No controlador de domínio de uma floresta de AD único, estou conectado como administrador de domínio padrão Administrator(nesse caso, também como administrador corporativo). Em um PowerShell elevado, tento obter os tipos de criptografia Kerberos com o seguinte comando (conforme documentadoaqui):
ksetup /getenctypeattr my.example.com
Mas recebo uma mensagem de erro:
Query of attributes on MY.EXAMPLE.COM failed with 0xc0000034
Failed /GetEncTypeAttr : 0xc0000034
Consequentemente (provavelmente), também recebo este erro ao tentardefiniros tipos de criptografia, conforme descrito emessa questão, que atualmente não tem uma resposta séria, infelizmente.
Isso acontece no Windows Server 2016 e também no Windows Server 2019, que foram configurados principalmente usando configurações padrão. Como pode um simplespegarfalhar? O código de erro não parece estar documentado. Alguém sabe como solucionar ou resolver esse problema?
Responder1
Como pode um simplespegarfalhar?
Seja tentando 'obter' um atributo inexistente ou um atributo de uma entrada inexistente.
0xc0000034 é umvalor NTSTATUS padrão(errno) denominado "STATUS_OBJECT_NAME_NOT_FOUND" e documentado como "O nome do objeto não foi encontrado."
Com base na obtenção do mesmo erro no set, parece que a entrada inteira não existe no AD – ou seja, você não tem uma “confiança” configurada com o domínio especificado.
Pelo que eu sei, o comando que você está usando não se destina a ativar/desativar tipos de criptografia para olocaldomínio – definido pelo software KDC, configuração do registro e chaves mantidas pelo principal 'krbtgt'. Em vez disso, o comando ajusta apenas a configuração para relações de confiança entre regiões, permitindo que o KDC local saiba quais tipos de criptografia são atualmente suportados pelos KDCs da região remota especificada.