2012年06月01日
Kerberos認証トラブル
またトラブルの話ですが、おいらの社内でWindows VistaとWindows Server 2008のみがドメインユーザーでログオンできなくなるという障害が発生しました。ログを追っていくとKerberos認証関連が原因だということが分かったのですが、結論から言うとVistaのバグっぽいですね。Microsoftは「仕様」だと言うでしょうけど。
Kerberosの暗号化方式には
1. DES_CBC_CRC
2. DES_CBC_MD5
3. RC4_HMAC_MD5
4. AES128_HMAC_SHA1
5. AES256_HMAC_SHA1
の5種類が定義されていて、XP以前はRC4が、そしてVista以降はAESが使用されるようです。DESは外部認証に使われるものでWindows内では使用されないのですが、おいらの会社はSAP ERPのシングルサインオンで使用しているので、グループポリシーでDESも有効にしています。
そして問題はAESなのですが、ポリシーの設定でミスがあって、AES128は許可、AES256は不許可になってたんですよね。XPはそもそもAESを使えないので問題なし、Windows7も、128を使うので問題なしなのですが、なぜかVistaだけはAES128だけが使える設定でも、サーバ側にすべての暗号化方式許可と通知してしまうらしく、ドメインコントローラはAES256での認証を試みて失敗、という流れです。なので問題が起きるのはVistaと、同じ世代のWindows Server 2008のみ。Windows7で仕様変更が行われているわけなので要するにバグだとは思いますが、このめんどくさいトラブルのおかげでいくらかのユーザーが困ってしまいました。一応、なんでこんな「仕様」なんだと継続してサポートには追求していますが、MSもしっかりしてもらいたいものです。
Kerberosの暗号化方式には
1. DES_CBC_CRC
2. DES_CBC_MD5
3. RC4_HMAC_MD5
4. AES128_HMAC_SHA1
5. AES256_HMAC_SHA1
の5種類が定義されていて、XP以前はRC4が、そしてVista以降はAESが使用されるようです。DESは外部認証に使われるものでWindows内では使用されないのですが、おいらの会社はSAP ERPのシングルサインオンで使用しているので、グループポリシーでDESも有効にしています。
そして問題はAESなのですが、ポリシーの設定でミスがあって、AES128は許可、AES256は不許可になってたんですよね。XPはそもそもAESを使えないので問題なし、Windows7も、128を使うので問題なしなのですが、なぜかVistaだけはAES128だけが使える設定でも、サーバ側にすべての暗号化方式許可と通知してしまうらしく、ドメインコントローラはAES256での認証を試みて失敗、という流れです。なので問題が起きるのはVistaと、同じ世代のWindows Server 2008のみ。Windows7で仕様変更が行われているわけなので要するにバグだとは思いますが、このめんどくさいトラブルのおかげでいくらかのユーザーが困ってしまいました。一応、なんでこんな「仕様」なんだと継続してサポートには追求していますが、MSもしっかりしてもらいたいものです。
