KDC t? ch?c s? ki?n ID 16 hay 27 đư?c ghi nh?t k? n?u DES cho Kerberos b? vô hi?u hóa

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 977321 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

Tóm t?t

B?t đ?u v?i Windows 7, Windows Server 2008 R2, và t?t c? hệ điều hành Windows sau này, m? hóa d? li?u m? hóa tiêu chu?n (DES) cho xác th?c Kerberos b? vô hi?u hóa. Bài vi?t này mô t? các t?nh hu?ng khác nhau mà b?n có th? nh?n đư?c các s? ki?n sau đây trong các b?n ghi ?ng d?ng, b?o m?t và h? th?ng do DES m? hóa vô hi?u hoá:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Ngoài ra, đi?u này gi?i thích làm th? nào đ? kích ho?t DES m? hóa xác th?c Kerberos trong Windows 7 và Windows Server 2008 R2. Thông tin chi ti?t, xem các "tri?u ch?ng," "Gây ra," và "Workaround" ph?n c?a bài vi?t này.

Tri?u ch?ng

Xem xét k?ch b?n sau đây:
  • M?t b?n ghi d?ch v? s? d?ng m?t tài kho?n ngư?i dùng ho?c trương m?c máy tính đ? đư?c c?u h?nh đ? ch? DES m? hóa trên máy tính đang ch?y Windows 7 ho?c Windows Server 2008 R2.
  • M?t b?n ghi d?ch v? s? d?ng m?t tài kho?n ngư?i dùng ho?c trương m?c máy tính mà đư?c c?u h?nh đ? ch? DES m? hóa và đó là trong m?t tên mi?n cùng v?i b? đi?u khi?n mi?n d?a trên Windows Server 2008 R2.
  • M?t khách hàng đang ch?y Windows 7 ho?c Windows Server 2008 R2 k?t n?i v?i m?t b?n ghi d?ch v? b?ng cách s? d?ng m?t tài kho?n ngư?i dùng ho?c trương m?c máy tính đ? đư?c c?u h?nh đ? ch? DES m? hóa.
  • M?t m?i quan h? tin tư?ng đư?c c?u h?nh đ? ch? DES m? hóa và bao g?m các b? b? ki?m soát mi?n đang ch?y Windows Server 2008 R2.
  • M?t ?ng d?ng ho?c b?n ghi d?ch v? m?t là hardcoded dùng ch? DES m?t m? hóa.
Trong b?t k? c?a các k?ch b?n, b?n có th? nh?n đư?c các s? ki?n sau đây trong các b?n ghi ?ng d?ng, b?o m?t và h? th?ng cùng v?i Microsoft-Windows-Kerberos-Key-Distribution-Center ngu?n:
Thu g?n b?ng nàyBung r?ng b?ng này
IDTên tư?ng trưngTin thư thoại
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSTrong khi th?c hi?n m?t yêu c?u TGS cho máy ch? m?c tiêu %1, tài kho?n %2 không có m?t phím thích h?p đ? t?o ra m?t vé Kerberos (ch?a khóa m?t tích có m?t ID %3). Etypes đư?c yêu c?u đ? là %4. Etypes có s?n tài kho?n đ? là %5.
T? ch?c s? ki?n ID 27-KDC m? hóa lo?i c?u h?nh
16KDCEVENT_NO_KEY_INTERSECTION_TGSTrong khi th?c hi?n m?t yêu c?u TGS cho máy ch? m?c tiêu %1, tài kho?n %2 không có m?t phím thích h?p đ? t?o ra m?t vé Kerberos (ch?a khóa m?t tích có m?t ID %3). Etypes đư?c yêu c?u đ? là %4. Etypes có s?n tài kho?n đ? là %5. Thay đ?i ho?c đ?t l?i m?t kh?u c?a %6 s? t?o ra m?t phím thích h?p.
ID s? ki?n 16 — Phím Kerberos toàn v?n

