DetailPage-MSS-KB

Knowledge Base

Artikel ID: 977321 - Laatste beoordeling: zondag 15 maart 2015 - Wijziging: 3.0

 

Samenvatting

Starten met Windows 7, Windows Server 2008 R2 en alle latere Windows-besturingssystemen, is Data Encryption Standard (DES)-codering voor Kerberos-verificatie uitgeschakeld. In dit artikel worden verschillende scenario's beschreven waarin de volgende gebeurtenissen in de logboeken met toepassings-, beveiligings- en wordt omdat de DES-codering is uitgeschakeld:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Bovendien is in dit artikel wordt uitgelegd hoe inschakelen DES-codering voor Kerberos-verificatie in Windows 7 en Windows Server 2008 R2. Zie de 'Symptomen,' 'Oorzaak', voor gedetailleerde informatie en de secties 'Oplossing' van dit artikel.

Symptomen

Houd rekening met de volgende scenario's:
  • Een service gebruikt een gebruikersaccount of een computeraccount die is geconfigureerd voor alleen DES-codering op een computer waarop Windows 7 of Windows Server 2008 R2 wordt uitgevoerd.
  • Een service maakt gebruik van een gebruikersaccount of een computeraccount die is geconfigureerd voor de DES-codering en die zich in een domein met domeincontrollers met Windows Server 2008 R2.
  • Een client waarop Windows 7 of Windows Server 2008 R2 maakt verbinding met een service met behulp van een gebruikersaccount of een computeraccount die is geconfigureerd voor de DES-codering.
  • Een vertrouwensrelatie is geconfigureerd voor de DES-codering en domeincontrollers waarop Windows Server 2008 R2 bevat.
  • Een toepassing of service is hardcoded DES-codering gebruiken.
In een van deze scenario's wordt de volgende gebeurtenissen in de logboeken met toepassings-, beveiligings- en samen met de Microsoft-Windows-Kerberos-Key-Distribution-Center bron:
Deze tabel samenvouwenDeze tabel uitklappen
IDSymbolische naamBericht
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSTijdens het verwerken van een TGS-aanvraag voor de doelserver %1, account %2 heeft geen geldige sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID van 3%). De aangevraagde ETYPE's zijn 4%. De rekeningen beschikbare ETYPE's waren 5%.
Gebeurtenis-ID 27 — KDC Encryption Type configuratie (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSTijdens het verwerken van een TGS-aanvraag voor de doelserver %1, account %2 heeft geen geldige sleutel voor het genereren van een Kerberos-ticket (ontbrekende sleutel heeft een ID van 3%). De aangevraagde ETYPE's zijn 4%. De rekeningen beschikbare ETYPE's waren 5%. Wijzigen of het wachtwoord %6 wordt een geldige sleutel gegenereerd.
Gebeurtenis-ID 16 — Kerberos Key integriteit (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Oorzaak

Standaard worden de beveiligingsinstellingen voor de DES-codering voor Kerberos is uitgeschakeld op de volgende computers:
  • Computers met Windows 7
  • Computers met Windows Server 2008 R2
  • Domeincontrollers waarop Windows Server 2008 R2
Opmerking: Cryptografische ondersteuning voor Kerberos bestaat in Windows 7 en Windows Server 2008 R2.Standaard gebruikt Windows 7 de volgende voorschot Encryption Standard (AES) of RC4 cipher suites voor "coderingstypen" en "ETYPE's":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Services die zijn geconfigureerd voor de DES-codering mislukt, tenzij de volgende voorwaarden voldaan wordt:
  • De service is geconfigureerd voor codering op RC4 of AES-codering ondersteunen.
  • Alle clientcomputers en alle servers alle domeincontrollers voor het domein van de service-account geconfigureerd zijn voor ondersteuning van DES-codering.
Standaard Windows 7 en Windows Server 2008 R2 ondersteunen de volgende coderings-suites: de CBC-DES-MD5-codesuite en de DES-CBC-CRC-codesuite kunnen worden ingeschakeld in Windows 7 wanneer dat nodig is.

Workaround

Het wordt aangeraden te controleren of DES-codering wel is vereist in de omgeving of het selectievakje of specifieke services alleen DES-codering is vereist. Controleer of de service kan gebruikmaken van codering op RC4 of AES-codering of controleren of de leverancier heeft een alternatieve verificatie met sterkere cryptografie.

Hotfix 978055  (http://support.microsoft.com/kb/978055/ ) is vereist voor de domeincontrollers met Windows Server 2008 R2 type coderingsgegevens die zijn gerepliceerd van de domeincontrollers waarop Windows Server 2003 wordt de juiste manier verwerkt. Zie meer informatie hieronder.
  1. Bepaalt of de toepassing is hardcoded DES-codering gebruiken. Maar het is uitgeschakeld door de standaardinstellingen op clients waarop Windows 7 of distributiecentra sleutel (KDCs).

    Als u wilt controleren of u hebt van dit probleem last, verzamel sommige netwerk-traces en vervolgens controleren op sporen die vergelijkbaar zijn met de sporen van het volgende voorbeeld:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Bepalen of de gebruikersaccount of de computeraccount is geconfigureerd voor de DES-codering.

