Pierakstīties, izmantojot Microsoft
Pierakstieties vai izveidojiet kontu.
Sveicināti!
Atlasiet citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Simptomi

Pēc modificējat iestatījumu, tiek parādīts kļūdas "tīkla drošība: konfigurēt šifrēšanas tipi atļauto Kerberos" Lokālās politikas vai GPO no noklusētās vērtības vērtība, kas ļauj tikai šifrēšanas šādus:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Turpmākie šifrēšanas tipi

Ja kļūdas tiek ierakstītas SharePoint universālā reģistrēšanas sistēmas (ULS) žurnālos, tās norāda pieprasīto šifrēšanas tips neatbalsta KDC. Darbības, kas izraisa šo kļūdu būt (bet ne tikai):

  • Piekļūstot administrēšanas lapu pārvaldīt pakalpojuma konts

  • Piekļuve meklēšanas administrēšanas lapas (meklēt topoloģija var nerādīt)

  • Meklēšanas konfigurācijas izmaiņu veikšanu

Tiek ierakstīta SharePoint ULS žurnālos pamata kļūdas ziņojums:

Izņēmums: System.ServiceModel.Security.SecurityNegotiationException: aicinājums SSPI neizdevās, skatiet Iekšējais izņēmuma.---> System.Security.Authentication.AuthenticationException: aicinājums SSPI neizdevās, skatiet Iekšējais izņēmuma.---> System.ComponentModel.Win32Exception: šifrēšanas tips pieprasa KDC neatbalsta---End Iekšējais izņēmuma steka izsekošanas dati--

Project Server pakalpojuma lietojumprogramma var pieteikties arī līdzīgu ziņojumu:

PWA:https: / / < SharePoint > / < vietnes >, ServiceApp:PWA, User: i:0 # .w | Domain\UserId,PSI: neizdevās nosūtīt darba paziņojumu rindas Izņēmums System.ServiceModel.Security.SecurityNegotiationException < Guid > vietai: izsaukums neizdevās SSPI skatiet Iekšējais izņēmuma.---> System.Security.Authentication.AuthenticationException: aicinājums SSPI neizdevās, skatiet Iekšējais izņēmuma.---> System.ComponentModel.Win32Exception: šifrēšanas tips pieprasa KDC neatbalsta

Lietotāja profila pakalpojumu nodrošināšanas laikā, jūs nevarat startēt pakalpojumu lietotāju profilu sinhronizāciju.

Startējot administrēšanas lietotāja profila pakalpojumam, pakalpojuma sākšanu un nekavējoties tiek apturēta. SharePoint ULS pārbaudes norāda, ka neizdevās sākt šāds rezultāts:

"UserProfileApplication.SynchronizeMIIS: neizdevās konfigurēt ILM, tiek mēģināts veikt. Izņēmums: System.Security.SecurityException: pieprasīto šifrēšanas tips neatbalsta KDC. "

Citi komponenti var ierakstīt kļūdu ziņojumi, norādot pieprasīto šifrēšanas tips neatbalsta KDC.

Cēlonis

Tas notiek, jo konflikts starp pielāgotas Lokālās politikas vai grupas politikas un Active Directory pakalpojuma kontu rekvizītus. Rekvizīta iestatījumu konfigurēšanai "tīkla drošība: konfigurēt šifrēšanas tipi atļauto Kerberos", lai serveris atbalsta tikai AES šifrēšanas un nākamajām šifrēšanas veidu, serveris nav atbalsta vecāku Kerberos šifrēšanas tipi Kerberos biļetes. Ir svarīgi atcerēties, izveidots Active Directory lietotāja konta objektiem nav konfigurēts, lai atbalstītu Kerberos AES šifrēšanu pēc noklusējuma.

Ja serveris ir konfigurēts pieprasīt Kerberos AES šifrēšanas veidi, bet nav atjauninātas pakalpojuma kontu rekvizītus Active Directory atbalsta AES šifrēšanu tviņš izraisa gadījumā ja serveris nespēj vienojas par kopēju Kerberos biļetes šifrēšanas tipu.

Tas notiek, jo konflikts starp pielāgotas Lokālās politikas vai grupas politikas un Active Directory pakalpojuma kontu rekvizītus. Rekvizīta iestatījumu konfigurēšanai "tīkla drošība: konfigurēt šifrēšanas tipi atļauto Kerberos" tāpēc, ka serveris atbalsta tikai AES šifrēšanas un nākamajām šifrēšanas veidu, nevar atbalstīt vecāku Kerberos šifrēšanas tipi Kerberos biļetes tāpēc, ka pēc noklusējuma lietotāja konta objekti, kas izveidoti Active Directory nav konfigurēta atbalsta Kerberos AES šifrēšanu. Ja serveris ir konfigurēts pieprasīt Kerberos AES šifrēšanas veidi, bet pakalpojuma kontu rekvizītus Active Directory nav atjauninātas atbalsta AES šifrēšanu, tad viņi nevarēs vienojas par kopēju šifrēšanas tipu Kerberos biļetes.

Risinājums

Lai novērstu šo problēmu, ievērojiet tālāk norādītās darbības.

  1. Identificējiet visi konti, kuri izmanto SharePoint lietojumprogrammu pūla kontu un pakalpojuma kontu.

  2. Active Directory Users and Computers Atrodiet kontu.

  3. Atlasiet Rekvizīti.

  4. Atlasiet cilni kontu .

  5. Nodrošina sadaļu konta opcijas atlasījis vienu vai abus no tālāk norādītajām opcijām. Tas ļaus atbalstu Kerberos AES šifrēšanu šiem lietotāja objektiem:

    • Šī konta atbalsta Kerberos AES 128 bitu šifrēšana

    • Šī konta atbalsta Kerberos AES 256 bitu šifrēšana

  6. Veikt iisreset serveros un restartēt Sharepoint saistīti pakalpojumi, kas darbojas saistībā ar modificētu pakalpojuma kontu.

Papildinformācija

Lai pārbaudītu, vai SharePoint serveris ir konfigurēts tikai atbalsta AES šifrēšanas tipu vai tipus jaunāks:

  1. Serverī startējiet Local Security Policy Editor (secpol. msc).

  2. Izvērsiet drošības iestatījumi > Lokālās politikas > drošības opcijas.

  3. Atrodiet tīkla drošība: konfigurēt šifrēšanas tipi atļauto Kerberos.

  4. Atlasiet Rekvizīti.

Ja tikai atlasītas šādas opcijas:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Turpmākie šifrēšanas tipi

Atlasot šo opciju izvēles SE: AES128_HMAC_SHA1 AES256_HMAC_SHA1 un turpmāk šifrēšanas veidi.

Pēc tam jums vajadzēs iespējot lietotāja objektiem pakalpojumā Active Directory, kas tiek izmantoti, lai palaistu SharePoint pakalpojumi un lietojumprogrammas pūli atbalstu Kerberos AES šifrēšanu .

Šo PowerShell skriptu var izmantot, lai identificētu SharePoint pakalpojuma kontu un pārbaudītu, vai tie ir konfigurēti atbalsta AES šifrēšanas tipi:

Add-PSSnapin Microsoft.SharePoint.Powershell $AES_128 = 0x8 $AES_256 = 0x10 $Separator="\" $option = [System.StringSplitOptions]::RemoveEmptyEntries Write-Host "Retrieving SharePoint Managed Accounts" -ForegroundColor White $SharePointAccounts="" $ManagedAccounts=Get-SPManagedAccount foreach ($ManagedAccount in $ManagedAccounts) { Write-Host "Checking Account: "$ManagedAccount.Username $temp=$ManagedAccount.Username $samaccountName=$temp.Split($separator,2, $option)[1] $userobj=([adsisearcher]"samAccountName=$samaccountName").FindOne() $EncryptionTypes=$userobj.properties.Item('msds-supportedencryptiontypes')[0] #$EncryptionTypes $HexValue='{0:X}' -f $EncryptionTypes if ($EncryptionTypes -band $AES_128) { Write-Host "Account Supports AES128 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES128 bit encryption support enabled" -ForegroundColor Red } if ($EncryptionTypes -band $AES_256) { Write-Host "Account Supports AES256 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES256 bit encryption support enabled" -ForegroundColor Red } } ====================== END SCRIPT ========================================================

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×