L’ID d’événement KDC 16 ou 27 est enregistré si DES pour Kerberos est désactivé
Cet article explique comment activer le chiffrement DES pour l’authentification Kerberos dans Windows 7 et dans Windows Server 2008 R2.
S’applique à : Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1
Numéro de la base de connaissances d’origine : 977321
Résumé
À compter de Windows 7, Windows Server 2008 R2 et tous les systèmes d’exploitation Windows ultérieurs, le chiffrement DES (Data Encryption Standard) pour l’authentification Kerberos est désactivé. Cet article décrit différents scénarios dans lesquels vous pouvez recevoir les événements suivants dans les journaux d’activité Application, Sécurité et Système, car le chiffrement DES est désactivé :
- KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
- KDCEVENT_NO_KEY_INTERSECTION_TGS
En outre, cet article explique comment activer le chiffrement DES pour l’authentification Kerberos dans Windows 7 et dans Windows Server 2008 R2. Pour plus d’informations, consultez les sections « Symptômes », « Cause » et « Solution de contournement » de cet article.
Symptômes
Examinez les scénarios suivants :
- Un service utilise un compte d’utilisateur ou un compte d’ordinateur configuré uniquement pour le chiffrement DES sur un ordinateur exécutant Windows 7 ou Windows Server 2008 R2.
- Un service utilise un compte d’utilisateur ou un compte d’ordinateur configuré uniquement pour le chiffrement DES et qui se trouve dans un domaine avec des contrôleurs de domaine Windows Server 2008 R2.
- Un client exécutant Windows 7 ou Windows Server 2008 R2 se connecte à un service à l’aide d’un compte d’utilisateur ou d’un compte d’ordinateur configuré uniquement pour le chiffrement DES.
- Une relation d’approbation est configurée uniquement pour le chiffrement DES et inclut les contrôleurs de domaine exécutant Windows Server 2008 R2.
- Une application ou un service est codé en dur pour utiliser uniquement le chiffrement DES.
Dans l’un de ces scénarios, vous pouvez recevoir les événements suivants dans les journaux d’activité Application, Sécurité et Système avec la source microsoft-Windows-Kerberos-Key-Distribution-Center :
| id | Nom symbolique | Message |
|---|---|---|
| 27 | KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS | Lors du traitement d’une requête TGS pour le serveur cible %1, le compte %2 n’a pas de clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID %3). Les etypes demandés étaient %4. Les etypes disponibles étaient %5. ID d’événement 27 - Configuration du type de chiffrement KDC |
| 16 | KDCEVENT_NO_KEY_INTERSECTION_TGS | Lors du traitement d’une requête TGS pour le serveur cible %1, le compte %2 n’a pas de clé appropriée pour générer un ticket Kerberos (la clé manquante a un ID %3). Les etypes demandés étaient %4. Les etypes disponibles étaient %5. La modification ou la réinitialisation du mot de passe de %6 génère une clé appropriée. ID d’événement 16 - Intégrité de la clé Kerberos |
Cause
Par défaut, les paramètres de sécurité pour le chiffrement DES pour Kerberos sont désactivés sur les ordinateurs suivants :
- Ordinateurs exécutant Windows 7
- Ordinateurs exécutant Windows Server 2008 R2
- Contrôleurs de domaine exécutant Windows Server 2008 R2
Note
La prise en charge du chiffrement pour Kerberos existe dans Windows 7 et dans Windows Server 2008 R2.By par défaut, Windows 7 utilise les suites de chiffrement AES (Advance Encryption Standard) ou RC4 suivantes pour les « types de chiffrement » et pour « etypes » :
- AES256-CTS-HMAC-SHA1-96
- AES128-CTS-HMAC-SHA1-96
- RC4-HMAC
Les services configurés pour le chiffrement DES échouent uniquement, sauf si les conditions suivantes sont remplies :
- Le service est reconfiguré pour prendre en charge le chiffrement RC4 ou pour prendre en charge le chiffrement AES.
- Tous les ordinateurs clients, tous les serveurs et tous les contrôleurs de domaine pour le domaine du compte de service sont configurés pour prendre en charge le chiffrement DES.
Par défaut, Windows 7 et Windows Server 2008 R2 prennent en charge les suites de chiffrement suivantes : La suite de chiffrement DES-CBC-MD5 et la suite de chiffrement DES-CBC-CRC peuvent être activées dans Windows 7 quand elle est requise.
Solution de contournement
Nous vous recommandons vivement de vérifier si le chiffrement DES est toujours requis dans l’environnement ou si des services spécifiques nécessitent uniquement le chiffrement DES. Vérifiez si le service peut utiliser le chiffrement RC4 ou le chiffrement AES, ou vérifiez si le fournisseur dispose d’une alternative d’authentification qui a un chiffrement plus fort.
Le correctif logiciel 978055 est requis pour les contrôleurs de domaine Windows Server 2008 R2 afin de gérer correctement les informations de type de chiffrement répliquées à partir des contrôleurs de domaine exécutant Windows Server 2003. Pour plus d’informations, consultez la section ci-dessous.
Déterminez si l’application est codée en dur pour utiliser uniquement le chiffrement DES. Mais il est désactivé par les paramètres par défaut sur les clients qui exécutent Windows 7 ou sur les centres de distribution de clés (KDCS).
