SharePoint Server-konfigurationsanforderungen Kerberos-AES-Verschlüsselung unterstützen, wenn Fehler auftreten

Problembeschreibung

Fehlermeldungen nach dem Ändern der Einstellung "Network Security: Verschlüsselung zulässig für Kerberos konfigurieren" lokale Richtlinie oder ein Wert, der nur die folgenden Verschlüsselungstypen kann Gruppenrichtlinienobjekt aus:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Zukünftige Verschlüsselungstypen

Fehler in SharePoint Universal Protokollierung System (ULS) Protokolle geschrieben, geben sie der angeforderten Verschlüsselungstyp nicht vom KDC unterstützt. Aktionen, die diesen Fehler auslösen enthalten (jedoch nicht beschränkt auf):

  • Auf die Seite Dienstkonto verwalten in Zentraladministration zugreifen

  • Zugriff auf die Seite Search-Verwaltung (die Suchtopologie kann nicht angezeigt)

  • Ändern der Konfiguration der Suche

Die zugrunde liegende Fehlermeldung in SharePoint ULS-Protokolle geschrieben ist:

Ausnahme: System.ServiceModel.Security.SecurityNegotiationException: Fehler SSPI-Aufruf, siehe interne Ausnahme.---> System.Security.Authentication.AuthenticationException: Fehler SSPI-Aufruf, siehe interne Ausnahme.---> System.ComponentModel. Win32Exception: der Verschlüsselungstyp angefordert vom KDC unterstützt wird--Ende interne Ausnahme Stapelrahmen--

Der Project Server-Anwendungsdienst kann auch eine ähnliche Meldung protokollieren:

PWA:https: / / < SharePoint > / < Site > ServiceApp:PWA, Benutzer: I:0 # .w | Domäne\BenutzerID,PSI: Auftrag Warteschlange zur Website < Guid > Ausnahme System.ServiceModel.Security.SecurityNegotiationException Benachrichtigung fehlgeschlagen: Fehler SSPI-Aufruf, siehe interne Ausnahme.---> System.Security.Authentication.AuthenticationException: Fehler SSPI-Aufruf, siehe interne Ausnahme.---> System.ComponentModel. Win32Exception: der Verschlüsselungstyp angefordert vom KDC unterstützt wird

Bei der Bereitstellung Benutzerdienste Profil können Sie den Benutzerprofil-Synchronisierungsdienst starten.

Der Benutzerprofildienst in der Zentraladministration starten Sie der Dienst startet und beendet dann sofort. Überprüfung der SharePoint-ULS gibt an, dass starten aus folgenden ist:

"UserProfileApplication.SynchronizeMIIS: Fehler beim Konfigurieren von ILM erneut versucht. Ausnahme: System.Security.SecurityException: der angeforderte Verschlüsselungstyp wird vom KDC nicht unterstützt. "

Andere Komponenten möglicherweise Fehlermeldungen angezeigt, dass der angeforderte Verschlüsselungstyp nicht vom KDC unterstützt schreiben.

Ursache

Dieses Verhalten tritt aufgrund eines Konflikts zwischen benutzerdefinierten lokale Richtlinie oder Gruppenrichtlinie und das Dienstkonto Eigenschaften in Active Directory. Bei der Konfiguration der Einstellung der Eigenschaft "Network Security: Verschlüsselung zulässig für Kerberos konfigurieren", damit der Server nur AES-Verschlüsselung und zukünftige Verschlüsselung unterstützt, wird nicht vom Server Kerberos ältere Verschlüsselungstypen Kerberos unterstützt Tickets. Es ist auch zu beachten, dass Benutzerobjekte Konto in Active Directory erstellt werden nicht unterstützt Kerberos-AES-Verschlüsselung standardmäßig konfiguriert.

Der Server konfiguriert die AES-Verschlüsselung für Kerberos erfordern jedoch das Dienstkonto Eigenschaften in Active Directory wurden nicht zur Unterstützung von AES-Verschlüsselung aktualisiert tHe Ergebnis ist ein Szenario, in dem Server kann zu einem gemeinsamen Verschlüsselungstyp für Kerberos-Tickets.

Dieses Verhalten tritt aufgrund eines Konflikts zwischen benutzerdefinierten lokale Richtlinie oder Gruppenrichtlinie und das Dienstkonto Eigenschaften in Active Directory. Wenn Sie die Einstellung der Eigenschaft konfigurieren "Network Security: Verschlüsselung zulässig für Kerberos konfigurieren", damit der Server nur AES-Verschlüsselung und zukünftige Verschlüsselung unterstützt, kann nicht unterstützen ältere Kerberos Verschlüsselungstypen Kerberos-Tickets Da Benutzer Kontoobjekte in Active Directory erstellt werden nicht unterstützt Kerberos-AES-Verschlüsselung standardmäßig konfiguriert. Der Server konfiguriert die AES-Verschlüsselung für Kerberos erfordern, als das Dienstkonto Eigenschaften in Active Directory wurden nicht aktualisiert, um AES-Verschlüsselung unterstützen, wird nicht dann sie allgemeine Verschlüsselungstyp für Kerberos-Tickets zu können.

Lösung

Gehen Sie folgendermaßen vor, um das Problem zu beheben:

  1. Identifizieren Sie alle Konten, die in SharePoint Anwendungspoolkonten und Dienstkonten verwendet werden.

  2. Suchen der Computerkonten in Active Directory-Benutzer und -Computer.

  3. Wählen Sie Eigenschaften aus.

  4. Wählen Sie die Registerkarte Konto .

  5. Kontooptionen für Abschnitt sicher, dass eine oder beide der folgenden Optionen ausgewählt sind. Dadurch unterstützt Kerberos-AES-Verschlüsselung für diese Benutzerobjekte:

    • Dieses Konto unterstützt Kerberos-AES 128 Bit-Verschlüsselung

    • Dieses Konto unterstützt Kerberos-AES-256-Bit-Verschlüsselung

  6. Führen Sie einen Iisreset auf Servern und Neustart alle Sharepoint-Diensten, die im Rahmen der geänderten Dienstkonten ausgeführt werden.

Weitere Informationen

Überprüfen Sie, ob SharePoint Server unterstützt nur AES-Verschlüsselung oder höher konfiguriert ist:

  1. Starten Sie auf dem Server Local Security Policy Editor (secpol.msc).

  2. Erweitern Sie Sicherheit > Lokale Richtlinien > Sicherheitsoptionen.

  3. Suchen Network Security: Verschlüsselung zulässig für Kerberos konfigurieren.

  4. Wählen Sie Eigenschaften aus.

Nur die folgenden Optionen ausgewählt sind:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Zukünftige Verschlüsselungstypen

Se überprüfen, ob die folgenden Optionen ausgewählt sind: AES128_HMAC_SHA1, AES256_HMAC_SHA1 und zukünftige Verschlüsselungstypen.

Dann müssen Sie zum Aktivieren der Unterstützung für Kerberos-AES-Verschlüsselung für die Benutzerobjekte in Active Directory, die mit SharePoint-Dienste und Anwendungspools ausgeführt.

Können Sie das folgende PowerShell-Skript zu SharePoint-Dienstkonten testen, ob sie mit AES-Verschlüsselung unterstützen konfiguriert sind:

Add-PSSnapin Microsoft.SharePoint.Powershell $AES_128 = 0x8 $AES_256 = 0x10 $Separator="\" $option = [System.StringSplitOptions]::RemoveEmptyEntries Write-Host "Retrieving SharePoint Managed Accounts" -ForegroundColor White $SharePointAccounts="" $ManagedAccounts=Get-SPManagedAccount foreach ($ManagedAccount in $ManagedAccounts) { Write-Host "Checking Account: "$ManagedAccount.Username $temp=$ManagedAccount.Username $samaccountName=$temp.Split($separator,2, $option)[1] $userobj=([adsisearcher]"samAccountName=$samaccountName").FindOne() $EncryptionTypes=$userobj.properties.Item('msds-supportedencryptiontypes')[0] #$EncryptionTypes $HexValue='{0:X}' -f $EncryptionTypes if ($EncryptionTypes -band $AES_128) { Write-Host "Account Supports AES128 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES128 bit encryption support enabled" -ForegroundColor Red } if ($EncryptionTypes -band $AES_256) { Write-Host "Account Supports AES256 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES256 bit encryption support enabled" -ForegroundColor Red } } ====================== END SCRIPT ========================================================

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×