none
Windows 2008 R2 域控制器加入到Windows 2003 域中导致Windows 2003报KDC 事件 ID 27及事件 ID 29 RRS feed

  • 问题

  • 环境:

    Windows server 2003 sp2企业版做DC 的AD域,有使用exchange server 2003 sp2,客户端有windows 7/8,及部分windows XP

    只有几台应用服务器和少部分客户端加入了域。

    症状:

    当一台Windows 2008 R2 (企业版with sp1)加入到Windows 2003 域中,并升级为域控制器后,导致Windows 2003 DC经常报KDC 事件, ID:27 (我这里没有报ID:16的错误

    在处理目标服务器 krbtgt/GZCSS.NET 的 TGS 请求时,帐户 PC001$@GZCSS.NET 没有适用的 密钥以生成 Kerberos 票证(丢失的密钥的 ID 是 8)。 请求的 etype 是 18。帐户可用的 etype 是 23  -133  -128  3  1。

      这里的帐号都是加入域的计算机帐号,没有用户帐号。

    Windows 2008 R2 的DC上有如下相关事件:

    日志名称:          System
    来源:            Microsoft-Windows-Kerberos-Key-Distribution-Center
    事件 ID:         29
    描述:
    密钥发行中心(KDC)找不到相应的证书用于智能卡登录,或者无法验证 KDC 证书。如果不解决该问题,智能卡登录可能不会正常工作。若要更正该问题,请使用 certutil.exe 验证现有的 KDC 证书或注册新的 KDC 证书。

    我在网上查到下面的相关文章:

    KDC Event ID 16 or 27 is logged if DES for Kerberos is disabled
    https://support.microsoft.com/zh-cn/kb/977321

    其中提到的hotfix提供的hotfix在我的Windows 2008 R2 DC上无法使用,提示不适用于这台机(不知道原因)。(hotfix链接如下)

    https://support.microsoft.com/en-us/kb/978055

    另一篇文章中也没有详细解说怎么配置KDC Encryption Type

    Event ID 27 — KDC Encryption Type Configuration
    https://technet.microsoft.com/en-us/library/cc733974(WS.10).aspx

    我已在域组策略中配置域成员服务器及域客户端启用所有加密类型,但未能解决问题:

    1.在组策略管理控制台 (GPMC),找到位于以下位置:
    计算机 Configuration\ Windows Settings\ 安全 Settings\ 本地 Policies\ 安全选项
    2.单击以选中网络安全: 配置加密类型允许 Kerberos 的选项。
    3.单击以选择定义这些策略设置和加密类型的所有六个的复选框。

    哪位专家还有更好的建议吗?


    magic

    2015年10月13日 13:58

全部回复