Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Trình duyệt của bạn không được hỗ trợ

Bạn cần cập nhật trình duyệt của mình để sử dụng trang web.

Cập nhật lên Internet Explorer phiên bản mới nhất.

KDC tổ chức sự kiện ID 16 hay 27 được ghi nhật ký nếu DES cho Kerberos bị vô hiệu hóa

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 977321
Tóm tắt
Bắt đầu với Windows 7, Windows Server 2008 R2, và tất cả hệ điều hành Windows sau này, mã hóa dữ liệu mã hóa tiêu chuẩn (DES) cho xác thực Kerberos bị vô hiệu hóa. Bài viết này mô tả các tình huống khác nhau mà bạn có thể nhận được các sự kiện sau đây trong các bản ghi ứng dụng, bảo mật và hệ thống do DES mã hóa vô hiệu hoá:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Ngoài ra, điều này giải thích làm thế nào để kích hoạt DES mã hóa xác thực Kerberos trong Windows 7 và Windows Server 2008 R2. Thông tin chi tiết, xem các "triệu chứng," "Gây ra," và "Workaround" phần của bài viết này.
Triệu chứng
Xem xét kịch bản sau đây:
  • Một bản ghi dịch vụ sử dụng một tài khoản người dùng hoặc trương mục máy tính đã được cấu hình để chỉ DES mã hóa trên máy tính đang chạy Windows 7 hoặc Windows Server 2008 R2.
  • Một bản ghi dịch vụ sử dụng một tài khoản người dùng hoặc trương mục máy tính mà được cấu hình để chỉ DES mã hóa và đó là trong một tên miền cùng với bộ điều khiển miền dựa trên Windows Server 2008 R2.
  • Một khách hàng đang chạy Windows 7 hoặc Windows Server 2008 R2 kết nối với một bản ghi dịch vụ bằng cách sử dụng một tài khoản người dùng hoặc trương mục máy tính đã được cấu hình để chỉ DES mã hóa.
  • Một mối quan hệ tin tưởng được cấu hình để chỉ DES mã hóa và bao gồm các bộ bộ kiểm soát miền đang chạy Windows Server 2008 R2.
  • Một ứng dụng hoặc bản ghi dịch vụ một là hardcoded dùng chỉ DES mật mã hóa.
Trong bất kỳ của các kịch bản, bạn có thể nhận được các sự kiện sau đây trong các bản ghi ứng dụng, bảo mật và hệ thống cùng với Microsoft-Windows-Kerberos-Key-Distribution-Center nguồn:
IDTên tượng trưngTin thư thoại
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSTrong khi thực hiện một yêu cầu TGS cho máy chủ mục tiêu %1, tài khoản %2 không có một phím thích hợp để tạo ra một vé Kerberos (chìa khóa mất tích có một ID %3). Etypes được yêu cầu đã là %4. Etypes có sẵn tài khoản đã là %5.
16KDCEVENT_NO_KEY_INTERSECTION_TGSTrong khi thực hiện một yêu cầu TGS cho máy chủ mục tiêu %1, tài khoản %2 không có một phím thích hợp để tạo ra một vé Kerberos (chìa khóa mất tích có một ID %3). Etypes được yêu cầu đã là %4. Etypes có sẵn tài khoản đã là %5. Thay đổi hoặc đặt lại mật khẩu của %6 sẽ tạo ra một phím thích hợp.
Nguyên nhân
theo mặc định, cài đặt chuyên biệt bảo mật cho DES mã hóa cho Kerberos được vô hiệu hóa trên máy tính sau:
  • Máy tính đang chạy Windows 7
  • Máy tính đang chạy Windows Server 2008 R2
  • Bộ bộ kiểm soát miền đang chạy Windows Server 2008 R2
Lưu ý Hỗ trợ mã hóa Kerberos tồn tại trong Windows 7 và Windows Server 2008 R2.theo mặc định, Windows 7 sử dụng các Suite mật mã sau trước Encryption Standard (AES) hoặc RC4 cho "các loại mã hóa" và "etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
bản ghi dịch vụ được đặt cấu hình để chỉ DES mã hóa không trừ khi các điều kiện sau là đúng:
  • Các bản ghi dịch vụ được thiết kế để hỗ trợ mã hóa RC4 hoặc để hỗ trợ mã hóa AES.
  • Tất cả khách hàng máy tính, tất cả máy chủ, và tất cả các bộ điều khiển tên miền cho tên miền của tài khoản bản ghi dịch vụ được đặt cấu hình để hỗ trợ mã hóa DES.
theo mặc định, Windows 7 và Windows Server 2008 R2 hỗ trợ suites mật mã sau đây: The DES-CBC-MD5 mã hóa mật và mật mã DES-CBC-CRC có thể được kích hoạt trong Windows 7 khi nó là cần thiết.
Cách giải quyết khác
Chúng tôi khuyên bạn nên kiểm tra cho dù DES mã hóa vẫn còn là cần thiết trong môi trường hoặc kiểm tra cho dù bản ghi dịch vụ cụ thể yêu cầu chỉ DES mã hóa. Kiểm tra xem các bản ghi dịch vụ có thể sử dụng mã hóa RC4 hoặc mã hóa AES, hoặc kiểm tra xem nhà cung cấp có một thay thế xác thực đã mật mã mạnh hơn.

Hotfix 978055 là cần thiết cho các bộ điều khiển miền dựa trên Windows Server 2008 R2 chính xác xử lý thông tin loại mã hóa sao chép từ bộ bộ kiểm soát miền đang chạy Windows Server 2003. Xem thêm thông tin bên dưới.
  1. Xác định xem các ứng dụng là cứng mã hoá để sử dụng chỉ DES mã hóa. Nhưng nó bị vô hiệu hóa các thiết lập mặc định trên máy sử dụng đang chạy Windows 7 hoặc trên Trung tâm phân phối khóa (KDCs).

    Để kiểm tra cho dù bạn bị ảnh hưởng bởi vấn đề này, xin vui lòng thu thập một số dấu kiểm vết mạng, và sau đó kiểm tra dấu kiểm vết tương tự như dấu kiểm vết mẫu sau:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. Xác định cho dù tài khoản người dùng hoặc các tài khoản máy tính được cấu hình để chỉ DES mã hóa.

    Trong "Hoạt động mục tin thư thoại người dùng và máy tính"-theo, mở thuộc tính tài khoản người dùng, và sau đó kiểm tra xem liệu tùy chọn sử dụng Kerberos DES mã hóa loại cho trương mục này được đặt dưới tab tài khoản .
Nếu bạn kết luận rằng bạn đang bị ảnh hưởng bởi vấn đề này và rằng bạn phải bật DES kiểu mã hóa cho xác thực Kerberos, sử chính sách nhóm sau để áp dụng kiểu mã hóa DES cho tất cả các máy tính đang chạy Windows 7 hoặc Windows Server 2008 R2:
  1. Trong các nhóm chính sách bàn điều khiển quản lí (GPMC), xác định vị trí vị trí sau:
    Máy tính Configuration\ Windows Settings\ an ninh Settings\ địa phương Policies\ tùy chọn bảo mật
  2. Nhấn vào đây để chọn các an ninh mạng: đặt cấu hình các loại mã hóa được phép trong Kerberos tùy chọn.
  3. Bấm vào để Chọn Tất cả sáu hộp kiểm cho các loại mã hóa và xác định các cài đặt chuyên biệt chính sách .
  4. Nhấp vào OK. Đóng GPMC.
Lưu ý Các chính sách thiết lập các mục nhập registry SupportedEncryptionTypes một giá trị của 0x7FFFFFFF. Các mục nhập registry SupportedEncryptionTypes là tại vị trí sau:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Tùy thuộc vào kịch bản, bạn có thể phải đặt chính sách này ở cấp độ tên miền để áp dụng kiểu mã hóa DES cho tất cả các khách hàng đang chạy Windows 7 hoặc Windows Server 2008 R2. Hoặc, bạn có thể có để đặt chính sách này ở các đơn vị tổ chức (OU) của bộ điều khiển tên miền cho bộ bộ kiểm soát miền đang chạy Windows Server 2008 R2.
Thông tin thêm
Vấn đề tương hợp về sau ứng dụng chỉ có DES gặp phải trong hai cấu hình sau:
  • Các ứng dụng gọi là hardcoded để chỉ DES mã hóa.
  • Tài khoản mà chạy các bản ghi dịch vụ được cấu hình để sử dụng chỉ DES mã hóa.
Tiêu chuẩn sau đây loại mã hóa phải được hài lòng cho xác thực Kerberos làm việc:
  1. Một loại phổ biến tồn tại giữa khách hàng và bộ điều khiển tên miền cho các nhận thực trên máy tính khách.
  2. Một loại phổ biến tồn tại giữa các bộ điều khiển tên miền và máy chủ tài nguyên để mã hóa vé.
  3. Một loại phổ biến tồn tại giữa khách hàng và máy chủ tài nguyên cho chìa khóa phiên.
Hãy xem xét tình hình sau đây:
Vai tròhệ điều hànhHỗ trợ mức mã hóa cho Kerberos
DCWindows Server 2003RC4 và DES
Khách hàng Windows 7AES và RC4
Máy chủ tài nguyênJ2EEDES
Trong tình huống này, các tiêu chuẩn 1 là hài lòng bởi RC4 mã hóa, và các tiêu chí 2 là hài lòng bởi DES mã hóa. Các tiêu chí thứ ba không thành công vì máy chủ chỉ DES và vì khách hàng hỗ trợ DES.

Các hotfix 978055 phải được cài đặt chuyên biệt trên mỗi bộ điều khiển miền dựa trên Windows Server 2008 R2 nếu các điều kiện sau là đúng thuộc phạm vi:
  • Có là một số DES cho phép người sử dụng hoặc máy tính tài khoản.
  • Trong cùng một tên miền, có là một hoặc nhiều bộ kiểm soát miền đang chạy Windows 2000 Server, Windows Server 2003 hoặc Windows Server 2003 R2.
Lưu ý
  • Hotfix 978055 là cần thiết cho bộ điều khiển tên miền dựa trên Windows Server 2008 R2 chính xác xử lý thông tin loại mã hóa sao chép từ bộ bộ kiểm soát miền đang chạy Windows Server 2003.
  • Bộ kiểm soát miền Windows Server 2008 dựa trên yêu cầu hotfix này.
  • Hotfix này là không cần thiết nếu tên miền đã chỉ miền Windows Server 2008 dựa trên bộ điều khiển.
Để biết thêm chi tiết, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
978055 Khắc phục: Tài khoản người dùng sử dụng DES mã hóa cho các loại xác thực Kerberos không thể được xác thực trong một tên miền Windows Server 2003 sau khi tham gia bộ kiểm soát miền Windows Server 2008 R2 tên miền

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 977321 - Xem lại Lần cuối: 11/05/2013 05:37:00 - Bản sửa đổi: 2.0

  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtvi
Phản hồi
osoft.com/ms.js'><\/script>");