none
KDC-Fehler 27 an W2K3-DCs nach Installation von W2K8R2-DCs RRS feed

  • Frage

  • Hallo,

    wir haben folgende Konstellation: Domäne im Windows Server 2003 Native-Mode, noch 2 "alte" Windows Server 2003-Domaincontroller und 3 neue Windows Server 2008 R2-Domaincontroller, die auch die FSMO-Rollen tragen.

    Nun erhalten wir immer mal wieder an den 2003er-DCs folgende System-Ereignisprotokoll-Einträge: EventID: 27, Fehler, Quelle: KDC, Beschreibung: Während der Verarbeitung einer TGS-Anforderung für den Zielserver krbtgt/DOMAIN.LOCAL verfügte das Konto PC$@DOMAIN.LOCAL über keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat die Kennung 8). Die angeforderten Verschlüsselungstypen waren 18. Die verfügbaren Verschlüsselungstypen waren 23  -133  -128  3  1.

    Weitere Fehler oder Ausfälle treten augenscheinlich nicht auf, allerdings will ich den Fehler auch nicht ignorieren.
    Ich habe zu diesem Thema eigentlich nur den KB-Artikel http://support.microsoft.com/kb/978055/en-us gefunden, der aber eigentlich nicht ganz auf unser Problem zutrifft.

    Kann mir da vielleicht jemand weiterhelfen?

    Vielen Dank schonmal!

    Montag, 16. Mai 2011 06:27

Antworten

Alle Antworten

  • Hi,

    prüfe bitte einmal an den DCs welche Tickets diese aktuell besitzen:

    klist tickets (vom Resource Kit)

    Zusätzlich bitte prüfen:
    http://support.microsoft.com/kb/977321

    Montag, 16. Mai 2011 07:19
  • Hi,

    klist tickets von einem der beiden W2K3-DCs, die den Fehler aufweisen liefert folgende Ausgabe:

    Cached Tickets: (4)

       Server: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 5/16/2011 20:50:36
          Renew Time: 5/23/2011 10:50:36


       Server: krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 5/16/2011 20:50:36
          Renew Time: 5/23/2011 10:50:36


       Server: cifs/DC3.DOMAIN.local@DOMAIN.LOCAL
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 5/16/2011 20:50:36
          Renew Time: 5/23/2011 10:50:36


       Server: host/DC0.DOMAIN.local@DOMAIN.LOCAL
          KerbTicket Encryption Type: RSADSI RC4-HMAC(NT)
          End Time: 5/16/2011 20:50:36
          Renew Time: 5/23/2011 10:50:36

     

    DES-Verschlüsselung nach dem oben aufgeführten KB-Artikel 977321 wird nirgends verwendet. Allerdings ist mir in diesem Artikel folgende Zusatzinfo aufgefallen:

    Hotfix 978055 is required for the Windows Server 2008 R2-based domain controllers to correctly handle encryption type information that is replicated from the domain controllers that are running Windows Server 2003.

    Das deutet dann doch darauf hin, dass ich diesen Hotfix mal installieren sollte, oder sehe ich das falsch?

     

    Montag, 16. Mai 2011 09:06
  • >Das deutet dann doch darauf hin, dass ich diesen Hotfix mal installieren sollte, oder sehe ich das falsch?

    Richtig, deshalb hatte ich diesen Artikel gepostet.
    Die Erkärung steht auch dabei:

    When a Windows Server 2008 R2 domain controller authenticates the user account, the domain controller reads this encryption type information from the data structure that is used by the Windows Server 2003 domain controller. It should then copy this encryption type information to a different data structure. However, the information is not copied as expected. Therefore, authentication fails.

    Also Hotfix installieren, booten und abwarten ;)

    Montag, 16. Mai 2011 11:33
  • Also Hotfix installieren, booten und abwarten ;)

    So, jetzt hab ich den Hotfix geladen und wollte grade anfangen, zu installieren. Dummerweise meldet mir das "Eigenständige Windows Update-Installationsprogramm", dass das Update nicht für diesen Computer geeignet sei... Installations-Eventlog: Fehler ID3, Quelle: WUSA, Fehlernummer 2149842967

    Vielleicht verträgt sich der Hotfix nicht mit dem Servicepack1 für W2K8-R2...?! Jetzt ist guter Rat teuer...


    Montag, 16. Mai 2011 12:21
  • >Vielleicht verträgt sich das Hotfix nicht mit dem Servicepack1 für W2K8-R2...?! Jetzt ist guter Rat teuer...

    Ich habe gerade nachgesehen, das Update ist im SP1 bereits eingeschlossen.

    Sind alle 2008er DCs auf SP1?

    Andernfalls kannst du natürlich DES deaktivieren (wenn es nicht benötigt wird).
    Wie es zu deaktivieren ist, ist ebenfalls im Artikel beschrieben.

     

     

    Montag, 16. Mai 2011 12:37
  • >Sind alle 2008er DCs auf SP1?

    Ja! Aber wenn der Hotfix im SP1 enthalten ist, dürfte der Fehler so ja eigentlich gar nicht auftreten...!?

    >Andernfalls kannst du natürlich DES deaktivieren (wenn es nicht benötigt wird).

    Laut dem Artikel müsste ich wahrscheinlich eher DES auf den 2008ern aktivieren, damit der Fehler verschwindet, oder?



    Montag, 16. Mai 2011 13:01
  • Also, ich hab jetzt mal folgendes gemacht:

    "If you conclude that you are affected by this issue and that you have to turn on the DES encryption type for Kerberos authentication, enable the following Group Policies to apply the DES encryption type to all computers that are running Windows 7 or Windows Server 2008 R2:

    1.     In the Group Policy Management Console (GPMC), locate the following location:

    Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options

    2.     Click to select the Network security: Configure encryption types allowed for Kerberos option.

    3.     Click to select Define these policy settings and all the six check boxes for the encryption types.

    4.     Click OK. Close the GPMC."

     

    Dann diese Richtlinie auf Domänen-Ebene eingehängt (sie zieht ja eh nur für W2K8-R2 und Win7-Maschinen) und jetzt beobachte ich das mal.

     

    Montag, 16. Mai 2011 13:43
  • >Laut dem Artikel müsste ich wahrscheinlich eher DES auf den 2008ern aktivieren, damit der Fehler verschwindet, oder?

    Je mach dem.

    Es gibt zwei Möglichkeiten:

    1. DES komplett deaktivieren, dann sollten auch keine Anfragen mehr an den DCs auftauchen

    oder

    2. DES aktivieren (wie im Artikel beschrieben), dann muss allerdings das Zusammenspiel mit den W2K3 Domaincontrollern
    passen (was ja eigentlich das Hotfix richten sollte)

    Wenn du dir nicht sicher bist, ob ihr DES-Encryption benötigt, solltest du die Variante 1. wählen,
    wobei fraglich ist, ob nichts desto trotz wieder Fehler im Eventlog auftauchen werden.

    Warte am besten einmal ein paar Tage ab.

     

     

    Montag, 16. Mai 2011 16:25
  • Hallo,

    jetzt habe ich das ganze mal eine Weile laufen lassen, leider hat sich keinerlei Änderung ergeben. DES ist wie im Artikel beschrieben aktiviert, trotzdem tauchen die Fehler an den W2K3-DCs weiterhin auf.

    DES komplett deaktivieren macht ja eigentlich keinen Sinn, wenn man nicht genau sagen kann, dass man es nicht mehr braucht, oder?

    Gibt es vielleicht noch andere Ideen? Ich kann mir eigentlich nicht vorstellen, dass das nur bei uns auftaucht, das ist ja eigentlich eine Standard-Migration...?!

    Gruß Marco

    Donnerstag, 19. Mai 2011 06:08
  • >Gibt es vielleicht noch andere Ideen

    Den Fehler zu ignorieren.

    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/0d47e693-42e3-472a-94dd-850e0b9f6cff/

    Was du noch machen kannst, einen klist auf dem Client und dann einen Vergleich durchführen:

    http://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx

    Donnerstag, 19. Mai 2011 08:48
  • > Den Fehler zu ignorieren.

    Na gut, dann schau ich jetzt einfach, dass ich die W2K3-DCs noch wegbekomme, dann ist das Thema erledigt.

    Vielen Dank!

    Donnerstag, 19. Mai 2011 09:13