    Open de eigenschappen van een gebruikersaccount in de module 'Active Directory: gebruikers en Computers' en controleert u of de optie Gebruik Kerberos DES-coderingstypen voor deze account is ingesteld op het tabblad Account .
Als u de conclusie trekt dat u hebt van dit probleem last en u hebt het coderingstype DES voor Kerberos-verificatie inschakelen, inschakelen het volgende Groepsbeleid het coderingstype DES toepassen op alle computers waarop Windows 7 of Windows Server 2008 R2:
  1. In de Group Policy Management Console (GPMC), Ga naar de volgende locatie:
    Configuration\ Windows Settings\ Settings\ lokale Policies\ beveiliging beveiligingsopties
  2. Selecteer de Netwerkbeveiliging: coderingstypen is toegestaan voor Kerberos configureren optie.
  3. Klik op Deze beleidsinstellingen vastleggen en de zes selectievakjes uit voor de coderingstypen.
  4. Klik op OK. Sluit de console Groepsbeleidsbeheer.
Opmerking: Het beleid wordt de registervermelding SupportedEncryptionTypes ingesteld op een waarde van 0x7FFFFFFF. De registervermelding SupportedEncryptionTypes wordt op de volgende locatie:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Afhankelijk van het scenario, moet u wellicht dit beleid instellen op het domeinniveau van het het coderingstype DES toepassen op alle clients waarop Windows 7 of Windows Server 2008 R2. Of misschien moet u dit beleid instellen op de organisatie-eenheid (OU) van de domeincontroller voor de domeincontrollers waarop Windows Server 2008 R2 wordt uitgevoerd.

Meer informatie

De DES-toepassing compatibiliteitsproblemen optreden in de volgende twee configuraties:
  • De aanroepende toepassing is hardcoded voor DES-codering.
  • De account waarmee de service wordt uitgevoerd, is geconfigureerd voor gebruik van DES-codering.
De volgende codering type criteria moeten worden voldaan voor Kerberos-verificatie werkt:
  1. Een algemeen type bestaat tussen de client en de domeincontroller voor de verificator op de client.
  2. Een algemeen type bestaat tussen de domeincontroller en de server van de resource voor het coderen van het ticket.
  3. Een algemeen type bestaat tussen de client en de server van de resource voor de sessiesleutel.
Neem de volgende situatie:
Deze tabel samenvouwenDeze tabel uitklappen
RolOSOndersteund coderingsniveau voor Kerberos
DCWindows Server 2003RC4 en DES
Client Windows 7AES en RC4
BronserverJ2EEDES
In dit geval de criteria 1 is voldaan door de RC4-codering en 2 van de criteria is voldaan door de DES-codering. Het derde criterium is mislukt omdat de server alleen DES en omdat de client biedt geen ondersteuning voor DES.

De hotfix 978055 moet worden geïnstalleerd op alle domeincontrollers met Windows Server 2008 R2 als de volgende voorwaarden van toepassing in het domein zijn:
  • Er zijn enkele DES ingeschakelde gebruikers- of computeraccounts.
  • In hetzelfde domein is er een of meer domeincontrollers waarop Windows 2000 Server, Windows Server 2003 of Windows Server 2003 R2.
Opmerking:
  • Hotfix 978055 is vereist voor de domeincontrollers op basis van Windows Server 2008 R2 type coderingsgegevens die zijn gerepliceerd van de domeincontrollers waarop Windows Server 2003 wordt de juiste manier verwerkt.
  • De Windows Server 2008-domeincontrollers vereist niet deze hotfix is opgenomen.
  • Deze hotfix is niet vereist als het domein alleen op basis van Windows Server 2008-domeincontrollers is.
Voor meer informatie klikt u op het volgende artikel in de Microsoft Knowledge Base:
978055  (http://support.microsoft.com/kb/978055/ ) FIX: Gebruikersaccounts die DES-codering voor Kerberos-verificatie gebruiken kunnen niet worden geverifieerd in een Windows Server 2003-domein als een Windows Server 2008 R2-domeincontroller wordt toegevoegd aan het domein

De informatie in dit artikel is van toepassing op:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Trefwoorden: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtnl
Machine-translated ArticleMachine-translated Article
BELANGRIJK: Dit artikel is vertaald door middel van automatische vertalingssoftware van Microsoft en is mogelijk nabewerkt door de Microsoft Community via CTF-technologie (Community Translation Framework) of door een menselijke vertaler. Microsoft biedt zowel automatisch vertaalde, door mensen vertaalde en door de community nabewerkte artikelen aan, zodat er in meerdere talen toegang is tot alle artikelen in onze Knowledge Base. Een vertaald of bewerkt artikel kan fouten bevatten in vocabulaire, syntaxis of grammatica.. Microsoft is niet verantwoordelijk voor eventuele onjuistheden, fouten of schade ten gevolge van een foute vertaling van de inhoud van een bericht of het gebruik van deze vertaalde berichten door onze klanten.
De Engelstalige versie van dit artikel is de volgende: 977321  (http://support.microsoft.com/kb/977321/en-us/ )
Delen
Extra ondersteuningsopties
Microsoft Community Support-forums
Neem rechtstreeks contact met ons op
Een door Microsoft gecertificeerde partner zoeken
Microsoft Store