Symptomy

Po zmodyfikowaniu ustawienie występują błędy "zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos" za pomocą zasad lokalnych lub obiektu zasad grupy od wartości domyślnych wartości, która zezwala tylko następujące typy szyfrowania:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Typy szyfrowania w przyszłości

Jeśli błędy są zapisywane w dziennikach programu SharePoint powszechnej rejestrowania systemu (ULS), wskazują one, że wymagany typ szyfrowania nie jest obsługiwany przez KDC. Akcje, które powodują błędy te obejmują (ale nie są ograniczone do):

  • Uzyskiwanie dostępu do strony Zarządzanie kontem usługi w administracji centralnej

  • Uzyskiwanie dostępu do strony Administracja wyszukiwania (topologii wyszukiwania mogą nie być wyświetlane)

  • Wprowadzenie zmian w konfiguracji wyszukiwania

Podstawowe wiadomości o błędzie zapisywane w dziennikach ULS programu SharePoint jest:

Wyjątek: System.ServiceModel.Security.SecurityNegotiationException: Wywołanie SSPI nie powiodło się, zobacz wyjątek wewnętrzny.---> System.Security.Authentication.AuthenticationException: Wywołanie SSPI nie powiodło się, zobacz wyjątek wewnętrzny.---> System.ComponentModel.Win32Exception: żądanego typu szyfrowania nie jest obsługiwany przez KDC---Koniec śledzenia wewnętrznego stosu wyjątków---

Aplikacja usługi programu Project Server może zostać zarejestrowane również podobny komunikat:

PWA:https: / / < SharePoint > / < witryna >, ServiceApp:PWA, i użytkownik: 0 # .w | Domena UserId,PSI: nie udało się wysłać powiadomienie o zadaniu do kolejki dla witryny < Guid > wyjątek System.ServiceModel.Security.SecurityNegotiationException: Wywołanie SSPI nie powiodło się, zobacz wyjątek wewnętrzny.---> System.Security.Authentication.AuthenticationException: Wywołanie SSPI nie powiodło się, zobacz wyjątek wewnętrzny.---> System.ComponentModel.Win32Exception: żądanego typu szyfrowania nie jest obsługiwany przez KDC

Podczas procesu inicjowania obsługi administracyjnej usługi profilu użytkownika są w stanie uruchomić usługę synchronizacji profilu użytkownika.

Podczas uruchamiania usługi profilu użytkownika w administracji centralnej, uruchamiania i natychmiast zatrzymywane. Inspekcja ULS programu SharePoint wskazuje, że niemożność uruchomienia jest wynikiem następujących czynności:

"UserProfileApplication.SynchronizeMIIS: nie można skonfigurować ILM, spróbuje ponownie. Wyjątek: System.Security.SecurityException: wymagany typ szyfrowania nie jest obsługiwany przez KDC. "

Inne składniki napisać komunikaty o błędach, wskazując, że wymagany typ szyfrowania nie jest obsługiwany przez KDC.

Przyczyna

Ten problem występuje z powodu konfliktu między niestandardowe zasady lokalne lub zasady grupy i właściwości konta usługi w usłudze Active Directory. Podczas konfigurowania ustawienie właściwości "zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos" tak, że serwer obsługuje tylko typy szyfrowania AES i typy przyszłych szyfrowania, serwer nie obsługuje starszych typów szyfrowania Kerberos w protokole Kerberos bilety. Jest również pamiętać, że obiekty kont użytkowników w usłudze Active Directory nie są domyślnie skonfigurowane do obsługuje szyfrowanie Kerberos AES.

Jeśli serwer jest skonfigurowany do wymagania typy szyfrowania AES dla protokołu Kerberos, ale właściwości konta usługi w usłudze Active Directory nie zostały zaktualizowane do obsługi szyfrowania AES, twyniku jest to scenariusz, gdzie serwer jest w stanie negocjować wspólny Typ szyfrowania dla biletów Kerberos.

