Exchange 2016およびServer 2016 DC：不明なKDC暗号化タイプ

チーム、

Exchange環境はすべて2016年であり、混在していません。親ドメインと子ドメインは存在しますが、各ドメインとフォレストの機能レベルは2012R2です。すべてのドメインコントローラーは、最近まで2012R2でした。 ADチーム（私とは異なります）がServer 2016ドメインコントローラーを導入し、問題が発生したと思います。症状は次のとおりです。

親ドメインのサーバーでメールがスタックし、宛先が子ドメインになります。キューのエラーは "454 4.7.0 Temporary Authentication error"であり、イベントログの関連イベントはイベントID 2017、ソース：MSExchangeTransport、メッセージは次のとおりです。

「送信認証は送信コネクタIntra-Organization SMTP送信コネクタのエラーKdcUnknownEncryptionTypeで失敗しました。認証メカニズムはExchangeAuthです。ターゲットはSMTPSVC/server fqdnです。」

メールは子ドメインから親ドメインに問題なく流れます。前に言ったように、起こった最も重要な変更は、単にServer 2016 DCを導入することだと思います。一時的に修正するために、メッセージがスタックしているサーバーを再起動すると、しばらくの間動作します。これは本当にKerberosの問題のようです。

編集：ASAもセットアップされていますが、すべてのExchangeサーバー、DC、およびこのASA間でサポートされる暗号化タイプはすべて「28」です。

グーグル検索は時間同期問題を提案します、しかし私はExchangeサーバーとドメインコントローラーの両方をチェックしました、そして、物事は正確に同期しているようです。レプリケーションの状態も確認しましたが、問題はないようです。また、SPNの重複または不正をチェックしたところ、何も見つかりませんでした。ただし、SPNについて調査できることは他にもありますか？彼らが要求/使用しているのはどのような暗号化なのか？ケルベロスについてはあまり知りません。

編集：別のメモとして、GPOを使用して、宛先サーバーからRC4-HMACを削除しました。その結果、klist ticketsコマンドは正しい「AES ...」を表示しましたが、その後、Powershellが壊れました...「考えられる原因」は次のとおりです。

• "ユーザー名もしくはパスワードが無効です"
• 「認証方法とユーザー名が指定されていない場合に使用されるKerberos」
• 「Kerberosはドメインユーザー名を受け入れますが、ローカルユーザー名は受け入れません。」
• "リモートコンピュータ名とポートのSPNが存在しません"
• 「クライアントコンピューターとリモートコンピューターは異なるドメインにあり、信頼関係はありません。」

次に、WinRM TrustedHostsリストに宛先コンピューターを追加することをお勧めします。