มีการเข้าสู่ระบบ 16 รหัสเหตุการณ์ KDC หรือ 27 ถ้า DES สำหรับ Kerberos ถูกปิดใช้งาน

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 977321 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

การเข้ารหัสลับข้อมูลการเข้ารหัสลับมาตรฐาน (DES) สำหรับการรับรองความถูกต้อง Kerberos เริ่มการทำงานกับ Windows 7, Windows Server 2008 R2 และระบบปฏิบัติการ Windows รุ่นที่ใหม่กว่าทั้งหมด ถูกปิดใช้งาน บทความนี้อธิบายสถานการณ์ต่าง ๆ ที่คุณอาจได้รับเหตุการณ์ต่อไปนี้ในแฟ้มบันทึกของโปรแกรมประยุกต์ ความปลอดภัย และระบบได้เนื่องจากถูกปิดใช้งานการเข้ารหัสลับ DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
นอกจากนี้ บทความนี้อธิบายวิธีการเปิดใช้งานการเข้ารหัสลับ DES สำหรับการรับรองความถูกต้อง Kerberos ใน Windows 7 และ ใน Windows Server 2008 R2 สำหรับข้อมูลเพิ่มเติม ให้ดู "อาการ"สาเหตุ" และส่วน"การแก้ปัญหา"ของบทความนี้

อาการ

พิจารณาสถานการณ์ต่อไปนี้:
  • บริการใช้บัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัสเฉพาะ DES ลับบนคอมพิวเตอร์ที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2
  • บริการใช้บัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัสลับ DES เท่านั้น และที่อยู่ในโดเมนร่วมกับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2
  • ไคลเอนต์ที่ใช้ Windows 7 หรือ Windows Server 2008 R2 เชื่อมต่อไปยังบริการ โดยใช้บัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์ที่มีการกำหนดค่าสำหรับการเข้ารหัสลับ DES เท่านั้น
  • ความสัมพันธ์แบบเชื่อถือได้ถูกกำหนดค่าสำหรับการเข้ารหัสลับ DES เท่านั้น และมีตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2008 R2
  • โปรแกรมประยุกต์หรือบริการคือ hardcoded เมื่อต้องการใช้การเข้ารหัส DES เท่านั้น
ในสถานการณ์เหล่านี้ คุณอาจได้รับเหตุการณ์ต่อไปนี้ในแฟ้มบันทึกแอพลิเคชัน ความปลอดภัย และระบบพร้อมกับแหล่งMicrosoft-Windows-Kerberos-Key-Distribution-Center :
ยุบตารางนี้ขยายตารางนี้
IDชื่อที่เป็นสัญลักษณ์ข้อความ
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSในขณะที่กำลังประมวลผลการร้องขอ TGS สำหรับเซิร์ฟเวอร์เป้าหมาย %1, %2 ในบัญชีไม่มีคีย์เหมาะสมสำหรับการสร้างบัตร Kerberos (คีย์ขาดหายไปมีรหัสเป็น %3) Etypes ร้องขอได้ %4 Etypes พร้อมใช้งานบัญชีได้ %5
16KDCEVENT_NO_KEY_INTERSECTION_TGSในขณะที่กำลังประมวลผลการร้องขอ TGS สำหรับเซิร์ฟเวอร์เป้าหมาย %1, %2 ในบัญชีไม่มีคีย์เหมาะสมสำหรับการสร้างบัตร Kerberos (คีย์ขาดหายไปมีรหัสเป็น %3) Etypes ร้องขอได้ %4 Etypes พร้อมใช้งานบัญชีได้ %5 ทรานซิสชั่นท์ หรือตั้งรหัสผ่านของ %6 จะสร้างคีย์เหมาะสม
ID เหตุการณ์ 16 — ความถูกต้อง Kerberos คีย์