Ten problem występuje z powodu konfliktu między niestandardowe zasady lokalne lub zasady grupy i właściwości konta usługi w usłudze Active Directory. Podczas konfigurowania ustawienie właściwości "zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos" tak, że serwer obsługuje tylko typy szyfrowania AES i typów szyfrowania w przyszłości, nie może obsługiwać starsze typy szyfrowania Kerberos biletów Kerberos ponieważ obiekty kont użytkowników w usłudze Active Directory nie są domyślnie skonfigurowane do obsługuje szyfrowanie Kerberos AES. Gdy serwer jest skonfigurowany do wymagania typy szyfrowania AES dla protokołu Kerberos, ale właściwości konta usługi w usłudze Active Directory nie zostały zaktualizowane do obsługi szyfrowania AES, następnie one nie będzie mógł negocjować wspólnej typ szyfrowania dla biletów Kerberos.

Rozwiązanie

Aby rozwiązać ten problem, wykonaj następujące czynności:

  1. Zidentyfikować wszystkie konta, które są używane w ramach programu SharePoint jako konta puli aplikacji i kont usług.

  2. Zlokalizuj kont w komputery i użytkownicy usługi Active Directory.

  3. Wybierz polecenie Właściwości.

  4. Wybierz kartę konta .

  5. W sekcji Opcje konta upewnij się, że zaznaczono jeden lub oba z następujących opcji. Umożliwi to obsługa szyfrowania Kerberos AES w tych obiektach użytkowników:

    • To konto obsługuje protokół Kerberos AES 128-bitowego szyfrowania

    • To konto obsługuje szyfrowanie Kerberos AES 256-bitowym

  6. Wykonać iisreset na serwerach i ponownym uruchomieniu usługi, które są uruchomione w kontekście konta zmodyfikowanych usług związanych z dowolnego programu Sharepoint.

Więcej informacji

Aby sprawdzić, czy skonfigurowano serwera programu SharePoint obsługują tylko typy szyfrowania AES lub nowsze:

  1. Na serwerze uruchom Edytor zasad zabezpieczeń lokalnych (secpol.msc).

  2. Ustawienia zabezpieczeń > Zasady lokalne > Opcje zabezpieczeń.

  3. Zlokalizuj Zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos.

  4. Wybierz polecenie Właściwości.

Jeśli tylko zaznaczone są następujące opcje:

  • AES128_HMAC_SHA1

  • AES256_HMAC_SHA1

  • Typy szyfrowania w przyszłości

Sprawdź se, jeśli zaznaczono następujące opcje: AES128_HMAC_SHA1, tylkoaes256_hmac_sha1 i przyszłych typów szyfrowania.

Następnie należy włączyć obsługę szyfrowanie Kerberos AES na obiektów użytkowników w usłudze Active Directory, które są używane do uruchamiania programu SharePoint services i pule aplikacji.

Poniższy skrypt programu PowerShell służy do identyfikowania kont usług programu SharePoint i sprawdzić, czy są one skonfigurowane do obsługi typów szyfrowania AES:

Add-PSSnapin Microsoft.SharePoint.Powershell $AES_128 = 0x8 $AES_256 = 0x10 $Separator="\" $option = [System.StringSplitOptions]::RemoveEmptyEntries Write-Host "Retrieving SharePoint Managed Accounts" -ForegroundColor White $SharePointAccounts="" $ManagedAccounts=Get-SPManagedAccount foreach ($ManagedAccount in $ManagedAccounts) { Write-Host "Checking Account: "$ManagedAccount.Username $temp=$ManagedAccount.Username $samaccountName=$temp.Split($separator,2, $option)[1] $userobj=([adsisearcher]"samAccountName=$samaccountName").FindOne() $EncryptionTypes=$userobj.properties.Item('msds-supportedencryptiontypes')[0] #$EncryptionTypes $HexValue='{0:X}' -f $EncryptionTypes if ($EncryptionTypes -band $AES_128) { Write-Host "Account Supports AES128 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES128 bit encryption support enabled" -ForegroundColor Red } if ($EncryptionTypes -band $AES_256) { Write-Host "Account Supports AES256 bit encryption " -ForegroundColor Green } Else { Write-Host "Account Does Not have AES256 bit encryption support enabled" -ForegroundColor Red } } ====================== END SCRIPT ========================================================

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności

Poznaj szkolenia >

Uzyskuj nowe funkcje w pierwszej kolejności

Dołącz do niejawnych testerów firmy Microsoft >

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×