Las cuentas de usuario/máquina configuradas para utilizar sólo DES no pueden obtener tickets Kerberos con la configuración por defecto de Windows 7 o Windows Server 2008 R2

  • Article

Hola a todos. Empezamos el año con una breve nota sobre Windows Server 2008 R2.

Hemos tenido últimamente varios casos en los que determinados servicios configurados para utilizar únicamente encriptación DES no son capaces de obtener un ticket Kerberos.

Esto se debe a que en Windwos Server 2008 R2 y Windows 7 los tipos de encriptación DES están deshabilitados por defecto. Si no modificamos la configuración, las suites de encriptación soportadas son las siguientes:

  • AES256-CTS-HMAC-SHA1-96
  • AES128-CTS-HMAC-SHA1-96
  • RC4-HMAC

No obstante, si es necesario, se pueden habilitar tanto DES-CBC-MD5 como DES-CBC-CRC.

Supongamos que tenemos una aplicación que no es capaz de obtener tickets Kerberos en un entorno donde los DCs son Windows Server 2008 R2. Si echamos un vistazo al visor de sucesos de los DCs probablemente nos encontraremos con eventos con ID 16 y 27 con origen Microsoft-Windows-Kerberos-Key-Distribution-Center.

ID: 27

Source: Microsoft-Windows-Kerberos-Key-Distribution-Center

Symbolic Name: KDCEVENT_UNSUPPORTED_ETYPE_REQUEST_TGS

Message: While processing a TGS request for the target server %1, the account %2 did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of %3). The requested etypes were %4. The accounts available etypes were %5.

ID: 16

Source: Microsoft-Windows-Kerberos-Key-Distribution-Center

Symbolic Name: KDCEVENT_NO_KEY_INTERSECTION_TGS

Message: While processing a TGS request for the target server %1, the account %2 did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of %3). The requested etypes were %4. The accounts available etypes were %5. Changing or resetting the password of %6 will generate a proper key.

 

En este caso, habría que determinar si la aplicación, efectivamente, sólo puede utilizar DES. Si no es posible configurar la aplicación para utilizar métodos de encriptación más fuertes y es necesario el uso de Kerberos, se podrá proceder a habilitar el tipo de encriptación DES para la autenticación Kerberos en las máquinas Windows 7 o Windows Server 2008 R2:

  1. Acceder a la siguiente política:

    Computer Configuration\ Windows Settings\ Security Settings\ Local Policies\ Security Options

  2. Seleccionar la opción Network security: Configure encryption types allowed for Kerberos 

  3. Seleccionar Define these policy settings y marcar todas las casillas de métodos de encriptación para habilitarlos todos.

  4. Aceptar los cambios.

Esta información se puede encontrar de forma más detallada en el siguiente artículo:

977321 The security principals and the services that use only DES encryption for Kerberos authentication are incompatible with the default settings on a computer that is running Windows 7 or Windows Server 2008 R2

Espero que la información os resulte de utilidad.

- Paula Tomás Galed