DetailPage-MSS-KB

Base de connaissances

Numéro d'article: 977321 - Dernière mise à jour: lundi 4 novembre 2013 - Version: 4.0

 

Résumé

Démarrage avec Windows 7, Windows Server 2008 R2 et tous les systèmes d'exploitation Windows ultérieurs, le cryptage des (Data Encryption Standard) pour l'authentification Kerberos est désactivé. Cet article décrit différents scénarios dans lesquels vous pouvez recevoir les événements suivants dans les journaux Application, sécurité et système parce que le cryptage DES est désactivé :
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
En outre, cet article explique comment activer le cryptage pour l'authentification Kerberos dans Windows 7 et Windows Server 2008 R2. Pour plus d'informations, consultez les « symptômes », « Cause » et les sections « Contournement » de cet article.

Symptômes

Examinons les scénarios suivants :
  • Un service utilise un compte d'utilisateur ou un compte d'ordinateur qui est configuré uniquement pour le cryptage sur un ordinateur qui exécute Windows 7 ou Windows Server 2008 R2.
  • Un service utilise un compte d'utilisateur ou un compte d'ordinateur qui est configuré pour seulement le cryptage DES et qui se trouve dans un domaine et les contrôleurs de domaine Windows Server 2008 R2.
  • Un client qui exécute Windows 7 ou Windows Server 2008 R2 se connecte à un service à l'aide d'un compte d'utilisateur ou un compte d'ordinateur qui est configuré pour seulement le cryptage DES.
  • Une relation d'approbation est configurée pour seulement le cryptage DES et inclut des contrôleurs de domaine qui exécutent Windows Server 2008 R2.
  • Une application ou un service est codé en dur pour utiliser uniquement le cryptage DES.
Dans tous ces scénarios, vous pouvez recevoir les événements suivants dans les journaux Application, sécurité et système ainsi que la source de Microsoft-Windows-Kerberos-Key-Distribution-Center :
Réduire ce tableauAgrandir ce tableau
IDNom symboliqueMessage
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSPendant le traitement d'une requête TGS pour le serveur cible %1, compte %2 n'avait pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID de 3 %). L'ETYPE demandée était %4. L'ETYPE disponibles comptes était %5.
ID d'événement 27 — Configuration par Type de cryptage KDC (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSPendant le traitement d'une requête TGS pour le serveur cible %1, compte %2 n'avait pas de clé appropriée pour créer un ticket Kerberos (la clé manquante a un ID de 3 %). L'ETYPE demandée était %4. L'ETYPE disponibles comptes était %5. Modifier ou réinitialiser le mot de passe de %6 générera une clé correcte.
L'ID d'événement 16 : L'intégrité clé de Kerberos (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Cause

Par défaut, les paramètres de sécurité pour le chiffrement pour Kerberos sont désactivées sur les ordinateurs suivants :
  • Ordinateurs qui exécutent Windows 7
  • Ordinateurs qui exécutent Windows Server 2008 R2
  • Contrôleurs de domaine qui exécutent Windows Server 2008 R2
Remarque : Il existe une prise en charge cryptographique pour Kerberos sous Windows 7 et Windows Server 2008 R2.Par défaut, Windows 7 utilise les suites de chiffrement Standard de chiffrement avancé (AES) ou RC4 suivantes pour « encryption types » et « ETYPE » :
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Les services qui sont configurés pour seulement le cryptage DES échouent, sauf si les conditions suivantes sont remplies :
  • Le service est reconfiguré pour prendre en charge le cryptage RC4 ou pour prendre en charge le cryptage AES.
  • Tous les contrôleurs de domaine pour le domaine du compte de service, tous les serveurs et tous les ordinateurs clients sont configurés pour prendre en charge le cryptage DES.
Par défaut, Windows 7 et Windows Server 2008 R2 prennent en charge les suites de chiffrement suivants : suite de cryptage DES-CBC-MD5 du et de la suite de cryptage DES-CBC-CRC peuvent être activés dans Windows 7 lorsque c'est nécessaire.

Contournement

Nous vous recommandons vivement de vérifier si le cryptage DES est toujours requis dans l'environnement ou la vérification si des services spécifiques ne nécessitent que le cryptage DES. Vérifiez si le service peut utiliser le cryptage RC4 ou AES, ou vérifier si le fournisseur a une alternative d'authentification qui a une cryptographie plus forte.

Correctif 978055  (http://support.microsoft.com/kb/978055/ ) est requis pour les contrôleurs de domaine fonctionnant sous Windows Server 2008 R2 gérer correctement les informations sur le type de cryptage sont répliquées dans les contrôleurs de domaine qui exécutent Windows Server 2003. Voir plus d'informations ci-dessous.
  1. Déterminez si l'application est codée de manière irréversible pour utiliser uniquement le cryptage DES. Mais il est désactivé par les paramètres par défaut sur les clients qui exécutent Windows 7 ou dans les centres de Distribution de clés (KDC).

    Pour vérifier si vous êtes concerné par ce problème, veuillez collecter des traces réseau et recherchez les traces qui ressemblent à des traces d'exemple suivantes :
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Déterminer si le compte d'utilisateur ou le compte d'ordinateur est configuré pour seulement le cryptage DES.

    Dans le composant logiciel enfichable « Utilisateurs et ordinateurs Active Directory », ouvrez les propriétés du compte d'utilisateur, puis vérifiez si l'option utiliser Kerberos DES types de cryptage pour ce compte est définie sous l'onglet compte .
Si vous concluez que vous êtes concerné par ce problème et que vous devez activer le type de cryptage pour l'authentification Kerberos, activez les stratégies de groupe suivantes appliquer le type de cryptage sur tous les ordinateurs qui exécutent Windows 7 ou Windows Server 2008 R2 :
  1. Dans le groupe de stratégie Management Console (GPMC), recherchez l'emplacement suivant :
    Ordinateur Windows\ Windows Settings\ Settings\ Local Policies\ sécurité Options de sécurité
  2. Cliquez pour sélectionner la sécurité réseau : configurer des types de cryptage autorisés pour Kerberos option.
  3. Cliquez pour sélectionner tous les six cases à cocher pour les types de chiffrement et définir ces paramètres de stratégie .
  4. Cliquez sur OK. Fermez la console GPMC.
Remarque : La stratégie définit l'entrée de Registre SupportedEncryptionTypes à une valeur de 0x7FFFFFFF. L'entrée de Registre SupportedEncryptionTypes est à l'emplacement suivant :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Selon le scénario, vous devrez peut-être définir cette stratégie au niveau du domaine pour appliquer le type de cryptage sur tous les clients qui exécutent Windows 7 ou Windows Server 2008 R2. Ou bien, vous devrez peut-être définir cette stratégie à l'unité d'organisation (UO) du contrôleur de domaine pour les contrôleurs de domaine qui exécutent Windows Server 2008 R2.

Plus d'informations

Les problèmes de compatibilité d'application DES uniquement sont rencontrées dans les deux configurations suivantes :
  • L'application appelante est codé en dur pour seulement le cryptage DES.
  • Le compte qui exécute le service est configuré pour utiliser uniquement le cryptage DES.
Les critères de type de cryptage suivantes doivent être satisfaites pour l'authentification Kerberos fonctionne :
  1. Un type commun n'existe entre le client et le contrôleur de domaine pour l'authentificateur sur le client.
  2. Un type commun n'existe entre le contrôleur de domaine et le serveur de ressources pour crypter le ticket.
  3. Un type commun n'existe entre le client et le serveur de ressources pour la clé de session.
Envisagez la situation suivante :
Réduire ce tableauAgrandir ce tableau
RôleSYSTÈME D'EXPLOITATIONPrise en charge du niveau de cryptage pour Kerberos
DCWindows Server 2003RC4 et DES
Client Windows 7AES et RC4
Serveur de ressourcesJ2EEDES
Dans ce cas, les critères 1 est satisfaite par le cryptage RC4 et les critères de 2 est satisfaite par cryptage DES. Le troisième critère échoue car le serveur est uniquement DES et parce que le client ne prend pas en charge DES.

Le correctif 978055 doit être installé sur chaque contrôleur de domaine Windows Server 2008 R2 si les conditions suivantes sont remplies dans le domaine :
  • Il existe certains comptes d'utilisateur ou un ordinateur prenant en charge DES.
  • Dans le même domaine, il existe un ou plusieurs contrôleurs de domaine qui exécutent Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Remarque :
  • Correctif 978055 est requise pour les contrôleurs de domaine basés sur Windows Server 2008 R2 gérer correctement les informations sur le type de cryptage sont répliquées dans les contrôleurs de domaine qui exécutent Windows Server 2003.
  • Les contrôleurs de domaine fonctionnant sous Windows Server 2008 ne nécessitent pas ce correctif.
  • Ce correctif n'est pas nécessaire si le domaine possède uniquement les contrôleurs de domaine Windows Server 2008.
Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
978055  (http://support.microsoft.com/kb/978055/ ) CORRECTIF : Comptes d'utilisateurs qui utilisent le cryptage pour les types d'authentification Kerberos ne peut pas être authentifiés dans un domaine Windows Server 2003 après qu'un contrôleur de domaine Windows Server 2008 R2 rejoint le domaine

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Entreprise
  • Windows 7 Professionnel
  • Windows 7 Édition Integrale
  • Windows Server 2008 R2 Service Pack 1
Mots-clés : 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtfr
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu d'une traduction automatique réalisée par un logiciel Microsoft et non par un traducteur professionnel. Cette traduction automatique a pu aussi être révisée par la communauté Microsoft grâce à la technologie Community Translation Framework (CTF). Pour en savoir plus sur cette technologie, veuillez consulter la page http://support.microsoft.com/gp/machine-translation-corrections/fr. Microsoft vous propose en effet des articles traduits par des professionnels, des articles issus de traductions automatiques et des articles issus de traductions automatiques révisées par la communauté Microsoft, de manière à ce que vous ayez accès à tous les articles de notre Base de connaissances dans votre langue. Il est important de noter que les articles issus de la traduction automatique, y compris ceux révisés par la communauté Microsoft, peuvent contenir des erreurs de vocabulaire, de syntaxe ou de grammaire. Microsoft ne pourra être tenu responsable des imprécisions, erreurs, ainsi que de tout dommage résultant d’une traduction incorrecte du contenu ou de son utilisation par les clients.
La version anglaise de cet article est la suivante: 977321  (http://support.microsoft.com/kb/977321/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Partager
Options de support supplémentaire
Forums du support Microsoft Community
Nous contacter directement
Trouver un partenaire Microsoft Certified Partner
Microsoft Store