L’ID d’événement KDC 16 ou 27 est enregistré si DES pour Kerberos est désactivé
Cet article explique comment activer le chiffrement DES pour l’authentification Kerberos dans Windows 7 et Windows Server 2008 R2.
Applicabilité : Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Numéro de la base de connaissances d’origine : 977321
Résumé
À compter de Windows 7, Windows Server 2008 R2 et tous les systèmes d’exploitation Windows ultérieurs, le chiffrement Des (Data Encryption Standard) pour l’authentification Kerberos est désactivé. Cet article décrit différents scénarios dans lesquels vous pouvez recevoir les événements suivants dans les journaux application, sécurité et système, car le chiffrement DES est désactivé :
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
En outre, cet article explique comment activer le chiffrement DES pour l’authentification Kerberos dans Windows 7 et Windows Server 2008 R2. Pour plus d’informations, consultez les sections « Symptômes », « Cause » et « Solution de contournement » de cet article.
Symptômes
Plusieurs scénarios sont envisageables :
- Un service utilise un compte d’utilisateur ou un compte d’ordinateur configuré uniquement pour le chiffrement DES sur un ordinateur exécutant Windows 7 ou Windows Server 2008 R2.
- Un service utilise un compte d’utilisateur ou un compte d’ordinateur configuré uniquement pour le chiffrement DES et qui se trouve dans un domaine avec des contrôleurs de domaine Windows Server 2008 R2.
- Un client exécutant Windows 7 ou Windows Server 2008 R2 se connecte à un service à l’aide d’un compte d’utilisateur ou d’un compte d’ordinateur configuré uniquement pour le chiffrement DES.
- Une relation d’approbation est configurée uniquement pour le chiffrement DES et inclut les contrôleurs de domaine qui exécutent Windows Server 2008 R2.
- Une application ou un service est codé en dur pour utiliser uniquement le chiffrement DES.
Dans l’un de ces scénarios, vous pouvez recevoir les événements suivants dans les journaux application, sécurité et système avec la source Microsoft-Windows-Kerberos-Key-Distribution-Center :
| ID | Nom symbolique | Message |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Lors du traitement d’une demande TGS pour le serveur cible %1, le compte %2 n’avait pas de clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID de %3). Les etypes demandés étaient %4. Les etypes de comptes disponibles étaient %5. ID d’événement 27 - Configuration du type de chiffrement KDC |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Lors du traitement d’une demande TGS pour le serveur cible %1, le compte %2 n’avait pas de clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID de %3). Les etypes demandés étaient %4. Les etypes de comptes disponibles étaient %5. La modification ou la réinitialisation du mot de passe de %6 génère une clé appropriée. ID d’événement 16 - Intégrité de la clé Kerberos |
Cause
Par défaut, les paramètres de sécurité pour le chiffrement DES pour Kerberos sont désactivés sur les ordinateurs suivants :
- Ordinateurs exécutant Windows 7
- Ordinateurs exécutant Windows Server 2008 R2
- Contrôleurs de domaine exécutant Windows Server 2008 R2
Remarque
La prise en charge du chiffrement Kerberos existe dans Windows 7 et dans Windows Server 2008 R2.By par défaut, Windows 7 utilise les suites de chiffrement AES (Advance Encryption Standard) ou RC4 suivantes pour les « types de chiffrement » et pour les « etypes » :
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Les services configurés uniquement pour le chiffrement DES échouent, sauf si les conditions suivantes sont remplies :
- Le service est reconfiguré pour prendre en charge le chiffrement RC4 ou pour prendre en charge le chiffrement AES.
- Tous les ordinateurs clients, tous les serveurs et tous les contrôleurs de domaine pour le domaine du compte de service sont configurés pour prendre en charge le chiffrement DES.
Par défaut, Windows 7 et Windows Server 2008 R2 prennent en charge les suites de chiffrement suivantes : La suite de chiffrement DES-CBC-MD5 et la suite de chiffrement DES-CBC-CRC peuvent être activées dans Windows 7 lorsque cela est nécessaire.
Solution de contournement
Nous vous recommandons vivement de case activée si le chiffrement DES est toujours requis dans l’environnement ou case activée si des services spécifiques nécessitent uniquement le chiffrement DES. Vérifiez si le service peut utiliser le chiffrement RC4 ou le chiffrement AES, ou case activée si le fournisseur dispose d’une alternative d’authentification qui dispose d’un chiffrement plus fort.
Le correctif logiciel 978055 est requis pour que les contrôleurs de domaine Windows Server 2008 R2 gèrent correctement les informations de type de chiffrement répliquées à partir des contrôleurs de domaine qui exécutent Windows Server 2003. Consultez la section plus d’informations ci-dessous.
Déterminez si l’application est codée en dur pour utiliser uniquement le chiffrement DES. Mais il est désactivé par les paramètres par défaut sur les clients qui exécutent Windows 7 ou sur les centres de distribution de clés (KDC).
