Αυτήν τη στιγμή είστε εκτός σύνδεσης, σε αναμονή για επανασύνδεση στο Internet

16 Αναγνωριστικό συμβάντος KDC ή 27 καταγράφεται εάν DES για το Kerberos είναι απενεργοποιημένο

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 977321
Περίληψη
Ξεκινώντας με τα Windows 7, Windows Server 2008 R2 και όλα νεότερα λειτουργικά συστήματα των Windows, κρυπτογράφησης Data Encryption Standard (DES) για τον έλεγχο ταυτότητας Kerberos έχει απενεργοποιηθεί. Αυτό το άρθρο περιγράφει τα διάφορα σενάρια στα οποία ενδέχεται να λάβετε τα ακόλουθα συμβάντα στα αρχεία καταγραφής εφαρμογών, ασφαλείας και συστήματος επειδή είναι απενεργοποιημένη κρυπτογράφηση DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Επιπλέον, αυτό το άρθρο εξηγεί πώς μπορείτε να ενεργοποιήσετε την κρυπτογράφηση DES για τον έλεγχο ταυτότητας Kerberos στα Windows 7 και Windows Server 2008 R2. Για αναλυτικές πληροφορίες, ανατρέξτε στην ενότητα "Συμπτώματα," "Αιτία", και οι ενότητες "Τρόπος αντιμετώπισης" αυτού του άρθρου.
Συμπτώματα
Λάβετε υπόψη σας τα ακόλουθα σενάρια:
  • Μια υπηρεσία χρησιμοποιεί έναν λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES σε έναν υπολογιστή που εκτελεί Windows 7 ή Windows Server 2008 R2.
  • Μια υπηρεσία χρησιμοποιεί έναν λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και που βρίσκεται σε έναν τομέα, καθώς και οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2.
  • Ένας υπολογιστής-πελάτης που εκτελεί Windows 7 ή Windows Server 2008 R2 που συνδέεται σε μια υπηρεσία, χρησιμοποιώντας ένα λογαριασμό χρήστη ή υπολογιστή που έχει ρυθμιστεί για μόνο κρυπτογράφηση DES.
  • Μια σχέση αξιοπιστίας έχει ρυθμιστεί για μόνο κρυπτογράφηση DES και περιλαμβάνει ελεγκτές τομέα που εκτελούν Windows Server 2008 R2.
  • Μια εφαρμογή ή μια υπηρεσία είναι κωδικοποιημένη για να χρησιμοποιεί μόνο κρυπτογράφηση DES.
Σε οποιοδήποτε από αυτά τα σενάρια, ενδέχεται να λάβετε τα ακόλουθα συμβάντα στα αρχεία καταγραφής εφαρμογών, ασφαλείας και συστήματος μαζί με το αρχείο προέλευσης Microsoft-Windows-Kerberos-Key-Distribution-Center :
ΑΝΑΓΝΩΡΙΣΤΙΚΌΣυμβολικό όνομαΜήνυμα
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSΚατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού %1, το λογαριασμό %2 δεν είχε ένα κατάλληλο κλειδί για τη δημιουργία του δελτίου Kerberos (το κλειδί λείπει έχει Αναγνωριστικό %3). Το etypes που ζητήθηκε ήταν %4. Το etypes διαθέσιμοι λογαριασμοί ήταν %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSΚατά την επεξεργασία μιας αίτησης TGS για το διακομιστή προορισμού %1, το λογαριασμό %2 δεν είχε ένα κατάλληλο κλειδί για τη δημιουργία του δελτίου Kerberos (το κλειδί λείπει έχει Αναγνωριστικό %3). Το etypes που ζητήθηκε ήταν %4. Το etypes διαθέσιμοι λογαριασμοί ήταν %5. Η αλλαγή ή η επαναφορά του κωδικού πρόσβασης %6 θα δημιουργήσει ένα κατάλληλο κλειδί.
Αιτία
Από προεπιλογή, οι ρυθμίσεις ασφαλείας για την κρυπτογράφηση DES για το Kerberos είναι απενεργοποιημένο στους ακόλουθους υπολογιστές:
  • Υπολογιστές που εκτελούν Windows 7
  • Υπολογιστές που εκτελούν Windows Server 2008 R2
  • Οι ελεγκτές τομέα που εκτελούν Windows Server 2008 R2
Σημείωση Υποστήριξη κρυπτογράφησης Kerberos υπάρχει στα Windows 7 και Windows Server 2008 R2.Από προεπιλογή, τα Windows 7 χρησιμοποιεί τα ακόλουθα προγράμματα κρυπτογράφησης πρότυπο εκ των προτέρων κρυπτογράφησης (AES) ή RC4 για "τύπους κρυπτογράφησης" και "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Υπηρεσίες που έχουν ρυθμιστεί για μόνο κρυπτογράφηση DES αποτύχει, εκτός και αν ισχύουν οι ακόλουθες συνθήκες:
  • Η υπηρεσία είναι προϊόν για να υποστηρίζει κρυπτογράφηση RC4 ή να υποστηρίζει την κρυπτογράφηση AES.
  • Όλοι οι υπολογιστές-πελάτες, όλους τους διακομιστές και όλοι οι ελεγκτές τομέα για τον τομέα του λογαριασμού υπηρεσίας έχουν ρυθμιστεί ώστε να υποστηρίζει κρυπτογράφηση DES.
Από προεπιλογή, τα Windows 7 και Windows Server 2008 R2 υποστηρίζουν τα ακόλουθα προγράμματα κρυπτογράφησης: οικογένεια προγραμμάτων κρυπτογράφησης του DES-CBC-MD5 και η οικογένεια προγραμμάτων κρυπτογράφησης DES-CBC-CRC μπορεί να ενεργοποιηθεί σε Windows 7 όταν είναι απαραίτητο.
Εναλλακτικός τρόπος αντιμετώπισης
Συνιστάται να ελέγξετε αν κρυπτογράφηση DES εξακολουθεί να απαιτείται στο περιβάλλον ή ελέγχου εάν συγκεκριμένες υπηρεσίες απαιτούν μόνο κρυπτογράφηση DES. Ελέγξτε αν η υπηρεσία μπορεί να χρησιμοποιήσετε κρυπτογράφηση RC4 ή AES κρυπτογράφηση ή ελέγξτε αν ο προμηθευτής έχει μια εναλλακτική λύση ελέγχου ταυτότητας που έχει ισχυρότερη κρυπτογράφηση.

Επείγουσα επιδιόρθωση 978055 απαιτείται για τους ελεγκτές τομέα που βασίζεται σε Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που αναπαράγεται από τους ελεγκτές τομέα που εκτελούν Windows Server 2003. Ανατρέξτε στην ενότητα περισσότερες πληροφορίες παρακάτω.
  1. Καθορίστε αν η εφαρμογή είναι σχεδιασμένο ώστε να χρησιμοποιούν μόνο κρυπτογράφηση DES. Ωστόσο, είναι απενεργοποιημένη από τις προεπιλεγμένες ρυθμίσεις σε υπολογιστές-πελάτες που εκτελούν Windows 7 ή σε κέντρα διανομής κλειδιού (KDCs).

    Για να ελέγξετε αν επηρεάζεστε από αυτό το ζήτημα, συλλέξτε ορισμένα ίχνη δικτύου και στη συνέχεια ελέγξτε για ίχνη που μοιάζουν με το ακόλουθο δείγμα ίχνη:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. Προσδιορίστε αν ο λογαριασμός χρήστη ή το λογαριασμό του υπολογιστή έχει ρυθμιστεί για μόνο κρυπτογράφηση DES.

    Συμπληρωματικού "Active Directory χρήστες και υπολογιστές", ανοίξτε τις ιδιότητες του λογαριασμού χρήστη και, στη συνέχεια, ελέγξτε αν η επιλογή τύπους κρυπτογράφησης DES Kerberos χρησιμοποιείται για αυτόν το λογαριασμό έχει οριστεί στην καρτέλα του λογαριασμού .
Εάν να καταλήξετε στο συμπέρασμα ότι επηρεάζονται από αυτό το θέμα και ότι πρέπει να ενεργοποιήσετε τον τύπο κρυπτογράφησης DES για τον έλεγχο ταυτότητας Kerberos, ενεργοποιήστε τις ακόλουθες πολιτικές ομάδας, για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλους τους υπολογιστές που εκτελούν Windows 7 ή Windows Server 2008 R2:
  1. Στο της διαχείρισης πολιτικής ομάδας Κονσόλα (GPMC), εντοπίστε την ακόλουθη θέση:
    Υπολογιστή Configuration\ Windows Settings\ ασφαλείας Settings\ τοπικό Policies\ επιλογές ασφαλείας
  2. Κάντε κλικ για να επιλέξετε την Ασφάλεια δικτύου: ρύθμιση παραμέτρων τύπους κρυπτογράφησης που επιτρέπεται για το Kerberos επιλογή.
  3. Κάντε κλικ για να επιλέξετε Ορισμός αυτών των ρυθμίσεων πολιτικής και όλα τα έξι πλαίσια ελέγχου για τους τύπους κρυπτογράφησης.
  4. Κάντε κλικ στο κουμπί OK. Κλείστε την κονσόλα GPMC.
Σημείωση Η πολιτική ορίζει την καταχώρηση μητρώου SupportedEncryptionTypes τιμή 0x7FFFFFFF. Η καταχώρηση μητρώου SupportedEncryptionTypes είναι στην ακόλουθη θέση:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Ανάλογα με το σενάριο, πρέπει να ορίσετε αυτήν την πολιτική σε επίπεδο τομέα για να εφαρμόσετε τον τύπο κρυπτογράφησης DES σε όλους τους υπολογιστές-πελάτες που εκτελούν Windows 7 ή Windows Server 2008 R2. Ή, ίσως χρειαστεί να ρυθμίσετε αυτήν την πολιτική με την οργανωτική μονάδα (OU) του ελεγκτή τομέα για τους ελεγκτές τομέα που εκτελούν Windows Server 2008 R2.
Περισσότερες πληροφορίες
Τα ζητήματα συμβατότητας εφαρμογής DES συναντώνται στο τις ακόλουθες δύο ρυθμίσεις παραμέτρων:
  • Η εφαρμογή κλήσης είναι κωδικοποιημένη για μόνο κρυπτογράφηση DES.
  • Ο λογαριασμός που εκτελεί την υπηρεσία έχει ρυθμιστεί για χρήση μόνο κρυπτογράφηση DES.
Για τον έλεγχο ταυτότητας Kerberos για εργασία, πρέπει να πληρούνται τα ακόλουθα κριτήρια τύπος κρυπτογράφησης:
  1. Ένας κοινός τύπος που υπάρχει μεταξύ του υπολογιστή-πελάτη και του ελεγκτή τομέα για την υπηρεσία ελέγχου ταυτότητας του υπολογιστή-πελάτη.
  2. Υπάρχει ένας κοινός τύπος μεταξύ του ελεγκτή τομέα και του διακομιστή του πόρου για την κρυπτογράφηση του δελτίου.
  3. Υπάρχει ένας κοινός τύπος μεταξύ του υπολογιστή-πελάτη και του διακομιστή πόρων για το κλειδί περιόδου λειτουργίας.
Εξετάστε την ακόλουθη περίπτωση:
ΡόλοςΛΕΙΤΟΥΡΓΙΚΌ ΣΎΣΤΗΜΑΥποστηρίζεται το επίπεδο κρυπτογράφησης για το Kerberos
DCWindows Server 2003RC4 και DES
Πρόγραμμα-πελάτης Windows 7AES και RC4
Πόρων διακομιστήJ2EEDES
Σε αυτήν την περίπτωση, τα κριτήρια 1 ικανοποιείται με την κρυπτογράφηση RC4 και τα κριτήρια 2 ικανοποιείται με την κρυπτογράφηση DES. Το τρίτο κριτήριο αποτυγχάνει, επειδή ο διακομιστής είναι μόνο DES και επειδή το πρόγραμμα-πελάτης δεν υποστηρίζει DES.

Η επείγουσα επιδιόρθωση 978055 πρέπει να εγκατασταθεί σε κάθε ελεγκτή τομέα που βασίζεται σε Windows Server 2008 R2, εάν ισχύουν οι ακόλουθες συνθήκες στον τομέα:
  • Υπάρχουν ορισμένες δυνατότητες DES λογαριασμούς χρήστη ή υπολογιστή.
  • Στον ίδιο τομέα, έχει έναν ή περισσότερους ελεγκτές τομέα που εκτελούν Windows 2000 Server, Windows Server 2003 ή Windows Server 2003 R2.
Σημείωση
  • Η επείγουσα επιδιόρθωση 978055 απαιτείται για τους ελεγκτές τομέα με Windows Server 2008 R2 για το σωστό χειρισμό πληροφοριών τύπος κρυπτογράφησης που αναπαράγεται από τους ελεγκτές τομέα που εκτελούν Windows Server 2003.
  • Οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008 δεν απαιτούν αυτήν την επείγουσα επιδιόρθωση.
  • Αυτή η επείγουσα επιδιόρθωση δεν είναι απαραίτητη εάν ο τομέας έχει μόνο οι ελεγκτές τομέα που βασίζεται σε Windows Server 2008.
Για περισσότερες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
978055 ΕΠΙΔΙΌΡΘΩΣΗ: Τους λογαριασμούς χρηστών που χρησιμοποιούν κρυπτογράφηση DES για τους τύπους ελέγχου ταυτότητας Kerberos δεν μπορεί να πιστοποιηθεί σε έναν τομέα του Windows Server 2003 μετά από έναν ελεγκτή τομέα Windows Server 2008 R2 συμμετέχει στον τομέα

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 977321 - Τελευταία αναθεώρηση: 03/15/2015 04:35:00 - Αναθεώρηση: 8.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtel
Σχόλια
> ttps://c1.microsoft.com/c.gif?DI=4050&did=1&t=">html>=1&t=">&t=">