Momentan sunteți offline, așteptați să vă reconectați la internet

KDC Event ID 16 sau 27 este înregistrat dacă DES pentru Kerberos este dezactivat

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 977321
Rezumat
Incepand cu Windows 7, Windows Server 2008 R2, şi sistemele de operare Windows mai târziu, Data Encryption Standard (DES) encryption pentru autentificarea Kerberos este dezactivat. Acest articol descrie diverse scenarii în care este posibil să primiţi următoarele evenimente în jurnalele de cerere, de securitate şi de sistem deoarece DES criptare este dezactivată:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
În plus, acest articol explică cum să activaţi DES criptare pentru autentificarea Kerberos în Windows 7 şi în Windows Server 2008 R2. Pentru informaţii detaliate, consultaţi "Simptome", "Cauza", "Workaround" secțiuni din acest articol.
Simptome
Luaţi în considerare următoarele scenarii:
  • Un serviciu foloseste un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare pe un computer care execută Windows 7 sau Windows Server 2008 R2.
  • Un serviciu foloseste un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare şi că este într-un domeniu cu controlere de domeniu Windows Server 2008 R2.
  • Un client care se execută Windows 7 sau Windows Server 2008 R2 se conectează la un serviciu utilizând un cont de utilizator sau un cont de calculator, care este configurat pentru numai DES criptare.
  • O relaţie de încredere este configurat pentru numai DES criptare şi include controlerii de domeniu care execută Windows Server 2008 R2.
  • O aplicaþie sau un serviciu este hardcoded să utilizeze numai DES criptare.
În oricare dintre aceste situaţii, este posibil să primiţi următoarele evenimente în jurnalele de cerere, de securitate şi sistemul cu sursa Microsoft-Windows-Kerberos-Key-Distribution-Center :
ID-ULnume de sign-in simbolicMesaj
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSÎn marcă de timp ce o cerere TGS de prelucrare pentru server țintă %1, contul %2 nu au o cheie potrivite pentru generarea de un bilet de Kerberos (tasta lipsă a unui ID de %3). Etypes solicitate au fost %4. Conturile disponibile etypes au fost de %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSÎn marcă de timp ce o cerere TGS de prelucrare pentru server țintă %1, contul %2 nu au o cheie potrivite pentru generarea de un bilet de Kerberos (tasta lipsă a unui ID de %3). Etypes solicitate au fost %4. Conturile disponibile etypes au fost de %5. Schimbarea sau resetarea parola de %6 va genera o cheie adecvată.
Cauză
implicit, setările de securitate pentru DES criptare pentru Kerberos sunt dezactivate la calculatoare următoarele:
  • Computere care execută Windows 7
  • Computere care execută Windows Server 2008 R2
  • Controlerii de domeniu care execută Windows Server 2008 R2
Notă Suport criptografic pentru Kerberos există în Windows 7 şi în Windows Server 2008 R2.implicit, Windows 7 utilizează următoarele avans Encryption Standard (AES) sau RC4 cifru Suite pentru "tipuri de criptare" şi pentru "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
consolidare servicii care sunt configurate pentru numai DES criptare eşua excepţia cazului în care următoarele condiţii sunt adevărate:
  • Serviciul este reconfigurat pentru a sprijini criptare RC4 sau pentru a sprijini criptare AES.
  • Toate computerele client, toate serverele şi toţi controlerii de domeniu pentru domeniul de la contul de serviciu sunt configurate pentru a sprijini DES criptare.
implicit, Windows 7 şi Windows Server 2008 R2 acceptă următoarele Suite cifru: DES-CBC-MD5 cifru suite şi suite, cifrul DES-CBC-CRC pot fi activate în Windows 7 atunci când este necesar.
Remediere
Vă recomandăm insistent că vă verificaţi dacă DES criptare încă este necesar în mediul sau verifica dacă consolidare servicii specifice impun numai DES criptare. Verificaţi dacă serviciul poate utiliza criptare RC4 sau criptare AES, sau verificaţi dacă furnizorul are o alternativă de autentificare care a criptografiei puternice.

Remedierea rapidă 978055 este necesară pentru controlere de domeniu Windows Server 2008 R2 pentru a gestiona corect criptare tipul de informaţii care este reprodusă din controlerele de domeniu care execută Windows Server 2003. Sectiunea mai multe informaţii mai jos.
  1. Determina dacă aplicaţia este greu codificate pentru a utiliza numai DES criptare. Dar acesta este dezactivată în setările implicite pe clientii care execută Windows 7 sau pe centre de distribuţie cheie (KDCs).

    Pentru a verifica dacă sunt afectat de această problemă, vă rugăm să colecteze unele urme de reţea, şi apoi verificaţi pentru urme care seamănă cu următorul urme de probă:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. Determina dacă contul de utilizator sau cont pentru computer este configurat pentru numai DES criptare.

    În "Active Director utilizatori şi computere" snap-in, deschideți proprietățile de cont de utilizator, şi apoi verificaţi dacă opţiunea utilizare Kerberos DES tipuri de criptare pentru acest cont este stabilită în fila cont .
În cazul în care veţi încheia că sunt afectate de această problemă şi că trebuie să rândul său, pe tipul de criptare DES pentru autentificarea Kerberos, permite următoarele politicile de grup pentru tipul de criptare DES se aplică toate computerele care execută Windows 7 sau Windows Server 2008 R2:
  1. În Grupa politica de consolă de gestionare (GPMC), localizaţi următoarea locaţie:
    Calculator Configuration\ Windows Settings\ securitate Settings\ locală Policies\ de opţiuni de securitate
  2. Clic pentru a selecta reţea de securitate: Configurarea tipuri de criptare permise pentru Kerberos opţiune.
  3. Faceţi clic pentru a defini aceste setări de politică şi toate şase casetele de selectare pentru tipurile de criptare.
  4. Faceţi clic pe OK. Aproape GPMC.
Notă Politica seturi intrarea de registry SupportedEncryptionTypes la o valoare de 0x7FFFFFFF. Intrarea de registry SupportedEncryptionTypes este de la a urma a localiza:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
In functie de scenariu, trebuie să setaţi această politică la nivel de domeniu se aplică tipul de criptare DES toţi clienţii care execută Windows 7 sau Windows Server 2008 R2. Sau, este posibil să aveţi pentru a seta această politică la unitatea organizaţionale (OU) de controlerul de domeniu pentru controlerii de domeniu care execută Windows Server 2008 R2.
Informaţii suplimentare
DES-doar cerere compatibility publicare sunt întâlnite în următoarele două configuraţii:
  • Aplicația de asteptare este hardcoded pentru numai DES criptare.
  • Cont care execută serviciul este configurat pentru a utiliza numai DES criptare.
Criptare de tip criteriile următoare trebuie îndeplinite pentru autentificarea Kerberos la locul de muncă:
  1. Un tip comun există între client şi controlerul de domeniu pentru Google authenticator pe client.
  2. Un tip comun există între controlerul de domeniu şi serverul de resurse pentru a cripta biletul.
  3. Un tip comun există între client şi server de resurse pentru cheia de sesiune.
Să analizăm următoarea situaţie:
Rolulsistem de operareNivel de criptare a sprijinit pentru Kerberos
DCWindows Server 2003RC4 şi DES
Client Windows 7AES şi RC4
Resurse ServerJ2EEDES
În această situaţie, criteriul 1 este satisfăcut de criptare RC4, şi criteriile 2 este satisfăcut de criptare DES. Al treilea criteriu nu reuşeşte, deoarece serverul este DES-doar şi deoarece clientul nu acceptă DES.

Remedierea rapidă 978055 trebuie să fie instalat pe fiecare controler de domeniu Windows Server 2008 R2 dacă următoarele condiţii sunt adevărate în domeniu:
  • Există unele conturi utilizator sau calculator cu DES-activat.
  • În acelaşi domeniu, există una sau mai multe controlere de domeniu care execută Windows 2000 Server, Windows Server 2003 sau Windows Server 2003 R2.
Notă
  • Remedierea rapidă 978055 este necesar pentru bazate pe Windows Server 2008 R2 controlerii de domeniu pentru a gestiona corect criptare tipul de informaţii care este reprodusă din controlerele de domeniu care execută Windows Server 2003.
  • Controlerele de domeniu Windows Server 2008 nu au nevoie de acest remediu rapid.
  • Această remediere rapidă nu este necesară în cazul în care domeniu a numai controlerele de domeniu Windows Server 2008.
Pentru mai multe informaţii, faceţi clic pe următorul număr de articol pentru a vedea articolul în bază de cunoştinţe Microsoft:
978055 FIX: Conturi de utilizator care utilizează DES criptare pentru tipurile de autentificare Kerberos nu poate fi autentificată într-un domeniu Windows Server 2003 după un controler de domeniu Windows Server 2008 R2 se alătură domeniu

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 977321 - Ultima examinare: 11/05/2013 05:34:00 - Revizie: 2.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtro
Feedback
lementsByTagName("head")[0].appendChild(m);