Kerberos の DES が無効になっている場合、KDC イベント ID 16 または 27 がログに記録されます

  • [アーティクル]

この記事では、Windows 7 および Windows Server 2008 R2 で Kerberos 認証の DES 暗号化を有効にする方法について説明します。

適用対象: Windows 7 Service Pack 1、Windows Server 2008 R2 Service Pack 1
元の KB 番号: 977321

まとめ

Windows 7、Windows Server 2008 R2、およびそれ以降のすべての Windows オペレーティング システム以降では、Kerberos 認証用の Data Encryption Standard (DES) 暗号化は無効になっています。 この記事では、DES 暗号化が無効になっているため、アプリケーション ログ、セキュリティ ログ、およびシステム ログで次のイベントを受信する可能性があるさまざまなシナリオについて説明します。

  • KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS
  • KDCEVENT_NO_KEY_INTERSECTION_TGS

さらに、この記事では、Windows 7 および Windows Server 2008 R2 で Kerberos 認証の DES 暗号化を有効にする方法について説明します。 詳細については、この記事の「現象」、「原因」、「回避策」の各セクションを参照してください。

現象

以下のようなシナリオが考えられます。

  • サービスでは、Windows 7 または Windows Server 2008 R2 を実行しているコンピューター上で DES 暗号化のみを構成するユーザー アカウントまたはコンピューター アカウントを使用します。
  • サービスは、DES 暗号化専用に構成され、Windows Server 2008 R2 ベースのドメイン コントローラーと共にドメイン内にあるユーザー アカウントまたはコンピューター アカウントを使用します。
  • Windows 7 または Windows Server 2008 R2 を実行しているクライアントは、DES 暗号化専用に構成されたユーザー アカウントまたはコンピューター アカウントを使用してサービスに接続します。
  • 信頼関係は DES 暗号化専用に構成され、Windows Server 2008 R2 を実行しているドメイン コントローラーが含まれます。
  • アプリケーションまたはサービスは、DES 暗号化のみを使用するようにハードコーディングされています。

これらのシナリオでは、アプリケーション、セキュリティ、およびシステム のログで、 Microsoft-Windows-Kerberos-Key-Distribution-Center ソースと共に次のイベントを受け取ることがあります。

ID シンボリック名 メッセージ
27 KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS ターゲット サーバー %1 に対する TGS 要求の処理中に、アカウント %2 に Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は %3 です)。 要求された etype は %4 でした。 使用可能な etype のアカウントは %5 でした。
イベント ID 27 - KDC 暗号化の種類の構成
16 KDCEVENT_NO_KEY_INTERSECTION_TGS ターゲット サーバー %1 に対する TGS 要求の処理中に、アカウント %2 に Kerberos チケットを生成するための適切なキーがありませんでした (欠落しているキーの ID は %3 です)。 要求された etype は %4 でした。 使用可能な etype のアカウントは %5 でした。 %6 のパスワードを変更またはリセットすると、適切なキーが生成されます。
イベント ID 16 - Kerberos キーの整合性

原因

既定では、Kerberos の DES 暗号化のセキュリティ設定は、次のコンピューターでは無効になっています。

  • Windows 7 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているコンピューター
  • Windows Server 2008 R2 を実行しているドメイン コントローラー

Note

Kerberos の暗号化のサポートは、Windows 7 と Windows Server 2008 R2.By 既定で存在します。Windows 7 では、"暗号化の種類" と "etypes" に次の Advance Encryption Standard (AES) または RC4 暗号スイートが使用されます。

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

DES 暗号化専用に構成されているサービスは、次の条件に該当しない限り失敗します。

  • サービスは、RC4 暗号化をサポートするか、AES 暗号化をサポートするように再構成されます。
  • サービス アカウントのドメインのすべてのクライアント コンピューター、すべてのサーバー、およびすべてのドメイン コントローラーは、DES 暗号化をサポートするように構成されます。

既定では、Windows 7 および Windows Server 2008 R2 では、次の暗号スイートがサポートされています。DES-CBC-MD5 暗号スイートと DES-CBC-CRC 暗号スイートは、必要に応じて Windows 7 で有効にすることができます。

回避策

環境内で DES 暗号化が引き続き必要かどうかを確認するか、特定のサービスで DES 暗号化のみが必要かどうかを確認することを強くお勧めします。 サービスで RC4 暗号化または AES 暗号化を使用できるかどうかを確認するか、ベンダーがより強力な暗号化を持つ認証の代替手段を持っているかどうかを確認します。

Windows Server 2008 R2 ベースのドメイン コントローラーが、Windows Server 2003 を実行しているドメイン コントローラーからレプリケートされる暗号化の種類の情報を正しく処理するには、修正プログラムの 978055 が必要です。 詳細については、以下のセクションを参照してください。

  1. アプリケーションが DES 暗号化のみを使用するようにハードコーディングされているかどうかを判断します。 ただし、Windows 7 を実行しているクライアントまたはキー配布センター (KDC) では、既定の設定では無効になっています。

    この問題の影響を受けるかどうかを確認するには、いくつかのネットワーク トレースを収集し、次のサンプル トレースのようなトレースがあるかどうかを確認します。

    フレーム 1 {TCP:48, IPv4:47} <SRC IP><DEST IP> KerberosV5 KerberosV5:TGS 要求領域: CONTOSO.COM Sname: HTTP/<hostname>.<FQDN>

    フレーム 2 {TCP:48, IPv4:47} <DEST IP><SRC IP> KerberosV5 KerberosV5:KRB_ERROR - KDC_ERR_ETYPE_NOSUPP (14)

    0.000000 {TCP:48, IPv4:47} <source IP><destination IP> KerberosV5 KerberosV5:TGS 要求領域: <fqdn> Sname: HTTP/<hostname>.<fqdn>
    -Etype:
    +SequenceOfHeader:
    +EType: aes256-cts-hmac-sha1-96 (18)
    +EType: aes128-cts-hmac-sha1-96 (17)
    +EType: rc4-hmac (23)
    +EType: rc4-hmac-exp (24)
    +EType: rc4 hmac old exp (0xff79)
    +TagA:
    +EncAuthorizationData:

  2. ユーザー アカウントまたはコンピューター アカウントが DES 暗号化専用に構成されているかどうかを確認します。

    [Active Directory ユーザーとコンピューター] スナップインで、ユーザー アカウントのプロパティを開き、[Account] タブで Use Kerberos DES encryption types for this account オプションが設定されているかどうかを確認します。

この問題の影響を受け、Kerberos 認証の DES 暗号化の種類を有効にする必要があると結論付けた場合は、次のグループ ポリシーを有効にして、Windows 7 または Windows Server 2008 R2 を実行しているすべてのコンピューターに DES 暗号化の種類を適用します。

  1. グループ ポリシー管理コンソール (GPMC) で、次の場所を見つけます。

    コンピューターの構成\ Windows の設定\ セキュリティ設定\ ローカル ポリシー\ セキュリティ オプション

  2. [ネットワーク セキュリティ: Kerberos で許可される暗号化の種類を構成する] オプションをクリックして選択します。

  3. クリックして これらのポリシー設定を定義し 暗号化の種類に関する 6 つのチェック ボックスをすべてオンにします。

  4. OK をクリックします。 GPMC を閉じます。

Note

ポリシーは、 SupportedEncryptionTypes レジストリ エントリを 0x7FFFFFFF の値に設定します。 SupportedEncryptionTypes レジストリ エントリは、次の場所にあります。

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\parameters\

シナリオによっては、このポリシーをドメイン レベルで設定して、Windows 7 または Windows Server 2008 R2 を実行しているすべてのクライアントに DES 暗号化の種類を適用する必要がある場合があります。 または、Windows Server 2008 R2 を実行しているドメイン コントローラーのドメイン コントローラーの組織単位 (OU) でこのポリシーを設定する必要がある場合があります。

詳細

DES のみのアプリケーション互換性の問題は、次の 2 つの構成で発生します。

  • 呼び出し元のアプリケーションは、DES 暗号化専用にハードコードされます。
  • サービスを実行するアカウントは、DES 暗号化のみを使用するように構成されています。

Kerberos 認証を機能させるには、次の暗号化の種類の条件を満たす必要があります。

  1. クライアントと、クライアント上の認証子のドメイン コントローラーの間に共通の型が存在します。
  2. チケットを暗号化するために、ドメイン コントローラーとリソース サーバーの間に共通の種類が存在します。
  3. セッション キーのクライアントとリソース サーバーの間に共通の型が存在します。

次の状況を検討します。

ロール OS Kerberos でサポートされている暗号化レベル
DC Windows Server 2003 RC4 と DES
クライアント Windows 7 AES と RC4
リソース サーバー J2EE DES

このような状況では、条件 1 は RC4 暗号化によって満たされ、条件 2 は DES 暗号化によって満たされます。 3 番目の条件は、サーバーが DES 専用であり、クライアントが DES をサポートしていないために失敗します。

ドメインで次の条件が満たされている場合は、各 Windows Server 2008 R2 ベースのドメイン コントローラーに修正プログラム 978055をインストールする必要があります。

  • DES 対応のユーザーまたはコンピューター アカウントがいくつかあります。
  • 同じドメインには、Windows 2000 Server、Windows Server 2003、または Windows Server 2003 R2 を実行している 1 つ以上のドメイン コントローラーがあります。

Note

  • Windows Server 2008 R2 ベースのドメイン コントローラーが、Windows Server 2003 を実行しているドメイン コントローラーからレプリケートされる暗号化の種類の情報を正しく処理するには、修正プログラムの978055が必要です。
  • Windows Server 2008 ベースのドメイン コントローラーでは、この修正プログラムは必要ありません。
  • ドメインに Windows Server 2008 ベースのドメイン コントローラーしかない場合、この修正プログラムは必要ありません。

詳細については、次の記事の番号をクリックして表示される Microsoft サポート技術情報の記事を参照してください。

978055 修正: Kerberos 認証の種類に DES 暗号化を使用するユーザー アカウントは、Windows Server 2008 R2 ドメイン コントローラーがドメインに参加した後、Windows Server 2003 ドメインで認証できません