如果停用 Kerberos 的 DES 登入 KDC 事件識別碼 16 或 27

文章翻譯 文章翻譯
文章編號: 977321 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

啟動 Windows 7、 Windows Server 2008 R2,與所有更新的 Windows 作業系統,Kerberos 驗證的資料加密標準 (DES) 加密是停用。本文將告訴您各種案例中,可能會收到下列事件在應用程式、 安全性及系統記錄檔中的因為 DES 加密已停用:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
此外,本文件說明如何啟用 Kerberos 驗證在 Windows 7 中,並在 Windows Server 2008 R2 的 DES 加密。詳細資訊,請參閱 「 徵狀,」 「 會 」 和 「 因應措施 」 區段的這份文件。

徵狀

請考慮下列案例:
  • 服務會使用使用者帳戶或電腦帳戶已設定為只在執行 Windows 7 或 Windows Server 2008 R2 的電腦上的 DES 加密。
  • 服務會使用使用者帳戶或電腦帳戶的設定只是 DES 加密,這是 Windows Server 2008 R2 為基礎的網域控制站和網域中。
  • Windows 7 或 Windows Server 2008 R2 執行用戶端連線到服務藉由使用使用者帳戶或電腦帳戶已設定為只 DES 加密。
  • 信任關係已設定為只 DES 加密,並包含執行 Windows Server 2008 R2 的網域控制站。
  • 應用程式或服務是硬式編碼為使用只是 DES 加密。
在上述任一案例,您可能會收到與Microsoft-Windows-Kerberos-Key-Distribution-Center的來源應用程式、 安全性及系統記錄檔中的下列事件:
摺疊此表格展開此表格
識別碼符號名稱訊息
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS雖然處理 TGS 要求目標伺服器 %1,%2 的帳戶沒有適當的索引鍵,來產生 Kerberos 票證 (遺漏機碼的識別碼為 %3)。要求的 etypes 是 %4。帳戶可以使用 etypes 是 %5。
事件識別碼 27 — KDC 加密類型設定
16KDCEVENT_NO_KEY_INTERSECTION_TGS雖然處理 TGS 要求目標伺服器 %1,%2 的帳戶沒有適當的索引鍵,來產生 Kerberos 票證 (遺漏機碼的識別碼為 %3)。要求的 etypes 是 %4。帳戶可以使用 etypes 是 %5。變更或重設密碼的 %6 將會產生適當的索引鍵。
事件識別碼 16 — Kerberos 金鑰完整性

發生的原因

根據預設,Kerberos 的 DES 加密的安全性設定已停用下列的電腦上:
  • 正在執行 Windows 7 的電腦
  • 正在執行 Windows Server 2008 R2 的電腦
  • 正在執行 Windows Server 2008 R2 的網域控制站
附註密碼編譯支援 Kerberos 存在在 Windows 7 中,並在 Windows Server 2008 R2。根據預設,Windows 7 會使用下列進階加密標準 (AES) 或 RC4 加密套件,"加密類型"和"etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
設定為只 DES 加密的服務失敗,除非在下列情況成立:
  • 若要支援 RC4 加密,或支援 AES 加密時,會重新設定服務。
  • 所有用戶端電腦,所有伺服器和網域服務帳戶的所有網域控制站被設定成支援 DES 加密。
根據預設,Windows 7 和 Windows Server 2008 R2 支援下列的加密套件: DES-CBC MD5 加密套件 DES-CBC-CRC 加密套件可以啟用及在 Windows 7 中需要時。

其他可行方案

我們強烈建議您檢查是否 DES 加密是否仍然需要在環境或檢查是否有特定的服務需要唯一的 DES 加密。請檢查服務是否可以使用 RC4 加密或 AES 加密,或檢查廠商是否具有強的密碼編譯驗證替代方案。

