KDC olay kimliği 16 ve 27 için Kerberos DES devre dışı bırakılmışsa kaydediliyor

Makale çevirileri Makale çevirileri
Makale numarası: 977321 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Özet

Windows 7, Windows Server 2008 R2 ve daha sonraki tüm Windows işletim sistemleri ile başlayarak, Kerberos kimlik doğrulaması için veri şifreleme standardı (DES) şifreleme devre dışı bırakılır. Bu makalede, DES şifrelemesi devre dışı olduğu için uygulama, güvenlik ve sistem günlüklerinde aşağıdaki olay alabilirsiniz çeşitli senaryolar açıklanmaktadır:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Ayrıca, bu makalede Kerberos kimlik doğrulaması Windows 7 ve Windows Server 2008 R2 için DES şifreleme etkinleştirmek açıklar. Ayrıntılı bilgi için "Belirtiler"Neden"," konusuna bakın ve bu makalenin "Geçici çözüm" bölümünde.

Belirtiler

Aşağıdaki senaryoları göz önünde bulundurun:
  • Bir hizmet, DES şifrelemesi Windows 7 veya Windows Server 2008 R2 çalıştıran bir bilgisayarda yalnızca bir kullanıcı hesabı veya yapılandırılmış bir bilgisayar hesabını kullanır.
  • Bir hizmet, bir kullanıcı hesabı veya bilgisayar hesabı yalnızca DES şifrelemesi için yapılandırılan ve bir etki alanında Windows Server 2008 R2 tabanlı bir etki alanı denetleyicileri ile birlikte kullanır.
  • Windows 7 veya Windows Server 2008 R2 çalıştıran bir istemci yalnızca DES şifreleme için bir kullanıcı hesabı veya yapılandırılmış bir bilgisayar hesabı kullanarak bir Hizmeti'ne bağlanır.
  • Bir güven ilişkisi yalnızca DES şifrelemesi için yapılandırılmış olan ve Windows Server 2008 R2 çalıştıran etki alanı denetleyicilerini içerir.
  • Bir uygulama veya hizmet yalnızca DES şifrelemesini kullanacak şekilde kodlanmış olduğunu.
Bu senaryolardan herhangi biri, Microsoft-Windows-Kerberos-Key-Distribution-Center kaynağı ile birlikte uygulama, güvenlik ve sistem günlüklerinde aşağıdaki olay iletisini alabilirsiniz:
Bu tabloyu kapaBu tabloyu aç
KİMLİĞİSimgesel adİleti
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSHedef sunucunun %1, %2 hesabını TGS isteği işleme (%3 kimliği eksik anahtar vardır) Kerberos bileti üretmek için uygun bir anahtara sahip değil iken. İstenen ETYPE %4 bulunuyordu. Hesapları kullanılabilir ETYPE %5 bulunuyordu.
Olay Kimliği 27 — KDC şifreleme türünü yapılandırma
16KDCEVENT_NO_KEY_INTERSECTION_TGSHedef sunucunun %1, %2 hesabını TGS isteği işleme (%3 kimliği eksik anahtar vardır) Kerberos bileti üretmek için uygun bir anahtara sahip değil iken. İstenen ETYPE %4 bulunuyordu. Hesapları kullanılabilir ETYPE %5 bulunuyordu. Değiştirme veya %6 parolasını sıfırlama uygun bir anahtar oluşturur.
Olay Kimliği 16 — Kerberos anahtarı bütünlüğü

Neden

Varsayılan olarak aşağıdaki bilgisayarlarda için Kerberos DES şifreleme güvenlik ayarları devre dışı bırakılır:
  • Windows 7 çalıştıran bilgisayarlar
  • Windows Server 2008 R2 çalıştıran bilgisayarlar
  • Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri
Not Kerberos şifreleme desteği, Windows 7 ve Windows Server 2008 R2'de bulunmaktadır.Varsayılan olarak, Windows 7 "ETYPE" ve "şifreleme türleri" için aşağıdaki Gelişmiş Şifreleme Standardı (AES) veya RC4 şifreleme paketleri kullanır:
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
Aşağıdaki koşullar doğruysa sürece yalnızca DES şifrelemesi için yapılandırılmış hizmetlerin başarısız:
  • Hizmet, RC4 şifrelemesi desteği veya AES şifreleme desteği için yapılandırılır.
  • Tüm istemci bilgisayarlar, tüm sunuculara ve tüm etki alanı denetleyicileri etki alanı hizmeti hesabı için DES şifreleme destekleyecek şekilde yapılandırılır.
Varsayılan olarak, Windows 7 ve Windows Server 2008 R2 aşağıdaki şifre paketleri destekler: DES-CBC-MD5 şifre paketi ve DES CBC CRC şifre paketi etkin olabilir Windows 7'de gerekli olduğunda.

Pratik Çözüm

Belirli hizmetleri yalnızca DES şifrelemesi mi DES şifreleme hala ortamı veya onay gerekli olup olmadığını kontrol önerilir. Hizmet RC4 şifrelemesi veya AES şifreleme veya kullanabilirsiniz satıcı daha güçlü şifreleme sahip başka bir kimlik doğrulama olup olmadığına bakmak olup olmadığını denetleyin.

Düzeltme 978055 Windows Server 2008 R2 tabanlı bir etki alanı denetleyicileri Windows Server 2003 çalıştıran etki alanı denetleyicilerinden çoğaltma şifreleme türü bilgileri doğru olarak işlemek gereklidir. Daha fazla bilgi bölümüne bakın.
  1. Uygulama yalnızca DES şifreleme kullanmak için kodlanmış olup olmadığını belirleyin. Ancak, Anahtar Dağıtım Merkezi (KDC) veya Windows 7 çalıştıran istemciler üzerinde varsayılan ayarları tarafından devre dışı bırakılır.

    Bu sorundan etkilenip etkilenmediğini denetlemek için lütfen bazı ağ izlemeleri toplayın ve aşağıdaki örnek izlemeler benzer izlemeler için kontrol edin:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Kullanıcı hesabı veya bilgisayar hesabının yalnızca DES şifrelemesi için yapılandırılmış olup olmadığını belirler.

    "Active Directory Users and Computers" ek bileşeninde, kullanıcı hesabı özelliklerini açın ve sonra da Hesap sekmesi altında Bu hesabın kullanım Kerberos DES şifreleme türlerini seçeneği ayarlanmış olup olmadığını denetleyin.
Bu sorundan etkilenen ve DES şifreleme türü için Kerberos kimlik doğrulamasını etkinleştirmek için gerekir sonuçlandırmak, DES şifreleme türü, Windows 7 veya Windows Server 2008 R2 çalıştıran tüm bilgisayarlara uygulamak aşağıdaki Grup İlkeleri etkinleştirin:
  1. Grup İlkesi Yönetim Konsolu (GPMC içinde), aşağıdaki konumda bulun:
    Bilgisayar Configuration\ Windows Settings\ güvenlik Settings\ yerel Policies\ güvenlik seçenekleri
  2. Seçmek için tıklatın ağ güvenliği: Kerberos için izin verilen şifreleme türlerini yapılandırmak seçeneği.
  3. Bu ilke ayarlarını tanımla ve şifreleme türleri altı tüm onay kutularını tıklatarak seçin.
  4. Tamam' ı tıklatın. GPMC kapatın.
Not İlke SupportedEncryptionTypes kayıt defteri girdisi 0x7FFFFFFFdeğerine ayarlar. SupportedEncryptionTypes kayıt defteri girdisini aşağıdaki konumdadır:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Senaryoya bağlı olarak, bu ilke Windows 7 veya Windows Server 2008 R2 çalıştıran tüm istemciler için DES şifreleme türü uygulamak için etki alanı düzeyinde ayarlamanız gerekebilir. Veya etki alanı denetleyicisinin Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri kuruluş birimi (OU) bu ilkesini ayarlamak uygun olmayabilir.

Daha fazla bilgi

Aşağıdaki iki yapılandırma yalnızca DES uygulama uyumluluğu sorunlarını karşılaşılan:
  • Arama yalnızca DES şifrelemesi için kodlanmış uygulamasıdır.
  • Hizmetin çalıştığı hesabı yalnızca DES şifrelemesini kullanacak şekilde yapılandırılır.
Aşağıdaki şifreleme türü ölçütleri Kerberos kimlik doğrulamasının çalışması için karşılanması gereken:
  1. Ortak bir türü istemci üzerinde kimlik doğrulayıcısı istemci ile etki alanı denetleyicisi arasında yok.
  2. Etki alanı denetleyicisi ile anahtar şifrelemek için kaynak sunucusu arasında ortak bir türü bulunmaktadır.
  3. Oturum anahtarı için kaynak sunucu ile istemci arasında ortak bir türü bulunmaktadır.
Aşağıdaki durumu inceleyin:
Bu tabloyu kapaBu tabloyu aç
RolİŞLETİM SİSTEMİKerberos için şifreleme düzeyi desteklenen
DCWindows Server 2003RC4 ve DES
İstemci Windows 7AES ve RC4
Kaynak sunucuJ2EEDES
Bu durumda, 1 kriterlerin RC4 Şifrelemesi tarafından ve 2 kriterlerin DES şifrelemesi tarafından. Üçüncü kriter sunucu olduğundan başarısız yalnızca DES ve istemci DES desteklemez.

Aşağıdaki koşullar doğruysa, etki alanındaki her Windows Server 2008 R2 tabanlı bir etki alanı denetleyicisinde 978055 düzeltme yüklü olmalıdır:
  • Bazı DES etkin kullanıcı veya bilgisayar hesapları vardır.
  • Aynı etki alanında Windows 2000 Server, Windows Server 2003 veya Windows Server 2003 R2 çalıştıran bir veya daha fazla etki alanı denetleyicileri yok.
Not
  • Düzeltme 978055 Windows Server 2008 R2 tabanlı etki alanı denetleyicileri Windows Server 2003 çalıştıran etki alanı denetleyicilerinden çoğaltma şifreleme türü bilgileri doğru olarak işlemek gereklidir.
  • Bu düzeltmenin Windows Server 2008 tabanlı etki alanı denetleyicileri gerek yoktur.
  • Bu düzeltme yalnızca Windows Server 2008 tabanlı etki alanı denetleyicileri etki alanı varsa, gerekli değildir.
Daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
978055 Düzeltme: Windows Server 2008 R2 etki alanı denetleyicisinin etki alanına katıldıktan sonra Kerberos kimlik doğrulama türleri için DES şifreleme kullanan kullanıcı hesapları bir Windows Server 2003 etki alanında doğrulanamaz

Özellikler

Makale numarası: 977321 - Last Review: 5 Kasım 2013 Salı - Gözden geçirme: 2.0
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Anahtar Kelimeler: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 977321

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com