สาเหตุ

โดยค่าเริ่มต้น การตั้งค่าความปลอดภัยสำหรับการเข้ารหัสลับ DES สำหรับ Kerberos ถูกปิดใช้งานบนคอมพิวเตอร์ที่ต่อไปนี้:
  • คอมพิวเตอร์ที่กำลังเรียกใช้ Windows 7
  • คอมพิวเตอร์ที่กำลังเรียกใช้ Windows Server 2008 R2
  • ตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2008 R2
หมายเหตุ สนับสนุนการเข้ารหัสลับสำหรับ Kerberos มีอยู่ ใน Windows 7 และ ใน Windows Server 2008 R2โดยค่าเริ่มต้น Windows 7 ใช้ชุดการเข้ารหัสของล่วงหน้าการเข้ารหัสลับมาตรฐาน (AES) หรือแบบ RC4 ดังต่อไปนี้ สำหรับ "ชนิดของการเข้ารหัสลับ" และ "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • HMAC แบบ RC4
บริการที่มีการกำหนดค่าสำหรับการเข้ารหัสลับ DES เท่านั้นล้มเหลวเว้นแต่ที่ตรงตามเงื่อนไขต่อไปนี้:
  • บริการมีการกำหนดค่า ให้สนับสนุนการเข้ารหัสลับแบบ RC4 หรือ เพื่อสนับสนุนการเข้ารหัส AES
  • คอมพิวเตอร์ไคลเอนต์ทั้งหมด เซิร์ฟเวอร์ทั้งหมด และตัวควบคุมโดเมนทั้งหมดสำหรับโดเมนของบัญชีผู้ใช้บริการถูกกำหนดค่าให้สนับสนุนการเข้ารหัสลับ DES
โดยค่าเริ่มต้น Windows 7 และ Windows Server 2008 R2 สนับสนุนชุดการเข้ารหัสต่อไปนี้: ชุดการเข้ารหัส md แบบ DES-CBC-5 และชุดการเข้ารหัสแบบ DES CBC CRC สามารถถูกเปิดใช้งานใน Windows 7 เมื่อจำเป็นได้

การหลีกเลี่ยงปัญหา

เราขอแนะนำให้ คุณตรวจสอบว่า การเข้ารหัสลับ DES ยังคงต้องในสภาพแวดล้อมหรือตรวจสอบว่าบริการที่จำเป็นต้องมีการเข้ารหัสลับ DES เท่านั้น ตรวจสอบว่า บริการสามารถใช้การเข้ารหัสลับแบบ RC4 หรือการเข้ารหัส AES หรือตรวจสอบว่า ผู้จัดจำหน่ายมีการรับรองความถูกต้องทางเลือกที่มีการเข้ารหัสความปลอดภัย

โปรแกรมแก้ไขด่วน 978055 ที่ถูกต้องสำหรับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 เพื่อจัดการชนิดการเข้ารหัสลับข้อมูลที่ถูกจำลองแบบจากตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2003 ได้อย่างถูกต้อง ส่วนรายละเอียดเพิ่มเติมด้านล่างเท่านั้น
  1. ตรวจสอบว่า แอพลิเคชันตายเมื่อต้องการใช้การเข้ารหัส DES เท่านั้น แต่จะถูกปิดใช้งาน โดยค่าเริ่มต้น บนไคลเอนต์ที่กำลังเรียกใช้ Windows 7 หรือ ศูนย์การแจกจ่ายคีย์ (KDCs)

    เพื่อตรวจสอบว่า คุณได้รับผลกระทบจากปัญหานี้ โปรดเก็บการสืบค้นกลับบางเครือข่าย และจากนั้น ตรวจสอบการสืบค้นกลับที่คล้ายกับการสืบค้นกลับตัวอย่างต่อไปนี้:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. ตรวจสอบว่า มีการกำหนดค่าบัญชีผู้ใช้หรือบัญชีคอมพิวเตอร์สำหรับการเข้ารหัสลับ DES เท่านั้น

    ใน "Active Directory ผู้ใช้และคอมพิวเตอร์" สแนป เปิดคุณสมบัติของบัญชีผู้ใช้ และตรวจสอบว่า มีการตั้งค่าตัวเลือกชนิดการเข้ารหัสลับใช้ Kerberos DES สำหรับบัญชีผู้ใช้นี้ภายใต้แท็บบัญชี
ถ้าคุณได้รับผลกระทบจากปัญหานี้ และคุณจำเป็นต้องเปิดใช้งานชนิดการเข้ารหัสลับ DES สำหรับการรับรองความถูกต้อง Kerberos ทรานคุณ เปิดใช้งานนโยบายกลุ่มต่อไปนี้เพื่อใช้ชนิดการเข้ารหัสลับ DES กับคอมพิวเตอร์ทั้งหมดที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2:
  1. ของ gpmc ได้ในในกลุ่มนโยบายการจัดการคอนโซล (จาก), ค้นหาตำแหน่งที่ตั้งต่อไปนี้:
    ตัวคอมพิวเตอร์ Configuration\ Windows Settings\ Settings\ Policies\ ท้องถิ่นความปลอดภัยเลือกความปลอดภัย
  2. คลิกเพื่อเลือกแบบความปลอดภัยของเครือข่าย: การตั้งค่าคอนฟิกชนิดการเข้ารหัสลับที่อนุญาตสำหรับ Kerberosตัวเลือก
  3. คลิกเพื่อเลือกทั้งหมดหกกล่องกาเครื่องหมายสำหรับชนิดของการเข้ารหัสลับและกำหนดค่านโยบายเหล่านี้
  4. คลิกตกลง ปิดของ gpmc ได้จากอยู่
หมายเหตุ นโยบายตั้งค่ารายการรีจิสทรีSupportedEncryptionTypesเป็นค่าเท่ากับ0x7FFFFFFF รายการรีจิสทรีSupportedEncryptionTypesอยู่ในตำแหน่งที่ตั้งต่อไปนี้:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
ขึ้นอยู่กับสถานการณ์จำลอง คุณอาจต้องการตั้งค่านโยบายนี้ในระดับโดเมนจะใช้ชนิดการเข้ารหัสลับ DES กับไคลเอนต์ทั้งหมดที่กำลังเรียกใช้ Windows 7 หรือ Windows Server 2008 R2 ขึ้น คุณอาจต้องการตั้งค่านโยบายนี้ในหน่วยองค์กร (OU) ของตัวควบคุมโดเมนสำหรับตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2008 R2