Pour vérifier si vous êtes affecté par ce problème, collectez des traces réseau, puis recherchez les traces qui ressemblent aux exemples de traces suivants :
Frame 1 {TCP :48, IPv4:47} <IP<>DEST IP> KerberosV5 KerberosV5 :TGS Request Realm : CONTOSO.COM Sname : HTTP/<hostname>.<FQDN>
Frame 2 {TCP :48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5 :KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)
0.00000 {TCP :48, IPv4:47} <source IP><destination IP> KerberosV5 KerberosV5 :TGS Request Realm : <fqdn> Sname : HTTP/<hostname.<>Fqdn>
-Etype :
+SequenceOfHeader :
+EType : aes256-cts-hmac-sha1-96 (18)
+EType : aes128-cts-hmac-sha1-96 (17)
+EType : rc4-hmac (23)
+EType : rc4-hmac-exp (24)
+EType : rc4 hmac old exp (0xff79)
+TagA :
+EncAuthorizationData :Déterminez si le compte d’utilisateur ou le compte d’ordinateur est configuré uniquement pour le chiffrement DES.
Dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory », ouvrez les propriétés du compte d’utilisateur, puis vérifiez si l’option Utiliser les types de chiffrement DES Kerberos pour ce compte est définie sous l’onglet Compte.
Si vous concluez que vous êtes affecté par ce problème et que vous devez activer le type de chiffrement DES pour l’authentification Kerberos, activez les stratégies de groupe suivantes pour appliquer le type de chiffrement DES à tous les ordinateurs exécutant Windows 7 ou Windows Server 2008 R2 :
Dans la console de gestion des stratégies de groupe (GPMC), recherchez l’emplacement suivant :
Configuration ordinateur\ Paramètres Windows\ Paramètres de sécurité\ Stratégies locales\ Options de sécurité
Cliquez pour sélectionner la sécurité réseau : configurer les types de chiffrement autorisés pour l’option Kerberos.
Cliquez pour sélectionner Définir ces paramètres de stratégie et toutes les six cases à cocher pour les types de chiffrement.
Cliquez sur OK. Fermez la console GPMC.
Note
La stratégie définit l’entrée de SupportedEncryptionTypes Registre sur une valeur de 0x7FFFFFFF. L’entrée SupportedEncryptionTypes du Registre se trouve à l’emplacement suivant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Selon le scénario, vous devrez peut-être définir cette stratégie au niveau du domaine pour appliquer le type de chiffrement DES à tous les clients exécutant Windows 7 ou Windows Server 2008 R2. Vous devrez peut-être définir cette stratégie au niveau de l’unité d’organisation du contrôleur de domaine pour les contrôleurs de domaine exécutant Windows Server 2008 R2.
Plus d’informations
Les problèmes de compatibilité de l’application DES uniquement sont rencontrés dans les deux configurations suivantes :
- L’application appelante est codée en dur uniquement pour le chiffrement DES.
- Le compte qui exécute le service est configuré pour utiliser uniquement le chiffrement DES.
Les critères de type de chiffrement suivants doivent être satisfaits pour que l’authentification Kerberos fonctionne :
- Un type commun existe entre le client et le contrôleur de domaine pour l’authentificateur sur le client.
- Un type courant existe entre le contrôleur de domaine et le serveur de ressources pour chiffrer le ticket.
- Un type courant existe entre le client et le serveur de ressources pour la clé de session.
Prenons la situation suivante :
| Rôle | Système d’exploitation | Niveau de chiffrement pris en charge pour Kerberos |
|---|---|---|
| DC | Windows Server 2003 | RC4 et DES |
| Client | Windows 7 | AES et RC4 |
| Serveur de ressources | J2EE | DES |
Dans ce cas, les critères 1 sont satisfaits par le chiffrement RC4 et les critères 2 sont satisfaits par le chiffrement DES. Le troisième critère échoue, car le serveur est DES uniquement et parce que le client ne prend pas en charge DES.
Le correctif logiciel 978055 doit être installé sur chaque contrôleur de domaine Windows Server 2008 R2 si les conditions suivantes sont remplies dans le domaine :
- Il existe des comptes d’utilisateur ou d’ordinateur activés par DES.
- Dans le même domaine, il existe un ou plusieurs contrôleurs de domaine exécutant Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Note
- Le correctif logiciel 978055 est requis pour les contrôleurs de domaine Windows Server 2008 R2 afin de gérer correctement les informations de type de chiffrement répliquées à partir des contrôleurs de domaine exécutant Windows Server 2003.
- Les contrôleurs de domaine Windows Server 2008 ne nécessitent pas ce correctif logiciel.
- Ce correctif logiciel n’est pas obligatoire si le domaine possède uniquement des contrôleurs de domaine Windows Server 2008.
Pour plus d’informations à ce sujet, cliquez sur le numéro de l’article suivant pour l’afficher dans la Base de connaissances Microsoft :
978055 CORRECTIF : Les comptes d’utilisateur qui utilisent le chiffrement DES pour les types d’authentification Kerberos ne peuvent pas être authentifiés dans un domaine Windows Server 2003 après qu’un contrôleur de domaine Windows Server 2008 R2 joint le domaine