Hotfix 978055 若要正確地處理從執行 Windows Server 2003 的網域控制站複寫的加密類型資訊的 Windows Server 2008 R2 為基礎的網域控制站的需要。請參閱以下的詳細資訊章節。
  1. 判斷應用程式是否以硬式編碼為使用只是 DES 加密。但它會停用或金鑰發佈中心 (Kdc) 上都執行 Windows 7 的用戶端的預設設定。

    若要檢查是否會受到這個問題,請收集一些網路追蹤,並再檢查類似下列的範例追蹤的追蹤:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. 決定是否將使用者帳戶或電腦帳戶設定為只 DES 加密。

    在 「 使用中目錄的使用者和電腦 」 嵌入式管理單元中,開啟 [使用者帳戶內容,並檢查是否使用 Kerberos DES 加密類型,這個帳戶] 選項已設定帳戶] 索引標籤下。
如果您結束您已經受到這個問題,而且您有開啟 Kerberos 驗證的 DES 加密類型,啟用下列群組原則套用至所有電腦都正在執行 Windows 7 或 Windows Server 2008 R2 的 DES 加密類型:
  1. 在 [群組原則管理主控台 (GPMC),找出下列位置:
    電腦 Configuration\ Windows Settings\ 安全性 Settings\ 本機 Policies\ 安全性選項
  2. 按一下以選取網路安全性: 設定所允許的 Kerberos 加密類型選項。
  3. 按一下以選取 [定義這些原則設定和所有的加密類型六個核取方塊。
  4. 按一下[確定]。關閉 GPMC。
附註原則會將SupportedEncryptionTypes登錄項目設定為0x7FFFFFFF的值。SupportedEncryptionTypes登錄項目是位於下列位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
視案例而定,您可能要將此原則設定在網域層級套用至所有正在執行 Windows 7 或 Windows Server 2008 R2 的用戶端的 DES 加密類型。或者,您可能正在執行 Windows Server 2008 R2 的網域控制站的網域控制站組織單位 (OU) 中設定此原則。

其他相關資訊

DES 專用的應用程式相容性問題發生在下列兩個設定:
  • 呼叫的應用程式是硬式編碼的只是 DES 加密。
  • 執行服務的帳戶設定為使用只是 DES 加密。
使用 Kerberos 驗證時,必須滿足下列加密型別準則:
  1. 一般型別存在用戶端和網域控制站之間在用戶端驗證。
  2. 一般型別存在的網域控制站與資源伺服器之間加密票證。
  3. 一般型別存在於用戶端與資源伺服器之間的工作階段索引鍵。
請考慮下列情況:
摺疊此表格展開此表格
角色OSKerberos 支援的加密層級
DCWindows 2003 ServerRC4 以及 DES
用戶端 Windows 7AES 和 RC4
資源伺服器J2EEDES
在此情況下,準則 1 滿足的 RC4 加密,準則 2 滿足 DES 加密的。第三個條件會失敗,因為伺服器是 DES 專用,因為用戶端不支援 DES。

如果下列情況皆成立在網域中,必須在每個 Windows Server 2008 R2 的網域控制站上安裝 hotfix 978055:
  • 有一些 DES 啟用使用者或電腦帳戶。
  • 在相同網域中,沒有正在執行 Windows 2000 Server、 Windows Server 2003 或 Windows Server 2003 R2 的一或多個網域控制站。
附註
  • 若要正確地處理從執行 Windows Server 2003 的網域控制站複寫的加密類型資訊的 Windows Server 2008 R2 架構網域控制站需要 Hotfix 978055。
  • Windows Server 2008 為基礎的網域控制站不需要此 hotfix。
  • 如果網域中有只有 Windows Server 2008 為基礎的網域控制站,就不需要此 hotfix。
如需詳細資訊,按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
978055 修正: Kerberos 驗證類型都使用 DES 加密的使用者帳戶無法驗證 Windows Server 2003 網域中的 Windows Server 2008 R2 網域控制站加入網域之後

屬性

文章編號: 977321 - 上次校閱: 2013年11月5日 - 版次: 2.0
這篇文章中的資訊適用於:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
關鍵字:?
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:977321
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com