16 ID událostí KDC nebo 27 je zaznamenána, pokud je zakázán protokol Kerberos DES

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 977321
Souhrn
Počínaje všechny novější operační systémy Windows, Windows 7 a Windows Server 2008 R2, je zakázáno šifrování Data Encryption (Standard DES) pro ověřování pomocí protokolu Kerberos. Tento článek popisuje různé případy, ve kterých se může zobrazit následující události v protokolu aplikací, zabezpečení a systému vzhledem k tomu, že je zakázáno šifrování DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Kromě toho tento článek popisuje postup při povolení šifrování DES pro ověřování pomocí protokolu Kerberos v systému Windows 7 a Windows Server 2008 R2. Podrobné informace naleznete v části "Příznaky," "Způsobit" a "Řešení" částech tohoto článku.
Příznaky
Zvažte následující scénáře:
  • Služba používá uživatelský účet nebo účet počítače, který je nakonfigurován pro pouze DES šifrování v počítači se systémem Windows 7 nebo Windows Server 2008 R2.
  • Služba používá uživatelský účet nebo účet počítače, který je nakonfigurován pro pouze DES šifrování a který je v doméně s řadiči domény se systémem Windows Server 2008 R2.
  • Klienta se systémem Windows 7 nebo Windows Server 2008 R2 připojuje ke službě pomocí uživatelského účtu nebo účtu počítače, který je nakonfigurován pro pouze šifrování DES.
  • Vztah důvěryhodnosti je nakonfigurována pro pouze šifrování DES a obsahuje řadiče domény se systémem Windows Server 2008 R2.
  • Aplikace nebo služba je pevně zakódovanou používat pouze šifrování DES.
V žádné z těchto scénářů může zobrazit následující události v protokolu aplikací, zabezpečení a systému spolu s Microsoft-Windows-Kerberos-Key-Distribution-Center zdroj:
IDSymbolický názevZpráva
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSPři zpracování požadavku na TGS pro cílový server %1, %2 účtu neměl vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID %3). Požadované protokoly ETYPE byly %4. K dispozici ETYPE účty byly %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSPři zpracování požadavku na TGS pro cílový server %1, %2 účtu neměl vhodný klíč pro generování lístku protokolu Kerberos (chybějící klíč má ID %3). Požadované protokoly ETYPE byly %4. K dispozici ETYPE účty byly %5. Změna nebo obnovení hesla %6 vygeneruje správný klíč.
Příčina
Ve výchozím nastavení jsou nastavení zabezpečení pro šifrování DES pro protokol Kerberos zakázán v následujících počítačích:
  • Počítače se systémem Windows 7
  • Počítače se systémem Windows Server 2008 R2
  • Řadiče domény se systémem Windows Server 2008 R2
Poznámka: Kryptografické podpory protokolu Kerberos existuje v systému Windows 7 a Windows Server 2008 R2.Ve výchozím nastavení používá systém Windows 7 následující šifrovací sada záloha šifrování AES (Standard) nebo RC4 pro "typy šifrování" a "ETYPE":
  • AES256-CTS-ALGORITMUS HMAC-SHA1-96
  • AES128-CTS-ALGORITMUS HMAC-SHA1-96
  • RC4 HMAC
Služby, které jsou konfigurovány pouze pro šifrování DES nezdaří, pokud jsou splněny následující podmínky:
  • Služba bude překonfigurováno podporovat šifrování RC4 nebo podporují šifrování AES.
  • Všechny klientské počítače, všechny servery a všechny řadiče domény v doméně účtu služby jsou konfigurovány pro podporu šifrování DES.
Ve výchozím nastavení, Windows 7 a Windows Server 2008 R2 podporuje následující šifrovací sada: The DES-CBC-MD5 šifrovací sada a šifrovací sada DES-CBC-CRC lze povolit v systému Windows 7 Pokud je to požadováno.
Jak potíže obejít
Důrazně doporučujeme zkontrolovat, zda šifrování DES stále vyžaduje prostředí nebo kontrolu, zda konkrétní služby vyžadují pouze šifrování DES. Zkontrolujte, zda služba může použít šifrování RC4 nebo AES šifrování nebo zkontrolujte, zda dodavatel alternativní ověřování, který má silnější šifrování.

Opravy hotfix 978055 je vyžadována pro řadiče domény se systémem Windows Server 2008 R2 správně zpracovat informace o typu šifrování, který je replikován z řadičů domény se systémem Windows Server 2003. V části Další informace níže.
  1. Zjistěte, zda je pevně používat pouze šifrování DES. Ale je zakázána podle výchozího nastavení v klientech se systémem Windows 7 nebo centra distribuce klíčů (KDCs).

