Huomautus
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Alkuperäinen KB-numero: 4501051
Oireet
Saat virheitä, kun olet muokannut Verkon suojaus -asetusta : Määritä Kerberosille paikallisen käytännön tai GPO:n kautta sallitut salaustyypit oletusarvoista arvoon, joka sallii vain seuraavat salaustyypit:
- AES128_HMAC_SHA1
- AES256_HMAC_SHA1
- Tulevat salaustyypit
Jos virheitä kirjoitetaan SharePointin universaalin kirjaamisjärjestelmän (ULS) lokeihin, ne ilmaisevat, ettei KDC tue pyydettyä salaustyyppiä. Toimintoja, jotka käynnistävät nämä virheet, ovat (mutta eivät rajoitu):
- Palvelutilin hallinta -sivun käyttäminen keskitetyssä hallinnassa
- Haun hallinta -sivun käyttäminen (Haun topologia ei ehkä näy)
- Muutosten tekeminen hakumääritykseen
SharePoint ULS -lokeihin kirjoitettu pohjana oleva virhesanoma on seuraava:
Poikkeus : System.ServiceModel.Security.SecurityNegotiationException: Kutsu SSPI:lle epäonnistui, katso sisäinen poikkeus.
>--- System.Security.Authentication.AuthenticationException: Kutsu SSPI:lle epäonnistui, katso sisempi poikkeus.
>--- System.ComponentModel.Win32Exception: KDC ei tue pyydettyä salaustyyppiä
--- sisemmän poikkeuspinon jäljityksen ---
Project Server -palvelusovellus saattaa myös kirjata samanlaisen sanoman:
PWA:
https://<SharePoint>/<Site>
, ServiceApp:PWA, User:i:0#.w|Toimialue\Käyttäjätunnus,
PSI: työilmoituksen lähettäminen jonoon sivuston <Guid-kohteelle>, poikkeus System.ServiceModel. Security.SecurityNegotiationException: Kutsu SSPI:lle epäonnistui, katso sisempi poikkeus.
>--- System.Security.Authentication.AuthenticationException: Kutsu SSPI:lle epäonnistui, katso sisempi poikkeus.
>--- System.ComponentModel.Win32Exception: KDC ei tue pyydettyä salaustyyppiä
Käyttäjäprofiilipalvelujen valmistelun aikana et pysty käynnistämään käyttäjäprofiilin synkronointipalvelua.
Kun käynnistät käyttäjäprofiilipalvelun keskitetyssä hallinnassa, palvelu käynnistyy ja pysähtyy heti. SharePoint ULS -järjestelmän tarkastus osoittaa, että käynnistysvirhe johtuu seuraavista syistä:
"UserProfileApplication.SynchronizeMIIS: ILM:n määrittäminen epäonnistui, sitä yritetään suorittaa uudelleen.
Poikkeus: System.Security.SecurityException: KDC ei tue pyydettyä salaustyyppiä."
Muut osat saattavat kirjoittaa virhesanomia, joiden mukaan KDC ei tue pyydettyä salaustyyppiä.
Syy
Tämä toiminta johtuu ristiriidasta mukautetun paikallisen käytännön tai ryhmäkäytännön ja palvelutilin ominaisuuksien välillä Active Directoryssa. Kun määrität ominaisuusasetuksen Verkon suojaus: Määritä Kerberosille sallitut salaustyypit niin, että palvelin tukee vain AES-salaustyyppejä ja tulevia salaustyyppejä, palvelin ei tue vanhempia Kerberos-salaustyyppejä Kerberos-lipuissa. On myös tärkeää huomata, että Active Directoryssa luotuja käyttäjätiliobjekteja ei ole määritetty oletusarvoisesti tukemaan Kerberos AES -salausta.
Jos palvelin on määritetty edellyttämään Kerberosille AES-salaustyyppejä, mutta palvelutilin ominaisuuksia Active Directoryssa ei ole päivitetty tukemaan AES-salausta, tuloksena on skenaario, jossa palvelin ei pysty neuvottelemaan yleistä salaustyyppiä Kerberos-lipuille.
Ratkaisu
Voit ratkaista ongelman tekemällä seuraavat toimet:
Tunnista kaikki tilit, joita käytetään SharePointissa sovellussarjatileinä ja palvelutileinä.
Etsi tilit Active Directoryn käyttäjät ja tietokoneet.
Valitse Ominaisuudet.
Valitse Tili-välilehti.
Varmista Tiliasetukset-osiossa, että jompikumpi seuraavista vaihtoehdoista on valittuna. Tämä mahdollistaa Kerberos AES -salauksen tuen seuraaville käyttäjäobjekteille:
- Tämä tili tukee Kerberos AES 128 -bittistä salausta
- Tämä tili tukee Kerberos AES 256 -bittistä salausta
Suorita palvelin
iisreset
ja käynnistä uudelleen kaikki SharePointiin liittyvät palvelut, jotka suoritetaan muokattujen palvelutilien kontekstissa.
Jos ongelma ei ole korjattu, kokeile SCCM:n ratkaisua : KDC-virhe ei tue pyydettyä salaustyyppiä raportteja suoritettaessa.
Lisätietoja
Voit tarkistaa, onko SharePoint-palvelin määritetty tukemaan vain AES-salaustyyppejä tai uudempia tyyppejä:
- Käynnistä palvelimessa paikallinen suojauskäytäntöeditori (secpol.msc).
- Laajenna Suojausasetukset>Paikalliset käytännöt>-suojausasetukset.
- Paikanna Verkon suojaus: Määritä Kerberosille sallitut salaustyypit.
- Valitse Ominaisuudet.
Jos vain seuraavat Asetukset on valittuna:
- AES128_HMAC_SHA1
- AES256_HMAC_SHA1
- Tulevat salaustyypit
Tämän jälkeen sinun on otettava Kerberos AES -salauksen tuki käyttöön Active Directory -käyttäjäobjekteissa, joita käytetään SharePoint-palveluiden ja sovellusvarantojen suorittamiseen.
Voit käyttää seuraavaa PowerShell-komentosarjaa SharePoint-palvelutilien tunnistamiseen ja testata, onko ne määritetty tukemaan AES-salaustyyppejä:
Add-PSSnapin Microsoft.SharePoint.Powershell
$AES_128 = 0x8
$AES_256 = 0x10
$Separator="\"
$option = [System.StringSplitOptions]::RemoveEmptyEntries
Write-Host "Retrieving SharePoint Managed Accounts" -ForegroundColor White
$SharePointAccounts=""
$ManagedAccounts=Get-SPManagedAccount
foreach ($ManagedAccount in $ManagedAccounts)
{
Write-Host "Checking Account: "$ManagedAccount.Username
$temp=$ManagedAccount.Username
$samaccountName=$temp.Split($separator,2, $option)[1]
$userobj=([adsisearcher]"samAccountName=$samaccountName").FindOne()
$EncryptionTypes=$userobj.properties.Item('msds-supportedencryptiontypes')[0]
#$EncryptionTypes
$HexValue='{0:X}' -f $EncryptionTypes
if ($EncryptionTypes -band $AES_128)
{
Write-Host "Account Supports AES128 bit encryption " -ForegroundColor Green
}
Else
{
Write-Host "Account Does Not have AES128 bit encryption support enabled" -ForegroundColor Red
}
if ($EncryptionTypes -band $AES_256)
{
Write-Host "Account Supports AES256 bit encryption " -ForegroundColor Green
}
Else
{ Write-Host "Account Does Not have AES256 bit encryption support enabled" -ForegroundColor Red
}
}
====================== END SCRIPT ========================================================