ID de l’événement KDC 16 ou 27 est consigné si pour Kerberos est désactivé.

Résumé

Démarrage avec Windows 7, Windows Server 2008 R2 et tous les systèmes d’exploitation Windows ultérieurs, le cryptage des (Data Encryption Standard) pour l’authentification Kerberos est désactivé. Cet article décrit différents scénarios dans lesquels vous pouvez recevoir les événements suivants dans les journaux Application, sécurité et système car le cryptage DES est désactivé :
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
En outre, cet article explique comment activer le cryptage pour l’authentification Kerberos dans Windows 7 et Windows Server 2008 R2. Pour plus d’informations, consultez la « symptômes », « Cause » et les sections « Contournement » de cet article.

Symptômes

Examinons les scénarios suivants :
  • Un service utilise un compte d’utilisateur ou un compte d’ordinateur qui est configuré pour seulement un cryptage sur un ordinateur qui exécute Windows 7 ou Windows Server 2008 R2.
  • Un service utilise un compte d’utilisateur ou un compte d’ordinateur qui est configuré pour seulement le cryptage DES et qui se trouve dans un domaine et les contrôleurs de domaine Windows Server 2008 R2.
  • Un client qui exécute Windows 7 ou Windows Server 2008 R2 se connecte à un service à l’aide d’un compte d’utilisateur ou un compte d’ordinateur qui est configuré pour seulement le cryptage DES.
  • Une relation d’approbation est configurée pour seulement le cryptage DES et inclut des contrôleurs de domaine qui exécutent Windows Server 2008 R2.

  • Une application ou un service est codé en dur pour utiliser uniquement le cryptage DES.
Dans tous ces scénarios, vous pouvez recevoir les événements suivants dans les journaux Application, sécurité et système et la source de Microsoft-Windows-Kerberos-Key-Distribution-Center :
IDNom symboliqueMessage
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSPendant le traitement d’une requête TGS pour le serveur cible %1, le compte %2 n’avait pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID %3). L’ETYPE demandée était %4. L’ETYPE disponibles de comptes ont été les 5 %.
16KDCEVENT_NO_KEY_INTERSECTION_TGSPendant le traitement d’une requête TGS pour le serveur cible %1, le compte %2 n’avait pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID %3). L’ETYPE demandée était %4. L’ETYPE disponibles de comptes ont été les 5 %. Modifier ou réinitialiser le mot de passe de %6 générera une clé correcte.

Cause

Par défaut, les paramètres de sécurité pour le chiffrement pour Kerberos sont désactivées sur les ordinateurs suivants :
  • Ordinateurs qui exécutent Windows 7
  • Ordinateurs qui exécutent Windows Server 2008 R2
  • Contrôleurs de domaine qui exécutent Windows Server 2008 R2
Remarque Il existe une prise en charge cryptographique pour Kerberos sous Windows 7 et Windows Server 2008 R2. Par défaut, Windows 7 utilise les suites de chiffrement Standard de chiffrement avancé (AES) ou RC4 suivantes pour « encryption types » et « ETYPE » :
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Les services qui sont configurés pour seulement le cryptage DES pas, sauf si les conditions suivantes sont remplies :
  • Le service est reconfiguré pour prendre en charge le cryptage RC4 ou pour prendre en charge le cryptage AES.
  • Tous les contrôleurs de domaine pour le domaine du compte de service, tous les serveurs et tous les ordinateurs clients sont configurés pour prendre en charge le cryptage DES.
Par défaut, Windows 7 et Windows Server 2008 R2 prend en charge les suites de chiffrement suivants : suite de cryptage DES-CBC-MD5 l’et la suite de cryptage DES-CBC-CRC peuvent être activés dans Windows 7 lorsque c’est nécessaire.

Solution de contournement

Nous vous recommandons vivement de vérifier si le cryptage DES est toujours requis dans l’environnement ou la vérification si des services spécifiques ne nécessitent que le cryptage DES. Vérifiez si le service peut utiliser le cryptage RC4 ou AES, ou vérifier si le fournisseur a une alternative d’authentification qui a une cryptographie plus forte.

Le correctif 978055 est requise pour les contrôleurs de domaine basés sur Windows Server 2008 R2 gérer correctement les informations de type de cryptage qui sont répliquées à partir des contrôleurs de domaine exécutent Windows Server 2003. Voir plus d’informations ci-dessous.
  1. Déterminez si l’application est codée de manière irréversible pour utiliser uniquement le cryptage DES. Mais il est désactivé par les paramètres par défaut sur les clients qui exécutent Windows 7 ou dans les centres de Distribution de clés (KDC).

