DetailPage-MSS-KB

Knowledge Base

Artikel ID: 977321 - Laatste beoordeling: zaterdag 19 maart 2011 - Wijziging: 2.0

 

Symptomen

In Windows 7 en Windows Server 2008 R2 worden de typen Data Encryption Standard (DES)-codering voor Kerberos standaard uitgeschakeld.

OpmerkingCryptografische ondersteuning voor Kerberos bestaat in Windows 7 en Windows Server 2008 R2.


Standaard ondersteunen Windows 7 en Windows Server 2008 R2 de volgende cipher suites:
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4 HMAC
De codesuite DES CBC MD5 en DES CBC CRC-codesuite kunnen worden ingeschakeld in Windows 7 wanneer vereist.

De volgende scenario:
  • Een service gebruikt een gebruikersaccount of een computeraccount die is geconfigureerd voor alleen DES-codering op een computer waarop Windows 7 of Windows Server 2008 R2.
  • Een service gebruikt een gebruikersaccount of een computeraccount die is geconfigureerd voor alleen DES-codering en die in een domein met domeincontrollers met Windows Server 2008 R2.
  • Een client waarop Windows 7 of Windows Server 2008 R2 maakt verbinding met een service met een gebruikersaccount of een computeraccount die is geconfigureerd voor alleen DES-codering.
  • Een vertrouwensrelatie is geconfigureerd voor alleen DES-codering en domeincontrollers waarop Windows Server 2008 R2 bevat.
  • Een toepassing of service is hardcoded alleen DES-codering gebruiken.
In deze scenario's wordt de volgende gebeurtenissen in de toepassing, de beveiliging en systeemlogboeken samen met deMicrosoft-Windows-Kerberos-Key-Distribution-Centerbron:
Deze tabel samenvouwenDeze tabel uitklappen
IDSymbolische naamBericht
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSTijdens het verwerken van TGS-aanvraag voor de doelserver % 1 heeft account %2 geen geschikte sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID % 3). De aangevraagde ETYPE's werden 4%. De rekeningen beschikbare ETYPE's waren 5%.
http://technet.Microsoft.com/en-us/library/cc733974 (WS.10) .aspx (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSTijdens het verwerken van TGS-aanvraag voor de doelserver % 1 heeft account %2 geen geschikte sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID % 3). De aangevraagde ETYPE's werden 4%. De rekeningen beschikbare ETYPE's waren 5%. %6 Wachtwoord opnieuw instellen of wijzigen wordt een sleutel gegenereerd.
http://technet.Microsoft.com/en-us/library/cc734142 (WS.10) .aspx (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Oorzaak

Standaard worden de beveiligingsinstellingen voor de DES-codering voor Kerberos uitgeschakeld op de volgende computers:
  • Computers met Windows 7
  • Computers met Windows Server 2008 R2
  • Domeincontrollers worden uitgevoerd Windows Server 2008 R2
Windows 7 gebruikt standaard vooraf Encryption Standard (AES) of RC4 'coderingstypen ' en "ETYPE's." De services die zijn geconfigureerd voor alleen DES-codering mislukt tenzij:
  • De service is geconfigureerd, ondersteuning voor codering op RC4 of AES-codering ondersteunen.
  • Alle clientcomputers en alle servers alle domeincontrollers voor het domein van de serviceaccount zijn geconfigureerd voor ondersteuning van DES-codering.

Workaround

Wij raden u controleren of DES-codering wel is vereist in het milieu of het selectievakje of specifieke services alleen DES-codering vereisen. Controleer of de service kunt codering op RC4 of AES-codering of Controleer of de leverancier heeft een alternatieve verificatie met sterkere cryptografie.

Hotfix978055  (http://support.microsoft.com/kb/978055/ ) voor de Windows Server 2008 R2-domeincontrollers correct verwerken coderingsgegevens die zijn gerepliceerd van de domeincontrollers met Windows Server 2003 is vereist. Zie meer informatie hieronder.
  1. Bepalen of de toepassing hardcoded alleen DES-codering gebruiken. Maar door de standaardinstellingen op clients waarop Windows 7 of distributiecentra sleutel (KDCs) is uitgeschakeld.

    Verzamel bepaalde netwerk-traces en sporen die lijken op de volgende voorbeeldgegevens traces vervolgens controleren om te controleren of u dit probleem optreedt:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Bepalen of de gebruikersaccount of de computeraccount is geconfigureerd voor alleen DES-codering.