Nguyên nhân

theo m?c đ?nh, cài đ?t chuyên bi?t b?o m?t cho DES m? hóa cho Kerberos đư?c vô hi?u hóa trên máy tính sau:
  • Máy tính đang ch?y Windows 7
  • Máy tính đang ch?y Windows Server 2008 R2
  • B? b? ki?m soát mi?n đang ch?y Windows Server 2008 R2
Lưu ? H? tr? m? hóa Kerberos t?n t?i trong Windows 7 và Windows Server 2008 R2.theo m?c đ?nh, Windows 7 s? d?ng các Suite m?t m? sau trư?c Encryption Standard (AES) ho?c RC4 cho "các lo?i m? hóa" và "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
b?n ghi d?ch v? đư?c đ?t c?u h?nh đ? ch? DES m? hóa không tr? khi các đi?u ki?n sau là đúng:
  • Các b?n ghi d?ch v? đư?c thi?t k? đ? h? tr? m? hóa RC4 ho?c đ? h? tr? m? hóa AES.
  • T?t c? khách hàng máy tính, t?t c? máy ch?, và t?t c? các b? đi?u khi?n tên mi?n cho tên mi?n c?a tài kho?n b?n ghi d?ch v? đư?c đ?t c?u h?nh đ? h? tr? m? hóa DES.
theo m?c đ?nh, Windows 7 và Windows Server 2008 R2 h? tr? suites m?t m? sau đây: The DES-CBC-MD5 m? hóa m?t và m?t m? DES-CBC-CRC có th? đư?c kích ho?t trong Windows 7 khi nó là c?n thi?t.

Cách gi?i quy?t khác

Chúng tôi khuyên b?n nên ki?m tra cho dù DES m? hóa v?n c?n là c?n thi?t trong môi trư?ng ho?c ki?m tra cho dù b?n ghi d?ch v? c? th? yêu c?u ch? DES m? hóa. Ki?m tra xem các b?n ghi d?ch v? có th? s? d?ng m? hóa RC4 ho?c m? hóa AES, ho?c ki?m tra xem nhà cung c?p có m?t thay th? xác th?c đ? m?t m? m?nh hơn.

Hotfix 978055 là c?n thi?t cho các b? đi?u khi?n mi?n d?a trên Windows Server 2008 R2 chính xác x? l? thông tin lo?i m? hóa sao chép t? b? b? ki?m soát mi?n đang ch?y Windows Server 2003. Xem thêm thông tin bên dư?i.
  1. Xác đ?nh xem các ?ng d?ng là c?ng m? hoá đ? s? d?ng ch? DES m? hóa. Nhưng nó b? vô hi?u hóa các thi?t l?p m?c đ?nh trên máy s? d?ng đang ch?y Windows 7 ho?c trên Trung tâm phân ph?i khóa (KDCs).

    Đ? ki?m tra cho dù b?n b? ?nh hư?ng b?i v?n đ? này, xin vui l?ng thu th?p m?t s? d?u ki?m v?t m?ng, và sau đó ki?m tra d?u ki?m v?t tương t? như d?u ki?m v?t m?u sau:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Xác đ?nh cho dù tài kho?n ngư?i dùng ho?c các tài kho?n máy tính đư?c c?u h?nh đ? ch? DES m? hóa.

    Trong "Ho?t đ?ng m?c tin thư thoại ngư?i dùng và máy tính"-theo, m? thu?c tính tài kho?n ngư?i dùng, và sau đó ki?m tra xem li?u tùy ch?n s? d?ng Kerberos DES m? hóa lo?i cho trương m?c này đư?c đ?t dư?i tab tài kho?n .
N?u b?n k?t lu?n r?ng b?n đang b? ?nh hư?ng b?i v?n đ? này và r?ng b?n ph?i b?t DES ki?u m? hóa cho xác th?c Kerberos, s? chính sách nhóm sau đ? áp d?ng ki?u m? hóa DES cho t?t c? các máy tính đang ch?y Windows 7 ho?c Windows Server 2008 R2:
  1. Trong các nhóm chính sách bàn đi?u khi?n qu?n lí (GPMC), xác đ?nh v? trí v? trí sau:
    Máy tính Configuration\ Windows Settings\ an ninh Settings\ đ?a phương Policies\ tùy ch?n b?o m?t
  2. Nh?n vào đây đ? ch?n các an ninh m?ng: đ?t c?u h?nh các lo?i m? hóa đư?c phép trong Kerberos tùy ch?n.
  3. B?m vào đ? Chọn Tất cả sáu hộp kiểm cho các lo?i m? hóa và xác đ?nh các cài đ?t chuyên bi?t chính sách .
  4. Nh?p vào OK. Đóng GPMC.
Lưu ? Các chính sách thi?t l?p các m?c nh?p registry SupportedEncryptionTypes m?t giá tr? c?a 0x7FFFFFFF. Các m?c nh?p registry SupportedEncryptionTypes là t?i v? trí sau:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Tùy thu?c vào k?ch b?n, b?n có th? ph?i đ?t chính sách này ? c?p đ? tên mi?n đ? áp d?ng ki?u m? hóa DES cho t?t c? các khách hàng đang ch?y Windows 7 ho?c Windows Server 2008 R2. Ho?c, b?n có th? có đ? đ?t chính sách này ? các đơn v? t? ch?c (OU) c?a b? đi?u khi?n tên mi?n cho b? b? ki?m soát mi?n đang ch?y Windows Server 2008 R2.

