本文提供有关修复 Windows Server 2003 域控制器上发生的事件 ID 27 KDC 错误的帮助。
原始 KB 数: 2002141
现象
在包含 Windows Server 2003 域控制器和 Windows Vista 和 Windows Server 2008 或更高版本成员服务器的环境中,Windows Server 2003 域控制器可能会记录以下错误:
类型:错误事件:27 来源:KDC 类别:无计算机:事件 Msg:处理目标服务器 krbtgt/的 TGS 请求时,帐户 <帐户名称> 没有用于生成 Kerberos 票证的合适密钥(缺少的密钥 ID 为 8)。 请求的 etype 为 18。 可用的电子类型为 23 -133 -128 3 1。
原因
Windows Vista 或 Server 2008 成员服务器使用加密类型 18 (AES) 发送 TGS 请求。 Windows Server 2003 不支持 Kerberos 的此加密类型。
解决方法
在 Windows Server 2003 域控制器上记录的事件 ID 27 错误可以安全地忽略,因为它按设计。 域控制器只是通知客户端它支持的加密类型。 然后,Windows Server 2008 服务器会回退到受支持的加密类型之一。 可以修改 Windows Server 2008 使用的默认加密类型。 这可以防止错误在 Windows Server 2003 域控制器上登录。 你必须将以下注册表值添加到 Windows Server 2008 服务器。
- 路径:HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
- 值名称:DefaultEncryptionType
- 值类型:Reg_DWORD
- 值数据:0x17(23)