L'ID evento KDC 16 o 27 viene registrato se DES per Kerberos è disabilitato
Questo articolo descrive come abilitare la crittografia DES per l'autenticazione Kerberos in Windows 7 e in Windows Server 2008 R2.
Si applica a:Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Numero KB originale: 977321
Riepilogo
A partire da Windows 7, Windows Server 2008 R2 e tutti i sistemi operativi Windows successivi, la crittografia DES (Data Encryption Standard) per l'autenticazione Kerberos è disabilitata. Questo articolo descrive vari scenari in cui è possibile ricevere gli eventi seguenti nei log applicazione, sicurezza e sistema perché la crittografia DES è disabilitata:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Questo articolo illustra inoltre come abilitare la crittografia DES per l'autenticazione Kerberos in Windows 7 e in Windows Server 2008 R2. Per informazioni dettagliate, vedere le sezioni "Sintomi", "Causa" e "Soluzione alternativa" di questo articolo.
Sintomi
Si considerino gli scenari seguenti:
- Un servizio usa un account utente o un account computer configurato solo per la crittografia DES in un computer che esegue Windows 7 o Windows Server 2008 R2.
- Un servizio usa un account utente o un account computer configurato solo per la crittografia DES e che si trova in un dominio insieme ai controller di dominio basati su Windows Server 2008 R2.
- Un client che esegue Windows 7 o Windows Server 2008 R2 si connette a un servizio usando un account utente o un account computer configurato solo per la crittografia DES.
- Una relazione di trust è configurata solo per la crittografia DES e include controller di dominio che eseguono Windows Server 2008 R2.
- Un'applicazione o un servizio è hardcoded per usare solo la crittografia DES.
In uno di questi scenari, è possibile ricevere gli eventi seguenti nei log applicazione, sicurezza e sistema insieme all'origine Microsoft-Windows-Kerberos-Key-Distribution-Center :
| ID | Nome simbolico | Messaggio |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Durante l'elaborazione di una richiesta TGS per il server di destinazione %1, l'account %2 non disponeva di una chiave appropriata per la generazione di un ticket Kerberos (la chiave mancante ha un ID %3). Gli etipi richiesti erano %4. Gli etype disponibili per gli account erano %5. ID evento 27 - Configurazione del tipo di crittografia KDC |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Durante l'elaborazione di una richiesta TGS per il server di destinazione %1, l'account %2 non disponeva di una chiave appropriata per la generazione di un ticket Kerberos (la chiave mancante ha un ID %3). Gli etipi richiesti erano %4. Gli etype disponibili per gli account erano %5. La modifica o la reimpostazione della password di %6 genererà una chiave appropriata. ID evento 16 - Integrità della chiave Kerberos |
Causa
Per impostazione predefinita, le impostazioni di sicurezza per la crittografia DES per Kerberos sono disabilitate nei computer seguenti:
- Computer che eseguono Windows 7
- Computer che eseguono Windows Server 2008 R2
- Controller di dominio che eseguono Windows Server 2008 R2
Nota
Il supporto crittografico per Kerberos esiste in Windows 7 e in Windows Server 2008 R2.By predefinito, Windows 7 usa i seguenti pacchetti di crittografia Advance Encryption Standard (AES) o RC4 per "tipi di crittografia" e per "etypes":
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
I servizi configurati solo per la crittografia DES hanno esito negativo a meno che non siano soddisfatte le condizioni seguenti:
- Il servizio viene riconfigurato per supportare la crittografia RC4 o per supportare la crittografia AES.
- Tutti i computer client, tutti i server e tutti i controller di dominio per il dominio dell'account del servizio sono configurati per supportare la crittografia DES.
Per impostazione predefinita, Windows 7 e Windows Server 2008 R2 supportano i seguenti pacchetti di crittografia: la suite di crittografia DES-CBC-MD5 e la suite di crittografia DES-CBC-CRC possono essere abilitate in Windows 7 quando è necessario.
Soluzione alternativa
È consigliabile verificare se la crittografia DES è ancora necessaria nell'ambiente o verificare se servizi specifici richiedono solo la crittografia DES. Controllare se il servizio può usare la crittografia RC4 o la crittografia AES oppure verificare se il fornitore ha un'alternativa di autenticazione con crittografia più avanzata.
È necessario 978055 hotfix per i controller di dominio basati su Windows Server 2008 R2 per gestire correttamente le informazioni sul tipo di crittografia replicate dai controller di dominio che eseguono Windows Server 2003. Vedere altre informazioni di seguito.
Determinare se l'applicazione è hardcoded per usare solo la crittografia DES. Ma è disabilitato dalle impostazioni predefinite nei client che eseguono Windows 7 o nei centri di distribuzione chiavi (KDC).
Per verificare se si è interessati da questo problema, raccogliere alcune tracce di rete e quindi verificare la presenza di tracce simili alle tracce di esempio seguenti:
Frame 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <indirizzo IP di destinazione IP><> KerberosV5 KerberosV5:TGS Area di autenticazione richiesta: <fqdn> Sname: HTTP/<hostname.<>Fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac old exp (0xff79)
+TagA:
+EncAuthorizationData:Determinare se l'account utente o l'account computer è configurato solo per la crittografia DES.
Nello snap-in "Utenti e computer di Active Directory" aprire le proprietà dell'account utente e quindi verificare se l'opzione Usa tipi di crittografia DES Kerberos per questo account è impostata nella scheda Account.
Se si conclude che questo problema riguarda l'utente e che è necessario attivare il tipo di crittografia DES per l'autenticazione Kerberos, abilitare i criteri di gruppo seguenti per applicare il tipo di crittografia DES a tutti i computer che eseguono Windows 7 o Windows Server 2008 R2:
Nella console di gestione Criteri di gruppo individuare il percorso seguente:
Configurazione computer\ Impostazioni di Windows\ Impostazioni di sicurezza\ Criteri locali\ Opzioni di sicurezza
Fare clic per selezionare l'opzione Sicurezza di rete: Configurare i tipi di crittografia consentiti per Kerberos.
Fare clic per selezionare Definisci queste impostazioni dei criteri e tutte le sei caselle di controllo per i tipi di crittografia.
Fare clic su OK. Chiudere la console Gestione Criteri di gruppo.
Nota
I criteri impostano la SupportedEncryptionTypes voce del Registro di sistema su un valore di 0x7FFFFFFF. La SupportedEncryptionTypes voce del Registro di sistema si trova nel percorso seguente:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
A seconda dello scenario, potrebbe essere necessario impostare questo criterio a livello di dominio per applicare il tipo di crittografia DES a tutti i client che eseguono Windows 7 o Windows Server 2008 R2. In alternativa, potrebbe essere necessario impostare questo criterio nell'unità organizzativa (OU) del controller di dominio per i controller di dominio che eseguono Windows Server 2008 R2.
Ulteriori informazioni
I problemi di compatibilità delle applicazioni solo DES si verificano nelle due configurazioni seguenti:
- L'applicazione chiamante è hardcoded solo per la crittografia DES.
- L'account che esegue il servizio è configurato per usare solo la crittografia DES.
Per il funzionamento dell'autenticazione Kerberos, è necessario soddisfare i criteri di tipo di crittografia seguenti:
- Esiste un tipo comune tra il client e il controller di dominio per l'autenticatore nel client.
- Esiste un tipo comune tra il controller di dominio e il server di risorse per crittografare il ticket.
- Esiste un tipo comune tra il client e il server di risorse per la chiave di sessione.
Si consideri la situazione seguente:
| Ruolo | Sistema operativo | Livello di crittografia supportato per Kerberos |
|---|---|---|
| DC | Windows Server 2003 | RC4 e DES |
| Client | Windows 7 | AES e RC4 |
| Server risorse | J2EE | DES |
In questo caso, i criteri 1 sono soddisfatti dalla crittografia RC4 e i criteri 2 sono soddisfatti dalla crittografia DES. Il terzo criterio ha esito negativo perché il server è solo DES e perché il client non supporta DES.
L'hotfix 978055 deve essere installato in ogni controller di dominio basato su Windows Server 2008 R2 se nel dominio si verificano le condizioni seguenti:
- Sono presenti alcuni account utente o computer abilitati per DES.
- Nello stesso dominio sono presenti uno o più controller di dominio che eseguono Windows 2000 Server, Windows Server 2003 o Windows Server 2003 R2.
Nota
- È necessario 978055 hotfix per i controller di dominio basati su Windows Server 2008 R2 per gestire correttamente le informazioni sul tipo di crittografia replicate dai controller di dominio che eseguono Windows Server 2003.
- I controller di dominio basati su Windows Server 2008 non richiedono questo hotfix.
- Questo hotfix non è necessario se il dominio dispone solo di controller di dominio basati su Windows Server 2008.
Per altre informazioni, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
978055 FIX: gli account utente che usano la crittografia DES per i tipi di autenticazione Kerberos non possono essere autenticati in un dominio di Windows Server 2003 dopo l'aggiunta di un controller di dominio di Windows Server 2008 R2 al dominio
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per