Kerberos için Veri Şifreleme Standardı (DES) şifreleme türleri, Windows 7 ve Windows Server 2008 R2'de, varsayılan olarak devre dışıdır.
NOT:Windows 7 ve Windows Server 2008 R2 Kerberos şifreleme desteği bulunmaktadır.
Varsayılan olarak, aşağıdaki şifre paketleri Windows 7 ve Windows Server 2008 R2 destekler:
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4 HMAC
Gerekli olduğunda DES-CBC-MD5 şifre paketi ve DES-CBC-CRC şifre paketi Windows 7'de etkinleştirilebilir.
Aşağıdaki senaryoları göz önünde bulundurun:
- Bir hizmet için DES şifreleme Windows 7 veya Windows Server 2008 R2 çalıştıran bir bilgisayarda yalnızca bir kullanıcı hesabı veya yapılandırılmış bir bilgisayar hesabı'nı kullanır.
- Bir hizmet, bir kullanıcı hesabı veya bilgisayar hesabı, yalnızca DES şifrelemesi için yapılandırılmış olan ve bir etki alanında Windows Server 2008 R2 tabanlı etki alanı denetleyicileri ile birlikte kullanır.
- Windows 7 veya Windows Server 2008 R2 çalıştıran bir istemci, hizmet için DES şifrelemesi için yalnızca bir kullanıcı hesabı veya yapılandırılmış bir bilgisayar hesabı kullanarak bağlanır.
- Bir güven ilişkisi yalnızca DES şifrelemesi için yapılandırılmış ve Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri içeriyor.
- DES şifreleme kullanmak için kodlanmış bir uygulama veya hizmet olur.
Aşağıdaki olaylar uygulama, güvenlik, tüm bu senaryoların alabileceğiniz ve sistem günlükleri ile birlikte
Microsoft-Windows-Kerberos-Key-Distribution-Centerkaynak:
Bu tabloyu kapaBu tabloyu aç
| ID: | Simgesel ad | Message |
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Hedef sunucu % 1 TGS isteği işlenirken, %2 hesabını (eksik anahtar kimliği % 3'dir) Kerberos bileti üretmek için uygun bir anahtar yoktu. İstenen etypes % 4 yoktu. Hesapları mevcut etypes % 5 bulunmaktadır. |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Hedef sunucu % 1 TGS isteği işlenirken, %2 hesabını (eksik anahtar kimliği % 3'dir) Kerberos bileti üretmek için uygun bir anahtar yoktu. İstenen etypes % 4 yoktu. Hesapları mevcut etypes % 5 bulunmaktadır. Değiştirme veya %6 parolasını sıfırlama uygun bir anahtar oluşturur. |
Varsayılan olarak, Kerberos için DES şifreleme için güvenlik ayarlarını aşağıdaki bilgisayarlarda devre dışı bırakılır:
- Windows 7 çalıştıran bilgisayarlar
- Windows Server 2008 R2 çalıştıran bilgisayarlar
- Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri
Varsayılan olarak, Windows 7 Gelişmiş Şifreleme Standardı (AES) ya da RC4 "şifreleme türleri" ve "etypes" kullanır Yalnızca DES şifrelemesi için yapılandırılmış olan hizmetlerin sürece başarısız:
- Hizmet, RC4 şifreleme desteği veya AES şifreleme desteği için yapılandırılır.
- Tüm istemci bilgisayarlar, tüm sunucuları ve tüm etki alanı denetleyicileri hizmet hesabının etki alanı için DES şifreleme destekleyecek şekilde yapılandırılır.
Belirli hizmetleri yalnızca DES şifrelemesi mi DES şifreleme hala ortam veya onay gerekip gerekmediğini denetleyin öneririz. Hizmeti kullanabilir RC4 şifrelemesi veya AES şifreleme veya satıcı için daha güçlü şifreleme olan kimlik doğrulama alternatif olup olmadığını denetlemek olup olmadığını denetleyin.
düzeltme
978055
(http://support.microsoft.com/kb/978055/
)
Windows Server 2008 R2 tabanlı etki alanı denetleyicileri Windows Server 2003 çalıştıran etki alanı denetleyicileri çoğaltılan şifreleme türü bilgileri doğru şekilde işlemek gereklidir. Aşağıda daha fazla bilgi bölümüne bakın.
