DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 977321 - Última revisão: terça-feira, 5 de Novembro de 2013 - Revisão: 3.0

 

Sumário

Iniciar com o Windows 7, Windows Server 2008 R2 e todos os sistemas operativos do Windows posteriores, a encriptação Data Encryption Standard (DES) para a autenticação Kerberos está desactivada. Este artigo descreve vários cenários em que poderá receber os seguintes eventos nos registos de aplicação, segurança e de sistema porque a encriptação DES está desactivada:
  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS
Além disso, este artigo explica como activar a encriptação DES para a autenticação Kerberos no Windows 7 e no Windows Server 2008 R2. Para obter informações detalhadas, consulte "Sintomas," "Causa" e as secções "Como contornar" deste artigo.

Sintomas

Considere os seguintes cenários:
  • Um serviço utiliza uma conta de utilizador ou uma conta de computador que esteja configurada para apenas encriptação DES num computador que esteja a executar o Windows 7 ou Windows Server 2008 R2.
  • Um serviço utiliza uma conta de utilizador ou uma conta de computador que está configurado para apenas a encriptação DES e que se encontra num domínio com controladores de domínio baseado no Windows Server 2008 R2.
  • Um cliente que esteja a executar o Windows 7 ou Windows Server 2008 R2 liga a um serviço utilizando uma conta de utilizador ou uma conta de computador que esteja configurada para apenas a encriptação DES.
  • Uma relação de fidedignidade está configurada para apenas a encriptação DES e inclui controladores de domínio que executem o Windows Server 2008 R2.
  • Uma aplicação ou um serviço é codificado para utilizar apenas a encriptação DES.
Em qualquer um destes cenários, poderá receber os seguintes eventos nos registos de aplicação, segurança e de sistema em conjunto com a origem de Microsoft-Windows-Kerberos-Key-Distribution-Center :
Reduzir esta tabelaExpandir esta tabela
IDNome simbólicoMensagem
27KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGSEnquanto processa um pedido TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de %3). Os pedido SAPs foram %4. Os SAPs disponíveis contas foram %5.
ID de evento 27 — Configuração do tipo de encriptação KDC (http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx)
16KDCEVENT_NO_KEY_INTERSECTION_TGSEnquanto processa um pedido TGS para o servidor de destino %1, a conta %2 não tinha uma chave adequada para gerar uma permissão Kerberos (a chave em falta tem um ID de %3). Os pedido SAPs foram %4. Os SAPs disponíveis contas foram %5. Alterar ou repor a palavra-passe de %6 irá gerar uma chave apropriada.
ID de evento 16 — Chave Kerberos integridade (http://technet.microsoft.com/en-us/library/cc734142(WS.10).aspx)

Causa

Por predefinição, as definições de segurança para encriptação DES Kerberos são desactivadas nos seguintes computadores:
  • Computadores que executem o Windows 7
  • Computadores que executem o Windows Server 2008 R2
  • Controladores de domínio que executem o Windows Server 2008 R2
Nota Apoio criptográfico para Kerberos existe no Windows 7 e no Windows Server 2008 R2.Por predefinição, o Windows 7 utiliza os seguintes adiantamento encriptação AES (Standard) ou RC4 conjuntos de cifras "tipos de encriptação" e "SAPs":
  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC
Serviços que estão configurados para apenas a encriptação DES falharem, a menos que se verifiquem as seguintes condições:
  • O serviço foi reconfigurado para suportar encriptação RC4 ou para suportar a encriptação AES.
  • Todos os computadores cliente, todos os servidores e todos os controladores de domínio para o domínio da conta de serviço estão configurados para suportar encriptação DES.
Por predefinição, o Windows 7 e Windows Server 2008 R2 suportam conjuntos de cifras seguintes: conjunto de cifras o CBC-DES-MD5 e o conjunto de cifras DES-CBC-CRC podem ser activados no Windows 7 quando for necessário.

Como contornar

Recomendamos vivamente que verifique se a encriptação DES ainda é necessária no ambiente ou verificação se a serviços específicos requerem apenas encriptação DES. Verifique se o serviço pode utilizar a encriptação RC4 ou encriptação AES ou verificar se o fornecedor tem uma alternativa de autenticação que tenha mais forte criptografia.

Correcção 978055  (http://support.microsoft.com/kb/978055/ ) é necessário para os controladores de domínio baseado no Windows Server 2008 R2 processar correctamente as informações do tipo de encriptação que são replicadas a partir dos controladores de domínio que executem o Windows Server 2003. Consulte a secção de informações mais abaixo.
  1. Determine se a aplicação está pré-programado para utilizar apenas a encriptação DES. Mas está desactivado pelas predefinições de clientes que executem o Windows 7 ou centros de distribuição de chave (KDCs).

