ใน Windows 7 และ ใน Windows Server 2008 R2 ชนิดการเข้ารหัสลับข้อมูลการเข้ารหัสลับมาตรฐาน (DES) สำหรับ Kerberos ถูกปิดใช้งาน โดยค่าเริ่มต้น
หมายเหตุ:การสนับสนุนเข้ารหัสลับของ Kerberos อยู่ ใน Windows 7 และ Windows Server 2008 R2
โดยค่าเริ่มต้น Windows 7 และ Windows Server 2008 R2 สนับสนุนชุดการเข้ารหัสต่อไปนี้:
- aes256-cts-hmac-sha1-96
- aes128-cts-hmac-sha1-96
- rc4 hmac
ชุดการเข้ารหัส DES CBC MD5 และชุดการเข้ารหัส DES CBC CRC สามารถเปิดใช้งานใน Windows 7 เมื่อจำเป็น
พิจารณาสถานการณ์สมมติต่อไปนี้:
- บริการการใช้บัญชีผู้ใช้หรือบัญชีผู้ใช้คอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัสเฉพาะ DES ลับบนคอมพิวเตอร์ที่ใช้ Windows 7 หรือ Windows Server 2008 R2
- บริการการใช้บัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัส DES เท่านั้น และที่อยู่ในโดเมนร่วมกับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2
- ไคลเอ็นต์ที่ใช้ Windows 7 หรือ Windows Server 2008 R2 บริการเชื่อมต่อ โดยใช้บัญชีผู้ใช้หรือบัญชีผู้ใช้คอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัส DES เท่านั้น
- ความสัมพันธ์ที่เชื่อถือมีการกำหนดค่าสำหรับการเข้ารหัส DES เท่านั้น และรวมถึงตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2
- โปรแกรมประยุกต์หรือบริการคือ hardcoded เพื่อใช้การเข้ารหัส DES เท่านั้น
ในสถานการณ์เหล่านี้ คุณอาจได้รับเหตุการณ์ต่อไปนี้ในแอพพลิเคชัน ความปลอดภัย และระบบจะบันทึกร่วมกับ
Microsoft-Windows-Kerberos-Key-Distribution-Centerแหล่ง::
ยุบตารางนี้ขยายตารางนี้
| หมายเลข | ชื่อแบบสัญลักษณ์ | ข้อความ |
| 27 | kdcevent_unsupported_etype_request_tgs | ขณะกำลังประมวลผลการร้องขอ TGS สำหรับเซิร์ฟเวอร์เป้าหมาย% 1 บัญชี %2 ไม่มีคีย์ที่เหมาะสมสำหรับการสร้างบัตร Kerberos ที่ (คีย์ที่ขาดหายไปมีรหัสของ% 3) etypes ที่ร้องขอได้% 4 etypes ที่พร้อมใช้งานบัญชีถูก% 5 |
| 16 | kdcevent_no_key_intersection_tgs | ขณะกำลังประมวลผลการร้องขอ TGS สำหรับเซิร์ฟเวอร์เป้าหมาย% 1 บัญชี %2 ไม่มีคีย์ที่เหมาะสมสำหรับการสร้างบัตร Kerberos ที่ (คีย์ที่ขาดหายไปมีรหัสของ% 3) etypes ที่ร้องขอได้% 4 etypes ที่พร้อมใช้งานบัญชีถูก% 5 การเปลี่ยน หรือการตั้งค่ารหัสผ่านของ %6 จะสร้างคีย์ที่เหมาะสม |
โดยค่าเริ่มต้น การตั้งค่าความปลอดภัยสำหรับการเข้ารหัสลับ DES สำหรับ Kerberos ถูกปิดใช้งานบนคอมพิวเตอร์ที่ต่อไปนี้:
- คอมพิวเตอร์ที่รัน Windows 7
- คอมพิวเตอร์ที่ใช้ Windows Server 2008 R2
- ตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2
โดยค่าเริ่มต้น Windows 7 ใช้ล่วงหน้าการเข้ารหัสลับมาตรฐาน (AES) หรือ RC4 สำหรับ "ชนิดของการเข้ารหัสลับ" และ "etypes" บริการที่มีการกำหนดค่าสำหรับการเข้ารหัสเฉพาะ DES ล้มเหลวยกเว้น:
- บริการถูก reconfigured เพื่อสนับสนุนการเข้ารหัสลับ RC4 หรือสนับสนุนการเข้ารหัส AES
- คอมพิวเตอร์ไคลเอนต์ทั้งหมด เซิร์ฟเวอร์ทั้งหมด และตัวควบคุมโดเมนทั้งหมดในโดเมนบัญชีบริการถูกกำหนดค่าให้สนับสนุนการเข้ารหัสลับ DES
