En la GUI (Dominios y confianzas de Active DirectoryComplemento MMC ( domain.msc)), puede establecer la configuración "El otro dominio admite el cifrado Kerberos AES" para una relación de confianza:
Estoy buscando una manera de establecer esta configuración mediante programación. Ya revisé elInstall-ADDSDomainEl cmdlet de PowerShell y también la netdom TRUSTherramienta, pero ambos no parecen incluir una opción para configurar elCifrado Kerberos AESconfiguración.
¿Alguien puede decirme cómo puedo configurar esta configuración mediante programación?
Respuesta1
Esto se puede hacer conksetup:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Ver tambiénesta documentación. Tenga en cuenta dónde ejecuta este comando y para qué dominio. Sólo puede usarlo para configurar los tipos de cifrado parael otro dominio. Entonces, si tiene un DC de child.contoso.com, puede emitir:
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Si está en un DC de contoso.com, puede emitir:
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Otras combinaciones no son posibles y puede enfrentar los siguientes problemas: