Windows Server 2003 域控制器上的事件標識碼 27 KDC 錯誤

本文提供修正 Windows Server 2003 域控制器上所發生事件識別碼 27 KDC 錯誤的說明。

適用於：Windows 10 - 所有版本、Windows Server 2012 R2
原始 KB 編號： 2002141

徵狀

在同時包含 Windows Server 2003 域控制器和 Windows Vista 和 Windows Server 2008 或更新成員伺服器的環境中，Windows Server 2003 域控制器可能會記錄下列錯誤：

類型： 錯誤事件： 27 來源： KDC 類別： 無計算機： 事件 Msg： 處理目標伺服器 krbtgt/ 的 TGS 要求時，帳戶 <名稱> 沒有適當的金鑰可產生 Kerberos 票證 (遺漏的金鑰標識代碼為 8) 。 要求的 etype 為 18。 可用的 etype 帳戶為 23 -133 -128 3 1。

原因

Windows Vista 或 Server 2008 成員伺服器使用 18 (AES) 的加密類型傳送 TGS 要求。 Windows Server 2003 不支援 Kerberos 的此加密類型。

解決方案

在 Windows Server 2003 域控制器上記錄的事件識別碼 27 錯誤，可以安全地忽略，因為它是根據設計。 域控制器只會通知用戶端它支援的加密類型。 Windows Server 2008 伺服器接著會回復為其中一種支援的加密類型。 您可以修改 Windows Server 2008 使用的預設加密類型。 這可防止錯誤記錄在 Windows Server 2003 域控制器上。 您必須將下列登錄值新增至 Windows Server 2008 伺服器。

• 路徑：HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
• 數值名稱：DefaultEncryptionType
• 實值類型：Reg_DWORD
• 數值數據：0x17 (23)