16 de ID de evento KDC o 27 se registra si DES de Kerberos está deshabilitado

Se aplica a: Windows Server 2012 StandardWindows Server 2012 StandardWindows Server 2012 Essentials

Resumen


A partir de todos los sistemas operativos posteriores de Windows, Windows Server 2008 R2 y Windows 7, el cifrado estándar de cifrado de datos (DES) para la autenticación Kerberos está deshabilitado. Este artículo describe varios escenarios en los que puede recibir los siguientes sucesos en los registros de aplicación, seguridad y sistema porque está deshabilitado el cifrado DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Además, en este artículo se explica cómo habilitar el cifrado DES para la autenticación Kerberos en Windows 7 y Windows Server 2008 R2. Para obtener información detallada, vea "Síntomas," "Causa" y las secciones "Solución" de este artículo.

Síntomas


Considere los escenarios siguientes:
  • Un servicio utiliza una cuenta de usuario o una cuenta de equipo está configurada para el cifrado de DES sólo en un equipo que ejecuta Windows 7 o Windows Server 2008 R2.
  • Un servicio utiliza una cuenta de usuario o una cuenta de equipo que está configurado para el cifrado de DES sólo y que está en un dominio con controladores de dominio basados en Windows Server 2008 R2.
  • Un cliente que ejecuta Windows 7 o Windows Server 2008 R2 se conecta a un servicio utilizando una cuenta de usuario o una cuenta de equipo está configurada para el cifrado de DES sólo.
  • Una relación de confianza se configura para el cifrado de DES sólo e incluye controladores de dominio que ejecutan Windows Server 2008 R2.

  • Una aplicación o un servicio está codificado para utilizar sólo el cifrado DES.
En cualquiera de estos escenarios, puede recibir los siguientes sucesos en los registros de aplicación, seguridad y sistema junto con el origen de Microsoft-Windows-Kerberos-Key-Distribution-Center :
ID.Nombre simbólicoMensaje
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSMientras se procesa una solicitud TGS para el servidor de destino %1, la cuenta %2 no tenía una clave adecuada para generar un vale de Kerberos (la clave que falta tiene un ID de %3). El ETYPE solicitado fueron %4. El ETYPE cuentas disponibles fueron %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSMientras se procesa una solicitud TGS para el servidor de destino %1, la cuenta %2 no tenía una clave adecuada para generar un vale de Kerberos (la clave que falta tiene un ID de %3). El ETYPE solicitado fueron %4. El ETYPE cuentas disponibles fueron %5. Cambiar o restablecer la contraseña de %6 generará una clave apropiada.

Causa


De forma predeterminada, la configuración de seguridad para el cifrado DES de Kerberos está deshabilitada en los equipos siguientes:
  • Equipos que ejecutan Windows 7
  • Equipos que ejecutan Windows Server 2008 R2
  • Controladores de dominio que ejecutan Windows Server 2008 R2
Nota: Compatibilidad con cifrado Kerberos existe en Windows 7 y Windows Server 2008 R2. De forma predeterminada, Windows 7 utiliza los siguientes conjuntos de cifrados Advance Encryption Standard (AES) o RC4 para "tipos de cifrado" y "ETYPE":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Servicios que están configurados para el cifrado de DES sólo producirá un error a menos que las condiciones siguientes son verdaderas:
  • El servicio se configurará para admitir cifrado RC4 o para admitir cifrado AES.
  • Todos los controladores de dominio para el dominio de la cuenta de servicio, todos los servidores y todos los equipos cliente están configurados para admitir cifrado DES.
De forma predeterminada, Windows 7 y Windows Server 2008 R2 admiten los siguientes conjuntos de cifrado: DES-CBC-MD5 el conjunto de cifrado y el conjunto de cifrado DES-CBC-CRC pueden habilitarse en Windows 7 cuando sea necesario.

Solución alternativa


Se recomienda encarecidamente que compruebe si cifrado DES todavía es necesaria en el entorno o la verificación si servicios específicos requieren sólo el cifrado DES. Compruebe si el servicio puede utilizar cifrado RC4 o AES o comprobar si el proveedor tiene la alternativa de autenticación con criptografía más fuerte.

Hotfix 978055 es necesario para los controladores de dominio basados en Windows Server 2008 R2 controlar correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003. Consulte la siguiente sección de más información.
  1. Determinar si la aplicación está codificado de forma rígida para utilizar sólo el cifrado DES. Pero está deshabilitado de la configuración predeterminada en clientes que ejecutan Windows 7 o en centros de distribución de claves (KDC).