    Pour vérifier si vous êtes concerné par ce problème, veuillez collecter des traces réseau et recherchez les traces qui ressemblent à des traces d’exemple suivantes :
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    Frame 2 {TCP:48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>
    - Etype:
    + SequenceOfHeader:
    + EType: aes256-cts-hmac-sha1-96 (18)
    + EType: aes128-cts-hmac-sha1-96 (17)
    + EType: rc4-hmac (23)
    + EType: rc4-hmac-exp (24)
    + EType: rc4 hmac old exp (0xff79)
    + TagA:
    + EncAuthorizationData:

  2. Déterminer si le compte d’utilisateur ou le compte d’ordinateur est configuré pour seulement le cryptage DES.

    Dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory », ouvrez les propriétés du compte d’utilisateur et vérifiez si l’option utiliser Kerberos DES types de cryptage pour ce compte est définie sous l’onglet compte .
Si vous concluez que vous êtes concerné par ce problème et que vous devez activer le type de cryptage pour l’authentification Kerberos, activer les stratégies de groupe suivante appliquer le type de cryptage sur tous les ordinateurs qui exécutent Windows 7 ou Windows Server 2008 R2 :
  1. Dans le groupe de stratégie Management Console (GPMC), recherchez l’emplacement suivant :
    Ordinateur Windows\ Windows Settings\ Settings\ Local Policies\ sécurité Options de sécurité
  2. Cliquez pour sélectionner la sécurité réseau : configurer des types de cryptage autorisés pour Kerberos option.
  3. Cliquez pour sélectionner toutes les cases à cocher six pour les types de chiffrement et définir ces paramètres de stratégie .

  4. Cliquez sur OK. Fermez la console GPMC.
Remarque La stratégie définit l’entrée de Registre SupportedEncryptionTypes à une valeur de 0x7FFFFFFF. L’entrée de Registre SupportedEncryptionTypes est à l’emplacement suivant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Selon le scénario, vous devrez peut-être définir cette stratégie au niveau du domaine pour appliquer le type de cryptage sur tous les clients qui exécutent Windows 7 ou Windows Server 2008 R2. Ou bien, vous devrez peut-être définir cette stratégie à l’unité d’organisation (UO) du contrôleur de domaine pour les contrôleurs de domaine qui exécutent Windows Server 2008 R2.

Plus d'informations

Les problèmes de compatibilité d’application uniquement DES sont rencontrées dans les deux configurations suivantes :
  • L’application appelante est codé en dur pour seulement le cryptage DES.
  • Le compte qui exécute le service est configuré pour utiliser uniquement le cryptage DES.
Les critères de type de cryptage suivantes doivent être satisfaites pour l’authentification Kerberos fonctionne :
  1. Un type commun n’existe entre le client et le contrôleur de domaine pour l’authentificateur sur le client.
  2. Un type commun n’existe entre le contrôleur de domaine et le serveur de ressources pour crypter le ticket.
  3. Un type commun n’existe entre le client et le serveur de ressources pour la clé de session.
Envisagez la situation suivante :
RôleSYSTÈME D’EXPLOITATIONPrise en charge du niveau de cryptage pour Kerberos
CONTRÔLEUR DE DOMAINEWindows Server 2003DES et RC4
ClientWindows 7AES et RC4
Serveur de ressourcesJ2EEDES
Dans ce cas, les critères 1 est satisfaite par le cryptage RC4 et les critères de 2 est satisfaite par cryptage DES. Le troisième critère échoue car le serveur est uniquement DES et parce que le client ne prend pas en charge DES.

Le correctif 978055 doit être installé sur chaque contrôleur de domaine Windows Server 2008 R2 si les conditions suivantes sont remplies dans le domaine :
  • Il existe certains comptes compatibles avec DES utilisateurs ou d’ordinateurs.
  • Dans le même domaine, il existe un ou plusieurs contrôleurs de domaine qui exécutent Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Remarque
  • Correctif 978055 est requise pour les contrôleurs de domaine basés sur Windows Server 2008 R2 gérer correctement les informations de type de cryptage qui sont répliquées à partir des contrôleurs de domaine exécutent Windows Server 2003.
  • Les contrôleurs de domaine Windows Server 2008 ne nécessitent pas ce correctif.
  • Ce correctif n’est pas nécessaire si le domaine possède uniquement les contrôleurs de domaine Windows Server 2008.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

978055 résolution : comptes d’utilisateurs que vous utilisent le chiffrement pour les types d’authentification Kerberos ne peut pas être authentifiés dans un domaine Windows Server 2003 après un contrôleur de domaine Windows Server 2008 R2 rejoint le domaine

Propriétés

ID d'article : 977321 - Dernière mise à jour : 13 janv. 2017 - Révision : 1

Commentaires