Event-ID 27 - KDC error

[Maraun 12]

Hallo zusammen,

 

in einer Server 2003 / 2008 Domaincontroller-Mischumgebung mit Forest und Domainlevel 2003 kommt es nach der Anbindung eines Standortes auf meinen DC´s am Hauptstandort vermehrt zu folgendem Fehler:

 

Event ID 27 - KDC Error

While processing a TGS request for the target server krbtgt/XXX, the account xxx$@XXX.XX did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 8). The requested etypes were 18. The accounts available etypes were 23 -133 -128 3 1.

 

Wie beschrieben, werden am Hauptsatndort noch 2003 und 2008 R2 Server als DC´s eingesetzt. Bei dem angebundenen Standort wird ein 2008 R2 DC genutzt. Das Problem betrifft nur Clients und Server aus dem angebundenen Standort. Die DES Encryption wird bei uns nicht benötigt.

Kann mir jemand schreiben, ob der Fehler kritisch ist und wie man ihn behebt?

 

Danke vorab.

 

Grüße

Alex

[dmetzger 10]

KDC Event ID 16 or 27 is logged if DES for Kerberos is disabled

 

Auch wenn DES bei Euch lauter Deiner Aussage nicht benötigt wird: Ist DES ggf. für bestimmte AD-Objekte aktiviert oder gibt es Anwendungen, die für die Verwendung von DES konfiguriert sind, was aber bisher nicht aufgefallen ist?

[Maraun 12]

Hi

und erstmal danke für die Antwort.

Nein, DES ist bei uns nicht aktiviert.

Auch nicht bei den Konten, die im Zusammenhang mit der Meldung im Eventlog aufgelistet werden?

 

Grüße

Alex

[olc 18]

Hi,

 

schau einmal hier hinein: Changes in Kerberos Authentication

 

Es werden schlichtweg die falschen eTypes vom Client angefordert / vom DC angeboten. Woher weißt Du, daß DES nicht genutzt wird?

 

http://blogs.technet.com/b/instan/archive/2009/10/12/changes-in-default-encryption-type-for-kerberos-pre-authentication-on-vista-and-windows-7-clients-cause-security-audit-events-675-and-680-on-windows-server-2003-dc-s.aspx

 

http://support.microsoft.com/default.aspx?scid=kb;EN-US;961302

 

Viele Grüße

olc

[Maraun 12]

Hi zusammen,

 

würde gerne diesen Thread nochmals kurz aufleben lassen.

Situation bei uns hat sich nicht geändert, außer dass immer mehr Windows 7 Rechner ins Netz kommen und sich die Eventeinträge bei der Kerberos-Verschlüsselung häufen. Wäre es eine Lösung, wenn ich in der Default Domain Policy folgendes hinterlege:

 

http://support.microsoft.com/kb/977321/de

 

Danke und Grüße

Alex

[Maraun 12]

Hat noch jemand hierzu eine Idee, bzw. muss ich hier was anpassen oder ändern?

Bisher habe ich die Meldungen ignoriert da, soweit ich nachgelesen habe, der Client später eine erneute Aushandlung versucht, die dann auch irgendwann erfolgreich ist.

Bzw. sind Zugriffsprobleme hier im Netz und den angebundenen weltweiten Lokationen auch nicht bekannt. Aber wir haben auch bisher nicht wirklich viele Windows 7 Rechner ausgerollt.

 

Grüße

Alex

[olc 18]

Hi,

 

im Kern hast Du die Antwort ja schon erhalten - woher weißt Du, daß DES nicht mehr genutzt wird? Hast Du das geprüft?

 

Schneide einmal nach einem "klist purge" auf dem Windows 7 Client den Zugriff auf eine Ressource mit dem NetMon 3.4 oder WireShark mit. Der Ressourcenzugriff muß natürklich den Fehler nach sich ziehen, sprich Du mußt prüfen, welche Ressourcenzugriffe die Fehler verursachen.

 

Dann schaust Du Dir wie im KB-Artikel auch gezeigt den Trace an, um zu prüfen, ob die Frage nach DES Verschlüsselung vom Client kommt oder vom DC angeboten wird. Das grenzt das Problem schon ein.

 

Schau Dir auch noch einmal die beiden oben in meinem Post verlinkten Artikel an.

 

Viele Grüße

olc