Поделиться через

Идентификатор события KDC 16 или 27 регистрируется при отключении DES для Kerberos

  • Статья

В этой статье описывается, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2.

Область применения: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 977321

Итоги

Начиная с Windows 7, Windows Server 2008 R2 и всех более поздних операционных систем Windows шифрование данных (DES) для проверки подлинности Kerberos отключено. В этой статье описаны различные сценарии, в которых могут возникать следующие события в журналах приложений, безопасности и системы, так как шифрование DES отключено:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Кроме того, в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Подробные сведения см. в разделах "Симптомы", "Причина" и "Обходное решение" этой статьи.

Симптомы

Рассмотрим следующие сценарии.

  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES и которая находится в домене вместе с контроллерами домена на основе Windows Server 2008 R2.
  • Клиент под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или учетной записи компьютера, настроенной только для шифрования DES.
  • Отношение доверия настроено только для шифрования DES и включает контроллеры домена под управлением Windows Server 2008 R2.
  • Приложение или служба жестко закодированы для использования только шифрования DES.

В любом из этих сценариев вы можете получать следующие события в журналах приложений, безопасности и системы вместе с источником Microsoft-Windows-Kerberos-Key-Distribution-Center :

Идентификатор Символическое имя Сообщение
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS При обработке запроса TGS на целевом сервере %1 учетная запись %2 не имеет подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрошенные типы etype были %4. Доступные типы учетных записей были %5.
Идентификатор события 27 . Конфигурация типа шифрования KDC
16 KDCEVENT_NO_KEY_INTERSECTION_TGS При обработке запроса TGS на целевом сервере %1 учетная запись %2 не имеет подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрошенные типы etype были %4. Доступные типы учетных записей были %5. Изменение или сброс пароля %6 приведет к созданию правильного ключа.
Идентификатор события 16. Целостность ключа Kerberos

Причина

По умолчанию параметры безопасности для шифрования DES для Kerberos отключены на следующих компьютерах:

  • Компьютеры под управлением Windows 7
  • Компьютеры под управлением Windows Server 2008 R2
  • Контроллеры домена под управлением Windows Server 2008 R2

Примечание.

Поддержка шифрования Kerberos существует в Windows 7 и в Windows Server 2008 R2.By по умолчанию, Windows 7 использует следующие наборы шифров AES или RC4 для типов шифрования и для etypes:

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Службы, настроенные только для шифрования DES, завершаются ошибкой, если не заданы следующие условия:

  • Служба перенастроена для поддержки шифрования RC4 или для поддержки шифрования AES.
  • Все клиентские компьютеры, все серверы и все контроллеры домена для домена учетной записи службы настроены для поддержки шифрования DES.

По умолчанию Windows 7 и Windows Server 2008 R2 поддерживают следующие наборы шифров: набор шифров DES-CBC-MD5 и набор шифров DES-CBC-CRC можно включить в Windows 7 при необходимости.

Обходное решение

Настоятельно рекомендуется проверить, требуется ли шифрование DES в среде или проверить, требуются ли определенные службы только шифрование DES. Проверьте, может ли служба использовать шифрование RC4 или шифрование AES, или проверить, имеет ли поставщик альтернативу проверки подлинности, которая имеет более надежную криптографию.

Исправление 978055 требуется для контроллеров домена на основе Windows Server 2008 R2 для правильной обработки сведений о типе шифрования, реплицируемых с контроллеров домена под управлением Windows Server 2003. Дополнительные сведения см. в разделе ниже.

  1. Определите, является ли приложение жестко закодировано использовать только шифрование DES. Но он отключен по умолчанию для клиентов, работающих под управлением Windows 7 или в центрах распространения ключей (KDCs).

