Die KDC-Ereignis-ID 16 oder 27 wird protokolliert, wenn des für Kerberos deaktiviert ist

In diesem Artikel wird beschrieben, wie Sie des-Verschlüsselungsverfahren für die Kerberos-Authentifizierung in Windows 7 und in Windows Server 2008 R2 aktivieren.

Original Version des Produkts:   Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer:   977321

Zusammenfassung

Beginnend mit Windows 7, Windows Server 2008 R2 und allen neueren Windows-Betriebssystemen ist die Verschlüsselung des Data Encryption Standard (des) für die Kerberos-Authentifizierung deaktiviert. In diesem Artikel werden verschiedene Szenarien beschrieben, in denen die folgenden Ereignisse in den Anwendungs-, Sicherheits-und System Protokollen angezeigt werden, da die des-Verschlüsselung deaktiviert ist:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Darüber hinaus wird in diesem Artikel erläutert, wie Sie des-Verschlüsselungsverfahren für die Kerberos-Authentifizierung in Windows 7 und in Windows Server 2008 R2 aktivieren. Ausführliche Informationen finden Sie in den Abschnitten "Symptome", "Ursache" und "Problemumgehung" dieses Artikels.

Problembeschreibung

Betrachten Sie dazu die folgenden Szenarien:

  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für den des-Verschlüsselungs Diensts auf einem Computer konfiguriert ist, auf dem Windows 7 oder Windows Server 2008 R2 läuft.
  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für die des-Verschlüsselung konfiguriert ist und sich in einer Domäne zusammen mit Windows Server 2008 R2 basierten Domänencontrollern befindet.
  • Ein Client, auf dem Windows 7 oder Windows Server 2008 R2 ausführt, stellt mithilfe eines Benutzerkontos oder eines Computerkontos, das nur für den des-Verschlüsselungsdienst konfiguriert ist, eine Verbindung zu einem Dienst her.
  • Eine Vertrauensstellung ist nur für die des-Verschlüsselung konfiguriert und umfasst Domänencontroller, auf denen Windows Server 2008 R2 ausführt.
  • Eine Anwendung oder ein Dienst ist hart codiert, um nur des-Verschlüsselung zu verwenden.

In jedem dieser Szenarien werden Ihnen möglicherweise die folgenden Ereignisse in den Anwendungs-, Sicherheits-und System Protokollen zusammen mit der Microsoft-Windows-Kerberos-Key-Distribution-Center -Quelle angezeigt:

ID Symbolischer Name Message
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS Bei der Verarbeitung einer TGS-Anforderung für den Zielserver "%1" hatte das Konto "%2" keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von "%3"). Die angeforderte ETYPEs (waren %4. Die verfügbaren ETYPEs (-Konten waren %5.
Ereignis-ID 27 – KDC-Verschlüsselungstyp-Verschlüsselungstypen Konfiguration
16 KDCEVENT_NO_KEY_INTERSECTION_TGS Bei der Verarbeitung einer TGS-Anforderung für den Zielserver "%1" hatte das Konto "%2" keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von "%3"). Die angeforderte ETYPEs (waren %4. Die verfügbaren ETYPEs (-Konten waren %5. Durch das ändern oder Zurücksetzen des Kennworts von "%6" wird ein ordnungsgemäßer Schlüssel generiert.
Ereignis-ID 16 – Kerberos-Schlüssel Integrität

Ursache

Standardmäßig sind die Sicherheitseinstellungen für des Encryption für Kerberos auf den folgenden Computern deaktiviert:

  • Computer mit Windows 7
  • Computer mit Windows Server 2008 R2
  • Domänencontroller mit Windows Server 2008 R2

Hinweis

Die kryptografische Unterstützung für Kerberos ist in Windows 7 und in Windows Server 2008 R2 vorhanden. Standardmäßig verwendet Windows 7 die folgenden AES (Advance Encryption Standard) oder RC4-Verschlüsselungs Pakete für "Verschlüsselungstypen" und "ETYPEs (":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Für Dienste, die nur für den des-Verschlüsselung konfiguriert sind, tritt ein Fehler auf, wenn die folgenden Bedingungen erfüllt sind:

  • Der Dienst wird neu konfiguriert, um die RC4-Verschlüsselung zu unterstützen oder die AES-Verschlüsselung zu unterstützen.
  • Alle Clientcomputer, alle Server und alle Domänencontroller für die Domäne des Dienstkontos sind für die Unterstützung des Verschlüsselungs Diensts konfiguriert.

Standardmäßig unterstützen Windows 7 und Windows Server 2008 R2 die folgenden Verschlüsselungs-Suites: die Verschlüsselungssuite des-CBC-MD5 und der der-CBC-CRC-Verschlüsselungssuite kann in Windows 7 aktiviert werden, wenn Sie erforderlich ist.

Problemumgehung

Es wird dringend empfohlen, dass Sie überprüfen, ob der-Verschlüsselungsschutz noch in der Umgebung erforderlich ist, oder überprüfen, ob bestimmte Dienste nur des-Verschlüsselung erfordern. Überprüfen Sie, ob der Dienst RC4-Verschlüsselung oder AES-Verschlüsselung verwenden kann, oder überprüfen Sie, ob der Anbieter eine Authentifizierungs Alternative mit stärkerer Kryptografie aufweist.

Hotfix 978055 ist erforderlich, damit die Windows Server 2008 R2 basierten Domänencontroller Verschlüsselungstypen Informationen ordnungsgemäß verarbeiten können, die von den Domänencontrollern repliziert werden, auf denen Windows Server 2003 ausgeführt wird. Weitere Informationen finden Sie im Abschnitt weiter unten.

  1. Bestimmen Sie, ob die Anwendung hart codiert ist, um nur des-Verschlüsselung zu verwenden. Die Standardeinstellungen für Clients, auf denen Windows 7 oder in Key Distribution Center (KDCs) durchführen, werden jedoch deaktiviert.

    Um zu überprüfen, ob Sie von diesem Problem betroffen sind, sammeln Sie einige Netzwerkablaufverfolgungen, und überprüfen Sie dann auf Ablaufverfolgungen, die den folgenden Beispiel Ablaufverfolgungen ähneln:

    Frame 1 {TCP: 48, IPv4:47} <SRC IP> <DEST IP> KerberosV5 KerberosV5: TGS Request Realm: contoso.com sname: http/ <hostname> .<FQDN>

    Frame 2 {TCP: 48, IPv4:47} <DEST IP> <SRC IP> KerberosV5 KerberosV5: KRB_ERROR-KDC_ERR_ETYPE_NOSUPP (14)

    0,000000 {TCP: 48, IPv4:47} <source IP> <destination IP> KerberosV5 KerberosV5: TGS Request Realm: <fqdn> sname: http/ <hostname> .<fqdn>
    ETYPE

    • SequenceOfHeader:
    • ETYPE: AES256-CTS-HMAC-SHA1-96 (18)
    • ETYPE: AES128-CTS-HMAC-SHA1-96 (17)
    • ETYPE: RC4-HMAC (23)
    • ETYPE: RC4-HMAC-Exp (24)
    • ETYPE: RC4 HMAC Old Exp (0xff79)
    • TagA:
    • EncAuthorizationData:
  2. Bestimmen Sie, ob das Benutzerkonto oder das Computerkonto nur für den des-Verschlüsselungs konfiguriert ist.

    Öffnen Sie im Snap-in "Active Directory von Benutzern und Computern" die Eigenschaften des Benutzerkontos, und überprüfen Sie dann, ob die Option " Kerberos des-Verschlüsselungstypen für dieses Konto verwenden " unter der Registerkarte " Konto " festgelegt ist.

Wenn Sie zu dem Schluss kommen, dass Sie von diesem Problem betroffen sind und den des-Verschlüsselungstyp für die Kerberos-Authentifizierung aktivieren müssen, aktivieren Sie die folgenden Gruppenrichtlinien, um den des-Verschlüsselungstyps auf alle Computer anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausführen:

  1. Suchen Sie in der Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) den folgenden Speicherort:

    Computer Konfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ lokale Richtlinien \ Sicherheitsoptionen

  2. Klicken Sie auf die Option Netzwerksicherheit: Configure Encryption Types Allowed for Kerberos.

  3. Klicken Sie, um Diese Richtlinieneinstellungen und alle sechs Kontrollkästchen für die Verschlüsselungstypen zu definieren.

  4. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Hinweis

Die Richtlinie legt den SupportedEncryptionTypes Registrierungseintrag auf den Wert 0x7FFFFFFFfest. Der SupportedEncryptionTypes Registrierungseintrag befindet sich an folgendem Speicherort:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

Je nach Szenario müssen Sie diese Richtlinie möglicherweise auf Domänenebene festlegen, um den des-Verschlüsselungs auf alle Clients anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 läuft. Oder Sie müssen diese Richtlinie möglicherweise in der Organisationseinheit (Organizational Unit, OU) des Domänencontrollers für die Domänencontroller festlegen, auf denen Windows Server 2008 R2 läuft.

Weitere Informationen

Die nur-Anwendungskompatibilitätsprobleme werden in den folgenden zwei Konfigurationen erkannt:

  • Die aufrufende Anwendung ist nur für den des-Verschlüsselungs codiert.
  • Das Konto, mit dem der Dienst ausgeführt wird, ist für die Verwendung von nur des-Verschlüsselungs konfiguriert.

Die folgenden Verschlüsselungstypen Kriterien müssen erfüllt sein, damit die Kerberos-Authentifizierung funktioniert:

  1. Ein allgemeiner Typ besteht zwischen dem Client und dem Domänencontroller für den Authentifikator auf dem Client.
  2. Ein allgemeiner Typ besteht zwischen dem Domänencontroller und dem Ressourcenserver, um das Ticket zu verschlüsseln.
  3. Ein allgemeiner Typ besteht zwischen dem Client und dem Ressourcenserver für den Sitzungsschlüssel.

Nehmen Sie die folgende Situation in Frage:

Rolle OS Unterstützte Verschlüsselungsstufe für Kerberos
Gleichstrom Windows Server 2003 RC4 und des
Client Windows 7 AES und RC4
Ressourcen Server J2EE DES

In diesem Fall werden die Kriterien 1 von der RC4-Verschlüsselung erfüllt, und die Kriterien 2 werden durch den des-Verschlüsselungs Kriteriums erfüllt. Das dritte Kriterium schlägt fehl, da der Server nur des-Servers ist und da der Client das nicht unterstützt.

Der Hotfix 978055 muss auf jedem Windows Server 2008 R2 basierten Domänencontroller installiert werden, wenn die folgenden Bedingungen in der Domäne zutreffen:

  • Es gibt einige des-aktivierten Benutzer-oder Computerkontos.
  • In derselben Domäne gibt es mindestens einen Domänencontroller, auf dem Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2 installiert ist.

Hinweis

  • Hotfix 978055 ist erforderlich, damit die Windows Server 2008 R2 basierten Domänencontroller Verschlüsselungstypen Informationen ordnungsgemäß verarbeiten können, die von den Domänencontrollern repliziert werden, auf denen Windows Server 2003 ausgeführt wird.
  • Für die Windows Server 2008 basierten Domänencontroller ist dieser Hotfix nicht erforderlich.
  • Dieser Hotfix ist nicht erforderlich, wenn die Domäne nur Windows Server 2008 basierte Domänencontroller aufweist.

Um weitere Informationen zu erhalten, klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base zu lesen:

978055 Update: Benutzerkonten, die den des-Verschlüsselungs für Kerberos-Authentifizierungstypen verwenden, können nicht in einer Windows Server 2003 Domäne authentifiziert werden, nachdem ein Windows Server 2008 R2 Domänencontroller der Domäne Beitritt