Thông tin thêm

V?n đ? tương h?p v? sau ?ng d?ng ch? có DES g?p ph?i trong hai c?u h?nh sau:
  • Các ?ng d?ng g?i là hardcoded đ? ch? DES m? hóa.
  • Tài kho?n mà ch?y các b?n ghi d?ch v? đư?c c?u h?nh đ? s? d?ng ch? DES m? hóa.
Tiêu chu?n sau đây lo?i m? hóa ph?i đư?c hài l?ng cho xác th?c Kerberos làm vi?c:
  1. M?t lo?i ph? bi?n t?n t?i gi?a khách hàng và b? đi?u khi?n tên mi?n cho các nh?n th?c trên máy tính khách.
  2. M?t lo?i ph? bi?n t?n t?i gi?a các b? đi?u khi?n tên mi?n và máy ch? tài nguyên đ? m? hóa vé.
  3. M?t lo?i ph? bi?n t?n t?i gi?a khách hàng và máy ch? tài nguyên cho ch?a khóa phiên.
H?y xem xét t?nh h?nh sau đây:
Thu g?n b?ng nàyBung r?ng b?ng này
Vai tr?hệ điều hànhH? tr? m?c m? hóa cho Kerberos
DCWindows Server 2003RC4 và DES
Khách hàng Windows 7AES và RC4
Máy ch? tài nguyênJ2EEDES
Trong t?nh hu?ng này, các tiêu chu?n 1 là hài l?ng b?i RC4 m? hóa, và các tiêu chí 2 là hài l?ng b?i DES m? hóa. Các tiêu chí th? ba không thành công v? máy ch? ch? DES và v? khách hàng h? tr? DES.

Các hotfix 978055 ph?i đư?c cài đ?t chuyên bi?t trên m?i b? đi?u khi?n mi?n d?a trên Windows Server 2008 R2 n?u các đi?u ki?n sau là đúng thu?c ph?m vi:
  • Có là m?t s? DES cho phép ngư?i s? d?ng ho?c máy tính tài kho?n.
  • Trong cùng m?t tên mi?n, có là m?t ho?c nhi?u b? ki?m soát mi?n đang ch?y Windows 2000 Server, Windows Server 2003 ho?c Windows Server 2003 R2.
Lưu ?
  • Hotfix 978055 là c?n thi?t cho b? đi?u khi?n tên mi?n d?a trên Windows Server 2008 R2 chính xác x? l? thông tin lo?i m? hóa sao chép t? b? b? ki?m soát mi?n đang ch?y Windows Server 2003.
  • B? ki?m soát mi?n Windows Server 2008 d?a trên yêu c?u hotfix này.
  • Hotfix này là không c?n thi?t n?u tên mi?n đ? ch? mi?n Windows Server 2008 d?a trên b? đi?u khi?n.
Đ? bi?t thêm chi ti?t, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
978055 Kh?c ph?c: Tài kho?n ngư?i dùng s? d?ng DES m? hóa cho các lo?i xác th?c Kerberos không th? đư?c xác th?c trong m?t tên mi?n Windows Server 2003 sau khi tham gia b? ki?m soát mi?n Windows Server 2008 R2 tên mi?n

Thu?c tính

ID c?a bài: 977321 - L?n xem xét sau cùng: 05 Tháng Mười Một 2013 - Xem xét l?i: 2.0
Áp d?ng
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
T? khóa: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài viết này được d?ch b?ng phần mềm dịch thu?t của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa l?i thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung c?p các bài vi?t đư?c c? biên d?ch viên và ph?n m?m d?ch thu?t th?c hi?n và c?ng đ?ng ch?nh s?a l?i đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng nhi?u ngôn ng? Tuy nhiên, bài vi?t do máy d?ch hoặc thậm chí cộng đồng chỉnh sửa sau không ph?i lúc nào c?ng hoàn h?o. Các bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 977321

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com