštalovaný na každom radiči domény systému Windows Server 2008 R2-založené Ak nasledujúce podmienky sú pravdivé v doméne:
  • Tam sú niektoré podporou DES kontá používateľa alebo počítača.
  • V rovnakej doméne, je tu jeden radiče domény so systémom Windows 2000 Server, Windows Server 2003 alebo Windows Server 2003 R2.
Poznámka
  • Rýchla oprava 978055 je nutné pre radiče domény systému Windows Server 2008 R2-založené správne zvládnuť informácie o type šifrovania, ktorý je replikovaný z radičov domény so systémom Windows Server 2003.
  • Radiče domény založenej na systéme Windows Server 2008 nevyžadujú túto rýchlu opravu.
  • Táto rýchla oprava sa nevyžaduje, ak doména má iba radiče domén systému Windows Server 2008-založené.
Ďalšie informácie nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
978055 FIX: Používateľské kontá, ktoré používajú šifrovanie DES pre typy overenia Kerberos nie je možné overiť v doméne Windows Server 2003 po radič domény systému Windows Server 2008 R2 pripojí k doméne

Vlastnosti

ID článku: 977321 - Posledná kontrola: 5. novembra 2013 - Revízia: 2.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Kľúčové slová: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 977321

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com