В графическом интерфейсе (Домены и доверительные отношения Active DirectoryВ оснастке MMC ( domain.msc) можно задать параметр «Другой домен поддерживает шифрование Kerberos AES» для доверительных отношений:
Я ищу способ задать этот параметр программно. Я уже просмотрелInstall-ADDSDomainКомандлет PowerShell, а также netdom TRUSTинструмент, но оба они, похоже, не включают опцию для установкиШифрование Kerberos AESпараметр.
Может ли кто-нибудь подсказать, как можно задать эту настройку программно?
решение1
Это можно сделать с помощьюksetup:
ksetup /setenctypeattr <THE_OTHER_DOMAIN> AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Смотрите такжеэта документация. Помните, где вы выполняете эту команду для какого домена. Вы можете использовать ее только для установки типов шифрования длядругой домен. Так что если вы находитесь на DC child.contoso.com, вы можете выдать:
ksetup /setenctypeattr contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Если вы находитесь на DC contoso.com, вы можете выпустить:
ksetup /setenctypeattr child.contoso.com AES128-CTS-HMAC-SHA1-96 AES256-CTS-HMAC-SHA1-96
Другие комбинации невозможны, и вы можете столкнуться со следующими проблемами: