Las cuentas de usuario/máquina configuradas para utilizar sólo DES no pueden obtener tickets Kerberos con la configuración por defecto de Windows 7 o Windows Server 2008 R2
Hola a todos. Empezamos el año con una breve nota sobre Windows Server 2008 R2.
Hemos tenido últimamente varios casos en los que determinados servicios configurados para utilizar únicamente encriptación DES no son capaces de obtener un ticket Kerberos.
Esto se debe a que en Windwos Server 2008 R2 y Windows 7 los tipos de encriptación DES están deshabilitados por defecto. Si no modificamos la configuración, las suites de encriptación soportadas son las siguientes:
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
No obstante, si es necesario, se pueden habilitar tanto DES-CBC-MD5 como DES-CBC-CRC.
Supongamos que tenemos una aplicación que no es capaz de obtener tickets Kerberos en un entorno donde los DCs son Windows Server 2008 R2. Si echamos un vistazo al visor de sucesos de los DCs probablemente nos encontraremos con eventos con ID 16 y 27 con origen Microsoft-Windows-Kerberos-Key-Distribution-Center.
ID: 27
Source: Microsoft-Windows-Kerberos-Key-Distribution-Center
Symbolic Name: KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
Message: While processing a TGS request for the target server %1, the account %2 did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of %3). The requested etypes were %4. The accounts available etypes were %5.
ID: 16
Source: Microsoft-Windows-Kerberos-Key-Distribution-Center
Symbolic Name: KDCEVENT_NO_KEY_INTERSECTION_TGS
Message: While processing a TGS request for the target server %1, the account %2 did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of %3). The requested etypes were %4. The accounts available etypes were %5. Changing or resetting the password of %6 will generate a proper key.
En este caso, habría que determinar si la aplicación, efectivamente, sólo puede utilizar DES. Si no es posible configurar la aplicación para utilizar métodos de encriptación más fuertes y es necesario el uso de Kerberos, se podrá proceder a habilitar el tipo de encriptación DES para la autenticación Kerberos en las máquinas Windows 7 o Windows Server 2008 R2:
Acceder a la siguiente política:
Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options
Seleccionar la opción Network security: Configure encryption types allowed for Kerberos
Seleccionar Define these policy settings y marcar todas las casillas de métodos de encriptación para habilitarlos todos.
Aceptar los cambios.
Esta información se puede encontrar de forma más detallada en el siguiente artículo:
Espero que la información os resulte de utilidad.
- Paula Tomás Galed