KERBERos の DES が無効になっている場合、KDC イベント ID 16 または 27 がログに記録されます

  • [アーティクル]

この記事では、Windows 7 および Windows Server 2008 R2 で Kerberos 認証の DES 暗号化を有効にする方法について説明します。

適用対象: Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1
元の KB 番号: 977321

概要

Windows 7、Windows Server 2008 R2 以降、以降のすべての Windows オペレーティング システムでは、Kerberos 認証用の Data Encryption Standard (DES) 暗号化が無効になっています。 この記事では、DES 暗号化が無効になっているため、アプリケーション、セキュリティ、およびシステム ログで次のイベントを受け取る可能性があるさまざまなシナリオについて説明します。

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

さらに、この記事では、Windows 7 および Windows Server 2008 R2 で Kerberos 認証の DES 暗号化を有効にする方法について説明します。 詳細については、この記事の「現象」、「原因」、「回避策」の各セクションを参照してください。

現象

次のようなシナリオを考えてみましょう。

  • サービスでは、Windows 7 または Windows Server 2008 R2 を実行しているコンピューターで DES 暗号化専用に構成されたユーザー アカウントまたはコンピューター アカウントを使用します。
  • サービスは、DES 暗号化専用に構成され、Windows Server 2008 R2 ベースのドメイン コントローラーと共にドメイン内にあるユーザー アカウントまたはコンピューター アカウントを使用します。
  • Windows 7 または Windows Server 2008 R2 を実行しているクライアントは、DES 暗号化専用に構成されたユーザー アカウントまたはコンピューター アカウントを使用してサービスに接続します。
  • 信頼関係は DES 暗号化専用に構成され、Windows Server 2008 R2 を実行しているドメイン コントローラーが含まれます。
  • アプリケーションまたはサービスは、DES 暗号化のみを使用するようにハードコーディングされます。

これらのシナリオでは、 Microsoft-Windows-Kerberos-Key-Distribution-Center ソースと共に、アプリケーション、セキュリティ、およびシステム ログで次のイベントを受け取ることがあります。

ID シンボリック名 メッセージ
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS ターゲット サーバー %1 に対する TGS 要求の処理中に、アカウント %2 には Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は %3 です)。 要求された etype は %4 でした。 使用可能な etype のアカウントは %5 でした。
イベント ID 27 - KDC 暗号化の種類の構成
16 KDCEVENT_NO_KEY_INTERSECTION_TGS ターゲット サーバー %1 に対する TGS 要求の処理中に、アカウント %2 には Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は %3 です)。 要求された etype は %4 でした。 使用可能な etype のアカウントは %5 でした。 %6 のパスワードを変更またはリセットすると、適切なキーが生成されます。
イベント ID 16 - Kerberos キーの整合性

原因

既定では、Kerberos の DES 暗号化のセキュリティ設定は、次のコンピューターで無効になっています。

  • Windows 7 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているドメイン コントローラー

注:

Kerberos の暗号化サポートは、Windows 7 と Windows Server 2008 R2.By 既定で存在します。Windows 7 では、"暗号化の種類" と "etypes" に次の Advance Encryption Standard (AES) または RC4 暗号スイートが使用されます。

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

DES 暗号化専用に構成されたサービスは、次の条件に該当しない限り失敗します。

  • サービスは、RC4 暗号化をサポートするか、AES 暗号化をサポートするように再構成されます。
  • DES 暗号化をサポートするように、すべてのクライアント コンピューター、すべてのサーバー、およびサービス アカウントのドメインのすべてのドメイン コントローラーが構成されています。

既定では、Windows 7 および Windows Server 2008 R2 では、次の暗号スイートがサポートされています。必要に応じて、DES-CBC-MD5 暗号スイートと DES-CBC-CRC 暗号スイートを Windows 7 で有効にすることができます。

回避策

環境内で DES 暗号化が引き続き必要かどうかをチェックするか、特定のサービスで DES 暗号化のみを必要とするかどうかをチェックすることを強くお勧めします。 サービスが RC4 暗号化または AES 暗号化を使用できるかどうかを確認するか、ベンダーがより強力な暗号化を持つ認証代替手段を持っているかどうかをチェックします。

Windows Server 2008 R2 ベースのドメイン コントローラーで、Windows Server 2003 を実行しているドメイン コントローラーからレプリケートされる暗号化の種類の情報を正しく処理するには、修正プログラム 978055が必要です。 詳細については、以下のセクションを参照してください。

