KDC-gebeurtenis-id 16 of 27 wordt geregistreerd als DES voor Kerberos is uitgeschakeld
In dit artikel wordt beschreven hoe u DES-versleuteling inschakelt voor Kerberos-verificatie in Windows 7 en in Windows Server 2008 R2.
Van toepassing op: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Origineel KB-nummer: 977321
Samenvatting
Vanaf Windows 7, Windows Server 2008 R2 en alle latere Windows-besturingssystemen is DES-versleuteling (Data Encryption Standard) voor Kerberos-verificatie uitgeschakeld. In dit artikel worden verschillende scenario's beschreven waarin u de volgende gebeurtenissen in de toepassings-, beveiligings- en systeemlogboeken kunt ontvangen omdat DES-versleuteling is uitgeschakeld:
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
Daarnaast wordt in dit artikel uitgelegd hoe u DES-versleuteling inschakelt voor Kerberos-verificatie in Windows 7 en in Windows Server 2008 R2. Zie de secties 'Symptomen', 'Oorzaak' en 'Tijdelijke oplossing' van dit artikel voor gedetailleerde informatie.
Symptomen
Houd rekening met de volgende scenario's:
- Een service maakt gebruik van een gebruikersaccount of een computeraccount dat is geconfigureerd voor alleen DES-versleuteling op een computer met Windows 7 of Windows Server 2008 R2.
- Een service maakt gebruik van een gebruikersaccount of een computeraccount dat is geconfigureerd voor alleen DES-versleuteling en dat zich in een domein bevindt samen met domeincontrollers op basis van Windows Server 2008 R2.
- Een client met Windows 7 of Windows Server 2008 R2 maakt verbinding met een service met behulp van een gebruikersaccount of een computeraccount dat is geconfigureerd voor alleen DES-versleuteling.
- Een vertrouwensrelatie is geconfigureerd voor alleen DES-versleuteling en bevat domeincontrollers met Windows Server 2008 R2.
- Een toepassing of service is vastgelegd om alleen DES-versleuteling te gebruiken.
In elk van deze scenario's kunt u de volgende gebeurtenissen ontvangen in de toepassings-, beveiligings- en systeemlogboeken samen met de bron Microsoft-Windows-Kerberos-Key-Distribution-Center :
| ID | Symbolische naam | Bericht |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Tijdens het verwerken van een TGS-aanvraag voor de doelserver %1 had het account %2 geen geschikte sleutel voor het genereren van een Kerberos-ticket (de ontbrekende sleutel heeft een id van %3). De aangevraagde etypes waren %4. De beschikbare etypes van accounts waren %5. Gebeurtenis-id 27 - Configuratie van KDC-versleutelingstype |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Tijdens het verwerken van een TGS-aanvraag voor de doelserver %1 had het account %2 geen geschikte sleutel voor het genereren van een Kerberos-ticket (de ontbrekende sleutel heeft een id van %3). De aangevraagde etypes waren %4. De beschikbare etypes van accounts waren %5. Als u het wachtwoord van %6 wijzigt of opnieuw in stelt, wordt een juiste sleutel gegenereerd. Gebeurtenis-id 16 - Kerberos-sleutelintegriteit |
Oorzaak
De beveiligingsinstellingen voor DES-versleuteling voor Kerberos zijn standaard uitgeschakeld op de volgende computers:
- Computers met Windows 7
- Computers met Windows Server 2008 R2
- Domeincontrollers met Windows Server 2008 R2
Opmerking
Cryptografische ondersteuning voor Kerberos bestaat in Windows 7 en in Windows Server 2008 R2.By standaard, Windows 7 maakt gebruik van de volgende Advanced Encryption Standard (AES) of RC4-coderingssuites voor 'versleutelingstypen' en voor 'etypes':
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Services die zijn geconfigureerd voor alleen DES-versleuteling, mislukken, tenzij aan de volgende voorwaarden wordt voldaan:
- De service wordt opnieuw geconfigureerd voor ondersteuning van RC4-versleuteling of ter ondersteuning van AES-versleuteling.
- Alle clientcomputers, alle servers en alle domeincontrollers voor het domein van het serviceaccount zijn geconfigureerd voor ondersteuning van DES-versleuteling.
Standaard ondersteunen Windows 7 en Windows Server 2008 R2 de volgende coderingssuites: de DES-CBC-MD5-coderingssuite en de DES-CBC-CRC-coderingssuite kunnen worden ingeschakeld in Windows 7 wanneer dit nodig is.
Tijdelijke oplossing
We raden u ten zeerste aan te controleren of DES-versleuteling nog steeds is vereist in de omgeving of te controleren of specifieke services alleen DES-versleuteling vereisen. Controleer of de service RC4-versleuteling of AES-versleuteling kan gebruiken, of controleer of de leverancier een verificatie-alternatief heeft met sterkere cryptografie.
Hotfix 978055 is vereist voor de domeincontrollers op basis van Windows Server 2008 R2 om informatie over het versleutelingstype correct te verwerken die wordt gerepliceerd van de domeincontrollers waarop Windows Server 2003 wordt uitgevoerd. Zie de sectie voor meer informatie hieronder.
Bepaal of de toepassing is gecodeerd om alleen DES-versleuteling te gebruiken. Maar het is uitgeschakeld door de standaardinstellingen op clients met Windows 7 of op Key Distribution Centers (KDC's).
Als u wilt controleren of u last hebt van dit probleem, verzamelt u enkele netwerktraceringen en controleert u vervolgens op traceringen die lijken op de volgende voorbeeldtraceringen:
Frame 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>
Frame 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP:48, IPv4:47} <bron-IP-doel-IP<>> KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>Fqdn>
-Etype:
+SequenceOfHeader:
+EType: aes256-cts-hmac-sha1-96 (18)
+EType: aes128-cts-hmac-sha1-96 (17)
+EType: rc4-hmac (23)
+EType: rc4-hmac-exp (24)
+EType: rc4 hmac oude exp (0xff79)
+TagA:
+EncAuthorizationData:Bepaal of het gebruikersaccount of het computeraccount is geconfigureerd voor alleen DES-versleuteling.
Open in de module 'Active Directory: gebruikers en computers' gebruikersaccounteigenschappen en controleer vervolgens of de optie Kerberos DES-versleutelingstypen gebruiken voor dit account is ingesteld op het tabblad Account.
Als u besluit dat u last hebt van dit probleem en dat u het DES-versleutelingstype voor Kerberos-verificatie moet inschakelen, schakelt u het volgende groepsbeleid in om het DES-versleutelingstype toe te passen op alle computers met Windows 7 of Windows Server 2008 R2:
Zoek in de groepsbeleid Beheerconsole (GPMC) de volgende locatie:
Computerconfiguratie\ Windows-instellingen\ Beveiligingsinstellingen\ Lokaal beleid\ Beveiligingsopties
Klik op de optie Netwerkbeveiliging: versleutelingstypen configureren die zijn toegestaan voor Kerberos.
Klik om Deze beleidsinstellingen en alle zes selectievakjes voor de versleutelingstypen definiëren te selecteren.
Klik op OK. Sluit de gpmc.
Opmerking
Het beleid stelt de SupportedEncryptionTypes registervermelding in op een waarde van 0x7FFFFFFF. De SupportedEncryptionTypes registervermelding bevindt zich op de volgende locatie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Afhankelijk van het scenario moet u dit beleid mogelijk instellen op domeinniveau om het DES-versleutelingstype toe te passen op alle clients met Windows 7 of Windows Server 2008 R2. Of mogelijk moet u dit beleid instellen op de organisatie-eenheid (OE) van de domeincontroller voor de domeincontrollers met Windows Server 2008 R2.
Meer informatie
De compatibiliteitsproblemen met alleen-DES-toepassingen worden aangetroffen in de volgende twee configuraties:
- De aanroepende toepassing is vastgelegd voor alleen DES-versleuteling.
- Het account waarop de service wordt uitgevoerd, is geconfigureerd voor het gebruik van alleen DES-versleuteling.
Kerberos-verificatie werkt alleen aan de volgende criteria voor het versleutelingstype:
- Er bestaat een gemeenschappelijk type tussen de client en de domeincontroller voor de verificator op de client.
- Er bestaat een algemeen type tussen de domeincontroller en de resourceserver om het ticket te versleutelen.
- Er bestaat een gemeenschappelijk type tussen de client en de resourceserver voor de sessiesleutel.
Houd rekening met de volgende situatie:
| Rol | OS | Ondersteund versleutelingsniveau voor Kerberos |
|---|---|---|
| DC | Windows Server 2003 | RC4 en DES |
| Client | Windows 7 | AES en RC4 |
| Resourceserver | J2EE | DES |
In deze situatie wordt aan criterium 1 voldaan door RC4-versleuteling en aan het criterium 2 wordt voldaan door DES-versleuteling. Het derde criterium mislukt omdat de server alleen DES is en omdat de client DES niet ondersteunt.
De hotfix 978055 moet worden geïnstalleerd op elke Windows Server 2008 R2-domeincontroller als aan de volgende voorwaarden in het domein wordt voldaan:
- Er zijn enkele gebruikers- of computeraccounts met DES-functionaliteit.
- In hetzelfde domein bevinden zich een of meer domeincontrollers met Windows 2000 Server, Windows Server 2003 of Windows Server 2003 R2.
Opmerking
- Hotfix 978055 is vereist voor de domeincontrollers op basis van Windows Server 2008 R2 om informatie over het versleutelingstype correct te verwerken die wordt gerepliceerd van de domeincontrollers waarop Windows Server 2003 wordt uitgevoerd.
- Deze hotfix is niet vereist voor de Windows Server 2008-domeincontrollers.
- Deze hotfix is niet vereist als het domein alleen domeincontrollers op basis van Windows Server 2008 heeft.
Klik voor meer informatie op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
978055 OPGELOST: Gebruikersaccounts die gebruikmaken van DES-versleuteling voor Kerberos-verificatietypen kunnen niet worden geverifieerd in een Windows Server 2003-domein nadat een Windows Server 2008 R2-domeincontroller lid is van het domein
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor