Auf dem DC eines Single-AD-Forests bin ich als Standard-Domänenadministrator (in diesem Fall auch als Enterprise-Administrator) angemeldet Administrator. In einer erhöhten PowerShell versuche ich, die Kerberos-Verschlüsselungstypen mit dem folgenden Befehl abzurufen (wie dokumentiertHier):
ksetup /getenctypeattr my.example.com
Aber ich bekomme stattdessen eine Fehlermeldung:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
Als Folge davon (höchstwahrscheinlich) erhalte ich diesen Fehler auch beim Versuch,Satzdie Verschlüsselungsarten, wie beschrieben indiese Frage, auf die es aktuell leider keine seriöse Antwort gibt.
Dies passiert unter Windows Server 2016 und auch unter Windows Server 2019, die größtenteils mit Standardeinstellungen eingerichtet wurden. Wie kann ein einfacheserhaltenfehlgeschlagen? Der Fehlercode scheint nicht dokumentiert zu sein. Weiß jemand, wie man dieses Problem behebt oder löst?
Antwort1
Wie kann eine einfacheerhaltenscheitern?
Entweder durch den Versuch, ein nicht vorhandenes Attribut oder ein Attribut eines nicht vorhandenen Eintrags zu „erhalten“.
0xc0000034 ist einStandard-NTSTATUS-Wert(errno) mit dem Namen „STATUS_OBJECT_NAME_NOT_FOUND“ und dokumentiert als „Der Objektname wurde nicht gefunden.“
Da beim Set derselbe Fehler auftritt, klingt es so, als ob der gesamte Eintrag in AD nicht existiert. Das heißt, Sie haben mit dem angegebenen Bereich kein „Trust“ konfiguriert.
Soweit ich weiß, ist der von Ihnen verwendete Befehl nicht zum Aktivieren/Deaktivieren von Verschlüsselungstypen für daslokalRealm – das wird durch KDC-Software, Registrierungskonfiguration und Schlüssel definiert, die vom Prinzipal „krbtgt“ gehalten werden. Stattdessen passt der Befehl nur die Konfiguration für Inter-Realm-Vertrauensstellungen an, sodass das lokale KDC weiß, welche Verschlüsselungstypen derzeit von den KDCs des angegebenen Remote-Realms unterstützt werden.