如果禁用了 Kerberos 的 DES,记录 KDC 事件 ID 16 或 27

文章翻译 文章翻译
文章编号: 977321 - 查看本文应用于的产品
展开全部 | 关闭全部

概要

从 Windows 7,Windows Server 2008 R2,以及所有更高版本的 Windows 的操作系统,数据加密标准 (DES) 加密的 Kerberos 身份验证被禁用。本文介绍了各种方案,在其中您可能会收到下列应用程序、 安全性和系统日志中的事件,因为 DES 加密已被禁用:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
此外,本文还说明了如何启用 Kerberos 身份验证在 Windows 7 中,Windows Server 2008 R2 中的 DES 加密。有关详细信息,请参阅"症状,""原因,"以及本文"解决方法"部分。

症状

请考虑以下方案:
  • 服务使用的用户帐户或计算机帐户被配置为在一台计算机正在运行 Windows 7 或 Windows Server 2008 R2 的 DES 加密。
  • 服务使用的用户帐户或计算机帐户配置为只 DES 加密和基于 Windows Server 2008 R2 的域控制器和域。
  • 正在运行 Windows 7 或 Windows Server 2008 R2 中的客户端使用的用户帐户或计算机帐户被配置为仅 DES 加密连接到服务。
  • 信任关系配置为仅 DES 加密,包括域控制器上运行的 Windows Server 2008 R2。
  • 应用程序或服务是使用仅 DES 加密的硬编码。
在这些情况下,您可能会收到与Microsoft-Windows-Kerberos-Key-Distribution-Center源的应用程序、 安全性和系统日志中的以下事件:
收起该表格展开该表格
ID符号名称消息
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS虽然处理 TGS 请求目标服务器 %1、 %2 的帐户不具有合适键生成 Kerberos 票证 (丢失注册表项的 ID 为 %3)。请求的 etype 了 4%。帐户可用 etype 了 5%。
事件 ID 27 — KDC 加密类型配置
16KDCEVENT_NO_KEY_INTERSECTION_TGS虽然处理 TGS 请求目标服务器 %1、 %2 的帐户不具有合适键生成 Kerberos 票证 (丢失注册表项的 ID 为 %3)。请求的 etype 了 4%。帐户可用 etype 了 5%。更改或重置密码的 6 将生成正确的密钥。
事件 ID 16 — Kerberos 密钥完整性

原因

默认情况下,在以下计算机上禁用 Kerberos 的 DES 加密的安全设置:
  • 运行 Windows 7 的计算机
  • 计算机正在运行 Windows Server 2008 R2
  • 域控制器上运行的 Windows Server 2008 R2
注意对 Kerberos 的加密支持存在 Windows 7 和 Windows Server 2008 R2。默认情况下,Windows 7 将下面的高级加密标准 (AES) 或 RC4 密码套件,用于"加密类型"和"etype":
  • AES256-CTS-HMAC SHA1-96
  • AES128-CTS-HMAC SHA1-96
  • RC4 HMAC
配置为仅 DES 加密的服务失败,除非满足以下条件:
  • 若要支持 RC4 加密或以支持 AES 加密,系统将重新配置该服务。
  • 所有客户端计算机,所有的服务器,并为服务帐户的域的所有域控制器配置为支持 DES 加密。
默认情况下,Windows 7 和 Windows Server 2008 R2 支持以下的密码套件: 在需要时可以在 Windows 7 中启用 DES-CBC 的 MD5 加密套件和 CRC 的 DES-CBC 密码套件。

替代方法

我们强烈建议您检查是否 DES 加密仍需要环境或检查是否特定服务需要唯一的 DES 加密。请检查服务是否可以使用 RC4 加密或 AES 加密,或检查该供应商是否有另一种身份验证方法具有更强的加密技术。

修补程序 978055 为基于 Windows Server 2008 R2 的域控制器来进行正确处理从运行 Windows Server 2003 的域控制器复制的加密类型信息的必要条件。请参阅下面的详细信息部分。
  1. 确定应用程序是否以硬编码,以便使用仅 DES 加密。但是,它已禁用或密钥分发中心 (kdc 都) 运行 Windows 7 的客户端上的默认设置。

    若要检查是否受到此问题,请收集某些网络跟踪,,然后检查有类似于下面的示例跟踪的跟踪:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. 确定用户帐户或计算机帐户被配置为仅 DES 加密。

    "活动目录用户和计算机"管理单元中,打开用户帐户属性,然后选中是否为此帐户使用 Kerberos DES 加密类型选项设置在帐户选项卡下。
受此问题,您必须启用 Kerberos 身份验证的 DES 加密类型,在得出结论,如果启用下列组策略应用于所有计算机正在运行 Windows 7 或 Windows Server 2008 R2 的 DES 加密类型:
  1. 在组策略管理控制台 (GPMC),找到以下位置:
    计算机 Configuration\ Windows Settings\ 安全 Settings\ Policies\ 本地安全选项
  2. 单击以选中网络安全: 配置加密类型允许 Kerberos 的选项。
  3. 单击此处,选择定义这些策略设置和加密类型的所有六个复选框。
  4. 单击确定。关闭 GPMC。
注意该策略将SupportedEncryptionTypes注册表项设置值为0x7FFFFFFFSupportedEncryptionTypes注册表项位于以下位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
在一定条件下,您可能需要将此策略设置在域级别应用于正在运行 Windows 7 或 Windows Server 2008 R2 中的所有客户机的 DES 加密类型。或者,您可能需要在组织单位 (OU) 中设置此策略的域控制器的域控制器运行的 Windows Server 2008 R2。

更多信息

在以下两个配置中遇到仅 DES 使用应用程序兼容性问题:
  • 调用应用程序是硬编码为仅 DES 加密。
  • 运行服务的帐户被配置为使用仅 DES 加密。
Kerberos 身份验证工作,必须满足下面的加密类型条件:
  1. 在客户端身份验证客户端和域控制器之间存在公共类型。
  2. 域控制器和资源服务器加密票证之间存在的常见的类型。
  3. 客户端会话密钥的资源服务器之间存在的常见的类型。
请考虑以下情况:
收起该表格展开该表格
角色操作系统支持 Kerberos 加密级别
DCWindows Server 2003RC4 和 DES
客户端 Windows 7AES RC4
服务器资源J2EEDES
在此情况下,1 的条件满足,RC4 加密,和 2 的条件满足,DES 加密。第三个标准将失败,因为服务器是仅 DES,因为客户端不支持 DES。

如果满足以下条件,则在域中,必须在每台基于 Windows Server 2008 R2 的域控制器上安装修补程序 978055:
  • 有一些 DES 启用的用户或计算机帐户。
  • 在相同的域中,将一个或多个域控制器上运行的 Windows 2000 服务器,Windows Server 2003 或 Windows Server 2003 R2。
注意
  • 修补程序 978055,则基于 Windows Server 2008 R2 的域控制器,可以正确处理从运行 Windows Server 2003 的域控制器复制的加密类型信息的需要。
  • 在基于 Windows Server 2008 的域控制器不需要此修补程序。
  • 如果域中具有仅基于 Windows Server 2008 的域控制器,则不需要此修补程序。
有关详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
978055 修复: 对 Kerberos 身份验证类型使用 DES 加密的用户帐户无法进行身份验证的 Windows Server 2003 域中 Windows Server 2008 R2 域控制器加入域后

属性

文章编号: 977321 - 最后修改: 2013年11月5日 - 修订: 2.0
这篇文章中的信息适用于:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
关键字:?
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 977321
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com