أنت غير متصل حاليًا، وفي انتظار الإنترنت الخاص بك ليقوم بإعادة الاتصال

يتم تسجيل KDC 16 معرف الحدث أو 27 إذا تم تعطيل DES ل Kerberos

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية977321
الموجز
بدءاً من نظام التشغيل Windows 7 ونظام التشغيل Windows Server 2008 R2 كافة أنظمة تشغيل Windows الأحدث، يتم تعطيل التشفير مقياس تشفير البيانات (DES) لمصادقة Kerberos. توضح هذه المقالة السيناريوهات المختلفة التي قد تظهر الأحداث التالية في سجلات التطبيق والأمان والنظام لأنه تم تعطيل تشفير DES:
  • لم يتم ترقية الملف Microsoft Data Access Components (MDAC) يسمى Oledb32.dll إلى الإصدار الصحيح أثناء عملية الترقية من Windows Server 2003.
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
بالإضافة إلى ذلك، توضح هذه المقالة كيفية تمكين تشفير DES لمصادقة Kerberos في Windows 7 وفي Windows Server 2008 R2. للحصول على معلومات مفصلة، راجع قسم "الأعراض،" "السبب"، والأقسام "الحل البديل" من هذه المقالة.
الأعراض
خذ بعين الاعتبار السيناريوهات التالية:
  • يستخدم خدمة حساب مستخدم أو حساب كمبيوتر الذي تم تكوينه لتشفير DES فقط على جهاز كمبيوتر يعمل بنظام التشغيل Windows 7 أو Windows Server 2008 R2.
  • يستخدم خدمة حساب مستخدم أو حساب كمبيوتر الذي تم تكوينه لتشفير DES فقط وفي مجال التعاون مع وحدات التحكم بالمجال المستندة إلى Windows Server 2008 R2.
  • يتصل عميل يعمل بنظام التشغيل Windows 7 أو Windows Server 2008 R2 إلى خدمة باستخدام حساب مستخدم أو حساب كمبيوتر الذي تم تكوينه لتشفير DES فقط.
  • علاقة ثقة تم تكوينه من أجل تشفير DES فقط، وتتضمن وحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2008 R2.
  • تطبيق أو خدمة ضمني استخدام تشفير DES فقط.
في أي من هذه السيناريوهات، قد تظهر الأحداث التالية في سجلات التطبيق والأمان والنظام إلى جانب مصدر ميكروسوفتويندووسكيربيروسكييديستريبوتيونسينتير :
معرفاسم رمزيالرسالة
27لم يتم ترقية الملف Microsoft Data Access Components (MDAC) يسمى Oledb32.dll إلى الإصدار الصحيح أثناء عملية الترقية من Windows Server 2003.أثناء معالجة طلب TGS للملقم الهدف % 1، الحساب % 2 لم يكن مفتاح مناسب لإنشاء تذكرة Kerberos (مفتاح مفقود له معرف % 3). وكانت اتيبيس المطلوب % 4. وكانت اتيبيس توفر حسابات % 5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSأثناء معالجة طلب TGS للملقم الهدف % 1، الحساب % 2 لم يكن مفتاح مناسب لإنشاء تذكرة Kerberos (مفتاح مفقود له معرف % 3). وكانت اتيبيس المطلوب % 4. وكانت اتيبيس توفر حسابات % 5. تغيير أو تعيين كلمة مرور % 6 سيتم إنشاء مفتاح مناسب.
السبب
بشكل افتراضي، يتم تعطيل إعدادات الأمان لتشفير DES Kerberos على أجهزة الكمبيوتر التالية:
  • أجهزة كمبيوتر تعمل بنظام التشغيل Windows 7
  • أجهزة كمبيوتر تعمل بنظام التشغيل Windows Server 2008 R2
  • وحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2008 R2
ملاحظة دعم Kerberos التشفير موجود في Windows 7 وفي Windows Server 2008 R2.بشكل افتراضي، يستخدم ويندوز 7 مجموعات تشفير RC4 أو سلفه التشفير القياسي (AES) التالية "أنواع التشفير" "اتيبيس":
  • AES256-التجارة في الخدمات-HMAC-SHA1-96
  • AES128-التجارة في الخدمات-HMAC-SHA1-96
  • RC4 HMAC
فشل الخدمات التي تم تكوينها من أجل تشفير DES فقط إلا إذا تحققت الشروط التالية:
  • يتم إعادة تكوين الخدمة لدعم تشفير RC4 أو لدعم تشفير AES.
  • يتم تكوين كافة الخوادم وأجهزة الكمبيوتر العميلة كافة وحدات تحكم المجال للمجال حساب الخدمة لدعم التشفير DES.
بشكل افتراضي، يعتمد Windows 7 و Windows Server 2008 R2 التشفير التالية: يمكن تمكين مجموعة التشفير DES-CBC MD5 ومجموعه التشفير DES CBC CRC في ويندوز 7 عندما يكون مطلوباً.
الحل البديل
نوصي بشدة بالتحقق ما إذا كان تشفير DES لا يزال مطلوباً في البيئة أو الاختيار ما إذا كانت خدمات معينة مطلوب تشفير DES فقط. التحقق ما إذا كانت الخدمة استخدام تشفير RC4 أو AES تشفير أو التحقق من ما إذا كان المورد بدلاً من مصادقة التي تم تشفير أقوى.

الإصلاح العاجل 978055 مطلوب لوحدات التحكم بالمجال المستندة إلى Windows Server 2008 R2 للتعامل مع معلومات نوع التشفير الذي يتم إنشاء نسخة متماثلة من وحدات تحكم المجال التي تقوم بتشغيل Windows Server 2003. راجع المقطع معلومات أكثر أدناه.
  1. تحديد ما إذا كان التطبيق الثابت تلوينها باستخدام تشفير DES فقط. لكنه معطل بالإعدادات الافتراضية على الأجهزة العميلة التي تقوم بتشغيل Windows 7 أو في مراكز توزيع مفتاح (كدكس).

    للتحقق ما إذا كانت تتأثر بهذه المشكلة، الرجاء تجميع بعض عمليات تتبع الشبكات، ومن ثم تحقق من وجود آثار تشبه آثار النموذج التالي:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. تحديد ما إذا كان قد تم تكوين حساب المستخدم أو حساب الكمبيوتر لتشفير DES فقط.

    في "النشطة دليل المستخدمين والحواسيب" الأداة الإضافية، افتح خصائص حساب المستخدم، وثم التحقق ما إذا تم تعيين خيار استخدام Kerberos DES أنواع التشفير لهذا الحساب ضمن علامة التبويب حساب .
إذا كان الاستنتاج أن تتأثر بهذه المشكلة وأن لديك لتشغيل نوع التشفير DES لمصادقة Kerberos تمكين "نهج المجموعة" التالية لتطبيق نوع التشفير DES لكافة أجهزة الكمبيوتر التي تشغل Windows 7 أو Windows Server 2008 R2:
  1. في المجموعة نهج إدارة وحدة التحكم (GPMC)، حدد الموقع التالي:
    الكمبيوتر Configuration\ Windows Settings\ Settings\ Policies\ المحلي أمان خيارات الأمان
  2. انقر لتحديد أمان شبكة الاتصال: تكوين أنواع التشفير المسموح بها ل Kerberos الخيار.
  3. انقر لتحديد كافة خانات الاختيار ستة أنواع التشفير و تعريف إعدادات النهج هذه .
  4. انقر فوق موافق. إغلاق GPMC.
ملاحظة النهج تعيين إدخال التسجيل سوبورتيدينكريبتيونتيبيس لقيمة 0x7FFFFFFF. يتم إدخال التسجيل سوبورتيدينكريبتيونتيبيس في الموقع التالي:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
ووفقا للسيناريو، قد يلزم تعيين هذا النهج عند مستوى المجال لتطبيق نوع التشفير DES لكافة العملاء التي تقوم بتشغيل Windows 7 أو Windows Server 2008 R2. أو، قد تضطر إلى تعيين هذا النهج في الوحدة التنظيمية (OU) لوحدة تحكم المجال لوحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2008 R2.
معلومات أخرى
مواجهة مشكلات توافق التطبيقات DES فقط في كلا التكوينات التالية:
  • يتم تطبيق الاستدعاء ضمني لتشفير DES فقط.
  • يتم تكوين الحساب الذي يتم تشغيل الخدمة استخدام تشفير DES فقط.
يجب أن يستوفي المعايير نوع التشفير التالية لمصادقة Kerberos للعمل:
  1. يوجد نوع عام بين العميل ووحدة التحكم بالمجال للمصادق على العميل.
  2. يوجد نوع عام بين وحدة تحكم المجال وخادم المورد لتشفير البطاقة.
  3. يوجد نوع عام بين العميل والخادم المورد لمفتاح جلسة العمل.
خذ بعين الاعتبار الحالة التالية:
دورنظام التشغيلدعم مستوى التشفير ل Kerberos
وحدة تحكم المجالنظام التشغيل Windows Server 2003DES و RC4
العميل Windows 7الخدمات المعمارية والهندسية RC4
خادم الموردJ2EEDES
في هذه الحالة، هو الوفاء بمعايير 1 بتشفير RC4، وهو الوفاء بمعايير 2 بتشفير DES. فشل المعيار الثالث لأن الخادم DES فقط ونظرا لأن العميل لا يدعم DES.

يجب تثبيت الإصلاح العاجل 978055 على كل وحدة تحكم المجال المستندة إلى Windows Server 2008 R2 إذا تحققت الشروط التالية في المجال:
  • هناك بعض تمكين DES حسابات المستخدم أو الكمبيوتر.
  • في نفس المجال، يوجد واحد أو أكثر من وحدات تحكم المجال التي تقوم بتشغيل Windows 2000 Server أو Windows Server 2003 أو نظام التشغيل Windows Server 2003 R2.
ملاحظة
  • 978055 الإصلاح العاجل مطلوب لوحدات تحكم المجال المستندة إلى Windows Server 2008 R2 للتعامل مع معلومات نوع التشفير الذي يتم إنشاء نسخة متماثلة من وحدات تحكم المجال التي تقوم بتشغيل Windows Server 2003.
  • لا تتطلب هذا الإصلاح العاجل وحدات التحكم بالمجال المستندة إلى Windows Server 2008.
  • هذا الإصلاح العاجل غير مطلوب إذا كان للمجال فقط وحدات تحكم المجال المستندة إلى Windows Server 2008.
لمزيد من المعلومات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft":
978055 تصحيح: حسابات المستخدمين استخدام تشفير DES لأنواع مصادقة Kerberos لا يمكن مصادقة في مجال Windows Server 2003 بعد انضمام وحدة تحكم مجال Windows Server 2008 R2 المجال

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 977321 - آخر مراجعة: 11/04/2013 07:39:00 - المراجعة: 6.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtar
تعليقات
html>ame("head")[0].appendChild(m); l
대한민국 - 한국어
España - Español
Paraguay - Español
Venezuela - Español
did=1&t=">050&did=1&t=">id=1&t=">