- Uygulama yalnızca DES şifreleme kullanmak için kodlanmış olup olmadığını belirler. Ancak, varsayılan ayarları Windows 7 çalıştıran istemciler veya anahtar dağıtım merkezleri (KDCs) devre dışıdır.
Bu sorundan etkilenip etkilenmediğini denetlemek için lütfen bazı ağ izleme toplayın ve aşağıdaki örnek izleme benzer izlemeleri için denetleyin:Frame 1 {TCP:48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
- Etype:
+ SequenceOfHeader:
+ EType: aes256-cts-hmac-sha1-96 (18)
+ EType: aes128-cts-hmac-sha1-96 (17)
+ EType: rc4-hmac (23)
+ EType: rc4-hmac-exp (24)
+ EType: rc4 hmac old exp (0xff79)
+ TagA:
+ EncAuthorizationData:
- Kullanıcı hesabı veya bilgisayar hesabının yalnızca DES şifrelemesi için yapılandırılmış olup olmadığını belirler.
"Active Directory Kullanıcıları ve bilgisayarları" ek bileşeninde, kullanıcı hesabı özellikleri ve ardından onay olup açınBu hesap için Kerberos DES şifreleme türlerini kullanseçeneği altında ayarlanırHesapSEKME:.
If you conclude that you are affected by this issue and that you have to turn on the DES encryption type for Kerberos authentication, enable the following Group Policies to apply the DES encryption type to all computers that are running Windows 7 or Windows Server 2008 R2:
- In the Group Policy Management Console (GPMC), locate the following location:
Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options
- Seçmek için tıklatınNetwork security: Configure encryption types allowed for KerberosSeçenek.
- Click to selectDefine these policy settingsand all the six check boxes for the encryption types.
- ' I tıklatınTamam.. Close the GPMC.
NOT:The policy sets the
SupportedEncryptionTypesregistry entry to a value of
0x7FFFFFFF. The
SupportedEncryptionTypesregistry entry is at the following location:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Depending on the scenario, you may have to set this policy at the domain level to apply the DES encryption type to all clients that are running Windows 7 or Windows Server 2008 R2. Or, you may have to set this policy at the organizational unit (OU) of the domain controller for the domain controllers that are running Windows Server 2008 R2.
The DES-only application compatibility issues are encountered in the following two configurations:
- The calling application is hardcoded for only DES encryption.
- The account that runs the service is configured to use only DES encryption.
The following encryption type criteria must be satisfied for Kerberos authentication to work:
- A common type exists between the client and the domain controller for the authenticator on the client.
- A common type exists between the domain controller and the resource server to encrypt the ticket.
- A common type exists between the client and the resource server for the session key.
Consider the following situation:
Bu tabloyu kapaBu tabloyu aç
| Role | OS | Supported encryption level for Kerberos |
| DC | Windows Server 2003 | RC4 and DES |
| Client | Windows 7 | AES and RC4 |
| Resource Server | J2EE | DES |
In this situation, the criteria 1 is satisfied by RC4 encryption, and the criteria 2 is satisfied by DES encryption. The third criterion fails because the server is DES-only and because client does not support DES.
The hotfix 978055 must be installed on each Windows Server 2008 R2-based domain controller if the following conditions are true in the domain:
- There are some DES-enabled user or computer accounts.
- In the same domain, there is one or more domain controllers that are running Windows 2000 Server, Windows Server 2003, or Windows Server 2003 R2.
NOT:- Hotfix 978055 is required for the Windows Server 2008 R2-based domain controllers to correctly handle encryption type information that is replicated from the domain controllers that are running Windows Server 2003.
- The Windows Server 2008-based domain controllers do not require this hotfix.
- This hotfix is not required if the domain has only Windows Server 2008-based domain controllers.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın::
978055
(http://support.microsoft.com/kb/978055/
)
FIX: User accounts that use DES encryption for Kerberos authentication types cannot be authenticated in a Windows Server 2003 domain after a Windows Server 2008 R2 domain controller joins the domain
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Otomatik Tercüme
Üste