    Module 'Active Directory: gebruikers en Computers' open eigenschappen voor gebruikersaccounts en controleer vervolgens of deKerberos DES-coderingstypen gebruiken voor deze accountoptie instellen onder deAccounttabblad.
Als u dat u dit probleem optreedt en u hebt het type DES-codering voor Kerberos-verificatie inschakelen sluiten volgende Groepsbeleid het type DES-codering toepassen op alle computers waarop Windows 7 of Windows Server 2008 R2 inschakelen:
  1. In de Group Policy Management Console (GPMC), vinden de volgende locatie:
    Configuration\ Windows Settings\ Settings\ lokale Policies\ beveiliging beveiligingsopties
  2. Selecteer deNetwerkbeveiliging: coderingstypen is toegestaan voor Kerberos configurerenoptie.
  3. SelecteerDeze beleidsinstellingenen de zes selectievakjes voor codering.
  4. Klik opOK. Sluit de console Groepsbeleidsbeheer.
OpmerkingHet beleid stelt deSupportedEncryptionTypeseen waarde van registervermelding0x7FFFFFFF. DeSupportedEncryptionTypesregistervermelding is op de volgende locatie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Afhankelijk van het scenario mogelijk hebt u dit beleid instellen op domeinniveau het type DES-codering toepassen op alle clients waarop Windows 7 of Windows Server 2008 R2. Of u hebt dit beleid instellen op de organisatie-eenheid (OU) van de domeincontroller voor domeincontrollers waarop Windows Server 2008 R2.

Meer informatie

De compatibiliteitsproblemen DES alleen worden aangetroffen in de volgende twee configuraties:
  • De aanroepende toepassing is hardcoded alleen DES-codering.
  • De account waarmee de service wordt uitgevoerd, is geconfigureerd voor gebruik alleen DES-codering.
De volgende codering type criteria moeten worden voldaan voor Kerberos-verificatie werkt:
  1. Een algemeen type bestaat tussen de client en de domeincontroller voor de verificator op de client.
  2. Een algemeen type bestaat tussen de domeincontroller en de server resource ticket coderen.
  3. Een algemeen type bestaat tussen de client en de server resource voor de sessiesleutel.
Neem de volgende situatie:
Deze tabel samenvouwenDeze tabel uitklappen
RolOSOndersteund coderingsniveau voor Kerberos
DCWindows Server 2003RC4 en DES
ClientWindows 7AES en RC4
Resource-ServerJ2EEDES
In deze situatie criteria 1 is voldaan door de RC4-codering en 2 van de criteria voldaan door DES-codering. Het derde criterium is mislukt omdat de server alleen DES en omdat client DES ondersteunt.

De hotfix 978055 moet worden geïnstalleerd op elke domeincontroller met Windows Server 2008 R2 als de volgende voorwaarden voldaan in het domein wordt:
  • Er zijn enkele DES ingeschakeld gebruikers- of computeraccounts.
  • In hetzelfde domein is een of meer domeincontrollers waarop Windows 2000 Server, Windows Server 2003 of Windows Server 2003 R2.
Opmerking
  • Hotfix 978055 is vereist voor de domeincontrollers op basis van Windows Server 2008 R2 goed verwerkt coderingsgegevens die zijn gerepliceerd van de domeincontrollers met Windows Server 2003.
  • Windows Server 2008-domeincontrollers hoeft deze hotfix.
  • Deze hotfix is niet vereist als het domein alleen Windows Server 2008-domeincontrollers.
Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie:
978055  (http://support.microsoft.com/kb/978055/ ) FIX: Gebruikersaccounts DES-codering voor Kerberos-verificatie gebruikt kunnen niet worden geverifieerd in Windows Server 2003-domein nadat Windows Server 2008 R2-domeincontroller lid van het domein

De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Trefwoorden: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtnl
Machine-translated ArticleMachine-translated Article
BELANGRIJK: Dit artikel is vertaald door de vertaalmachine software van Microsoft in plaats van door een professionele vertaler. Microsoft biedt u professioneel vertaalde artikelen en artikelen vertaald door de vertaalmachine, zodat u toegang heeft tot al onze knowledge base artikelen in uw eigen taal. Artikelen vertaald door de vertaalmachine zijn niet altijd perfect vertaald. Deze artikelen kunnen fouten bevatten in de vocabulaire, zinsopbouw en grammatica en kunnen lijken op hoe een anderstalige de taal spreekt en schrijft. Microsoft is niet verantwoordelijk voor onnauwkeurigheden, fouten en schade ontstaan door een incorrecte vertaling van de content of het gebruik ervan door onze klanten. Microsoft past continue de kwaliteit van de vertaalmachine software aan door deze te updaten.
De Engelstalige versie van dit artikel is de volgende:977321  (http://support.microsoft.com/kb/977321/en-us/ )
Delen
Extra ondersteuningsopties
Microsoft Community Support-forums
Neem rechtstreeks contact met ons op
Een door Microsoft gecertificeerde partner zoeken
Microsoft Store