您目前已離線,請等候您的網際網路重新連線

如果 Kerberos 的 DES 已停用,則是會記錄 KDC 事件識別碼 16 或 27

請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。

按一下這裡查看此文章的英文版本:977321
結論
啟動 Windows 7、 Windows Server 2008 R2,與所有較新 Windows 作業系統,Kerberos 驗證的資料加密標準 (DES) 加密已停用。本篇文章將探討在其中您可能會收到下列的事件,應用程式、 安全性及系統記錄檔中因為 DES 加密已停用的各種案例:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
此外,本文會說明如何啟用 Kerberos 驗證,在 Windows 7 中,並在 Windows Server 2008 R2 的 DES 加密。詳細的資訊,請參閱 < 徵狀,> < 原因 >,和本文 < 其他可行方案 > 章節。
徵狀
請考慮下列案例:
  • 服務會使用使用者帳戶或電腦帳戶已設定為只在執行 Windows 7 或 Windows Server 2008 R2 的電腦上的 DES 加密。
  • 服務會使用使用者帳戶或電腦帳戶的設定只是 DES 加密,這是與 Windows Server 2008 R2 為基礎的網域控制站的網域中。
  • 藉由使用只是 DES 加密的使用者帳戶或電腦帳戶已設定,Windows 7 或 Windows Server 2008 R2 正在執行的用戶端連線到服務。
  • 信任關係已設定只是 DES 加密,並包含執行 Windows Server 2008 R2 的網域控制站。
  • 應用程式或服務是使用只是 DES 加密的硬式編碼。
在任何這些案例中,您可能會收到下列的事件,以及Microsoft-Windows-Kerberos-Key-Distribution-Center的來源應用程式、 安全性及系統記錄檔中:
識別碼符號名稱訊息
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS雖然處理 TGS 要求目標伺服器 %1,%2 的帳戶沒有適當的索引鍵,來產生 Kerberos 票證 (遺漏機碼具有 ID 為 %3)。要求的 etypes 是 %4。帳戶可以使用 etypes 是 %5。
16KDCEVENT_NO_KEY_INTERSECTION_TGS雖然處理 TGS 要求目標伺服器 %1,%2 的帳戶沒有適當的索引鍵,來產生 Kerberos 票證 (遺漏機碼具有 ID 為 %3)。要求的 etypes 是 %4。帳戶可以使用 etypes 是 %5。變更或重設密碼的 %6 將會產生適當的索引鍵。
發生的原因
根據預設,Kerberos 的 DES 加密的安全性設定已停用在下列電腦:
  • 執行 Windows 7 電腦
  • 正在執行 Windows Server 2008 R2 的電腦
  • 正在執行 Windows Server 2008 R2 的網域控制站
注意密碼編譯支援 Kerberos 存在在 Windows 7 中,並在 Windows Server 2008 R2。根據預設,Windows 7 會使用下列進階加密標準 (AES) 或 RC4 加密套件,"加密類型"和"etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
除非在下列情況成立,就會失敗設定為只是 DES 加密的服務:
  • 為了支援 RC4 加密,或是支援 AES 加密時,會重新設定服務。
  • 所有用戶端電腦、 所有的伺服器和網域服務帳戶的所有網域控制站設定為支援 DES 加密。
根據預設,Windows 7 和 Windows Server 2008 R2 支援下列的加密套件: DES CBC-MD5 加密套件的 CRC-DES-CBC 加密套件,可以啟用及在 Windows 7 中需要時。
其他可行方案
我們強烈建議您檢查是否 DES 加密仍需要在環境或檢查是否有特定的服務需要唯一的 DES 加密。請檢查服務是否可以使用 RC4 加密或 AES 加密,或檢查廠商是否具有強的密碼編譯驗證另一種方式。

Hotfix 978055 需要 Windows Server 2008 R2 為基礎的網域控制站正確處理加密型別資訊,從執行 Windows Server 2003 的網域控制站複寫。請參閱以下的詳細資訊章節。
  1. 判斷應用程式是否以硬式編碼為使用只是 DES 加密。但它會停用或金鑰發佈中心 (Kdc) 上都執行 Windows 7 的用戶端的預設設定。

    若要檢查是否會受到這個問題,請收集一些的網路追蹤,,,然後檢查有類似下列的範例追蹤的追蹤:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 	0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn>        - Etype:       + SequenceOfHeader:       + EType: aes256-cts-hmac-sha1-96 (18)      + EType: aes128-cts-hmac-sha1-96 (17)      + EType: rc4-hmac (23)      + EType: rc4-hmac-exp (24)      + EType: rc4 hmac old exp (0xff79)     + TagA:      + EncAuthorizationData:
  2. 決定是否將使用者帳戶或電腦帳戶設定為只是 DES 加密。

    「 使用中目錄的使用者和電腦 」 嵌入式管理單元,開啟使用者帳戶內容],然後檢查是否在 [帳戶] 索引標籤下設定此帳戶的使用 Kerberos DES 加密類型] 選項。
如果您可以推斷,您已經受到這個問題,並可開啟 [Kerberos 驗證的 DES 加密類型,請啟用下列群組原則套用到正在執行 Windows 7 或 Windows Server 2008 R2 的所有電腦的 DES 加密類型:
  1. 在 [群組原則管理主控台 (GPMC),找出下列位置:
    電腦 Configuration\ Windows Settings\ 安全性 Settings\ 本機的 Policies\ 安全性選項
  2. 按一下以選取網路安全性: 設定所允許的 Kerberos 加密類型選項。
  3. 按一下以選取 [定義這些原則設定和所有的加密類型六個核取方塊。
  4. 按一下 [確定]。關閉 GPMC。
注意原則設定值為0x7FFFFFFFSupportedEncryptionTypes登錄項目。SupportedEncryptionTypes登錄項目位於下列位置:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
根據案例中,您可能要設定此原則在網域層級套用至所有正在執行 Windows 7 或 Windows Server 2008 R2 的用戶端的 DES 加密類型。或者,您可能正在執行 Windows Server 2008 R2 的網域控制站的網域控制站組織單位 (OU) 中設定此原則。
其他相關資訊
下列兩種組態中所可能遭遇的 DES 專用的應用程式相容性問題:
  • 呼叫的應用程式是硬式編碼,只是 DES 加密。
  • 執行服務的帳戶設定為使用只是 DES 加密。
使用 Kerberos 驗證時,必須滿足下列的加密型別準則:
  1. 在用戶端驗證者的用戶端和網域控制站之間存在一般型別。
  2. 一般型別存在的網域控制站與資源伺服器之間加密票證。
  3. 一般型別存在於用戶端與資源伺服器之間的工作階段索引鍵。
請考慮下列情況:
角色OSKerberos 支援加密層級
DCWindows 2003 ServerRC4 以及 DES
用戶端 Windows 7AES 和 RC4
資源伺服器J2EEDES
在此情況下,RC4 加密符合準則 1,準則 2 符合 DES 加密。第三個條件會失敗,因為伺服器是專用 DES,因為用戶端不支援 DES。

如果下列情況皆成立在網域中,必須在每個 Windows Server 2008 R2 的網域控制站上安裝 hotfix 978055:
  • 有一些 DES 啟用使用者或電腦帳戶。
  • 在相同網域中,沒有正在執行 Windows 2000 Server、 Windows Server 2003 或 Windows Server 2003 R2 的一或多個網域控制站。
附註
  • 若要正確地處理加密型別資訊,從執行 Windows Server 2003 的網域控制站複寫的 Windows Server 2008 R2 架構網域控制站需要 Hotfix 978055。
  • Windows Server 2008 為基礎的網域控制站不需要此 hotfix。
  • 如果網域中有只有 Windows Server 2008 為基礎的網域控制站,則不需要執行此 hotfix。
如需詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
978055 修正: Kerberos 驗證類型都使用 DES 加密的使用者帳戶無法驗證 Windows Server 2003 網域中的 Windows Server 2008 R2 的網域控制站加入網域之後

警告:本文為自動翻譯

內容

文章識別碼:977321 - 最後檢閱時間:01/10/2016 05:55:00 - 修訂: 3.0

Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate, Windows Server 2008 R2 Service Pack 1

  • kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtzh
意見反應