none
Event 27 (KDC Error) auf 2003 DC RRS feed

  • Frage

  • Hi Community,

    auf einem W2K3 DC habe ich seit ein paar Wochen die Fehler 27 (KDC):

    ---snip---

    Ereignistyp:    Fehler
    Ereignisquelle:    KDC
    Ereigniskategorie:    Keine
    Ereigniskennung:    27
    Datum:        22.04.2013
    Zeit:        09:04:03
    Benutzer:        Nicht zutreffend
    Computer:    GALAXY-1
    Beschreibung:
    Während der Verarbeitung einer TGS-Anforderung für den Zielserver krbtgt/KASTNER.LOCAL verfügte das Konto SEVEN$@KASTNER.LOCAL über keinen passenden Schlüssel zum Generieren eines Kerberos-Tickets (der fehlende Schlüssel hat die Kennung 8). Die angeforderten Verschlüsselungstypen waren 18. Die verfügbaren Verschlüsselungstypen waren 23  -133  -128  3  1.

    ---snap---

    Laut den ganzen Hinweisen die ich dazu bislang gelesen habe, tritt das Problem auf, wenn ein 2008 (R2) DC in Betrieb genommen wird. Hier kommt es wohl zu unterschiedlichen Verschlüsselungsalgorithmen bei der Anmeldung an das Active Directory. Laut einigen Anleitungen kann dieser Fehler ignoriert werden, weil dahinter nur der Client informiert wird, dass die von ihm angeforderte Verschlüsselung von diesem (W2K3) DC nicht unterstützt wird. Der Client fällt dann auf eine von diesem Server angebotene Verschlüsselung zurück...

    Soweit so gut, die Workarounds zur Beseitigung dieses Problems scheinen alle recht umfangreich zu sein, daher habe ich dazu ein paar Fragen:

    1) Der Fehler trat nicht sofort auf, nachdem ein W2K8R2 DC in Betrieb genommen wurde, sondern erst etliche Wochen später. Warum kommt der Fehler erst so spät?

    2) Kann der Fehler wirklich ignoriert werden oder steckt da ein größeres Problem dahinter? Wenn ich ihn ignorieren kann, dann würde ich das tun, denn der W2K3 DC wird die nächsten Wochen eh gegen einen weiteren W2K8R2 DC ersetzt.

    Thx & Bye Tom

    Montag, 22. April 2013 07:56

Antworten

Alle Antworten

  • Symptom

    KDC event 27 on Windows Server 2003 Domain Controller

    Cause

    The KDC event 27 is only be generated when Windows Vista/7/8 or Windows Server 2008/R2/2012 sends a TGS request using the encryption type of 18 (AES) to Windows Server 2003 Domain Controller. If Windows Vista/7/8 or Windows Server 2008/R2/2012 requests an TGS ticket from a Windows Server 2008/R2/2012 Domain Controller, event 27 will not be logged.

    Resolution

    Upgrade all Windows Server 2003 Domain Controller to Windows Server 2008/R2/2012

    More Inforamtion

    How the Kerberos Version 5 Authentication Protocol Works
    http://technet.microsoft.com/en-us/library/cc772815.aspx

    Changes in Kerberos Authentication
    http://technet.microsoft.com/en-us/library/dd560670.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net

    Montag, 29. April 2013 15:13
  • Resolution

    Upgrade all Windows Server 2003 Domain Controller to Windows Server 2008/R2/2012

    Servus,

    so ähnlich habe ich das auch recherchiert. Demnach scheint das dann wohl by Design zu sein, da Microsoft diese Kombination ja nicht explizit ausschließt. Nichts desto trotz wird auch der verbliebene W2K3 DC demnächst ausgetauscht.

    Thx & Bye Tom

    Dienstag, 30. April 2013 06:58