本文提供修正 Windows Server 2003 域控制器上發生的事件識別碼 27 KDC 錯誤的說明。
原始 KB 編號: 2002141
徵兆
在包含 Windows Server 2003 域控制器和 Windows Vista 和 Windows Server 2008 或更新成員伺服器的環境中,Windows Server 2003 域控制器可能會記錄下列錯誤:
類型:錯誤事件:27 來源:KDC 類別:無計算機:事件訊息:處理目標伺服器 krbtgt/的 TGS 要求時,帳戶 <帳戶名稱> 沒有適當的密鑰來產生 Kerberos 票證(遺漏的密鑰標識符為 8)。 要求的 etype 為 18。 可用的帳戶 etype 為 23 -133 -128 3 1。
原因
Windows Vista 或 Server 2008 成員伺服器會使用加密類型 18 (AES) 傳送 TGS 要求。 Windows Server 2003 不支援 Kerberos 的這種加密類型。
解決方法
在 Windows Server 2003 域控制器上記錄的事件識別碼 27 錯誤,可以放心地忽略,因為它是設計。 域控制器只會通知客戶端支援哪些加密類型。 Windows Server 2008 伺服器接著會回復為其中一種支援的加密類型。 可以修改 Windows Server 2008 所使用的預設加密類型。 這可防止錯誤登入 Windows Server 2003 域控制器。 您必須將下列登錄值新增至 Windows Server 2008 伺服器。
- 路徑:HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
- 數值名稱:DefaultEncryptionType
- 實值類型:Reg_DWORD
- 數值數據:0x17(23)