  1. DES 暗号化のみを使用するようにアプリケーションがハードコーディングされているかどうかを判断します。 ただし、Windows 7 を実行しているクライアントまたはキー配布センター (KDC) では、既定の設定では無効になっています。

    この問題の影響を受けるかどうかをチェックするには、いくつかのネットワーク トレースを収集し、次のサンプル トレースのようなトレースをチェックします。

    フレーム 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KerberosV5 KerberosV5:TGS 要求領域: CONTOSO.COM Sname: HTTP/<hostname。<>Fqdn>

    フレーム 2 {TCP:48, IPv4:47} <DEST IP SRC IP><> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <ソース IP 宛先 IP<>> KerberosV5 KerberosV5:TGS 要求領域: <fqdn> Sname: HTTP/<hostname。<>Fqdn>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. ユーザー アカウントまたはコンピューター アカウントが DES 暗号化専用に構成されているかどうかを判断します。

    [Active Directory ユーザーとコンピューター] スナップインで、ユーザー アカウントのプロパティを開き、[このアカウントに Kerberos DES 暗号化の種類を使用する] オプションが [アカウント] タブで設定されているかどうかをチェックします。

この問題の影響を受け、Kerberos 認証の DES 暗号化の種類を有効にする必要があると結論付けた場合は、次のグループ ポリシーを有効にして、Windows 7 または Windows Server 2008 R2 を実行しているすべてのコンピューターに DES 暗号化の種類を適用します。

  1. グループ ポリシー管理コンソール (GPMC) で、次の場所を見つけます。

    コンピューターの構成\ Windows 設定\ セキュリティ設定\ ローカル ポリシー\ セキュリティ オプション

  2. [ネットワーク セキュリティ: Kerberos で許可される暗号化の種類を構成する] オプションをクリックして選択します。

  3. [これらのポリシー設定を定義する] をクリックし、暗号化の種類に対して 6 つのチェック ボックスをすべて選択します。

  4. [OK] をクリックします。 GPMC を閉じます。

注:

このポリシーは、レジストリ エントリを SupportedEncryptionTypes0x7FFFFFFF の値に設定します。 レジストリ エントリは SupportedEncryptionTypes 次の場所にあります。

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

シナリオによっては、このポリシーをドメイン レベルで設定して、Windows 7 または Windows Server 2008 R2 を実行しているすべてのクライアントに DES 暗号化の種類を適用する必要がある場合があります。 または、Windows Server 2008 R2 を実行しているドメイン コントローラーのドメイン コントローラーの組織単位 (OU) でこのポリシーを設定する必要があります。

詳細

DES のみのアプリケーション互換性の問題は、次の 2 つの構成で発生します。

  • 呼び出し元のアプリケーションは、DES 暗号化に対してのみハードコーディングされます。
  • サービスを実行するアカウントは、DES 暗号化のみを使用するように構成されています。

Kerberos 認証を機能させるには、次の暗号化の種類の条件を満たす必要があります。

  1. クライアント上の認証子のクライアントとドメイン コントローラーの間に共通の型が存在します。
  2. ドメイン コントローラーとリソース サーバーの間に共通の種類が存在し、チケットを暗号化します。
  3. セッション キーのクライアントとリソース サーバーの間に共通の型が存在します。

次の状況を考えてみましょう。

役割 OS Kerberos でサポートされている暗号化レベル
DC Windows Server 2003 RC4 と DES
クライアント Windows 7 AES と RC4
リソース サーバー J2ee Des

このような状況では、条件 1 は RC4 暗号化によって満たされ、条件 2 は DES 暗号化によって満たされます。 3 番目の条件は、サーバーが DES 専用であり、クライアントが DES をサポートしていないために失敗します。

ドメインで次の条件が満たされている場合、修正プログラム 978055は各 Windows Server 2008 R2 ベースのドメイン コントローラーにインストールする必要があります。

  • DES が有効なユーザーまたはコンピューター アカウントがいくつかあります。
  • 同じドメインには、Windows 2000 Server、Windows Server 2003、または Windows Server 2003 R2 を実行している 1 つ以上のドメイン コントローラーがあります。

注:

  • Windows Server 2008 R2 ベースのドメイン コントローラーで、Windows Server 2003 を実行しているドメイン コントローラーからレプリケートされる暗号化の種類の情報を正しく処理するには、修正プログラム 978055が必要です。
  • Windows Server 2008 ベースのドメイン コントローラーでは、この修正プログラムは必要ありません。
  • ドメインに Windows Server 2008 ベースのドメイン コントローラーしかない場合、この修正プログラムは必要ありません。

詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

978055 修正: Kerberos 認証の種類に DES 暗号化を使用するユーザー アカウントは、Windows Server 2008 R2 ドメイン コントローラーがドメインに参加した後、Windows Server 2003 ドメインで認証できません