    Para verificar se são afectadas por este problema, consulte recolher alguns vestígios de rede e, em seguida, verificar a existência de vestígios semelhantes os traços de exemplo seguinte:
    Frame 1 {TCP:48, IPv4:47}    <SRC IP>   <DEST IP>  KerberosV5  KerberosV5:TGS Request Realm: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>
    
    Frame 2 {TCP:48, IPv4:47}    <DEST IP>  <SRC IP>   KerberosV5  KerberosV5:KRB_ERROR  - KDC_ERR_ETYPE_NOSUPP (14) 
    	
    0.000000  {TCP:48, IPv4:47}  <source IP> <destination IP> KerberosV5    KerberosV5:TGS Request Realm: <fqdn> Sname: HTTP/<hostname>.<fqdn> 
           - Etype: 
          + SequenceOfHeader: 
          + EType: aes256-cts-hmac-sha1-96 (18)
          + EType: aes128-cts-hmac-sha1-96 (17)
          + EType: rc4-hmac (23)
          + EType: rc4-hmac-exp (24)
          + EType: rc4 hmac old exp (0xff79)
         + TagA: 
         + EncAuthorizationData:
    
  2. Determine se a conta de utilizador ou a conta de computador está configurada para apenas a encriptação DES.

    No snap-in "Utilizadores e computadores do Active Directory", abra as propriedades da conta de utilizador e, em seguida, verifique se a opção de tipos de encriptação DES Kerberos de utilização para esta conta é definida no separador da conta .
Se concluir que são afectados por esta questão e que tem de activar o tipo de encriptação DES para a autenticação Kerberos, Active as seguintes políticas de grupo aplicar o tipo de encriptação DES para todos os computadores que executem o Windows 7 ou Windows Server 2008 R2:
  1. Na gestão da consola GPMC (Group Policy), localize a seguinte localização:
    Computador Configuration\ Windows Settings \ segurança Settings \ Local Policies\ opções de segurança
  2. Clique para seleccionar a segurança de rede: Configurar tipos de encriptação permitidos para Kerberos opção.
  3. Clique para seleccionar todas as caixas de verificação seis para os tipos de encriptação e Definir estas definições de política .
  4. Clique em OK. Feche a GPMC.
Nota A política define a entrada de registo SupportedEncryptionTypes para um valor de 0x7FFFFFFF. A entrada de registo de SupportedEncryptionTypes -se na seguinte localização:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\
Dependendo do cenário, poderá ter de definir esta política ao nível do domínio para aplicar o tipo de encriptação DES para todos os clientes que executem o Windows 7 ou Windows Server 2008 R2. Ou, poderá ter de definir esta política na unidade organizacional (UO) do controlador de domínio para controladores de domínio que executem o Windows Server 2008 R2.

Mais Informação

Os problemas de compatibilidade de aplicação de apenas DES são encontrados nas duas seguintes configurações:
  • A aplicação de chamada é codificada para apenas a encriptação DES.
  • A conta que executa o serviço está configurada para utilizar apenas a encriptação DES.
Devem ser satisfeitos os seguintes critérios de tipo de encriptação para a autenticação Kerberos trabalhar:
  1. Existe um tipo comum entre o cliente e o controlador de domínio para o autenticador no cliente.
  2. Existe um tipo comum entre o controlador de domínio e o servidor de recursos para encriptar a permissão.
  3. Existe um tipo comum entre o cliente e servidor de recursos para a chave de sessão.
Considere a seguinte situação:
Reduzir esta tabelaExpandir esta tabela
FunçãoSOSuportado o nível de encriptação para Kerberos
DCWindows Server 2003RC4 e DES
Cliente Windows 7AES e RC4
Servidor de recursosJ2EEDES
Nesta situação, os critérios 1 é satisfeita por encriptação RC4 e os critérios 2 é satisfeita por encriptação DES. O terceiro critério falha porque o servidor é só de DES e uma vez que o cliente não suporta o DES.

A correcção 978055 deve ser instalada em cada controlador de domínio baseado no Windows Server 2008 R2, caso se verifiquem as seguintes condições no domínio:
  • Existem alguns DES activadas contas de utilizador ou computador.
  • No mesmo domínio, existe um ou mais controladores de domínio que executem o Windows 2000 Server, Windows Server 2003 ou Windows Server 2003 R2.
Nota
  • 978055 De correcção é necessário para os controladores de domínio baseado no Windows Server 2008 R2 processar correctamente as informações do tipo de encriptação que são replicadas a partir dos controladores de domínio que executem o Windows Server 2003.
  • Os controladores de domínio baseado no Windows Server 2008 não requerem esta correcção.
  • Esta correcção não é necessária se o domínio tiver apenas controladores de domínio baseado no Windows Server 2008.
Para mais informações, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
978055  (http://support.microsoft.com/kb/978055/ ) CORRECÇÃO: Contas de utilizador que utilizam a encriptação DES para tipos de autenticação Kerberos não podem ser autenticadas no domínio do Windows Server 2003 depois de um controlador de domínio do Windows Server 2008 R2 adere ao domínio

A informação contida neste artigo aplica-se a:
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows 7 Enterprise
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Service Pack 1
Palavras-chave: 
kbsurveynew kbexpertiseadvanced kbtshoot kbmt KB977321 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 977321  (http://support.microsoft.com/kb/977321/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft