In der GUI (Active Directory-Domänen und -VertrauensstellungenMMC-Snap-In ( domain.msc)) können Sie die Einstellung „Die andere Domäne unterstützt Kerberos-AES-Verschlüsselung“ für eine Vertrauensbeziehung festlegen:
Ich suche nach einer Möglichkeit, diese Einstellung programmgesteuert vorzunehmen. Ich habe bereits dieInstall-ADDSDomainPowerShell-Cmdlet und auch das netdom TRUSTTool, aber beide scheinen keine Option zum Festlegen derKerberos AES-VerschlüsselungEinstellung.
Kann mir jemand sagen, wie ich diese Einstellung programmgesteuert vornehmen kann?
Antwort1
Dies kann erreicht werden mitksetup:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Siehe auchdiese Dokumentation. Achten Sie darauf, wo Sie diesen Befehl für welche Domäne ausführen. Sie können ihn nur verwenden, um die Verschlüsselungsarten fürdie andere DomäneWenn Sie sich also auf einem DC von befinden child.contoso.com, können Sie Folgendes ausgeben:
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Wenn Sie sich auf einem DC von befinden contoso.com, können Sie Folgendes ausgeben:
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Andere Kombinationen sind nicht möglich und es können folgende Probleme auftreten: