DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 977321 - Ultima modifica: martedì 5 novembre 2013 - Revisione: 4.0

 

Sommario

A partire da Windows 7, Windows Server 2008 R2 e tutte le versioni successive Windows, è disabilitata la crittografia Data Encryption Standard (DES) per l'autenticazione Kerberos. In questo articolo vengono descritti vari scenari in cui è possibile che venga visualizzato i seguenti eventi nei registri di sistema, protezione e applicazione perché è disabilitata la crittografia DES:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Inoltre, in questo articolo viene spiegato come attivare la crittografia DES per l'autenticazione Kerberos in Windows 7 e Windows Server 2008 R2. Per informazioni dettagliate, vedere "Sintomi," "Causa" e le sezioni "Workaround" di questo articolo.

Sintomi

Prendere in considerazione i seguenti scenari:
  • Un servizio utilizza un account utente o un account del computer è configurato per solo la crittografia DES in un computer che esegue Windows 7 o Windows Server 2008 R2.
  • Un servizio utilizza un account utente o un computer configurato per solo la crittografia DES e che si trova in un dominio con controller di dominio basato su Windows Server 2008 R2.
  • Un client che esegue Windows 7 o Windows Server 2008 R2 si connette a un servizio utilizzando un account utente o un account del computer è configurato per solo la crittografia DES.
  • Una relazione di trust è configurata per solo la crittografia DES e comprende i controller di dominio che eseguono Windows Server 2008 R2.
  • Un'applicazione o un servizio è codificato da utilizzare solo la crittografia DES.
In uno di questi scenari, è possibile ricevere i seguenti eventi nei registri di sistema, protezione e applicazione e l'origine di Microsoft-Windows-Kerberos-Key-Distribution-Center :
Riduci questa tabellaEspandi questa tabella
IDNome simbolicoMessaggio
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSDurante l'elaborazione di una richiesta TGS per il server di destinazione %1, il conto %2 non ha una chiave adatta per la generazione di un ticket Kerberos (la chiave mancante con ID %3). La richieste ETYPE erano %4. Gli ETYPE disponibili conti sono stati %5.
ID evento 27-Configurazione del tipo KDC crittografia (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSDurante l'elaborazione di una richiesta TGS per il server di destinazione %1, il conto %2 non ha una chiave adatta per la generazione di un ticket Kerberos (la chiave mancante con ID %3). La richieste ETYPE erano %4. Gli ETYPE disponibili conti sono stati %5. La modifica o la reimpostazione della password di %6 genera una chiave adatta.
ID evento 16: L'integrità della chiave Kerberos (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Cause

Per impostazione predefinita, le impostazioni di protezione per la crittografia DES per Kerberos sono disabilitate sui seguenti computer:
  • Computer che eseguono Windows 7
  • Computer che eseguono Windows Server 2008 R2
  • Controller di dominio che eseguono Windows Server 2008 R2
Nota. Supporto per Kerberos per la crittografia esiste in Windows 7 e Windows Server 2008 R2.Per impostazione predefinita, in Windows 7 viene utilizzato il seguente pacchetto di crittografia Advance Encryption Standard (AES) o RC4 "tipi di crittografia" e "ETYPE":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • HMAC RC4
Servizi configurati per la crittografia DES solo esito negativo a meno che non sono vere le seguenti condizioni:
  • Il servizio viene riconfigurato per supportare la crittografia RC4 o per supportare la crittografia AES.
  • Tutti i computer client, tutti i server e tutti i controller di dominio per il dominio dell'account del servizio siano configurati per supportare la crittografia DES.
Per impostazione predefinita, Windows 7 e Windows Server 2008 R2 supporta il seguente pacchetto di crittografia: DES-CBC-MD5 del pacchetto di crittografia e il pacchetto di crittografia DES-CBC-CRC può essere attivati in Windows 7 quando è necessaria.

Workaround

Si consiglia di verificare se la crittografia DES è ancora necessario nell'ambiente o controllo, se determinati servizi richiedono solo la crittografia DES. Controllare se il servizio può utilizzare la crittografia RC4 o AES o verificare se il fornitore è un'alternativa l'autenticazione con crittografia più avanzata.

Hotfix 978055  (http://support.microsoft.com/kb/978055/ ) è necessario per i controller di dominio basato su Windows Server 2008 R2 gestire correttamente le informazioni sul tipo di crittografia che vengono replicati dal controller di dominio che eseguono Windows Server 2003. Vedere la sezione informazioni ulteriori.
  1. Determinare se l'applicazione è codificato da utilizzare solo la crittografia DES. Ma è disabilitato per le impostazioni predefinite nel client che eseguono Windows 7 o in centri di distribuzione chiave (KDC).

    Per verificare se si è interessati da questo problema, raccogliere alcune tracce di rete e cercare le tracce che assomigliano alle tracce di esempio riportato di seguito:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Determinare se l'account utente o l'account del computer è configurato per solo la crittografia DES.

    Nello snap-in "Active Directory utenti e computer", aprire le proprietà dell'account utente e quindi controllare se l'opzione utilizza Kerberos crittografia DES per questo account è impostato nella scheda Account .
Se si verifica che sono interessati da questo problema e che è necessario attivare il tipo di crittografia DES per l'autenticazione Kerberos, è necessario attivare i seguenti criteri di gruppo applicare il tipo di crittografia DES a tutti i computer che eseguono Windows 7 o Windows Server 2008 R2:
  1. Nella Group Policy Management Console (GPMC), individuare il seguente percorso:
    Computer Configuration\ Windows Settings \ Security Settings \ locale Policies\ opzioni di protezione
  2. Fare clic per selezionare il protezione di rete: configurare i tipi di crittografia consentiti per Kerberos opzione.
  3. Fare clic per selezionare tutte le caselle di controllo sei per i tipi di crittografia e di definire le impostazioni dei criteri .
  4. Fare clic su OK. Chiudere la console GPMC.
Nota. Il criterio imposta la voce del Registro di sistema SupportedEncryptionTypes su un valore di 0x7FFFFFFF. La voce di registro di sistema SupportedEncryptionTypes è nel seguente percorso:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
A seconda dello scenario, potrebbe essere necessario impostare questo criterio a livello di dominio per applicare il tipo di crittografia DES a tutti i client che eseguono Windows 7 o Windows Server 2008 R2. In alternativa, potrebbe essere necessario impostare questo criterio all'unità organizzativa (OU) del controller di dominio per i controller di dominio che eseguono Windows Server 2008 R2.

Informazioni

I problemi di compatibilità applicazione DES si verificano nelle seguenti due configurazioni:
  • L'applicazione chiamante è codificato per solo la crittografia DES.
  • L'account che esegue il servizio è configurato per utilizzare solo la crittografia DES.
Per utilizzare l'autenticazione Kerberos devono essere soddisfatti i criteri tipo di crittografia seguenti:
  1. Esiste un tipo comune tra il client e il controller di dominio per l'autenticatore del client.
  2. Non esiste un tipo comune tra il controller di dominio e server delle risorse per crittografare il ticket.
  3. Non esiste un tipo comune tra il client e server delle risorse per la chiave di sessione.
Si consideri la seguente situazione:
Riduci questa tabellaEspandi questa tabella
RuoloSISTEMA OPERATIVOSupportato il livello di crittografia per Kerberos
CONTROLLER DI DOMINIOWindows Server 2003:RC4 e DES
Client Windows 7AES e RC4
Risorse ServerJ2EEDES
In questo caso, i criteri 1 viene soddisfatta da crittografia RC4 e i criteri 2 è soddisfatta da crittografia DES. Il terzo criterio ha esito negativo perché il server è solo DES e perché il client non supporta DES.

Se le condizioni seguenti sono true nel dominio necessario installare l'hotfix 978055 su ciascun controller di dominio basato su Windows Server 2008 R2:
  • Sono disponibili alcuni account utente o computer abilitato a DES.
  • Nello stesso dominio, esiste uno o più controller di dominio che eseguono Windows 2000 Server, Windows Server 2003 o Windows Server 2003 R2.
Nota.
  • Aggiornamento rapido 978055 è obbligatorio per i controller di dominio basato su Windows Server 2008 R2 gestire correttamente le informazioni sul tipo di crittografia che vengono replicati dal controller di dominio che eseguono Windows Server 2003.
  • I controller di dominio basato su Windows Server 2008 non richiedono questo hotfix.
  • Questo hotfix non è necessario se il dominio include solo i controller di dominio basato su Windows Server 2008.
Per ulteriori informazioni, fare clic sul numero dell'articolo riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:
978055  (http://support.microsoft.com/kb/978055/ ) FIX: Gli account utente che utilizzano la crittografia DES per tipi di autenticazione Kerberos non possono essere autenticati in un dominio Windows Server 2003 dopo un controller di dominio Windows Server 2008 R2 viene aggiunto al dominio

Le informazioni in questo articolo si applicano a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Chiavi: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 977321  (http://support.microsoft.com/kb/977321/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store