В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Браузер не поддерживается

Чтобы использовать веб-сайт, обновите браузер.

Обновите браузер до последней версии Internet Explorer

Vista и Windows Server 2008 клиентам не удается получить доступ к имен кластера с билеты Kerberos, шифрование AES

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:961302
Источник::Поддержка Майкрософт
БЫСТРАЯ ПУБЛИКАЦИЯ
В БЫСТРО ПУБЛИКУЮЩИХСЯ СТАТЬЯХ ПРЕДСТАВЛЕНА ИНФОРМАЦИЯ, ПОЛУЧЕННАЯ НАПРЯМУЮ ОТ СЛУЖБЫ ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ МАЙКРОСОФТ.. ИНФОРМАЦИЯ, СОДЕРЖАЩАЯСЯ В НИХ, ПРЕДОСТАВЛЕНА В ОТВЕТ НА СРОЧНЫЕ ЗАПРОСЫ ИЛИ В КАЧЕСТВЕ ПРИЛОЖЕНИЯ К ДРУГИМ СТАТЬЯМ БАЗЫ ЗНАНИЙ..
Симптом


Рассмотрим следующий сценарий со всех компьютеров в домене.

· Контроллер домена Windows Server 2008

· Клиента Windows Vista или Windows Server 2008

· Windows Server 2008 отказоустойчивый кластер

 

Клиент пытается получить доступ к имени кластера с помощью NetBIOS или DNS-имени и возвращает сообщение об ошибке:

"имя \\{cluster} недоступен. Возможно, у вас нет прав на использование этого сетевого ресурса.. Свяжитесь с администратором данного сервера и выясните, есть ли у вас разрешение на доступ..

Ошибка входа в систему: конечная учетная запись указана неверно.»

 

При взгляде на сетевой трафик может просматриваться возвращает кластер KRB5KRB_AP_ERR_MODIFIED клиенту.  Записи событий Microsoft Windows безопасности Kerberos, также является Идентификатором 4

 

Службы, зависящие от соединения Kerberos с именем кластера также завершится неудачно с различных проблем (возможно, направленная в сторону «отказано в доступе»)

 

Это происходит, когда используется NetBIOS или DNS-имя объекта компьютера кластера

Если доступ к кластеру с помощью IP-адрес, то нет ошибок отображаются (при использовании NTLM вместо Kerberos)

 

Если клиент Windows до Vista используется, то проблема не возникает

Если введено имя любого выделенного узла затем проблема не возникает
Причина.
Решение.
Дополнительная информация


Windows Vista появилась поддержка билеты Kerberos, шифрование AES, 128-разрядные и 256 бит

Шифрование AES, нельзя использовать для согласования Kerberos с именами кластера; поддерживается только для RC4 HMAC.

 

При запросе билет Kerberos для основное имя службы (SPN), служба центра распространения ключей (KDC) на контроллере домена проверяет два параметра для определения шифрования билета для клиента:

· атрибут msDS-SupportedEncryptionTypes на объект компьютера, с которым связано имя участника службы.

· KdcUseRequestedEtypesForTickets реестра существует и не равно нулю.

 

атрибут msDS-SupportedEncryptionTypes создается только для объектов компьютеров в AD, представляющий физических компьютеров, чем Windows Vista или Windows Server 2008, где установлен в значение 31, указывающий максимальный поддерживаемый уровень из 256-разрядный AES.

 

Объекты, представляющих собой имена кластера не имеют этого атрибута, значение по умолчанию, поэтому они рассматриваются как устаревших версий Windows, поддерживающих до шифрования RC4 HMAC (значение 7 эффективных msDS-SupportedEncryptionTypes).

 

Если атрибут объекта компьютера, представляющая имя кластера, таким образом, 4 или 5-й наименее важные биты, проблема, описанная выше произойдет как KDC зашифрует билет Kerberos, с помощью шифрования AES.

 

KdcUseRequestedEtypesForTickets была введена в Windows Server 2003, исправление, описанное в статье БАЗЫ знаний 833708, чтобы клиенты могли определить уровень шифрования для билетов, запрашивающим - это была возможность более низких приложений с использованием Kerberos, поддерживающими только шифрование, чем RC4-HMAC для функции.

 

The value is located in the reigstry under the following key:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc

 

It is not present normally and defaults to an effetive setting of 0, but if it exists on the domain controller contacted with the Kerberos request and is non-zero then the KDC will use the highest encryption that the client supports for the ticket.

 

If the value is set to a non-zero value and the client requesting the ticket is Windows Vista or later, then the Kerberos ticket will be AES-encrypted and the problem described above will occur.

 

The problem may also occur with Microsoft Cluster Services (MSCS) cluster configurations.



For more information please see the following Microsoft Knowledgebase article:

833708  KDC does not allow clients to specify an etype in Windows Server 2003

http://support.microsoft.com/default.aspx?scid=kb;EN-US;833708



ЗАЯВЛЕНИЕ ОБ ОТКАЗЕ
MICROSOFT И/ИЛИ ЕЕ ПОСТАВЩИКИ НЕ ДЕЛАТЬ ПРЕДСТАВЛЕНИЯ ИЛИ ГАРАНТИЙ О ПРИГОДНОСТИ, НАДЕЖНОСТЬ И ТОЧНОСТЬ ИНФОРМАЦИИ, СОДЕРЖИТСЯ В ДОКУМЕНТЫ И СВЯЗАННЫХ РИСУНКОВ ПУБЛИКАЦИИ НА ВЕБ-УЗЕЛ (“ МАТЕРИАЛОВ ”) ДЛЯ ЛЮБЫХ ЦЕЛЕЙ. МАТЕРИАЛЫ МОГУТ СОДЕРЖАТЬ ТЕХНИЧЕСКИЕ НЕТОЧНОСТИ И ОПЕЧАТКИ. ЭТА ИНФОРМАЦИЯ ПЕРИОДИЧЕСКИ ПОДВЕРГАЕТСЯ ИЗМЕНЕНИЯМ БЕЗ ПРЕДУПРЕЖДЕНИЙ..

В МАКСИМАЛЬНОЙ СТЕПЕНИ, ДОПУСКАЕМОЙ ДЕЙСТВУЮЩИМ ЗАКОНОДАТЕЛЬСТВОМ, КОРПОРАЦИЯ МАЙКРОСОФТ И/ИЛИ ЕЕ ПОСТАВЩИКИ ОТКАЗЫВАЮТСЯ ОТ ПРЕДОСТАВЛЕНИЯ КАКИХ-ЛИБО ПРЯМЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ПРЕДУСМОТРЕННЫХ ГАРАНТИЙ В ОТНОШЕНИИ СВОИХ МАТЕРИАЛОВ, ВКЛЮЧАЯ, БЕЗ ОГРАНИЧЕНИЙ, ГАРАНТИИ ПРАВ СОБСТВЕННОСТИ, НЕНАРУШЕНИЯ АВТОРСКИХ ПРАВ, УДОВЛЕТВОРИТЕЛЬНЫХ УСЛОВИЙ И КАЧЕСТВА, ТОВАРНОГО СОСТОЯНИЯ И СООТВЕТСТВИЯ КОНКРЕТНЫМ ЦЕЛЯМ..
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.
Свойства

Номер статьи: 961302 — последний просмотр: 11/29/2010 12:17:00 — редакция: 2.0

  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Vista Enterprise
  • Windows Vista Business
  • Windows Vista Ultimate
  • kbclustering kbnomt kbrapidpub kbmt KB961302 KbMtru
Отзывы и предложения