    Chcete-li zkontrolovat, zda se vás tento problém, shromážděte některé stopy sítě a vyhledejte stopy, které se podobají následující vzorek stopy:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. Zjistěte, zda je uživatelský účet nebo účet počítače konfigurován pouze pro šifrování DES.

    "Uživatelé a počítače služby Active Directory" modul snap-in otevřete vlastnosti uživatelského účtu a zkontrolujte, zda je na kartě účet nastavena možnost použití protokolu Kerberos šifrování DES pro tento účet .
Pokud můžete uzavřít, že jsou ovlivněny tento problém a je nutné zapnout typ šifrování DES pro ověřování pomocí protokolu Kerberos, povolte následující zásady skupiny použít typ šifrování DES pro všechny počítače se systémem Windows 7 nebo Windows Server 2008 R2:
  1. V Zásady skupiny Management Console (GPMC), vyhledejte následující umístění:
    Počítač Configuration\ Settings\ zabezpečení Settings\ Policies\ místního zabezpečení možnosti spuštění systému Windows
  2. Klepnutím vyberte zabezpečení sítě: konfigurovat typy šifrování povoleno ověřování pomocí protokolu Kerberos možnost.
  3. Klepnutím vyberte možnost Definovat toto nastavení zásad a všech šest políček pro typy šifrování.
  4. Klepněte na tlačítko OK Zavřete konzolu GPMC.
Poznámka: Zásady nastaví položku registru SupportedEncryptionTypes na hodnotu 0x7FFFFFFF. Položka registru SupportedEncryptionTypes je v následujícím umístění:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
V závislosti na scénáři může mít nastavení této zásady na úrovni domény, který chcete použít typ šifrování DES pro všechny klienty se systémem Windows 7 nebo Windows Server 2008 R2. Nebo může být nutné nastavit tuto zásadu v organizační jednotce (OU) řadiče domény u řadičů domény se systémem Windows Server 2008 R2.
Další informace
Problémy s kompatibilitou aplikace jen DES se vyskytují ve dvou následujících konfigurací:
  • Volající aplikace je pevně kódováno pro pouze šifrování DES.
  • Účet, který spouští službu je nakonfigurován používat pouze šifrování DES.
Pro ověřování pomocí protokolu Kerberos pracovat, musí být splněny následující kritéria typ šifrování:
  1. Běžným typem existuje mezi klienta a řadiče domény pro ověřovatele na straně klienta.
  2. Běžným typem existuje mezi řadičem domény a server prostředků k šifrování lístku.
  3. Běžným typem existuje mezi klientem a serverem prostředků pro klíč relace.
Předpokládejme následující situaci:
RoleOSÚroveň šifrování podporováno ověřování pomocí protokolu Kerberos
DCWindows Server 2003RC4 a DES
Klient Windows 7AES a RC4
Prostředků serveru.J2EEDES
V takovém případě je šifrování RC4 splňovat kritéria 1 a je splněna kritéria 2 pomocí šifrování DES. Třetí kritérium se nezdaří, protože server je jen DES a vzhledem k tomu, že klient nepodporuje algoritmus DES.

978055 opravy hotfix musí být nainstalována ve všech řadičích domény se systémem Windows Server 2008 R2 Pokud v doméně jsou splněny následující podmínky:
  • Existují některé povolené DES účty uživatele nebo počítače.
  • Ve stejné doméně je jeden nebo více řadičů domény se systémem Windows 2000 Server, Windows Server 2003 nebo Windows Server 2003 R2.
Poznámka:
  • Opravy hotfix 978055 je vyžadována pro řadiče domény založené na systému Windows Server 2008 R2 správně zpracovat informace o typu šifrování, který je replikován z řadičů domény se systémem Windows Server 2003.
  • Řadiče domény se systémem Windows Server 2008 není nutné tuto opravu hotfix.
  • Tato oprava hotfix není vyžadován, pokud má pouze řadiče domény se systémem Windows Server 2008.
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
978055 Oprava: Uživatelské účty, které používají šifrování DES pro typy ověřování pomocí protokolu Kerberos nelze ověřit v doméně systému Windows Server 2003 po připojí se k doméně řadič domény systému Windows Server 2008 R2

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 977321 - Poslední kontrola: 03/15/2015 03:53:00 - Revize: 4.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtcs
Váš názor