DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 977321 - Geändert am: Montag, 4. November 2013 - Version: 4.0

 

Zusammenfassung

Beginnend mit Windows 7, Windows Server 2008 R2 und alle höheren Windows-Betriebssystemen, ist Data Encryption Standard (DES)-Verschlüsselung für die Kerberos-Authentifizierung deaktiviert. Dieser Artikel beschreibt verschiedene Szenarien, in denen Sie die folgenden Ereignisse in den Anwendungs-, Sicherheits- und Systemprotokollen möglicherweise weil DES-Verschlüsselung deaktiviert ist:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Darüber hinaus erläutert dieser Artikel für die Kerberos-Authentifizierung in Windows 7 und Windows Server 2008 R2-DES-Verschlüsselung aktivieren. Ausführliche Informationen finden Sie unter den "Symptomen" "Ursache" und "Abhilfe" dieses Artikels.

Problembeschreibung

Berücksichtigen Sie die folgenden Szenarien:
  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto, das so konfiguriert ist, ausschließlich DES-Verschlüsselung auf einem Computer, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird.
  • Ein Dienst verwendet ein Benutzerkonto oder ein Computerkonto für die DES-Verschlüsselung konfiguriert ist, und das ist in einer Domäne mit Windows Server 2008 R2-basierten Domänencontrollern.
  • Ein Client, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt wird verbindet an einen Dienst über ein Benutzerkonto oder ein Computerkonto, das konfiguriert ist für die DES-Verschlüsselung.
  • Eine Vertrauensstellung für die DES-Verschlüsselung konfiguriert ist, und umfasst Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt werden.
  • Eine Anwendung oder ein Dienst ist nur die DES-Verschlüsselung verwendet.
In allen diesen Szenarios wird möglicherweise die folgenden Ereignisse in den Anwendungs-, Sicherheits- und System-Protokollen zusammen mit der Quelle des Microsoft-Windows-Kerberos-Key-Distribution-Center angezeigt:
Tabelle minimierenTabelle vergrößern
IDSymbolischer nameNachricht
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSWährend der Verarbeitung von TGS-Anforderungen für den Zielserver ' %1 ', das Konto ' % 2 ' nicht hatte einen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von %3). Die angeforderte Etypes wurden %4. Die verfügbaren Konten Etypes wurden %5.
Ereignis-ID 27 – KDC Typ Verschlüsselungskonfiguration (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSWährend der Verarbeitung von TGS-Anforderungen für den Zielserver ' %1 ', das Konto ' % 2 ' nicht hatte einen passenden Schlüssel zum Generieren eines Kerberos-Tickets (fehlende Schlüssel hat eine ID von %3). Die angeforderte Etypes wurden %4. Die verfügbaren Konten Etypes wurden %5. Ändern oder Zurücksetzen des Kennwortes von %6 wird den notwendigen Schlüssel generieren.
Ereignis-ID 16 – Kerberos Key Integrity (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Ursache

Standardmäßig sind die Sicherheitseinstellungen für Kerberos-DES-Verschlüsselung auf folgenden Computern deaktiviert:
  • Computer, auf denen Windows 7 ausgeführt wird
  • Computer mit Windows Server 2008 R2
  • Domänencontroller unter Windows Server 2008 R2
Hinweis Kryptografische Unterstützung für Kerberos ist in Windows 7 und Windows Server 2008 R2 vorhanden.Standardmäßig verwendet Windows 7 die folgenden Advance Encryption Standard (AES) oder RC4 Cipher Suites für "Encryption Types" und "Etypes":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Dienste für die DES-Verschlüsselung konfiguriert werden fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:
  • Der Dienst wird neu konfiguriert RC4-Verschlüsselung unterstützt oder AES-Verschlüsselung unterstützt.
  • Alle Client-Computer, alle Server und alle Domänencontroller für die Domäne des Dienstkontos konfiguriert DES-Verschlüsselung unterstützen.
Standardmäßig unterstützen Windows 7 und Windows Server 2008 R2 die folgenden Verschlüsselungssammlungen: Chiffre-Suite der DES-CBC-MD5 und DES-CBC-CRC Chiffre-Suite können in Windows 7 aktiviert werden, wenn dies erforderlich ist.

Abhilfe

Es wird dringend empfohlen, dass Sie überprüfen, ob in die Umgebung oder der Scheck noch DES-Verschlüsselung erforderlich ist, ob bestimmte Dienste nur DES-Verschlüsselung erforderlich ist. Überprüfen Sie, ob der Dienst mit RC4-Verschlüsselung oder die AES-Verschlüsselung kann oder Überprüfen Sie, ob der Kreditor eine Alternative Authentifizierung hat, der stärkeren Kryptografie.

Hotfix 978055  (http://support.microsoft.com/kb/978055/ ) ist erforderlich für die Windows Server 2008 R2-basierten Domänencontroller Verschlüsselungsinformationen für Typ korrekt zu behandeln, die von den Domänencontrollern repliziert werden, auf dem Windows Server 2003 ausgeführt werden. Im Abschnitt Weitere Informationen weiter unten.
  1. Bestimmen Sie, ob die Anwendung mithilfe DES-Verschlüsselung hartcodiert ist. Aber es ist durch die Standardeinstellungen auf Clients, auf denen Windows 7 ausgeführt werden oder Key Distribution Center (KDCs) deaktiviert.

    Um zu überprüfen, ob Sie von diesem Problem betroffen sind, bitte sammeln Sie einige Netzwerkablaufverfolgungen zu, und suchen Sie nach Ablaufverfolgungen, die die folgenden Ablaufverfolgungen Beispiel ähneln:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Bestimmen Sie, ob das Benutzerkonto oder das Computerkonto für den DES-Verschlüsselung konfiguriert ist.

    Öffnen Sie die Eigenschaften des Benutzerkontos im Snap-in "Active Directory-Benutzer und-Computer" und überprüfen Sie, ob die Option verwendet Kerberos-DES-Verschlüsselungstypen für dieses Konto auf der Registerkarte Konto festgelegt ist.
Wenn Sie feststellen, dass Sie von diesem Problem betroffen sind und dass Sie den DES-Verschlüsselungstyp für die Kerberos-Authentifizierung zu aktivieren, aktivieren Sie die folgenden Gruppenrichtlinien auf den DES-Verschlüsselungstyp für alle Computer gelten, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt werden:
  1. Suchen Sie in der Group Policy Management Console (GPMC) nach den folgenden Speicherort:
    Computer Serverkonfiguration\ Windows Einstellungen\ Sicherheitseinstellungen Einstellungen\ lokale Policies\ Sicherheitsoptionen
  2. Klicken Sie auf die Netzwerksicherheit: Verschlüsselungstypen zulässig für Kerberos konfiguriert Option.
  3. Klicken Sie auf Diese Richtlinieneinstellung definieren , und alle sechs Kontrollkästchen für die Verschlüsselung.
  4. Klicken Sie auf OK. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Hinweis Die Richtlinie setzt den SupportedEncryptionTypes-Registrierungseintrag auf einen Wert von 0x7FFFFFFF. Der SupportedEncryptionTypes -Registrierungseintrag ist an der folgenden Position:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Je nach Szenario müssen Sie legen Sie diese Richtlinie auf Domänenebene den DES-Verschlüsselungstyp für alle Clients angewendet, auf dem Windows 7 oder Windows Server 2008 R2 ausgeführt werden. Oder Sie haben, legen Sie diese Richtlinie auf die Organisationseinheit (OU) des Domänencontrollers für den Domänencontroller, auf dem Windows Server 2008 R2 ausgeführt werden.

Weitere Informationen

In den folgenden beiden Konfigurationen sind nur DES Anwendungskompatibilitätsprobleme aufgetreten:
  • Die aufrufende Anwendung ist hartcodiert DES-Verschlüsselung.
  • Das Konto, das der Dienst ausgeführt wird ist so konfiguriert, dass nur die DES-Verschlüsselung verwenden.
Für die Kerberos-Authentifizierung funktioniert müssen die folgenden Verschlüsselung Typ Kriterien erfüllt sein:
  1. Ein allgemeinen Typ ist zwischen dem Client und dem Domänencontroller für die Echtheitsbestätigung auf dem Client vorhanden.
  2. Allgemeine Typen zwischen dem Domänencontroller und dem Ressourcenserver verschlüsselt das Ticket vorhanden ist.
  3. Ein allgemeinen Typ ist zwischen dem Client und dem Ressourcenserver für den Sitzungsschlüssel vorhanden.
Betrachten Sie die folgende Situation ein:
Tabelle minimierenTabelle vergrößern
RolleBETRIEBSSYSTEMUnterstützte Verschlüsselungsstufe für Kerberos
DCWindowsServer 2003RC4 und DES
Client Windows 7AES und RC4
RessourcenserverJ2EEDES
In diesem Fall die Kriterien 1 durch RC4-Verschlüsselung erfüllt wird, und die Kriterien 2 durch die DES-Verschlüsselung erfüllt wird. Das dritte Kriterium schlägt fehl, da der Server DES reinen und Client DES nicht unterstützt.

Der Hotfix 978055 muss auf jedem Windows Server 2008 R2-basierten Domänencontroller installiert werden, wenn in der Domäne die folgenden Bedingungen erfüllt sind:
  • Es gibt einige Benutzer- oder Computerkonten DES aktiviert.
  • Gibt es in der gleichen Domäne mindestens einen Domänencontroller, auf dem Windows 2000 Server, Windows Server 2003 oder Windows Server 2003 R2 ausgeführt werden.
Hinweis
  • Hotfix 978055 ist erforderlich für die Windows Server 2008 R2-basierten Domänencontroller Verschlüsselungsinformationen für Typ korrekt zu behandeln, die von den Domänencontrollern repliziert werden, auf dem Windows Server 2003 ausgeführt werden.
  • Windows Server 2008-Domänencontroller ist keine dieser Hotfix erforderlich.
  • Dieser Hotfix ist nicht erforderlich, wenn die Domäne nur Windows Server 2008-basierten Domänencontroller verfügt.
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
978055  (http://support.microsoft.com/kb/978055/ ) Update: Benutzerkonten, die für die Authentifizierungstypen Kerberos-DES-Verschlüsselung verwenden können nicht in einer Windows Server 2003-Domäne authentifiziert werden, nachdem Sie ein Windows Server 2008 R2-Domänencontroller der Domäne beitritt.

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Keywords: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtde
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 977321  (http://support.microsoft.com/kb/977321/en-us/ )
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store