none
「要求された暗号化の種類はkdcによってサポートされていません」のエラー RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    質問をご覧いただきありがとうございます。

    ADでユーザ作成し、「ユーザは次回ログオン時にパスワードの変更が必要」にチェックをつけ仮パスワードを設定しました。

    そして、作成したユーザIDで社員にログインしてもらったところ、下記エラーが出ました。

    *************************************

    ログイン画面:「要求された暗号化の種類はKDCによってサポートされていません」

    イベントログ:サーバ側、クライアント側ともに関連したログのOutputはありませんでした。

    *************************************

    別のパソコンでログインしても同様のエラーが発生するため、クライアント側の問題ではなくサーバ側でのエラーと考えてますが、

    下記についてご教示いただけませんでしょうか?

    1. ユーザIDの再作成なしに該当ユーザでログインできるようにする方法

      実は以前にもこの現象は出たのですが、その時はユーザの再作成でログインできるようになりました。

      しかし、メールのバックアップを取得したり、Office365側への同期を待ったり(AD-Office365連携)し、半日仕事になってしまったため、

      ユーザの再作成なしに回避することはできませんでしょうか?

    2.そもそも原因は何でしょうか?

      色々と調べてみましたが、手がかりとなるものはありませんでした。

      今後、当事象を発生させないための改善策があればお教えいただけませんでしょうか?

    *環境*
     ・クライアント:Windows7、Windows10
     ・ADサーバ:Windows2012 R2、Windows2008 R2混合
           但し、ドメイン機能レベルは2003

    以上、よろしくお願いいたします。

    2016年4月29日 7:24
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票
    以下のKBが参考になるかもしれません。

    FIX: User accounts that use DES encryption for Kerberos authentication types cannot be authenticated in a Windows Server 2003 domain after a Windows Server 2008 R2 domain controller joins the domain
    https://support.microsoft.com/ja-jp/kb/978055

    KDC Event ID 16 or 27 is logged if DES for Kerberos is disabled
    https://support.microsoft.com/ja-jp/kb/977321

    また関連するかどうかわかりませんが、ユーザーのプロパティの「アカウント」タブに、サポートする暗号化の種類が選択できる項目があります。

    以上、参考になれば幸いです。
    • 回答の候補に設定 佐伯玲 2016年5月6日 4:07
    • 回答としてマーク SonHatto 2016年5月6日 7:10
    2016年4月29日 15:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、直接の原因は「パスワードの暗号化アルゴリズム」がサーバ・クライアント間で不一致になっていることではないのでしょうか?

    Windows Server 2003まではKDCの暗号プロトコルはRC4が使われていましたが、Windows Server 2008以降はAES256がデフォルトに変わっています。アカウントにパスワードを設定したとき、パスワードは暗号化プロトコルに依存しますが、結果パスワードの判読がうまくいかない状況になっているように思います。

    まずは、Windows Server 2008 R2やWindows Server 2012 R2に修正プログラムがすべて適用されているか、をチェックするといいかもしれません。とくにしたの情報にある修正プログラムの適用は事実上必須です。適用させた場合、いったん全サーバを再起動していただいた方がいいでしょう。

    https://blogs.technet.microsoft.com/jpntsblog/2015/10/19/windows-server-2012-r2-windows-server-2003-1/

    追記:他の方も書かれていますが、以下のWindows Server 2008 R2の修正プログラムも必要そうですね。

    https://support.microsoft.com/en-us/kb/978055

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2016年4月30日 9:51
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票
    以下のKBが参考になるかもしれません。

    FIX: User accounts that use DES encryption for Kerberos authentication types cannot be authenticated in a Windows Server 2003 domain after a Windows Server 2008 R2 domain controller joins the domain
    https://support.microsoft.com/ja-jp/kb/978055

    KDC Event ID 16 or 27 is logged if DES for Kerberos is disabled
    https://support.microsoft.com/ja-jp/kb/977321

    また関連するかどうかわかりませんが、ユーザーのプロパティの「アカウント」タブに、サポートする暗号化の種類が選択できる項目があります。

    以上、参考になれば幸いです。
    • 回答の候補に設定 佐伯玲 2016年5月6日 4:07
    • 回答としてマーク SonHatto 2016年5月6日 7:10
    2016年4月29日 15:00
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    この件ですが、直接の原因は「パスワードの暗号化アルゴリズム」がサーバ・クライアント間で不一致になっていることではないのでしょうか?

    Windows Server 2003まではKDCの暗号プロトコルはRC4が使われていましたが、Windows Server 2008以降はAES256がデフォルトに変わっています。アカウントにパスワードを設定したとき、パスワードは暗号化プロトコルに依存しますが、結果パスワードの判読がうまくいかない状況になっているように思います。

    まずは、Windows Server 2008 R2やWindows Server 2012 R2に修正プログラムがすべて適用されているか、をチェックするといいかもしれません。とくにしたの情報にある修正プログラムの適用は事実上必須です。適用させた場合、いったん全サーバを再起動していただいた方がいいでしょう。

    https://blogs.technet.microsoft.com/jpntsblog/2015/10/19/windows-server-2012-r2-windows-server-2003-1/

    追記:他の方も書かれていますが、以下のWindows Server 2008 R2の修正プログラムも必要そうですね。

    https://support.microsoft.com/en-us/kb/978055

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2016年4月30日 9:51
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    やき様

    今回のエラーの原因が少しわかったような気がします。

    KBをあてるにも、ADサーバへの影響が懸念されるのでいったん社内で検討いたします。

    ありがとうございました!
    • 編集済み SonHatto 2016年5月6日 7:22
    2016年5月6日 7:15
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    回答ありがとうございました。

    今回のエラーの原因が少しわかったような気がします。

    KBをあてるにも、ADサーバへの影響が懸念されるのでいったん社内で検討いたします。

    ありがとうございました。

    2016年5月6日 7:19
    |