Na GUI (Domínios e relações de confiança do Active DirectorySnap-in MMC ( domain.msc)), você pode definir a configuração "O outro domínio suporta criptografia Kerberos AES" para uma relação de confiança:
Estou procurando uma maneira de definir essa configuração programaticamente. Eu já revisei oInstall-ADDSDomaincmdlet do PowerShell e também a netdom TRUSTferramenta, mas ambos não parecem incluir uma opção para definir oCriptografia Kerberos AEScontexto.
Alguém pode me dizer como posso definir essa configuração programaticamente?
Responder1
Isso pode ser feito comksetup:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Veja tambémesta documentação. Esteja ciente de onde você executa este comando para qual domínio. Você só pode usá-lo para definir os tipos de criptografia parao outro domínio. Portanto, se você estiver em um DC de child.contoso.com, poderá emitir:
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Se você estiver em um DC de contoso.com, poderá emitir:
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Outras combinações não são possíveis e você poderá enfrentar os seguintes problemas: