Freigeben über


Ereignis-ID 27 KDC-Fehler auf Windows Server 2003-Domänencontrollern

Dieser Artikel enthält Hilfe zum Beheben des Ereignis-ID 27-KDC-Fehlers, der auf Windows Server 2003-Domänencontrollern auftritt.

Ursprüngliche KB-Nummer: 2002141

Symptome

In einer Umgebung mit Windows Server 2003-Domänencontrollern und Windows Vista und Windows Server 2008 oder neueren Mitgliedsservern können die Windows Server 2003-Domänencontroller den folgenden Fehler protokollieren:

Typ: Fehlerereignis: 27 Quelle: KDC-Kategorie: Keine Computer: Ereignis Msg: Beim Verarbeiten einer TGS-Anforderung für den Zielserver krbtgt/, hat der Kontoname <> keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von 8). Die angeforderten Etypes waren 18. Die verfügbaren Konten waren 23-133 -128 3 1.

Ursache

Der Windows Vista- oder Server 2008-Memberserver sendet eine TGS-Anforderung mit dem Verschlüsselungstyp 18 (AES). Windows Server 2003 unterstützt diesen Verschlüsselungstyp für Kerberos nicht.

Lösung

Der Fehler "Ereignis-ID 27", der auf dem Windows Server 2003-Domänencontroller protokolliert wird, kann sicher ignoriert werden, wie er beabsichtigt ist. Der Domänencontroller informiert den Client einfach darüber, welche Verschlüsselungstypen unterstützt werden. Die Windows Server 2008-Server gehen dann auf einen der unterstützten Verschlüsselungstypen zurück. Es ist möglich, den von Windows Server 2008 verwendeten Standardverschlüsselungstyp zu ändern. Dadurch wird verhindert, dass der Fehler beim Windows Server 2003-Domänencontroller angemeldet wird. Sie müssen den Windows Server 2008-Servern den folgenden Registrierungswert hinzufügen.

  • Pfad: HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
  • Wertname: DefaultEncryptionType
  • Werttyp: Reg_DWORD
  • Wertdaten: 0x17(23)