Событие KDC с идентификатором 16 или 27 регистрируется, если des для Kerberos отключен

В этой статье описывается, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2.

Применимо к: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 977321

Сводка

Начиная с Windows 7, Windows Server 2008 R2 и всех более поздних операционных систем Windows шифрование данных (DES) для проверки подлинности Kerberos отключено. В этой статье описаны различные сценарии, в которых в журналах приложений, безопасности и системных журналов могут возникать следующие события, так как шифрование DES отключено:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Кроме того, в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Подробные сведения см. в разделах "Симптомы", "Причина" и "Обходное решение" этой статьи.

Симптомы

Рассмотрим следующие сценарии.

  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES и находящегося в домене вместе с контроллерами домена под управлением Windows Server 2008 R2.
  • Клиент под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или учетной записи компьютера, настроенной только для шифрования DES.
  • Отношение доверия настроено только для шифрования DES и включает контроллеры домена под управлением Windows Server 2008 R2.
  • Приложение или служба жестко запрограммировано для использования только шифрования DES.

В любом из этих сценариев вы можете получать следующие события в журналах приложений, безопасности и системы вместе с источником Microsoft-Windows-Kerberos-Key-Distribution-Center :

ИД Символическое имя Сообщение
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS При обработке запроса TGS для целевого сервера %1 у учетной записи %2 не было подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрошенные типы были %4. Учетные записи, доступные etype, составляли %5.
Событие с идентификатором 27 — конфигурация типа шифрования KDC
16 KDCEVENT_NO_KEY_INTERSECTION_TGS При обработке запроса TGS для целевого сервера %1 у учетной записи %2 не было подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрошенные типы были %4. Учетные записи, доступные etype, составляли %5. При изменении или сбросе пароля %6 будет создан правильный ключ.
Идентификатор события 16 — целостность ключа Kerberos

Причина

По умолчанию параметры безопасности для шифрования DES для Kerberos отключены на следующих компьютерах:

  • Компьютеры под управлением Windows 7
  • Компьютеры под управлением Windows Server 2008 R2
  • Контроллеры домена под управлением Windows Server 2008 R2

Примечание.

Поддержка шифрования для Kerberos существует в Windows 7 и Windows Server 2008 R2.By по умолчанию Windows 7 использует следующие наборы шифров AES или RC4 для "типов шифрования" и "etype":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Службы, настроенные только для шифрования DES, завершаются ошибкой, если не выполняются следующие условия:

  • Служба перенастроена для поддержки шифрования RC4 или для поддержки шифрования AES.
  • Все клиентские компьютеры, все серверы и контроллеры домена для домена учетной записи службы настроены на поддержку шифрования DES.

По умолчанию Windows 7 и Windows Server 2008 R2 поддерживают следующие наборы шифров: набор шифров DES-CBC-MD5 и набор шифров DES-CBC-CRC можно включить в Windows 7, если это необходимо.

Обходной путь

Настоятельно рекомендуется проверка, требуется ли шифрование DES в среде или проверка требуется ли только шифрование DES для определенных служб. Проверьте, может ли служба использовать шифрование RC4 или шифрование AES, или проверка, есть ли у поставщика альтернатива проверки подлинности с более надежным шифрованием.

Исправление 978055 требуется, чтобы контроллеры домена под управлением Windows Server 2008 R2 правильно обрабатывали сведения о типе шифрования, реплицируемые с контроллеров домена под управлением Windows Server 2003. Дополнительные сведения см. ниже.

  1. Определите, жестко ли запрограммировано приложение для использования только шифрования DES. Но он отключен параметрами по умолчанию на клиентах под управлением Windows 7 или в центрах распространения ключей (KDC).

    Чтобы проверка, влияет ли на вас эта проблема, соберите некоторые трассировки сети, а затем проверка трассировки, похожие на следующие примеры трассировок:

    Кадр 1 {TCP:48, IPv4:47} <SRC IP DEST><IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>Полное доменное имя>

    Кадр 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR — KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <ip-адрес><> назначения источника KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>Полное доменное имя>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Определите, настроена ли учетная запись пользователя или учетная запись компьютера только для шифрования DES.

    В оснастке "Пользователи и компьютеры Active Directory" откройте свойства учетной записи пользователя, а затем проверка, установлен ли параметр Использовать типы шифрования Kerberos DES для этой учетной записи на вкладке Учетная запись.

Если вы пришли к выводу, что вы столкнулись с этой проблемой и что вам нужно включить тип шифрования DES для проверки подлинности Kerberos, включите следующие групповые политики, чтобы применить тип шифрования DES ко всем компьютерам под управлением Windows 7 или Windows Server 2008 R2:

  1. В консоли управления групповая политика (GPMC) найдите следующее расположение:

    Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Параметры безопасности

  2. Щелкните, чтобы выбрать параметр Безопасность сети: настройка типов шифрования, разрешенных для Kerberos.

  3. Щелкните, чтобы выбрать Определить эти параметры политики и все шесть проверка полей для типов шифрования.

  4. Нажмите кнопку OK. Закройте GPMC.

Примечание.

Политика задает SupportedEncryptionTypes для записи реестра значение 0x7FFFFFFF. Запись SupportedEncryptionTypes реестра находится в следующем расположении:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

В зависимости от сценария может потребоваться задать эту политику на уровне домена, чтобы применить тип шифрования DES ко всем клиентам под управлением Windows 7 или Windows Server 2008 R2. Кроме того, может потребоваться задать эту политику в подразделении контроллера домена для контроллеров домена под управлением Windows Server 2008 R2.

Дополнительная информация

Проблемы с совместимостью приложений только DES возникают в следующих двух конфигурациях:

  • Вызывающее приложение жестко закодировано только для шифрования DES.
  • Учетная запись, в которой выполняется служба, настроена на использование только шифрования DES.

Чтобы проверка подлинности Kerberos работала, должны соответствовать следующим критериям типа шифрования:

  1. Существует общий тип между клиентом и контроллером домена для средства проверки подлинности на клиенте.
  2. Для шифрования билета между контроллером домена и сервером ресурсов существует общий тип.
  3. Между клиентом и сервером ресурсов для ключа сеанса существует общий тип.

Рассмотрим следующую ситуацию:

Role ОС Поддерживаемый уровень шифрования для Kerberos
DC Windows Server 2003 RC4 и DES
Клиент Windows 7 AES и RC4
Сервер ресурсов J2EE DES

В этой ситуации критерию 1 соответствует шифрование RC4, а критерию 2 — шифрование DES. Третье условие завершается ошибкой, так как сервер доступен только для DES и клиент не поддерживает DES.

Исправление 978055 должно быть установлено на каждом контроллере домена под управлением Windows Server 2008 R2, если в домене выполняются следующие условия:

  • Существуют некоторые учетные записи пользователей или компьютеров с поддержкой DES.
  • В том же домене есть один или несколько контроллеров домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.

Примечание.

  • Исправление 978055 требуется контроллерам домена под управлением Windows Server 2008 R2 для правильной обработки сведений о типах шифрования, которые реплицируются из контроллеров домена под управлением Windows Server 2003.
  • Контроллеры домена под управлением Windows Server 2008 не требуют этого исправления.
  • Это исправление не требуется, если в домене есть только контроллеры домена под управлением Windows Server 2008.

Для получения дополнительных сведений щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

исправление 978055 . Учетные записи пользователей, использующие шифрование DES для типов проверки подлинности Kerberos, не могут пройти проверку подлинности в домене Windows Server 2003 после присоединения контроллера домена Windows Server 2008 R2 к домену