Событие KDC с идентификатором 16 или 27 регистрируется, если des для Kerberos отключен

  • Статья

В этой статье описывается включение шифрования DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2.

Применимо к: Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1)
Исходный номер базы знаний: 977321

Аннотация

Начиная с Windows 7, Windows Server 2008 R2 и всех последующих операционных систем Windows шифрование данных (DES) для проверки подлинности Kerberos отключено. В этой статье описываются различные сценарии, в которых могут возникать следующие события в журналах приложения, безопасности и системы, так как шифрование DES отключено:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Кроме того, в этой статье объясняется, как включить шифрование DES для проверки подлинности Kerberos в Windows 7 и Windows Server 2008 R2. Дополнительные сведения см. в разделах "Симптомы", "Причина" и "Обходной путь" этой статьи.

Симптомы

Рассмотрим следующие сценарии.

  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES на компьютере под управлением Windows 7 или Windows Server 2008 R2.
  • Служба использует учетную запись пользователя или учетную запись компьютера, настроенную только для шифрования DES и которая находится в домене вместе с контроллерами домена под управлением Windows Server 2008 R2.
  • Клиент под управлением Windows 7 или Windows Server 2008 R2 подключается к службе с помощью учетной записи пользователя или учетной записи компьютера, настроенной только для шифрования DES.
  • Отношение доверия настроено только для шифрования DES и включает контроллеры домена под управлением Windows Server 2008 R2.
  • Приложение или служба жестко заданы для использования только шифрования DES.

В любом из этих сценариев вы можете получать следующие события в журналах приложения, безопасности и системы вместе с источником Microsoft-Windows-Kerberos-Key-Distribution-Center :

Идентификатор Символьное имя Сообщение
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS При обработке запроса TGS для целевого сервера %1 учетная запись %2 не имеет подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрашиваемые типы etype были %4. Доступных типов учетных записей было %5.
Идентификатор события 27. Конфигурация типа шифрования KDC
16 KDCEVENT_NO_KEY_INTERSECTION_TGS При обработке запроса TGS для целевого сервера %1 учетная запись %2 не имеет подходящего ключа для создания билета Kerberos (отсутствующий ключ имеет идентификатор %3). Запрашиваемые типы etype были %4. Доступных типов учетных записей было %5. При изменении или сбросе пароля %6 будет создан правильный ключ.
Идентификатор события 16. Целостность ключа Kerberos

Причина

По умолчанию параметры безопасности шифрования DES для Kerberos отключены на следующих компьютерах:

  • Компьютеры под управлением Windows 7
  • Компьютеры под управлением Windows Server 2008 R2
  • Контроллеры домена под управлением Windows Server 2008 R2

Примечание.

Криптографическая поддержка Kerberos существует в Windows 7, а в Windows Server 2008 R2.By по умолчанию Windows 7 использует следующие комплекты шифров Advance Encryption Standard (AES) или RC4 для "типов шифрования" и для "etypes":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Службы, настроенные только для шифрования DES, завершались сбоем, если не выполняются следующие условия:

  • Служба перенастройка поддерживает шифрование RC4 или шифрование AES.
  • Все клиентские компьютеры, все серверы и контроллеры домена для домена учетной записи службы настроены для поддержки шифрования DES.

По умолчанию Windows 7 и Windows Server 2008 R2 поддерживают следующие комплекты шифров: набор шифров DES-CBC-MD5 и набор шифров DES-CBC-CRC можно включить в Windows 7 при необходимости.

Обходной путь

Настоятельно рекомендуется проверить, требуется ли шифрование DES в среде или требуется ли для определенных служб только шифрование DES. Проверьте, может ли служба использовать шифрование RC4 или шифрование AES, или проверьте, есть ли у поставщика альтернативный вариант проверки подлинности с более надежным шифрованием.

Исправление 978055 требуется контроллерам домена под управлением Windows Server 2008 R2 для правильной обработки сведений о типе шифрования, реплицированных с контроллеров домена под управлением Windows Server 2003. Дополнительные сведения см. ниже.

  1. Определите, жестко ли задано приложение для использования только шифрования DES. Но он отключен по умолчанию на клиентах под управлением Windows 7 или в центрах распространения ключей (KDC).

    Чтобы проверить, затрагивает ли вас эта проблема, соберите некоторые сетевые трассировки, а затем проверьте трассировки, похожие на следующие примеры трассировок:

    Кадр 1 {TCP:48, IPv4:47} <SRC IP><DEST IP> KerberosV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<> Полное доменное имя>

    Frame 2 {TCP:48, IPv4:47} <DEST IP SRC IP><> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0,000000 {TCP:48, IPv4:47} <ip-адрес><> назначения источника KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<> Полное доменное имя>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Определите, настроена ли учетная запись пользователя или учетная запись компьютера только для шифрования DES.

    В оснастке "Пользователи и компьютеры Active Directory" откройте свойства учетной записи пользователя, а затем проверьте, задано ли для этого параметра шифрования Kerberos DES на вкладке "Учетная запись".

Если вы обнаружили, что эта проблема затрагивает вас и необходимо включить тип шифрования DES для проверки подлинности Kerberos, включите следующие групповые политики, чтобы применить тип шифрования DES ко всем компьютерам под управлением Windows 7 или Windows Server 2008 R2:

  1. В консоли групповая политика управления (GPMC) найдите следующее расположение:

    Конфигурация компьютера\ Параметры Windows\ Параметры безопасности\ Локальные политики\ Параметры безопасности

  2. Щелкните, чтобы выбрать параметр "Сетевая безопасность: настройка типов шифрования, разрешенных для параметра Kerberos".

  3. Щелкните, чтобы выбрать "Определить эти параметры политики " и все шесть флажков для типов шифрования.

  4. Нажмите кнопку ОК. Закройте консоль управления групповыми политиками.

Примечание.

Политика устанавливает для записи SupportedEncryptionTypes реестра значение 0x7FFFFFFF. Запись SupportedEncryptionTypes реестра находится в следующем расположении:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

В зависимости от сценария может потребоваться задать эту политику на уровне домена, чтобы применить тип шифрования DES ко всем клиентам под управлением Windows 7 или Windows Server 2008 R2. Или вам может потребоваться задать эту политику в подразделении контроллера домена для контроллеров домена под управлением Windows Server 2008 R2.

Дополнительные сведения

Проблемы совместимости приложений с поддержкой только DES возникают в следующих двух конфигурациях:

  • Вызывающее приложение жестко закодированно только для шифрования DES.
  • Учетная запись, в которую выполняется служба, настроена на использование только шифрования DES.

Для работы проверки подлинности Kerberos должны быть выполнены следующие критерии типа шифрования:

  1. Существует общий тип между клиентом и контроллером домена для средства проверки подлинности на клиенте.
  2. Существует общий тип между контроллером домена и сервером ресурсов для шифрования билета.
  3. Существует общий тип между клиентом и сервером ресурсов для ключа сеанса.

Рассмотрим следующую ситуацию:

Роль ОС Поддерживаемый уровень шифрования для Kerberos
DC Windows Server 2003 RC4 и DES
Client Windows 7 AES и RC4
Сервер ресурсов J2EE Des

В этом случае условие 1 удовлетворяется шифрованием RC4, а условие 2 — шифрованием DES. Третий критерий завершается сбоем, так как сервер предназначен только для DES и клиент не поддерживает DES.

Исправление 978055 на каждом контроллере домена под управлением Windows Server 2008 R2, если в домене выполняются следующие условия:

  • Существуют некоторые учетные записи пользователей или компьютеров с поддержкой DES.
  • В том же домене есть один или несколько контроллеров домена под управлением Windows 2000 Server, Windows Server 2003 или Windows Server 2003 R2.

Примечание.

  • Для контроллеров домена под управлением Windows Server 2008 R2 требуется исправление 978055 для правильной обработки сведений о типе шифрования, реплицированных с контроллеров домена под управлением Windows Server 2003.
  • Контроллеры домена под управлением Windows Server 2008 не требуют этого исправления.
  • Это исправление не требуется, если в домене есть только контроллеры домена под управлением Windows Server 2008.

Для получения дополнительных сведений щелкните номер следующей статьи, чтобы просмотреть статью в базе знаний Майкрософт:

978055 FIX: учетные записи пользователей, использующие шифрование DES для типов проверки подлинности Kerberos, не могут быть аутентифицированы в домене Windows Server 2003 после присоединения контроллера домена Windows Server 2008 R2 к домену