ข้อมูลเพิ่มเติม

พบปัญหาความเข้ากันได้แอพลิเคชัน DES อย่างเดียวในการตั้งค่าคอนฟิกสองต่อไปนี้:
  • โปรแกรมประยุกต์ที่เรียกคือ hardcoded สำหรับการเข้ารหัสลับ DES เท่านั้น
  • บัญชีที่เรียกใช้บริการถูกกำหนดค่าให้ใช้การเข้ารหัสลับ DES เท่านั้น
ต้องสามารถตอบสนองการเข้ารหัสลับชนิดเงื่อนไขต่อไปนี้สำหรับการรับรองความถูกต้อง Kerberos เพื่อทำงาน:
  1. ชนิดทั่วไปที่อยู่ระหว่างไคลเอนต์และตัวควบคุมโดเมนสำหรับการรับรองความถูกต้องบนไคลเอนต์
  2. ชนิดทั่วไปที่อยู่ระหว่างตัวควบคุมโดเมนและทรัพยากรเซิร์ฟเวอร์ในการเข้ารหัสตั๋วโดยสาร
  3. ชนิดทั่วไปที่อยู่ระหว่างไคลเอนต์และเซิร์ฟเวอร์สำหรับเซสชันคีย์ทรัพยากร
พิจารณาสถานการณ์ต่อไปนี้:
ยุบตารางนี้ขยายตารางนี้
บทบาทระบบปฏิบัติการได้รับการสนับสนุนระดับการเข้ารหัสลับสำหรับ Kerberos
DCWindows Server 2003แบบ RC4 และ DES
ไคลเอ็นต์ Windows 7AES และแบบ RC4
เซิร์ฟเวอร์ของทรัพยากรJ2EEDES
ในสถานการณ์นี้ เงื่อนไข 1 ถูกแก้ไข โดยการเข้ารหัสลับแบบ RC4 และเงื่อนไข 2 คือแก้ไข โดยการเข้ารหัสลับ DES เงื่อนไขที่สามล้มเหลวเนื่องจากเซิร์ฟเวอร์ไม่ DES อย่างเดียวและเนื่อง จากไคลเอ็นต์ไม่สนับสนุน DES

โปรแกรมแก้ไขด่วน 978055 ต้องถูกติดตั้งบนตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 แต่ละหากมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริงในโดเมน:
  • มีบาง DES-เปิดใช้งานผู้ใช้หรือคอมพิวเตอร์บัญชี
  • ในโดเมนเดียวกัน เป็นตัวควบคุมโดเมนอย่าง น้อยหนึ่งที่กำลังเรียกใช้ Windows 2000 Server, Windows Server 2003 หรือ Windows Server 2003 R2
หมายเหตุ
  • โปรแกรมแก้ไขด่วน 978055 ที่ถูกต้องสำหรับตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 เพื่อจัดการชนิดการเข้ารหัสลับข้อมูลที่ถูกจำลองแบบจากตัวควบคุมโดเมนที่กำลังเรียกใช้ Windows Server 2003 ได้อย่างถูกต้อง
  • ตัวควบคุมโดเมนที่ใช้ Windows Server 2008 ไม่จำเป็นต้องใช้โปรแกรมแก้ไขด่วนนี้
  • โปรแกรมแก้ไขด่วนนี้ไม่จำเป็นต้องใช้หากโดเมนมีตัวควบคุมโดเมนที่ใช้ Windows Server 2008 เท่านั้น
สำหรับข้อมูลเพิ่มเติม คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
978055 การแก้ไข: บัญชีผู้ใช้ที่ใช้การเข้ารหัสลับ DES สำหรับชนิดการรับรองความถูกต้อง Kerberos ไม่สามารถตรวจสอบในโดเมน Windows Server 2003 หลังจากที่ตัวควบคุมโดเมน Windows Server 2008 R2 รวมโดเมน

คุณสมบัติ

หมายเลขบทความ (Article ID): 977321 - รีวิวครั้งสุดท้าย: 5 พฤศจิกายน 2556 - Revision: 6.0
ใช้กับ
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Keywords: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:977321

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com