เราขอแนะนำอย่างยิ่งให้ คุณตรวจสอบว่า การเข้ารหัสลับ DES ยังคงต้องมีในสภาพแวดล้อมหรือตรวจสอบว่าบริการที่ระบุต้องการการเข้ารหัสลับ DES เท่านั้น ตรวจสอบว่า บริการสามารถใช้การเข้ารหัสลับ RC4 หรือเข้ารหัส AES หรือตรวจสอบว่า ผู้จัดจำหน่ายที่มีการรับรองความถูกต้องแทนที่มีการเข้ารหัสที่เข้ม
Hotfix
978055
(http://support.microsoft.com/kb/978055/
)
คุณไม่จำเป็นสำหรับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 เพื่อจัดการการเข้ารหัสลับข้อมูลชนิดที่ถูกจำลองแบบจากตัวควบคุมโดเมนที่ใช้ Windows Server 2003 ได้อย่างถูกต้อง ดูเพิ่มเติมรายละเอียดส่วนด้านล่าง
- ดูว่า โปรแกรมประยุกต์ที่ได้รับการฮาร์-coded เพื่อใช้การเข้ารหัส DES เท่านั้น แต่จะถูกปิดการใช้งาน โดยการตั้งค่าเริ่มต้นไคลเอนต์ที่ใช้ Windows 7 หรือ ศูนย์กระจายคีย์ (KDCs)
การตรวจสอบว่า คุณได้รับผลกระทบจากปัญหานี้ กรุณาเก็บรวบรวมข้อมูลบางเครือข่าย แล้ว ตรวจสอบข้อมูลที่มีลักษณะสืบตัวอย่างต่อไปนี้:Frame 1 {TCP:48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
- Etype:
+ SequenceOfHeader:
+ EType: aes256-cts-hmac-sha1-96 (18)
+ EType: aes128-cts-hmac-sha1-96 (17)
+ EType: rc4-hmac (23)
+ EType: rc4-hmac-exp (24)
+ EType: rc4 hmac old exp (0xff79)
+ TagA:
+ EncAuthorizationData:
- ตรวจสอบว่า บัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์มีการกำหนดค่าสำหรับการเข้ารหัส DES เท่านั้น
ใน "Active Directory ผู้ใช้และคอมพิวเตอร์" ลสแนป เปิดคุณสมบัติของบัญชีผู้ใช้ และตรวจสอบแล้วว่าใช้ชนิดการเข้ารหัสลับ Kerberos DES สำหรับบัญชีนี้มีการตั้งค่าตัวเลือกภายใต้การบัญชีแท็บ
หากคุณ conclude ว่า คุณได้รับผลกระทบจากปัญหานี้ และคุณมีการเปิดใช้ชนิดการเข้ารหัสลับ DES สำหรับการรับรองความถูกต้อง Kerberos เปิดใช้งานนโยบายกลุ่มต่อไปนี้เพื่อใช้ชนิดการเข้ารหัสลับของ DES กับคอมพิวเตอร์ทั้งหมดที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2:
- ในในกลุ่มนโยบาย Management Console (GPMC), ค้นหาตำแหน่งที่ตั้งต่อไปนี้:
ตัวคอมพิวเตอร์ Configuration\ Windows Settings\ Settings\ ท้องถิ่น Policies\ ความปลอดภัยเลือกความปลอดภัย
- คลิกเพื่อเลือกนั้นความปลอดภัยของเครือข่าย: การตั้งค่าคอนฟิกชนิดการเข้ารหัสลับที่ได้รับอนุญาตสำหรับ Kerberosตัวเลือก
- คลิกเพื่อเลือกกำหนดการตั้งค่านโยบายเหล่านี้และกล่องสำหรับชนิดการเข้ารหัสการตรวจสอบ six ทั้งหมด
- คลิกตกลง. ปิดการ GPMC
หมายเหตุ:ชุดนโยบาย
SupportedEncryptionTypesรายการรีจิสทรีค่าเป็น
0x7FFFFFFF. กระบวนการ
SupportedEncryptionTypesรายการรีจิสทรีอยู่ที่ตำแหน่งที่ตั้งต่อไปนี้:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
ทั้งนี้ขึ้นอยู่กับสถานการณ์สมมติ คุณอาจต้องการตั้งค่านโยบายนี้ในระดับของโดเมนเพื่อใช้ชนิดการเข้ารหัสลับ DES ไปยังไคลเอนต์ทั้งหมดที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2 หรือ คุณอาจต้องการตั้งค่านโยบายนี้ในหน่วยองค์กร (OU) ของตัวควบคุมโดเมนสำหรับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2
