В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Идентификатор события KDC 16 или 27 регистрируется при отключении DES проверки подлинности Kerberos

ВНИМАНИЕ! Данная статья переведена с использованием программного обеспечения Майкрософт для машинного перевода и, возможно, отредактирована посредством технологии Community Translation Framework (CTF). Корпорация Майкрософт предлагает вам статьи, обработанные средствами машинного перевода, отредактированные членами сообщества Майкрософт и переведенные профессиональными переводчиками, чтобы вы могли ознакомиться со всеми статьями нашей базы знаний на нескольких языках. Статьи, переведенные с использованием средств машинного перевода и отредактированные сообществом, могут содержать смысловое, синтаксические и (или) грамматические ошибки. Корпорация Майкрософт не несет ответственности за любые неточности, ошибки или ущерб, вызванные неправильным переводом контента или его использованием нашими клиентами. Подробнее об CTF можно узнать по адресу http://support.microsoft.com/gp/machine-translation-corrections/ru.

Эта статья на английском языке: 977321
Аннотация
Начиная с Windows 7, Windows Server 2008 R2 и всех более поздних операционных систем Windows, шифрования данных DES (Encryption Standard) для проверки подлинности Kerberos отключен. В данной статье описаны различные сценарии, в которых может появиться следующие события в журналы приложений, безопасности и системы из-за отключения шифрования DES.
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Кроме того в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Подробные сведения содержатся в разделе «Проблема,» «Причина» и раздела «Временное решение» этой статьи.
Проблема
Рассмотрим следующие сценарии:
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенного для только шифрование DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенного для только шифрование DES и в домен с контроллерами домена под управлением Windows Server 2008 R2.
  • Клиент, который работает под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или учетной записи компьютера, настроенного для только шифрование DES.
  • Отношение доверия настраивается только шифрование DES и включает контроллеры домена под управлением Windows Server 2008 R2.
  • Приложение или служба встроен только шифрование DES.
В любом из этих случаев может появиться следующие события в журналы приложений, безопасности и системы вместе с Microsoft-Windows-Kerberos-Key-Distribution-Center источника:
ИДЕНТИФИКАТОРСимволическое имяMessage
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSВо время обработки запроса TGS для целевого сервера %1, %2 учетная запись не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор %3). Запрошенный etypes были %4. Etypes доступные учетные записи были %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSВо время обработки запроса TGS для целевого сервера %1, %2 учетная запись не имеет подходящего ключа для генерации билета Kerberos (отсутствует ключ имеет идентификатор %3). Запрошенный etypes были %4. Etypes доступные учетные записи были %5. Изменения или сброса пароля %6 создает подходящий ключ.
Причина
По умолчанию параметры безопасности для шифрования Kerberos DES отключены на следующих компьютерах:
  • Компьютеры под управлением Windows 7
  • Компьютеры под управлением Windows Server 2008 R2
  • Контроллеры домена под управлением Windows Server 2008 R2
Примечание Поддержка шифрования для Kerberos существует в Windows 7 и Windows Server 2008 R2.По умолчанию Windows 7 использует следующие комплекты шифров RC4 или аванса стандарт шифрования (AES) для «типы шифрования» и «etypes»:
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC.
Сбой служб, настроенных для только шифрование DES, если выполняются следующие условия:
  • Служба перенастроен для поддерживает шифрование RC4 или AES шифрование.
  • Все клиентские компьютеры, все серверы и все контроллеры домена в домене учетной записи службы настроены на поддержку шифрования DES.
По умолчанию Windows 7 и Windows Server 2008 R2 поддерживает следующие комплекты шифров: комплект шифров DES-CBC-MD5 и комплект шифров DES CBC контрольной СУММЫ можно включить в Windows 7 при необходимости.
Временное решение
Настоятельно рекомендуется проверить шифрование DES по-прежнему требуется ли в среде или проверка ли службы, которые требуют только шифрование DES. Проверьте ли службы можно использовать шифрование RC4 или AES, или проверить, имеет ли поставщик проверки подлинности вместо с более сильной криптографии.

Исправление 978055 для контроллеров домена под управлением Windows Server 2008 R2 для правильной обработки данных типа шифрования, которые реплицированы с контроллеров домена под управлением Windows Server 2003 не требуется. В разделе Дополнительные сведения ниже.
  1. Определите, является ли приложение жестко использовать только шифрование DES. Но она отключена по умолчанию на компьютере под управлением Windows 7 или центров распределения ключей (KDC).

    Чтобы проверить, подвержены ли эта проблема, соберите некоторых сетевых трассировок и проверьте наличие трассировки, напоминать следующий пример трассировки:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. Определите, настроено ли учетная запись пользователя или учетную запись компьютера для только шифрование DES.

    В оснастке «Active Directory пользователи и компьютеры» откройте свойства учетной записи пользователя и проверьте, установлен ли параметр использования Kerberos DES-шифрование для этой учетной записи на вкладке учетная запись .
Если можно заключить, что подвержена этой проблеме, и что нужно включить тип шифрования DES для проверки подлинности Kerberos, необходимо включите следующие групповые политики для применения тип шифрования DES для всех компьютеров под управлением Windows 7 или Windows Server 2008 R2:
  1. В групповой политике управления консоли (GPMC), найдите по следующему адресу:
    Компьютер Configuration\ Windows появляется безопасности появляется Policies\ локальные параметры безопасности
  2. Установите Сетевая безопасность: Настройка типов шифрования, разрешенных для Kerberos параметр.
  3. Щелкните, чтобы выбрать все шесть флажки для типов шифрования и определить следующие параметры политики .
  4. Нажмите кнопку ОК. Закройте консоль управления групповыми Политиками.
Примечание Политика устанавливает значение 0x7FFFFFFFзапись реестра SupportedEncryptionTypes . Запись реестра SupportedEncryptionTypes , по следующему адресу:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
В зависимости от сценария необходимо задать этот параметр на уровне домена для применения тип шифрования DES для всех клиентов под управлением Windows 7 или Windows Server 2008 R2. Или может потребоваться задать этот параметр на подразделения (OU) контроллера домена, контроллеры домена под управлением Windows Server 2008 R2.
Дополнительная информация
Проблемы совместимости приложений только DES встречаются следующие две конфигурации:
  • Вызывающее приложение встроен только шифрование DES.
  • Учетная запись, с которой запускается служба настроена для использования только шифрование DES.
Для работы проверки подлинности Kerberos, должны быть выполнены следующие критерии тип шифрования:
  1. Общий тип существует между клиентом и контроллером домена для проверки подлинности на клиенте.
  2. Общий тип существует между контроллером домена и сервер ресурсов для шифрования билета.
  3. Общий тип существует между клиентом и сервером ресурсов для создания ключей сеансов.
Рассмотрим следующую ситуацию:
РольОСПоддержка уровня шифрования Kerberos
DCWindows Server 2003RC4 и DES
Клиент Windows 7AES и RC4
Ресурс сервераJ2EEDES
В этом случае удовлетворяет условиям 1 шифрование RC4 и удовлетворяет условиям 2 шифрования DES. Третий критерий завершается неудачно, поскольку сервер является только DES и потому, что клиент не поддерживает алгоритм DES.

Исправление 978055 должен быть установлен на каждом контроллере домена под управлением Windows Server 2008 R2, если в домене выполняются следующие условия:
  • Существуют некоторые поддержкой DES пользователя или компьютера учетные записи.
  • В том же домене есть один или несколько контроллеров домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.
Примечание
  • Исправление 978055 является обязательным для контроллеров домена под управлением Windows Server 2008 R2 для правильной обработки данных типа шифрования, которые реплицированы с контроллеров домена под управлением Windows Server 2003.
  • Контроллеры домена под управлением Windows Server 2008 не требует исправления.
  • Данное исправление не требуется, если домен имеет только контроллеры домена под управлением Windows Server 2008.
Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
978055 ИСПРАВИТЬ: Учетные записи пользователей, использующих шифрование DES для типов проверки подлинности Kerberos не может пройти проверку подлинности в домене Windows Server 2003 после к домену контроллера домена Windows Server 2008 R2

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 977321 — последний просмотр: 03/15/2015 08:47:00 — редакция: 9.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Корпоративная, Windows 7 Профессиональная, Windows 7 Максимальная, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtru
Отзывы и предложения