下記の環境にて、Windows Server 2003のドメインコントローラ(DC)のシステムログに、KDC(27)のエラーログが断続的に記録されていることが確認された。
■環境
・組織のLANにてドメインを構築
・ドメインコントローラはWindows Server 2008とWindows Server 2003 R2混在
・ドメインクライアントは、XPとVista混在
■記録されたイベントログ
イベントの種類: エラー
イベント ソース: KDC
イベント カテゴリ: なし
イベント ID: 27
日付: 2010/02/25
時刻: 15:23:13
ユーザー: N/A
コンピュータ: COMPUTERNAME
説明:
対象のサーバー krbtgt/DOMAIN.LOCAL に対する TGS 要求を処理するときに、アカウント xxxxxx$@DOMAIN.LOCAL に Kerberos チケットを生成するための適切なキーがありませんでした (そのキーには 8 の ID が あります)。要求された ETYPE は 18 でした。アカウントで利用できる ETYPE は 23 -133 -128 3 1 でした。
詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサポート センター] を参照してください。
※「アカウント xxxxxx$@DOMAIN.LOCAL」のxxxxxxの部分には、Windows VistaのPC名、もしくはそのPC上にログオンしたと思われるユーザーアカウントが記載される。
■調査内容
調査により、以下のマイクロソフトフォーラムのページにたどり着いた。
http://social.technet.microsoft.com/Forums/en/winserverDS/thread/29f55875-f3ee-476c-9d74-94f1b74edb31
このページによると、KDC(27)よりもKDC(26)のほうが主に記録されているとのことだが、下記の現象が記載されており、私が確認した状況と非常に似ている為、今回の調査にあたり参考にした。
<記載されていた現象>----------------
・組織のLANにてドメインを構築
・ドメインコントローラはWindows Server 2008とWindows Server 2003 R2混在
・ドメインクライアントは、XPとVista混在・ログはWindows Server 2003のDCのみに記録される
・ログの説明欄には、VistaPCもしくはそのPC上にログオンしたと思われるユーザーアカウントに関する情報のみが登録される。
------------------------------------
上記ページの回答を読むと、以下のような内容が確認された。
<記載されていた回答>----------------
(※以下の内容は、私が直訳した内容+自分なりの解釈を追加して記載したものであり、内容の成否については保証しない。)
Vistaでは、ケルベロス認証プロトコルは以下のように改善された。
1.AES support
2.Improved security for Kerberos Key Distribution Centers (KDCs) located on branch office domain controllers
一般的に、VistaとWindows Server 2008の環境であれば、チケット交換にはAESが使用される。
しかし、もし一部にWindows 2000 Professional, Windows 2000 Server, Windows XP, or Windows Server 2003が存在すれば、チケット交換にはAESは使用されない。
上記環境の場合、KDC(26/27)イベントエラーの原因は、クライアントPCが、2003のDCではサポートされておらず、かつ2008のDCではサポートされている暗号化方式でサービスチケット要求を送ることにある。
仕様であるとの理由で、2003のDCに保存されたエラーログは安全に無視することができる。
2003のDCは、クライアントに「どの暗号化方式がサポートされているか」を伝えているだけである。
Vistaのクライアントは、環境内でサポートされているタイプの暗号化方式に引き下げて暗号化を継続する。
------------------------------------
たしかに、エラーログを見ると「要求されたETYPEは○○でした」。アカウントで利用できるETYPEは「○○、××、△△でした」というように"過去形"での表現となっていることからも、「最終的には使用できる暗号化方式で暗号化したけど、一応利用できた暗号化方式を報告しておきますね」という事後報告として捉えられなくもないような…。
というわけで、上記内容と、実際にクライアント側で不都合が起きていないことを踏まえ、最終的に「特別な対処は不要」という結論に落ち着いた。
(追記)
せめてイベントログを表示させなくするような方法があればいいのだが…。
0 件のコメント:
コメントを投稿