DetailPage-MSS-KB

기술 자료

기술 자료: 977321 - 마지막 검토: 2013년 11월 5일 화요일 - 수정: 4.0

 

요약

Windows 7, Windows Server 2008 R2 및 모든 Windows 운영 체제 이후 부터는 Kerberos 인증에 대해 데이터 암호화 표준 (DES) 암호화 사용 되지 않습니다. 이 문서에서는 다양 한 시나리오를 나타날 수 DES 암호화를 사용할 수 없으므로 응용 프로그램, 보안 및 시스템 로그에서 다음 이벤트.
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Windows Server 2008 R2 및 Windows 7에서 Kerberos 인증을 위해 DES 암호화를 사용 하는 방법을 설명 합니다. 자세한 내용은 "현상," "원인"을 참조 하십시오 및이 문서의 "해결 방법" 절.

현상

다음 시나리오를 고려 하십시오.
  • 서비스는 Windows 7 또는 Windows Server 2008 R2 실행 중인 컴퓨터에만 DES 암호화에 대 한 사용자 계정이 나 컴퓨터 계정으로 구성 된 사용 합니다.
  • 서비스는 사용자 계정 또는 Windows Server 2008 R2 기반 도메인 컨트롤러와 도메인에만 DES 암호화에 구성 된 컴퓨터 계정을 사용 합니다.
  • Windows 7 또는 Windows Server 2008 r 2를 실행 하는 클라이언트 사용자 계정 또는 컴퓨터 계정으로 구성 된 DES 암호화만을 사용 하 여 서비스에 연결 합니다.
  • 트러스트 관계를만 DES 암호화에 구성 되어 및 Windows Server 2008 r 2를 실행 하는 도메인 컨트롤러를 포함 합니다.
  • 응용 프로그램 또는 서비스는 하드 코드 된 DES 암호화만을 사용 하 여.
이러한 시나리오에서 Microsoft-Windows-Kerberos-Key-Distribution-Center 소스와 함께 응용 프로그램, 보안 및 시스템 로그에 다음 이벤트가 나타날 수 있습니다.
표 축소표 확대
ID기호화 된 이름메시지
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS하지만 대상 서버 %1 계정 %2에 대 한 TGS 요청 처리 (누락 된 키 ID %3 에) Kerberos 티켓을 생성 하기 위한 적절 한 키가 아닙니다. 요청한 etypes는 %4 였습니다. 계정 사용 가능한 etypes는 %5 였습니다.
이벤트 ID 27-KDC 암호화 유형 구성 (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGS하지만 대상 서버 %1 계정 %2에 대 한 TGS 요청 처리 (누락 된 키 ID %3 에) Kerberos 티켓을 생성 하기 위한 적절 한 키가 아닙니다. 요청한 etypes는 %4 였습니다. 계정 사용 가능한 etypes는 %5 였습니다. 변경 또는 %6 암호를 다시 설정 하면 올바른 키를 생성 합니다.
이벤트 ID 16-Kerberos 키 무결성 (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

원인

기본적으로, kerberos DES 암호화에 대 한 보안 설정은 다음 컴퓨터에서 해제 됩니다.
  • Windows 7을 실행 하는 컴퓨터
  • Windows Server 2008 r 2를 실행 하는 컴퓨터
  • Windows Server 2008 r 2를 실행 하는 도메인 컨트롤러
참고 Kerberos 암호화 지원은 Windows Server 2008 R2 및 Windows 7에서.기본적으로 Windows 7 "etypes" 및 "암호화 유형"에 대 한 다음과 같은 고급 암호화 표준 (AES) 또는 RC4 암호 그룹을 사용합니다.
  • AES256-CTS-HMAC SHA1-1996
  • AES128-CTS-HMAC SHA1-1996
  • HMAC RC4
다음 조건에 해당 하지 않는 한만 DES 암호화에 구성 된 서비스 실패 하:
  • 서비스가는 RC4 암호화를 지원 하도록 또는 AES 암호화를 지원 하도록 다시 구성 됩니다.
  • 모든 클라이언트 컴퓨터, 모든 서버 및 서비스 계정 도메인의 모든 도메인 컨트롤러는 DES 암호화를 지원 하도록 구성 됩니다.
기본적으로 Windows 7 및 Windows Server 2008 R2 다음 암호화 제품군 지원 됩니다.: cipher suite는 DES-CBC-m d 5와 CRC-CBC-DES 암호화 제품군 필요할 때 Windows 7에서 사용할 수 있습니다.

해결 과정

특정 서비스에만 DES 암호화 필요 여부 DES 암호화 환경 또는 확인에 필요한 계속 여부를 확인 하는 것이 좋습니다. 서비스가 RC4 암호화 또는 AES 암호화를 사용 하거나 공급 업체에 있는 더 강력한 암호화 인증 대신 있는지 여부를 확인할 수 확인 하십시오.

핫픽스 978055  (http://support.microsoft.com/kb/978055/ ) Windows Server 2008 R2 기반 도메인 컨트롤러를 Windows Server 2003을 실행 하는 도메인 컨트롤러에서 복제 되는 암호화 형식 정보를 올바르게 처리에 필요 합니다. 아래의 추가 정보 절을 참조 하십시오.
  1. 응용 프로그램만 DES 암호화를 사용 하도록 하드 코딩 되는지 확인 합니다. 하지만 Windows 7을 실행 하는 클라이언트 또는 키 배포 센터 (Kdc)에서 기본 설정으로 사용할 수 없습니다.

    를이 문제의 영향을 받습니다 있는지 확인 하려면 주십시오 일부 네트워크 추적을 수집 하 고 다음 샘플 추적을 유사한 추적을 확인 합니다.
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. 사용자 계정 또는 컴퓨터 계정을 DES 암호화에 구성 되어 있는지 여부를 확인 합니다.

    "Active Directory 사용자 및 컴퓨터" 스냅인에서 사용자 계정의 속성을 열고 계정 탭에서 이 계정에 대 한 사용 하 여 Kerberos DES 암호화 형식 옵션이 설정 되어 있는지 여부를 확인 합니다.
DES 암호화 형식을 Kerberos 인증을 설정 해야 하 고이 문제의 영향을 완료할 있습니다 DES 암호화 형식을 Windows 7 또는 Windows Server 2008 r 2를 실행 하는 모든 컴퓨터에 적용 하려면 다음 그룹 정책 사용:
  1. 에 GPMC 그룹 정책 관리 콘솔 (), 다음 위치를 찾습니다.
    컴퓨터 Configuration\ Windows 누릅니다 보안 누릅니다. Policies\ 로컬 보안 옵션
  2. 선택 하 여 네트워크 보안: Kerberos에 허용 된 암호화 유형 구성 옵션입니다.
  3. 이 정책 설정 정의 및 암호화 형식에 대 한 모든 6 개의 체크 상자를 선택 하려면 클릭 하십시오.
  4. 확인을 클릭 합니다. GPMC를 닫습니다.
참고 정책은 0x7FFFFFFF값으로 SupportedEncryptionTypes 레지스트리 항목을 설정합니다. SupportedEncryptionTypes 레지스트리 항목은 다음 위치에서:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
시나리오에 따라 DES 암호화 형식을 Windows 7 또는 Windows Server 2008 r 2를 실행 하는 모든 클라이언트에 적용 하려면 도메인 수준에서이 정책을 설정할 수도 있습니다. 또는 Windows Server 2008 r 2를 실행 하는 도메인 컨트롤러에 대해 도메인 컨트롤러의 조직 구성 단위 (OU)에서이 정책 설정 해야 할 수 있습니다.

추가 정보

DES 전용 응용 프로그램 호환성 문제는 다음 두 가지 구성으로 발생 했습니다.
  • 호출 응용 프로그램에 하드 코드 된 DES 암호화만입니다.
  • 서비스를 실행 하는 계정에만 DES 암호화를 사용 하 여 구성 됩니다.
다음 암호화 형식 조건에 대 한 Kerberos 인증이 작동 하도록 충족 되어야 합니다.
  1. 공용 형식 클라이언트와 도메인 컨트롤러 간에 인증자는 클라이언트에 대해 존재합니다.
  2. 도메인 컨트롤러 및 티켓을 암호화할 리소스 서버 간의 일반적인 형식을 존재 합니다.
  3. 클라이언트 및 세션 키에 대해 리소스 서버 간의 일반적인 형식을 존재합니다.
다음과 같은 경우를 고려해 야 합니다.
표 축소표 확대
역할운영 체제Kerberos 암호화 수준을 지원
DCWindows Server 2003RC4 및 DES
클라이언트 Windows 7AES 및 RC4
리소스 서버J2EEDES
이 경우 조건 1 RC4 암호화에 의해 충족 되 고 조건 2 DES 암호화가 충족 됩니다. 서버를 세 번째 조건을 실패 DES 전용 및 클라이언트 DES 지원 하지 않기 때문입니다.

도메인에는 다음과 같은 경우 각 Windows Server 2008 R2 기반 도메인 컨트롤러에서 핫픽스 978055를 설치 되어야 합니다.
  • 일부 DES 사용이 가능한 사용자 또는 컴퓨터 계정이 있습니다.
  • 같은 도메인에서 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2003 r 2를 실행 하는 하나 이상의 도메인 컨트롤러가 있습니다.
참고
  • 핫픽스 978055를 Windows Server 2008 R2 기반 도메인 컨트롤러를 Windows Server 2003을 실행 하는 도메인 컨트롤러에서 복제 되는 암호화 형식 정보를 올바르게 처리 해야 합니다.
  • Windows Server 2008 기반 도메인 컨트롤러에서이 핫픽스가 필요 하지 않습니다.
  • 도메인에 Windows Server 2008 기반 도메인 컨트롤러에만이 핫픽스가 필요 하지 않습니다.
자세한 내용을 보시려면, Microsoft 기술 자료의 다음 문서 번호를 클릭해 주십시오.
978055  (http://support.microsoft.com/kb/978055/ ) FIX: 사용자 계정에 DES 암호화를 사용 하 여 Kerberos 인증 형식에 대해 인증할 수 없는 Windows Server 2003 도메인에서 Windows Server 2008 R2 도메인 컨트롤러의 도메인 가입 후

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
키워드: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtko
기계 번역된 문서기계 번역된 문서
이 문서는 Microsoft 기계 번역 소프트웨어를 이용하여 번역되었으며 Microsoft Community에 의한 Community Translation Framework(CTF) 기술 혹은 사람이 번역한 내용에 의하여 사후 편집될 수 있습니다. Microsoft는 Knowledge Base에 있는 모든 문서에 다양한 언어로 접근할 수 있도록 하기 위하여 기계 번역, 사람에 의한 번역 및 커뮤니티가 편집한 내용을 모두 제공합니다. 번역된 문서는 어휘, 구문 및/혹은 문법에 오류가 있을 수 있습니다. Microsoft는 번역 오류로 인한 부정확성, 오류 및/또는 손해와 이를 고객이 사용하는 데에 대하여 책임을 지지 않습니다.
이 문서의 영문 버전 보기:977321  (http://support.microsoft.com/kb/977321/en-us/ )
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store