Pour case activée si vous êtes affecté par ce problème, collectez des traces réseau, puis case activée pour les traces qui ressemblent aux exemples de traces suivants :
Frame 1 {TCP :48, IPv4 :47} <SRC IP<>DEST IP> KerberosV5 KerberosV5 :TGS Request Realm : CONTOSO.COM Sname : HTTP/<hostname.<>FQDN>
Frame 2 {TCP :48, IPv4 :47} <DEST IP><SRC IP> KerberosV5 KerberosV5 :KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.000000 {TCP :48, IPv4 :47} <source IP<>de destination IP> KerberosV5 KerberosV5 :TGS Request Realm : <fqdn> Sname : HTTP/<hostname.<>Fqdn>
-Etype :
+SequenceOfHeader :
+EType : aes256-cts-hmac-sha1-96 (18)
+EType : aes128-cts-hmac-sha1-96 (17)
+EType : rc4-hmac (23)
+EType : rc4-hmac-exp (24)
+EType : rc4 hmac old exp (0xff79)
+TagA :
+EncAuthorizationData :Déterminez si le compte d’utilisateur ou le compte d’ordinateur est configuré uniquement pour le chiffrement DES.
Dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory », ouvrez les propriétés du compte d’utilisateur, puis case activée si l’option Utiliser les types de chiffrement KERBEROS DES pour ce compte est définie sous l’onglet Compte.
Si vous concluez que vous êtes affecté par ce problème et que vous devez activer le type de chiffrement DES pour l’authentification Kerberos, activez les stratégies de groupe suivantes pour appliquer le type de chiffrement DES à tous les ordinateurs exécutant Windows 7 ou Windows Server 2008 R2 :
Dans la console de gestion stratégie de groupe (GPMC), recherchez l’emplacement suivant :
Configuration ordinateur\ Paramètres Windows\ Paramètres de sécurité\ Stratégies locales\ Options de sécurité
Cliquez pour sélectionner l’option Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos.
Cliquez pour sélectionner Définir ces paramètres de stratégie et les six zones case activée pour les types de chiffrement.
Cliquez sur OK. Fermez la console GPMC.
Remarque
La stratégie définit l’entrée SupportedEncryptionTypes de Registre sur une valeur de 0x7FFFFFFF. L’entrée SupportedEncryptionTypes de Registre se trouve à l’emplacement suivant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Selon le scénario, vous devrez peut-être définir cette stratégie au niveau du domaine pour appliquer le type de chiffrement DES à tous les clients qui exécutent Windows 7 ou Windows Server 2008 R2. Vous devrez peut-être définir cette stratégie au niveau de l’unité d’organisation (UO) du contrôleur de domaine pour les contrôleurs de domaine qui exécutent Windows Server 2008 R2.
Plus d’informations
Les problèmes de compatibilité des applications DES uniquement sont rencontrés dans les deux configurations suivantes :
- L’application appelante est codée en dur uniquement pour le chiffrement DES.
- Le compte qui exécute le service est configuré pour utiliser uniquement le chiffrement DES.
Les critères de type de chiffrement suivants doivent être satisfaits pour que l’authentification Kerberos fonctionne :
- Il existe un type commun entre le client et le contrôleur de domaine pour l’authentificateur sur le client.
- Il existe un type commun entre le contrôleur de domaine et le serveur de ressources pour chiffrer le ticket.
- Il existe un type commun entre le client et le serveur de ressources pour la clé de session.
Considérez la situation suivante :
| Role | Système d’exploitation | Niveau de chiffrement pris en charge pour Kerberos |
|---|---|---|
| DC | Windows Server 2003 | RC4 et DES |
| Client | Windows 7 | AES et RC4 |
| Serveur de ressources | J2EE | DES |
Dans ce cas, le critère 1 est satisfait par le chiffrement RC4, et le critère 2 est satisfait par le chiffrement DES. Le troisième critère échoue, car le serveur est DES uniquement et parce que le client ne prend pas en charge DES.
Le correctif logiciel 978055 doit être installé sur chaque contrôleur de domaine Windows Server 2008 R2 si les conditions suivantes sont remplies dans le domaine :
- Il existe des comptes d’utilisateur ou d’ordinateur compatibles AVEC DES.
- Dans le même domaine, un ou plusieurs contrôleurs de domaine exécutent Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Remarque
- Le correctif logiciel 978055 est requis pour que les contrôleurs de domaine Windows Server 2008 R2 gèrent correctement les informations de type de chiffrement répliquées à partir des contrôleurs de domaine qui exécutent Windows Server 2003.
- Les contrôleurs de domaine Windows Server 2008 ne nécessitent pas ce correctif logiciel.
- Ce correctif logiciel n’est pas requis si le domaine a uniquement des contrôleurs de domaine Windows Server 2008.
Pour plus d’informations, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
978055 CORRECTIF : Les comptes d’utilisateur qui utilisent le chiffrement DES pour les types d’authentification Kerberos ne peuvent pas être authentifiés dans un domaine Windows Server 2003 après qu’un contrôleur de domaine Windows Server 2008 R2 a joint le domaine
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour