none
Problema de kerberos en controlador de dominio. Event 14. RRS feed

  • Pregunta

  • Hola a todos.

    En  los eventos del sistema en varios controladores de dominio (Windows 2008) se repiten constantemente eventos de tipo error procedentes del Kerberos-Key-Distribution-Center con ID de evento 14 y con el siguiente texto:

    Alert description: While processing an AS request for target service krbtgt, the account XXXXXX did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 2). The requested etypes : 18. The accounts available etypes : 23  -133  -128. Changing or resetting the password of XXXXX will generate a proper key.

    He estado mirando http://technet.microsoft.com/en-us/library/cc733991%28v=ws.10%29.aspx y otras webs pero creo que no aplican en mi caso. En nuestro caso cada vez es con una cuenta distinta y nunca con la del servicio kerberos.

    De momento no estamos teniendo problemas para validar a los clientes o consiguen el ticket en otro controlador, pero me preocupa que cada vez aparezcan más entradas y que en un momento dado empecemos a tener problemas de validación de verdad. Ocurre en controladores que centralizan la replicación del Directorio Activo pero que no validan directamente equipos de clientes, si aplicaciones integradas con el AD como MOSS, vpn, etc.

    Muchas gracias por vuestra ayuda por adelantado.

    Un saludo.

    José Manuel Soláns


    José Manuel Soláns Larrocha

    lunes, 8 de abril de 2013 16:40

Respuestas

  • Lo que tienes que tener en cuenta es que finalmente al usuario le esta llegando un paquete de kerberos utilizando AES, y el domain controller no esta aceptando AES como metodo de autenticacion, o bien el usuario o la cuenta de computadora no tienen AES habilitado.

    Las distintas opciones de configuracion de AES se encuentran en el siguiente blog http://blogs.msdn.com/b/openspecification/archive/2011/05/31/windows-configurations-for-kerberos-supported-encryption-type.aspx

    Quizas pueda ayudarte a comprender mejor cual es la solucion del problema :)


    Sebastian del Rio [MSFT] - Premier Field Engineer This posting is provided "AS IS" with no warranties, and confers no rights.

    • Marcado como respuesta jmsolans viernes, 12 de abril de 2013 13:03
    martes, 9 de abril de 2013 19:24
    Moderador

Todas las respuestas

  • El error significa que un parquete de Kerberos con encripcion AES (18) ha tratado de ser enviado al controlador de dominio, de todas maneras el controlador de dominio no esta soportando este etype como metodo de encripcion, en su lugar solo acepta 23 - 133 y 128.

    En la siguiente tabla se muestran los diferentes etypes

    Etype Value

    Encryption Type Name

    Explanation

    RFC Notation

    Microsoft Notation

    23

    rc4-hmac

    KERB_ETYPE_RC4_HMAC_NT (also RC4_HMAC_MD5 or simply RC4-HMAC)

    RC4 stream cipher with a hash-based Message Authentication Code (MAC), as used by Windows

    -133

    n/a

    KERB_ETYPE_RC4_HMAC_OLD

    n/a

    -128

    n/a

    KERB_ETYPE_RC4_MD4

    RC4 stream cipher with the MD4 hash function

    3

    des-cbc-md5

    KERB_ETYPE_DES_CBC_MD5

    DES encryption in cipher-block-chaining mode with a MD5 checksum

    1

    des-cbc-crc

    KERB_ETYPE_DES_CBC_CRC

    DES encryption in cipher-block-chaining mode with a CRC-32 checksum

    Etype Value

    Encryption Type Name

    Explanation

    RFC Notation

    Microsoft Notation

    18

    aes256-cts-hmac-sha1-96

    KERB_ETYPE_AES256_CTS_HMAC_SHA1_96

    n/a


    Normalmente este problema se daba en Windows Server 2003 ya que no soportaba AES, si mal no recuerdo, aunque en tu caso si todos los controladores de dominio son 2008, puede ser que AES no este habilitado en las cuentas de usuario ?

    http://blogs.msdn.com/b/openspecification/archive/2011/05/31/windows-configurations-for-kerberos-supported-encryption-type.aspx


    Sebastian del Rio [MSFT] - Premier Field Engineer This posting is provided "AS IS" with no warranties, and confers no rights.

    • Marcado como respuesta jmsolans miércoles, 17 de abril de 2013 14:16
    • Desmarcado como respuesta jmsolans miércoles, 17 de abril de 2013 14:16
    martes, 9 de abril de 2013 9:53
    Moderador
  • Muchas gracias por la respuesta.
    Parece que vamos encaminando el asunto. El caso es que los mismos usuarios se validan en otros controladores y no están provocando estos eventos. Estoy empezando a pensar que tiene que ver con la validación de los clientes que conectan mediante vpn. Esto se hace mediante Cisco ACS que consulta al Active Directory para validar al usuario.
    Voy a enterarme mejor de cómo estamos haciendo esto para ver si puede ser el causante. En cualquier caso, los clientes vpn se están validando.
    ¿Qué opinas?

    Muchas gracias.

    José Manuel Soláns Larrocha

    martes, 9 de abril de 2013 16:04
  • Lo que tienes que tener en cuenta es que finalmente al usuario le esta llegando un paquete de kerberos utilizando AES, y el domain controller no esta aceptando AES como metodo de autenticacion, o bien el usuario o la cuenta de computadora no tienen AES habilitado.

    Las distintas opciones de configuracion de AES se encuentran en el siguiente blog http://blogs.msdn.com/b/openspecification/archive/2011/05/31/windows-configurations-for-kerberos-supported-encryption-type.aspx

    Quizas pueda ayudarte a comprender mejor cual es la solucion del problema :)


    Sebastian del Rio [MSFT] - Premier Field Engineer This posting is provided "AS IS" with no warranties, and confers no rights.

    • Marcado como respuesta jmsolans viernes, 12 de abril de 2013 13:03
    martes, 9 de abril de 2013 19:24
    Moderador