KDC подія ID 16 або 27 реєструється, якщо вимкнуто DES для Kerberos

Переклади статей Переклади статей
Номер статті: 977321 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

Підсумки

Починаючи з Windows 7, Windows Server 2008 R2 і всі пізнішої версії ОС Windows, шифрування даних шифрування стандартні DES для автентифікації Kerberos вимкнуто. Ця стаття описує різні сценарії, в яких може з'явитися такі події в застосунку, безпеки та системи журнали оскільки шифрування DES вимкнуто:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Крім того, ця стаття пояснює, як використовувати шифрування DES Kerberos автентифікації в Windows 7 і Windows Server 2008 R2. Докладні відомості див "Симптоми," "Викликати" і "Обійти" розділах цієї статті.

Ознаки

Розглянемо наступні сценарії:
  • Служба використовує обліковий запис А комп'ютера користувача або обліковий запис А комп'ютера комп'ютера, який настроєно для лише DES шифрування на комп'ютері під керуванням Windows 7 або Windows Server 2008 R2.
  • Служба використовує обліковий запис А комп'ютера користувача або обліковий запис А комп'ютера комп'ютера, настроєної для тільки шифрування DES, і що в домені разом з контролерах домену під керуванням Windows Server 2008 R2.
  • Клієнт, який працює під керуванням Windows 7 або Windows Server 2008 R2 підключається до служби за допомогою обліковий запис А комп'ютера користувача або обліковий запис А комп'ютера комп'ютера, який настроєно для тільки шифрування DES.
  • Довірчий зв'язок настроєно для лише DES шифрування та включає контролерів домену, які виконуються Windows Server 2008 R2.
  • Застосунок або послуга є жорстко кодований лише шифрування DES.
У будь-якому з цих сценаріїв може з'явитися такі події в застосунку, безпеки та системи журнали разом з Microsoft-Windows-Kerberos-Key-Distribution-Center джерело:
Згорнути цю таблицюРозгорнути цю таблицю
IDСимволічне ім'япротокол IMAP
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSПід Вільний час обробки запит на змінення TGS для цільового сервера %1, облікового запису %2 не мають відповідний ключ для генерації Kerberos квитків (зниклих без вести ключ має Ідентифікатор %3). Запитаний etypes були %4. Etypes наявні облікові запис А бізнес-партнера було %5.
Подія з Кодом 27-KDC шифрування типу конфігурації
16KDCEVENT_NO_KEY_INTERSECTION_TGSПід Вільний час обробки запит на змінення TGS для цільового сервера %1, облікового запису %2 не мають відповідний ключ для генерації Kerberos квитків (зниклих без вести ключ має Ідентифікатор %3). Запитаний etypes були %4. Etypes наявні облікові запис А бізнес-партнера було %5. Змінення або скидання пароля %6 буде генерувати правильний ключ.
Подія з Кодом 16 — Kerberos ключ цілісність

причина

За промовчанням параметри безпеки для шифрування DES для Kerberos вимикаються на таких комп'ютерах:
  • Комп'ютери, які працюють під керуванням Windows 7
  • Комп'ютерів під керуванням Windows Server 2008 R2
  • Контролери домену, що знаходяться під керуванням Windows Server 2008 R2
Примітка. Криптографічні підтримку Kerberos існує в Windows 7 і Windows Server 2008 R2.За промовчанням Windows 7 використовує наступні suites заздалегідь Стандарт шифрування (AES) або RC4 шифр "типи шифрування" і "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
застосунок-служба, які настроєні для тільки шифрування DES провал, якщо виконуються такі умови:
  • Послуга змінюються настройки для підтримки шифрування за алгоритмом RC4 або підтримка шифрування AES.
  • Усі клієнтські комп'ютери, всі сервери і всі контролери доменів для доменів облікового запису служби настроєно на підтримку шифрування DES.
За промовчанням, Windows 7 і Windows Server 2008 R2 підтримує наступні шифр suites: програмний комплекс шифрів дез-CBC-MD5 і DES CBC CRC шифрів можна увімкнути в Windows 7 тоді, коли це потрібно.

Обхідний шлях

Ми настійно рекомендуємо, що ви перевірити, чи шифрування DES однаково буде потрібною середовища або перевірити чи певних служб вимагають тільки шифрування DES. Перевірте службу можна використовувати шифрування за алгоритмом RC4 або AES-шифрування, чи перевірити, чи продавець має автентифікації альтернативою, яка має сильний криптографії.

Виправлення 978055 необхідна для правильної обробки тип шифрування інформації, який реплікується від контролерів домену, які працюють під керуванням Windows Server 2003, контролери домену під керуванням Windows Server 2008 R2. У розділі Додаткові відомості нижче.
  1. Визначення, чи застосування жорстко кодований лише шифрування DES. Але його зазвичай вимкнено за промовчанням на клієнтів, які працюють під керуванням Windows 7 або на ключ центрами роздачі (KDCs).

    Перевірити, чи ви постраждали від цієї проблеми, будь ласка збирати деякі мережі сліди і здійсніть пошук слідів, які нагадують такі сліди зразка:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Визначити, чи є обліковий запис А комп'ютера користувача або обліковий запис А комп'ютера комп'ютера настроєно для тільки шифрування DES.

    В "Active Directory користувачів і комп'ютери" оснастка відкрити властивості облікового запису користувача та перевірте, чи сценарій виконання Kerberos DES типи шифрування для цього облікового запису опція встановлюється на вкладці облікового запису .
Якщо ви зробити висновок, що ви постраждали від цієї проблеми і що у вас є, щоб увімкнути тип шифрування DES для автентифікації Kerberos, включити наступні групові політики для застосування тип шифрування DES до всіх комп'ютерів, які працюють під керуванням Windows 7 або Windows Server 2008 R2:
  1. На до політику консоль керування MMC груповою (GPMC), знайти в такому розташуванні:
    комп’ютер-зразок Configuration\ Settings\ Settings\ місцевим Policies\ безпеки можливими
  2. Встановіть на Мережева безпека: настроїти типи шифрування, дозволений для Kerberos варіант.
  3. Натисніть, щоб виділити визначте ці параметри політики а всі шість прапорці для типів шифрування.
  4. Натисніть кнопку ОК. Закрити на GPMC.
Примітка. Політика встановлює запису реєстру SupportedEncryptionTypes значення 0x7FFFFFFF. запис А реєстру SupportedEncryptionTypes знаходиться в такому розташуванні:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
В залежність завдання від сценарію можливо, доведеться встановити цю політику на рівні домену, щоб застосувати тип шифрування DES всім клієнтам, які працюють під керуванням Windows 7 або Windows Server 2008 R2. Або, можливо, доведеться встановити цю політику в організаційного підрозділу (ОП) контролера домену на контролерах домену, які виконуються Windows Server 2008 R2.

Додаткові відомості

Проблеми сумісності дез лише для застосування зустрічаються в наступні два конфігурації:
  • Застосунок, що викликається є жорстко кодований для тільки шифрування DES.
  • обліковий запис А комп'ютера, який запускає послугу налаштовано на сценарій виконання тільки шифрування DES.
Для автентифікації Kerberos для роботи потрібно дотримуватися наступні критерії тип шифрування:
  1. Поширений тип існує між клієнтом і контролер домену для Генератор кодів на клієнті.
  2. Поширений тип існує між контролер домену та ресурсів сервера для шифрування квитка.
  3. Поширений тип існує між клієнтом і сервером ресурс для сеансового ключа.
Розглянемо таку ситуацію:
Згорнути цю таблицюРозгорнути цю таблицю
РольОСПідтримує рівень шифрування для Kerberos
ПОСТІЙНОГО СТРУМУWindows Server 2003RC4 і ЗНИ
Клієнт Windows 7AES і RC4
Ресурсів сервераJ2EEDES
У цій ситуації критерії 1 задовольняється шифрування за алгоритмом RC4 і критерії 2 задовольняється шифрування DES. Третій критерій не спрацьовує, оскільки сервер є тільки DES і тому, що клієнт не підтримує DES.

Виправлення 978055 потрібно інсталювати на кожного контролера домену під керуванням Windows Server 2008 R2, якщо виконуються такі умови в домені:
  • Є деякі з підтримкою DES користувача або комп'ютера рахунків.
  • У межах одного домену існує один чи кілька контролерів домену, які працюють під керуванням Windows 2000 Server, Windows Server 2003 або Windows Server 2003 R2.
Примітка.
  • Виправлення 978055 є обов'язковим для контролери домену під керуванням Windows Server 2008 R2 для правильної обробки тип шифрування інформації, який реплікується від контролерів домену, які працюють під керуванням Windows Server 2003.
  • Контролери домену під керуванням Windows Server 2008 не вимагають цього виправлення.
  • Це виправлення не є обов'язковим, якщо домен має тільки контролерах домену Windows Server 2008.
Щоб отримати додаткові відомості клацніть, номер статті в базі знань Майкрософт:
978055 FIX: Облікові запис А бізнес-партнера користувачів, які використовують шифрування DES для типів автентифікації Kerberos не вдалося автентифікувати домену Windows Server 2003 після того, як контролера домену Windows Server 2008 R2 приєднується до домену

Властивості

Номер статті: 977321 - Востаннє переглянуто: 5 листопада 2013 р. - Редакція: 2.0
Застосовується до:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Ключові слова: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 977321

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com