    Чтобы проверить, влияет ли эта проблема, соберите некоторые сетевые трассировки, а затем проверьте трассировки, похожие на следующие примеры трассировок:

    Кадр 1 {TCP:48, IPv4:47} <SRC IP DEST IP><> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>Полное доменное имя>

    Кадр 2 {TCP:48, IPv4:47} <DEST IP SRC IP><> KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.00000 {TCP:48, IPv4:47} <исходный IP-адрес назначения IP-адрес><kerberosV5> KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>Полное доменное имя>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Определите, настроена ли учетная запись пользователя или учетная запись компьютера только для шифрования DES.

    В оснастке "Пользователи и компьютеры Active Directory" откройте свойства учетной записи пользователя, а затем проверьте, задан ли типы шифрования Kerberos DES для этой учетной записи на вкладке "Учетная запись".

Если вы завершаете работу с этой проблемой и что необходимо включить тип шифрования DES для проверки подлинности Kerberos, включите следующие групповые политики, чтобы применить тип шифрования DES ко всем компьютерам под управлением Windows 7 или Windows Server 2008 R2:

  1. В консоли управления групповыми политиками (GPMC) найдите следующее расположение:

    Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Параметры безопасности

  2. Щелкните, чтобы выбрать сетевую безопасность: настройте типы шифрования, разрешенные для параметра Kerberos.

  3. Щелкните, чтобы выбрать эти параметры политики и все шесть флажков для типов шифрования.

  4. Щелкните OK. Закройте GPMC.

Примечание.

Политика задает SupportedEncryptionTypes для записи реестра значение 0x7FFFFFFF. Запись SupportedEncryptionTypes реестра находится в следующем расположении:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

В зависимости от сценария может потребоваться задать эту политику на уровне домена, чтобы применить тип шифрования DES ко всем клиентам, работающим под управлением Windows 7 или Windows Server 2008 R2. Кроме того, может потребоваться установить эту политику в подразделении (подразделения) контроллера домена для контроллеров домена, работающих под управлением Windows Server 2008 R2.

Дополнительные сведения

Проблемы совместимости приложений, доступные только для DES, возникают в следующих двух конфигурациях:

  • Вызывающее приложение жестко закодировано только для шифрования DES.
  • Учетная запись, которая запускает службу, настроена только для шифрования DES.

Для работы проверки подлинности Kerberos необходимо выполнить следующие критерии типа шифрования:

  1. Общий тип существует между клиентом и контроллером домена для аутентификатора на клиенте.
  2. Общий тип существует между контроллером домена и сервером ресурсов для шифрования билета.
  3. Общий тип существует между клиентом и сервером ресурсов для ключа сеанса.

Рассмотрим следующую ситуацию:

Роль ОС Поддерживаемый уровень шифрования для Kerberos
DC Windows Server 2003 RC4 и DES
Клиент Windows 7 AES и RC4
Сервер ресурсов J2EE DES

В этой ситуации критерии 1 удовлетворяются шифрованием RC4, и критерии 2 удовлетворяются шифрованием DES. Третий критерий завершается ошибкой, так как сервер доступен только для DES, так как клиент не поддерживает DES.

Исправление 978055 должно быть установлено на каждом контроллере домена на основе Windows Server 2008 R2, если в домене имеются следующие условия:

  • Существуют некоторые учетные записи пользователей или компьютеров с поддержкой DES.
  • В том же домене есть один или несколько контроллеров домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.

Примечание.

  • Для контроллеров домена на основе Windows Server 2008 R2 требуется исправление 978055 для правильной обработки сведений о типе шифрования, реплицируемых с контроллеров домена под управлением Windows Server 2003.
  • Контроллеры домена на основе Windows Server 2008 не требуют этого исправления.
  • Это исправление не требуется, если у домена есть только контроллеры домена на основе Windows Server 2008.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:

978055 ИСПРАВЛЕНИЕ. Учетные записи пользователей, использующие шифрование DES для типов проверки подлинности Kerberos, не могут быть проверены в домене Windows Server 2003 после присоединения контроллера домена Windows Server 2008 R2 к домену