この記事では、Windows Server 2003 ドメイン コントローラーで発生するイベント ID 27 KDC エラーを修正するためのヘルプを提供します。
元の KB 番号: 2002141
現象
Windows Server 2003 ドメイン コントローラーと Windows Vista および Windows Server 2008 以降のメンバー サーバーの両方を含む環境では、Windows Server 2003 ドメイン コントローラーで次のエラーが記録されることがあります。
種類: エラー イベント: 27 ソース: KDC カテゴリ: なし コンピューター: イベント メッセージ: ターゲット サーバー krbtgt/に対する TGS 要求の処理中に、アカウント <アカウント名> Kerberos チケットを生成するための適切なキーがありませんでした (不足しているキーの ID は 8 です)。 要求された etype は 18 でした。 使用可能な etype のアカウントは 23 -133 -128 3 1 でした。
原因
Windows Vista または Server 2008 メンバー サーバーは、18 (AES) の暗号化の種類を使用して TGS 要求を送信しています。 Windows Server 2003 では、Kerberos ではこの暗号化の種類はサポートされていません。
解決方法
Windows Server 2003 ドメイン コントローラーに記録されているイベント ID 27 エラーは、設計上無視しても問題ありません。 ドメイン コントローラーは、サポートされている暗号化の種類をクライアントに通知するだけです。 その後、Windows Server 2008 サーバーは、サポートされている暗号化の種類のいずれかにフォールバックします。 Windows Server 2008 で使用される既定の暗号化の種類を変更できます。 これにより、Windows Server 2003 ドメイン コントローラーにエラーが記録されなくなります。 Windows Server 2008 サーバーに次のレジストリ値を追加する必要があります。
- パス: HKLM\System\CurrentControlSet\Control\LSA\Kerberos\Parameters
- 値の名前: DefaultEncryptionType
- 値の種類: Reg_DWORD
- 値データ: 0x17(23)