    Para comprobar si están afectadas por este problema, recopile algunos seguimientos de red y, a continuación, compruebe de trazas similares a las trazas de ejemplo siguiente:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>

    Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
    - Etype:
    + SequenceOfHeader:
    + EType: aes256-cts-hmac-sha1-96 (18)
    + EType: aes128-cts-hmac-sha1-96 (17)
    + EType: rc4-hmac (23)
    + EType: rc4-hmac-exp (24)
    + EType: rc4 hmac old exp (0xff79)
    + TagA:
    + EncAuthorizationData:
  2. Determinar si la cuenta de usuario o la cuenta de equipo está configurada para el cifrado de DES sólo.

    En el complemento "Usuarios y equipos de Active Directory", abrir propiedades de la cuenta de usuario y, a continuación, compruebe si se ha establecido la opción de tipos de cifrado DES de Kerberos de uso para esta cuenta en la ficha cuenta .
Si concluye que se ven afectados por este problema y que tendrá que activar el tipo de cifrado DES para la autenticación Kerberos, habilite las siguientes directivas de grupo aplicar el tipo de cifrado DES a todos los equipos que ejecutan Windows 7 o Windows Server 2008 R2:
  1. En la consola de administración de directivas de grupo (GPMC), busque la siguiente ubicación:
    Equipo Configuration\ Windows Settings\ seguridad Settings\ Policies\ locales opciones de seguridad
  2. Haga clic para seleccionar la seguridad de red: configurar tipos de cifrado admitidos para Kerberos opción.
  3. Haga clic en Definir esta configuración de directiva y las seis casillas de verificación para los tipos de cifrado.

  4. Haga clic en Aceptar. Cierre la GPMC.
Nota: La directiva establece la entrada del registro SupportedEncryptionTypes a un valor de 0x7FFFFFFF. La entrada del registro SupportedEncryptionTypes está en la ubicación siguiente:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependiendo del escenario, tendrá que establecer esta directiva en el nivel de dominio para el tipo de cifrado DES se aplican a todos los clientes que ejecutan Windows 7 o Windows Server 2008 R2. O bien, puede que tenga que establecer esta directiva en la unidad organizativa (OU) del controlador de dominio para los controladores de dominio que ejecutan Windows Server 2008 R2.

Más información


Los problemas de compatibilidad de aplicación sólo DES se encuentran en las dos configuraciones siguientes:
  • La aplicación de llamada está codificado para sólo el cifrado DES.
  • La cuenta que ejecuta el servicio está configurada para utilizar sólo el cifrado DES.
Deberán cumplirse los siguientes criterios de tipo de cifrado para que funcione la autenticación Kerberos:
  1. Existe un tipo común entre el cliente y el controlador de dominio para el autenticador en el cliente.
  2. No existe un tipo común entre el controlador de dominio y el servidor de recursos para cifrar el vale.
  3. No existe un tipo común entre el cliente y el servidor de recursos para la clave de sesión.
Considere la situación siguiente:
FunciónSISTEMA OPERATIVOAdmite el nivel de cifrado para Kerberos
DCWindows Server 2003RC4 y DES
ClienteWindows 7AES y RC4
Servidor de recursosJ2EEDES
En esta situación, cifrado RC4 cumple los criterios 1 y cifrado DES cumple los criterios de 2. El tercer criterio se produce un error porque el servidor es sólo DES y porque el cliente no es compatible con DES.

El hotfix 978055 debe instalarse en cada controlador de dominio basado en Windows Server 2008 R2, si se cumplen las condiciones siguientes en el dominio:
  • Existen algunas cuentas de usuario o equipo habilitado con DES.
  • En el mismo dominio, hay uno o más controladores de dominio que ejecutan Windows 2000 Server, Windows Server 2003 o Windows Server 2003 R2.
Nota:
  • Hotfix 978055 es necesario para los controladores de dominio basados en Windows Server 2008 R2 controlar correctamente la información de tipo de cifrado que se replica desde los controladores de dominio que ejecutan Windows Server 2003.
  • Los controladores de dominio basados en Windows Server 2008 no requieren esta revisión.
  • Esta revisión no es necesaria si el dominio tiene sólo los controladores de dominio basados en Windows Server 2008.
Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

CORREGIR 978055 : cuentas de usuario que utilicen el cifrado DES para tipos de autenticación de Kerberos no se puede autenticar en un dominio de Windows Server 2003 después de que el dominio une a un controlador de dominio de Windows Server 2008 R2