มีพบปัญหาความเข้ากันได้ของโปรแกรมประยุกต์ DES อย่างเดียวในการกำหนดค่าที่สองต่อไปนี้:
- โปรแกรมประยุกต์ที่เรียกไม่ hardcoded สำหรับการเข้ารหัส DES เท่านั้น
- บัญชีเรียกใช้บริการมีการกำหนดค่าเพื่อใช้การเข้ารหัส DES เท่านั้น
ชนิดเกณฑ์ของการเข้ารหัสลับต่อไปนี้ต้องถูกพอสำหรับการรับรองความถูกต้อง Kerberos ในการทำงาน:
- ชนิดที่พบโดยทั่วไปแล้วระหว่างไคลเอนต์และตัวควบคุมโดเมนสำหรับ authenticator บนไคลเอนต์
- ชนิดที่พบโดยทั่วไปที่อยู่ระหว่างตัวควบคุมโดเมนและเซิร์ฟเวอร์ของทรัพยากรในการเข้ารหัสบัตร
- ชนิดที่พบโดยทั่วไปแล้วระหว่างไคลเอนต์และเซิร์ฟเวอร์ของทรัพยากรสำหรับคีย์เซสชัน
พิจารณาสถานการณ์ที่ต่อไปนี้:
ยุบตารางนี้ขยายตารางนี้
| บทบาท | os | สนับสนุนระดับการเข้ารหัสลับของ Kerberos |
| dc | Windows Server 2003 | rc4 และ DES |
| ไคลเอ็นต์ | Windows 7 | aes และ RC4 |
| เซิร์ฟเวอร์ของทรัพยากร | j2ee | des |
ในสถานการณ์เช่นนี้ เงื่อนไข 1 ถูกแก้ไข โดยการเข้ารหัสลับ RC4 และเงื่อนไข 2 ถูกแก้ไข โดยการเข้ารหัสลับ DES เงื่อนไขที่สามที่ล้มเหลวเนื่องจากเซิร์ฟเวอร์ DES - เท่านั้นและเนื่อง จากไคลเอ็นต์ไม่สนับสนุน DES
โปรแกรมแก้ไขด่วน 978055 ต้องถูกติดตั้งบนแต่ละตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 หากมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริงในโดเมน:
- มีบางอย่างเปิดใช้งานการ DES ผู้ใช้หรือคอมพิวเตอร์บัญชี
- ในโดเมนเดียวกัน ไม่มีตัวควบคุมโดเมนอย่าง น้อยหนึ่งรายการที่กำลังเรียกใช้ Windows 2000 Server, Windows Server 2003 หรือ Windows Server 2003 R2
หมายเหตุ:- โปรแกรมแก้ไขด่วน 978055 ไม่จำเป็นสำหรับการใช้ Windows Server 2008 R2 โดเมนคอนโทรลเลอร์เพื่อจัดการการเข้ารหัสลับข้อมูลชนิดที่ถูกจำลองแบบจากตัวควบคุมโดเมนที่ใช้ Windows Server 2003 ได้อย่างถูกต้อง
- ตัวควบคุมโดเมนที่ใช้ Windows Server 2008 ที่ไม่จำเป็นต้องใช้โปรแกรมแก้ไขด่วนนี้
- โปรแกรมแก้ไขด่วนนี้ไม่จำเป็นถ้าโดเมนมีตัวควบคุมโดเมนที่ใช้ Windows Server 2008 เท่านั้น
สำหรับข้อมูลเพิ่มเติม ให้คลิกหมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
978055
(http://support.microsoft.com/kb/978055/
)
แก้ไข: รับรองความถูกบัญชีผู้ใช้ที่ใช้การเข้ารหัสลับ DES สำหรับชนิดการรับรองความถูกต้อง Kerberos ไม่ถูกต้องในโดเมน Windows Server 2003 หลังจากที่ตัวควบคุมโดเมน Windows Server 2008 R2 รวมโดเมน
หมายเลขบทความ (Article ID): 977321 - รีวิวครั้งสุดท้าย: 18 มกราคม 2554 - Revision: 4.1
ใช้กับ
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 R2 Standard
- Windows 7 Enterprise
- Windows 7 Professional
- Windows 7 Ultimate
| kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtth |
แปลโดยคอมพิวเตอร์ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:
977321
(http://support.microsoft.com/kb/977321/en-us/
)
กลับไปด้านบน
