GUI(Active Directory 도메인 및 트러스트MMC 스냅인( domain.msc))을 사용하면 신뢰 관계에 대해 "다른 도메인이 Kerberos AES 암호화를 지원합니다." 설정을 지정할 수 있습니다.
이 설정을 프로그래밍 방식으로 설정하는 방법을 찾고 있습니다. 나는 이미 그 내용을 검토했다.Install-ADDSDomainPowerShell cmdlet과 netdom TRUST도구도 있지만 둘 다 설정 옵션이 포함되어 있지 않은 것 같습니다.Kerberos AES 암호화환경.
누군가 이 설정을 프로그래밍 방식으로 설정할 수 있는 방법을 알려주실 수 있나요?
답변1
이 작업은 다음으로 수행할 수 있습니다.ksetup:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
또한보십시오이 문서. 어떤 도메인에 대해 이 명령을 실행하는지 확인하세요. 암호화 유형을 설정하는 데에만 사용할 수 있습니다.다른 도메인. 따라서 DC에 있는 경우 child.contoso.com다음을 실행할 수 있습니다.
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
DC에 있는 경우 contoso.com다음을 발행할 수 있습니다.
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
다른 조합은 불가능하며 다음과 같은 문제가 발생할 수 있습니다.