Freigeben über

KDC-Ereignis-ID 16 oder 27 wird protokolliert, wenn DES für Kerberos deaktiviert ist

  • Artikel

In diesem Artikel wird beschrieben, wie Sie die DES-Verschlüsselung für die Kerberos-Authentifizierung in Windows 7 und in Windows Server 2008 R2 aktivieren.

Gilt für: Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 977321

Übersicht

Ab Windows 7, Windows Server 2008 R2 und allen späteren Windows-Betriebssystemen ist die Data Encryption Standard (DES)-Verschlüsselung für die Kerberos-Authentifizierung deaktiviert. In diesem Artikel werden verschiedene Szenarien beschrieben, in denen Sie die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen erhalten können, da die DES-Verschlüsselung deaktiviert ist:

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

Darüber hinaus wird in diesem Artikel erläutert, wie die DES-Verschlüsselung für die Kerberos-Authentifizierung in Windows 7 und in Windows Server 2008 R2 aktiviert wird. Ausführliche Informationen finden Sie in den Abschnitten "Symptome", "Ursache" und "Problemumgehung" in diesem Artikel.

Problembeschreibung

Betrachten Sie die folgenden Szenarien:

  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für die DES-Verschlüsselung auf einem Computer konfiguriert ist, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird.
  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das nur für die DES-Verschlüsselung konfiguriert ist und sich in einer Domäne zusammen mit Windows Server 2008 R2-basierten Domänencontrollern befindet.
  • Ein Client mit Windows 7 oder Windows Server 2008 R2 stellt mithilfe eines Benutzerkontos oder eines Computerkontos, das nur für die DES-Verschlüsselung konfiguriert ist, eine Verbindung mit einem Dienst herstellt.
  • Eine Vertrauensstellung ist nur für DIE DES-Verschlüsselung konfiguriert und enthält Domänencontroller, die Windows Server 2008 R2 ausführen.
  • Eine Anwendung oder ein Dienst ist hartcodiert, um nur die DES-Verschlüsselung zu verwenden.

In einem dieser Szenarien erhalten Sie möglicherweise die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen zusammen mit der Microsoft-Windows-Kerberos-Key-Distribution-Center-Quelle :

Kennung Symbolischer Name Nachricht
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS Bei der Verarbeitung einer TGS-Anforderung für den Zielserver '%1' hat das Konto %2 keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von %3). Die angeforderten ETypes waren %4. Die verfügbaren Konten waren %5.
Ereignis-ID 27 – Konfiguration des KDC-Verschlüsselungstyps
16 KDCEVENT_NO_KEY_INTERSECTION_TGS Bei der Verarbeitung einer TGS-Anforderung für den Zielserver '%1' hat das Konto %2 keinen geeigneten Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat eine ID von %3). Die angeforderten ETypes waren %4. Die verfügbaren Konten waren %5. Wenn Sie das Kennwort von %6 ändern oder zurücksetzen, wird ein richtiger Schlüssel generiert.
Ereignis-ID 16 – Kerberos-Schlüsselintegrität

Ursache

Standardmäßig sind die Sicherheitseinstellungen für die DES-Verschlüsselung für Kerberos auf den folgenden Computern deaktiviert:

  • Computer, auf denen Windows 7 ausgeführt wird
  • Computer mit Windows Server 2008 R2
  • Domänencontroller mit Windows Server 2008 R2

Notiz

Kryptografische Unterstützung für Kerberos ist in Windows 7 und in Windows Server 2008 R2.By Standard vorhanden, Windows 7 verwendet die folgenden AES- oder RC4-Verschlüsselungssammlungen für "Verschlüsselungstypen" und für "etypes":

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

Dienste, die nur für die DES-Verschlüsselung konfiguriert sind, schlagen fehl, es sei denn, die folgenden Bedingungen sind erfüllt:

  • Der Dienst wird so konfiguriert, dass die RC4-Verschlüsselung unterstützt wird oder die AES-Verschlüsselung unterstützt wird.
  • Alle Clientcomputer, alle Server und alle Domänencontroller für die Domäne des Dienstkontos sind so konfiguriert, dass die DES-Verschlüsselung unterstützt wird.

Standardmäßig unterstützen Windows 7 und Windows Server 2008 R2 die folgenden Verschlüsselungssammlungen: Die DES-CBC-MD5-Verschlüsselungssuite und die DES-CBC-CRC-Verschlüsselungssuite können in Windows 7 aktiviert werden, wenn sie erforderlich ist.

Problemumgehung

Es wird dringend empfohlen, zu überprüfen, ob die DES-Verschlüsselung in der Umgebung noch erforderlich ist, oder ob bestimmte Dienste nur DIE DES-Verschlüsselung erfordern. Überprüfen Sie, ob der Dienst RC4-Verschlüsselung oder AES-Verschlüsselung verwenden kann, oder überprüfen Sie, ob der Anbieter über eine Authentifizierungsalternative verfügt, die eine stärkere Kryptografie aufweist.

Hotfix-978055 ist für die Windows Server 2008 R2-basierten Domänencontroller erforderlich, um Verschlüsselungstypinformationen ordnungsgemäß zu verarbeiten, die von den Domänencontrollern repliziert werden, die Windows Server 2003 ausführen. Weitere Informationen finden Sie weiter unten.

  1. Ermitteln Sie, ob die Anwendung hartcodiert ist, um nur DIE DES-Verschlüsselung zu verwenden. Sie ist jedoch durch die Standardeinstellungen auf Clients deaktiviert, die Windows 7 oder auf Key Distribution Centers (KDCs) ausführen.

    Um zu überprüfen, ob Sie von diesem Problem betroffen sind, sammeln Sie einige Netzwerkablaufverfolgungen, und überprüfen Sie dann nach Ablaufverfolgungen, die den folgenden Beispielablaufverfolgungen ähneln:

    Frame 1 {TCP:48, IPv4:47} <SRC IP<>DEST IP> KERBEROSV5 KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname.<>FQDN>

    Frame 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <Quell-IP-Ziel IP><> KerberosV5 KerberosV5 KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname.<>fqdn>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. Ermitteln Sie, ob das Benutzerkonto oder das Computerkonto nur für die DES-Verschlüsselung konfiguriert ist.

    Öffnen Sie im Snap-In "Active Directory-Benutzer und -Computer" die Eigenschaften des Benutzerkontos, und überprüfen Sie dann, ob die Kerberos DES-Verschlüsselungstypen für diese Kontooption auf der Registerkarte "Konto" festgelegt ist.

Wenn Sie davon ausgehen, dass Sie von diesem Problem betroffen sind und dass Sie den DES-Verschlüsselungstyp für die Kerberos-Authentifizierung aktivieren müssen, aktivieren Sie die folgenden Gruppenrichtlinien, um den DES-Verschlüsselungstyp auf alle Computer anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird:

  1. Suchen Sie in der Gruppenrichtlinien-Verwaltungskonsole (GPMC) den folgenden Speicherort:

    Computerkonfiguration\ Windows-Einstellungen\ Sicherheitseinstellungen\ Lokale Richtlinien\ Sicherheitsoptionen

  2. Klicken Sie, um die Netzwerksicherheit auszuwählen: Konfigurieren sie für die Kerberos-Option zulässige Verschlüsselungstypen.

  3. Klicken Sie, um diese Richtlinieneinstellungen und alle sechs Kontrollkästchen für die Verschlüsselungstypen zu definieren.

  4. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Notiz

Die Richtlinie legt den SupportedEncryptionTypes Registrierungseintrag auf einen Wert von 0x7FFFFFFF fest. Der SupportedEncryptionTypes Registrierungseintrag befindet sich am folgenden Speicherort:

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

Je nach Szenario müssen Sie diese Richtlinie möglicherweise auf Domänenebene festlegen, um den DES-Verschlüsselungstyp auf alle Clients anzuwenden, auf denen Windows 7 oder Windows Server 2008 R2 ausgeführt wird. Oder Sie müssen diese Richtlinie möglicherweise in der Organisationseinheit (OU) des Domänencontrollers für die Domänencontroller festlegen, die Windows Server 2008 R2 ausführen.

Weitere Informationen

In den folgenden beiden Konfigurationen sind die Kompatibilitätsprobleme der NUR-DES-Anwendung aufgetreten:

  • Die aufrufende Anwendung ist nur für DIE DES-Verschlüsselung hartcodiert.
  • Das Konto, das den Dienst ausführt, ist so konfiguriert, dass nur DIE DES-Verschlüsselung verwendet wird.

Die folgenden Verschlüsselungstypkriterien müssen erfüllt sein, damit die Kerberos-Authentifizierung funktioniert:

  1. Ein allgemeiner Typ ist zwischen dem Client und dem Domänencontroller für den Authentifikator auf dem Client vorhanden.
  2. Ein allgemeiner Typ ist zwischen dem Domänencontroller und dem Ressourcenserver vorhanden, um das Ticket zu verschlüsseln.
  3. Ein allgemeiner Typ ist zwischen dem Client und dem Ressourcenserver für den Sitzungsschlüssel vorhanden.

Sehen Sie sich das folgende Beispiel an:

Role Betriebssystem Unterstützte Verschlüsselungsebene für Kerberos
SL Windows Server 2003 RC4 und DES
Client Windows 7 AES und RC4
Ressourcenserver J2EE DES

In diesem Fall sind die Kriterien 1 mit der RC4-Verschlüsselung erfüllt, und die Kriterien 2 sind durch die DES-Verschlüsselung erfüllt. Das dritte Kriterium schlägt fehl, da der Server nur DES-only ist und der Client DES nicht unterstützt.

Der Hotfix-978055 muss auf jedem Windows Server 2008 R2-basierten Domänencontroller installiert werden, wenn die folgenden Bedingungen in der Domäne zutreffen:

  • Es gibt einige DES-aktivierte Benutzer- oder Computerkonten.
  • In derselben Domäne gibt es einen oder mehrere Domänencontroller, die Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2 ausführen.

Notiz

  • Hotfix-978055 ist für die Windows Server 2008 R2-basierten Domänencontroller erforderlich, um Verschlüsselungstypinformationen ordnungsgemäß zu verarbeiten, die von den Domänencontrollern repliziert werden, die Windows Server 2003 ausführen.
  • Für die Windows Server 2008-basierten Domänencontroller ist dieser Hotfix nicht erforderlich.
  • Dieser Hotfix ist nicht erforderlich, wenn die Domäne nur Über Windows Server 2008-basierte Domänencontroller verfügt.

Klicken Sie auf die Nummer des folgenden Microsoft Knowledge Base-Artikels, um weitere Informationen zu erhalten:

978055 FIX: Benutzerkonten, die DIE DES-Verschlüsselung für Kerberos-Authentifizierungstypen verwenden, können nicht in einer Windows Server 2003-Domäne authentifiziert werden, nachdem ein Windows Server 2008 R2-Domänencontroller der Domäne beigetreten ist.